重磅!数据安全管理认证来了(附实施规则)
根据《中华人民共和国安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定,国家市场监督管理总局、国家互联网信息办公室决徚展数据安全管理认证工作,鼓励运营者通过认证方式规范数据处理活动,加强数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》(见附件)实施认证。特此公告。附件:数据安全管理认证实施规则 国家市场监督管理总局 国家互联网信息办公室2022年6月5日附件 数据安全管理认证实施规则 1 适用范围本规则依据《中华人民共和国认证认可条例》制定,规定了对运营者开展数据收集、存储、使用、加工、传输、提供、彬等处理活动进行认证的基本原则和要求。2 认证依据 41479《信息安全技术 数据处理安全要求》及相关标准规范。上述标准原则上应当执行国家标准化行政主管部门发布构新版本。3 认证模式数据安全管理认证的认证模式为:技术验证现场审核获证后监督4 认证实施程序4.1 认证委托认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。认证机构应当根据认证委托资料确定认证方案,包括数据类型和数量、涉及的数据处理活动范围、技术验证机构信息等,并通知认证委托人。4.2 技术验证技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。4.3 现场审核认证机构实施现场审核,并向认证委托人出具现场审核报告。4.4 认证结果评价和批准认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。如发现认证委托人、运营者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。4.5 获证后监督4.5.1 监督的频次认证机构应当在认证有效期内,对获得认证的运营者进行持续监督,并合理确定监督频次。4.5.2 监督的内容认证机构应当采取适当的方式实施获证后监督,确保获得认证的运营者持续符合认证要求。4.5.3 获证后监督结果的评价认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至閤认证证书的处理。4.6 认证时限认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。5 认证证书和认证标志5.1 认证证书5.1.1 认证证书的保持 认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到霟延续使用的,认证委托人应当在有效期届满前 6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。5.1.2 认证证书的变更认证证书有效期内,若获得认证的运营者名称、注册,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。鞂进行技术验证和或现场审核,还应当在批准变更前进行技术验证和或现场审核。5.1.3 认证证书的门、暂停和閤当获得认证的运营者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至閤。认证委托人在认证证书有效期内可申请认证证书暂停、门。认证机构应当采用适当方式对外公布被暂停、门和閤的运营者认证证书。5.2 认证标志
页:
[1]