关于开展数据安全管理认证工作的公告
国家市场监督管理总局 国家互联网信息办公室公告2022年第18号
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》(见附件)实施认证。
特此公告。
附件:数据安全管理认证实施规则
国家市场监督管理总局 国家互联网信息办公室
2022年6月5日
国家市场监督管理总局、中国国家标准化管理委员会发布《信息安全技术网络数据处理安全要求(GB/T 41479-2022)》,将于11月1日施行。
标准自2019年立项、2020年8月面向社会公开征求意见至今,经历多次修改审定,从责任界定、平台处理等多个角度提出了规范,更加符合当下网络数据处理的现实,更加务实。
该项标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求;适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。
此次标准的具体内容从数据识别、分级分类、风险防控、审计追溯等方面提出数据处理的总体要求,包括技术要求、管理要求等。
● 数据识别
在标准第4.1条中明确要求,网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录并及时更新。
● 分类分级
在标准第4.2条中明确要求,网络运营者应按照相关国家标准,对所识别的数据进行分类分级管理。
● 访问控制
在标准第5.12条中提及,网络运营者开展数据处理活动时,明确相关人员的访问权限,防止未授权访问。对重要数据、个人信息的关键操作(修改、拷贝、删除、下载等),涉及内部审批和审计流程。
● 安全审计
在标准第4.2条中明确要求,网络运营者应对数据处理的全生命周期进行记录,确保数据处理可审计、可追溯。
● 风险防控
标准第5.7条,网络运营者在传输、提供 重要数据和敏感个人信息时,采取加密、脱敏等技术。