國家市場監督管理總局 國家互聯網信息辦公室
關于開(kāi)展數據安全管理認證工(gōng)作的公告
2022年第18号
根據《中(zhōng)華人民共和國網絡安全法》會秒《中(zhōng)華人民共和國數據安全法》《中(zhōng)華人民廠醫共和國個人信息保護法》《中(zhōng)華人民森那共和國認證認可條例》有關規定,國家市場監督管雪通理總局、國家互聯網信息辦公室決定開(kāi)展數據安全管理認證服和工(gōng)作,鼓勵網絡運營者通過認證方式規範網絡數據處理活動,加強網絡司能數據安全保護。從事數據安全管理認證活動的認證機構應當放影依法設立,并按照《數據安全管理認證實施規則》(見附件山村)實施認證。
國家市場監督管理總局
國家互聯網信息辦公室
2022年6月5日
數據安全管理認證實施規則
本規則依據《中(zhōng)華人民共和國認證認可條例到器》制定,規定了對網絡運營者開(kāi)展網絡數據收集、木新存儲、使用、加工(gōng)、傳輸、提供、公兒靜開(kāi)等處理活動進行認證的基本原則和要求。GB/T 41479《信息安全技術 網絡數據處理安全要求》及相關标準規範。物我上述标準原則上應當執行國家标準化行政主管部門發布的****化司**版本。認證機構應當明确認證委托資(zī)料要求,包括但不限于認證委托人基本材料、她藍認證委托書(shū)、相關證明文檔等。認證委托人應當按認證機構要求提交認證委托資(zī路玩)料,認證機構在對認證委托資(zī)料審查後西商及時反饋是否受理。認證機構應當根據認證委托資(zī)料确定認證方案,包括數據類型和數量、涉及的數家時據處理活動範圍、技術驗證機構信息等,并通知(zhī)認生一證委托人。技術驗證機構應當按照認證方案實施技術驗證,并向能資認證機構和認證委托人出具技術驗證報告。認證機構實施現場審核,并向認證委托人出具現場審核報告。認證機構根據認證委托資(zī)料、技術驗證報告、現場審核報告和其他相關資(裡這zī)料信息進行綜合評價,作出認證決定。對符術金合認證要求的,頒發認證證書(shū);對暫不符合認證房輛要求的,可要求認證委托人限期整改,整改後仍大腦不符合的,以書(shū)面形式通知(zhī)認證委托人終止認證。如發現認證委托人、網絡運營者存在欺騙、隐瞞信息、故生木意違反認證要求等嚴重影響認證實施的行爲時,拿哥認證不予通過。認證機構應當在認證有效期内,對獲得認證的網絡運營者進行持續監督,并合理确定監兒自督頻(pín)次。認證機構應當采取适當的方式實施獲證後監督,确保獲得認證的網絡運營者持續來懂符合認證要求。認證機構對獲證後監督結論和其他相關資(zī)料信息進行綜合評價,評價通過的,可吧家繼續保持認證證書(shū);不通過的,認證機構應當根據相應情形作出月影暫停直至撤銷認證證書(shū)的處理。認證機構應當對認證各環節的時限作出明确規定,并确保相關工(gōn動分g)作按時限要求完成。認證委托人應當對認證活動予以你街積極配合。認證證書(shū)有效期爲3年。在有效期内,通過認證機構的獲證後監督,保持認證作到證書(shū)的有效性。證書(shū)到期需延續使用的,認證委托人應當在有效期屆門開滿前6個月内提出認證委托。認證機構應當采用獲證後又外監督的方式,對符合認證要求的委托換發新證書媽習(shū)。認證證書(shū)有效期内,若獲得認證的網絡運營者名稱、注冊地址,或認證要求、門從認證範圍等發生(shēng)變化時,認證委托人應當向認證機構提出家熱變更委托。認證機構根據變更的内容,對變更委托資(zī)料進行評價,确定是否可票做以批準變更。如需進行技術驗證和/或現場審核,還應當在批準變更前進行不媽技術驗證和/或現場審核。當獲得認證的網絡運營者不再符合認證要求時,認證機構應當舊事及時對認證證書(shū)予以暫停直至撤銷。認證委托人在認證證書(shū)有效期劇到内可申請認證證書(shū)暫停、注銷。認證機構應當采用适當方式對外(wài)公木亮布被暫停、注銷和撤銷的網絡運營者認證證書(sh章動ū)。“ABCD”代表認證機構識别信息。
5.3 認證證書(shū)和認證标志(zh劇有ì)的使用在認證證書(shū)有效期内,獲得認證的網絡運營者應當按照醫民有關規定在廣告等宣傳中(zhōng)正确使用認證證書(shū)和醫林認證标志(zhì),不得對公衆産生(sh麗道ēng)誤導。認證機構應當依據本規則有關要求,細化認證實施程序,制定科學、合理、可操作的認證報弟實施細則,并對外(wài)公布實施。認證委托人應當對認證委托資(zī)料的真實性、合法性負責。(來源:市場監管總局網站)
