數(shù)據(jù)安全評估認證概覽-胡影

數(shù)據(jù)安全評估認證概覽OverviewofDataSecurityCertificationandAssessment胡影HuYing中國電子技術標準化研究院ChinaElectronicsStandardizationInstituteCONTENTS目錄01.02.數(shù)據(jù)安全評估和認證相關背景數(shù)據(jù)安全評估和認證工作現(xiàn)狀2022WESTLAKECYBERSECURITYCONFERENCE03.數(shù)據(jù)安全評估和認證應用實踐01數(shù)據(jù)安全評估和認證相關背景政策法規(guī)背景數(shù)據(jù)安全評估、認證是國家和行業(yè)數(shù)據(jù)安全管理工作的重要制度之一第十四個五年規(guī)劃和2035年遠景目標綱要個人信息保護法第十八條國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展數(shù)據(jù)安全法第六十二條支持有關機構開展個人信息保護評估、認證服務加強數(shù)據(jù)安全評估，推動數(shù)據(jù)跨境安全有序流動。網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）提出年度數(shù)據(jù)安全評估制度，處理重要數(shù)據(jù)、赴境外上市的數(shù)據(jù)處理者、處理超過100萬人以上個人信息處理者行業(yè)數(shù)據(jù)安全檢測、認證工作，行業(yè)數(shù)據(jù)安全評估機構管理制度，風險評估、合規(guī)評估、能力評估、出境評估工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）（征求意見稿）數(shù)據(jù)安全評估相關要求法律規(guī)定數(shù)據(jù)安全風險評估、數(shù)據(jù)出境安全評估、個人信息保護影響評估、應用程序個人信息保護測評等評估類型?！稊?shù)據(jù)安全法》明確提出要建立數(shù)據(jù)安全風險評估機制，要求重要數(shù)據(jù)處理者定期對其數(shù)據(jù)處理活動開展風險評估，并向有關主管部門報送風險評估報告?！秱€人信息保護法》要求開展個人信息保護影響評估、應用程序個人信息保護測評、個人信息處理合規(guī)審計?！毒W(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》規(guī)定了個人信息和重要數(shù)據(jù)出境安全評估制度。數(shù)據(jù)安全認證相關要求《個人信息保護法》

：個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當至少具備下列一項條件：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件?！稊?shù)據(jù)安全管理辦法（征求意見稿）》第三十四條

國家鼓勵網(wǎng)絡運營者自愿通過數(shù)據(jù)安全管理認證和應用程序安全認證，鼓勵搜索引擎、應用商店等明確標識并優(yōu)先推薦通過認證的應用程序。國家網(wǎng)信部門會同國務院市場監(jiān)督管理部門，指導國家網(wǎng)絡安全審查與認證機構，組織數(shù)據(jù)安全管理認證和應用程序安全認證工作。02數(shù)據(jù)安全評估和認證工作現(xiàn)狀數(shù)據(jù)安全評估認證常見類型數(shù)據(jù)安全能力評估數(shù)據(jù)安全風險評估數(shù)據(jù)出境安全評估App個人信息安全測評個人信息保護影響評估數(shù)據(jù)安全合規(guī)性評估App安全認證數(shù)據(jù)安全管理認證...........數(shù)據(jù)安全能力成熟度評估和認證

依據(jù)標準：GB/T37988—2019《信息安全技術數(shù)據(jù)安全能力成熟度模型》

標準定位：以數(shù)據(jù)為中心、成熟度為抓手，提出圍繞組織機構的數(shù)據(jù)安全能力要求數(shù)據(jù)安全能力評估認證數(shù)據(jù)安全能力成熟度模型以能力成熟度為抓手覆蓋全流程數(shù)據(jù)處理活動以組織機構業(yè)務為單位數(shù)據(jù)采集5級:持續(xù)改進4級:量化控制3級:妥善定義2級:計劃跟蹤

1級:非正式執(zhí)行能力維度Level2:數(shù)據(jù)生命周期通用安全組織建設制度流程技術工具人員能力數(shù)據(jù)傳輸Level2:數(shù)據(jù)存儲Level2:數(shù)據(jù)處理數(shù)據(jù)交換Level2:數(shù)據(jù)銷毀成熟度等級數(shù)據(jù)生命周期4維度30安全域數(shù)據(jù)安全過程域（PA）19個數(shù)據(jù)生命周期安全過程域，11個通用安全過程域兩部分

5級別組織建設制度流程技術工具人員能力1級

非正式執(zhí)行級2級

計劃跟蹤級3級

充分定義級4級

量化控制級5級

持續(xù)優(yōu)化級6階段數(shù)據(jù)采集數(shù)據(jù)傳輸數(shù)據(jù)存儲數(shù)據(jù)處理數(shù)據(jù)交換數(shù)據(jù)銷毀576實踐每個數(shù)據(jù)安全過程域（PA）由多個數(shù)據(jù)安全基本實踐（BP）組成，共計576個BP實踐DSMM的特征

數(shù)據(jù)安全能力成熟度評估認證數(shù)據(jù)收集數(shù)據(jù)存儲數(shù)據(jù)使用數(shù)據(jù)加工數(shù)據(jù)傳輸數(shù)據(jù)提供數(shù)據(jù)公開數(shù)據(jù)刪除網(wǎng)絡安全等級保護制度全流程數(shù)據(jù)安全治理管理制度技術措施人員能力組織機構DSMM對《數(shù)據(jù)安全法》的支撐

《數(shù)據(jù)安全法》第二十七條：開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度的基礎上，履行上述數(shù)據(jù)安全保護義務。重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。數(shù)據(jù)安全能力成熟度評估認證數(shù)據(jù)安全能力成熟度評估認證DSMM評估認證的價值和意義評估自身數(shù)據(jù)安全能力水位線幫助挖掘和發(fā)現(xiàn)數(shù)據(jù)安全能力的短板，提升數(shù)據(jù)安全能力建立覆蓋全流程數(shù)據(jù)處理活動的數(shù)據(jù)安全治理體系建立基于數(shù)據(jù)安全能力的數(shù)據(jù)要素流通信任體系數(shù)據(jù)安全風險評估評估目標：數(shù)據(jù)安全風險評估，主要針對數(shù)據(jù)處理者的數(shù)據(jù)和數(shù)據(jù)處理活動進行安全風險評估，旨在了解處理的數(shù)據(jù)和開展的數(shù)據(jù)處理活動情況，發(fā)現(xiàn)存在的數(shù)據(jù)安全風險和違法違規(guī)問題，為進一步健全數(shù)據(jù)安全管理制度和技術措施，防范數(shù)據(jù)安全風險奠定基礎。評估依據(jù)：《信息安全技術數(shù)據(jù)安全風險評估方法》、GB/T20984《信息安全技術信息安全風險評估規(guī)范》等。評估情形：重要數(shù)據(jù)處理者、核心數(shù)據(jù)處理者、關鍵信息基礎設施運營者、處理一百萬人以上的個人信息處理者、赴境外上市的數(shù)據(jù)處理者、大型互聯(lián)網(wǎng)平臺運營者等，每年開展一次網(wǎng)絡數(shù)據(jù)安全評估。評估準備數(shù)據(jù)和數(shù)據(jù)處理活動識別數(shù)據(jù)安全風險識別數(shù)據(jù)安全風險分析與評價評估總結數(shù)據(jù)安全管理認證市場監(jiān)管總局、網(wǎng)信辦聯(lián)合發(fā)文《關于開展數(shù)據(jù)安全管理認證工作的公告》《數(shù)據(jù)安全管理認證實施規(guī)則》認證依據(jù)：GB/T41479—2022《信息安全技術網(wǎng)絡數(shù)據(jù)處理安全要求》認證對象：對網(wǎng)絡運營者開展網(wǎng)絡數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動認證模式：技術驗證+現(xiàn)場審核+獲證后監(jiān)督

材料準備認證申請技術驗證現(xiàn)場審核獲證后監(jiān)督認證階段數(shù)據(jù)安全管理認證技術驗證申請認證后，按認證機構要求，開展技術驗證根據(jù)技術驗證結果，編制技術驗證報告前期摸底認證機構開展現(xiàn)場審核整改完善獲證后，按認證實施規(guī)則，開展監(jiān)督工作。數(shù)據(jù)出境安全評估評估依據(jù)：1、《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》2、《網(wǎng)絡數(shù)據(jù)安全管理條例》《數(shù)據(jù)出境安全評估辦法》3、《個人信息出境標準合同規(guī)定（征求意見稿）》《關鍵信息基礎設施安全保護條例》評估對象：向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息，包括不限于：1、數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)2、關鍵信息基礎設施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息

3、其他情形。App個人信息安全測評依據(jù)移動互聯(lián)網(wǎng)應用個人信息安全監(jiān)管要求，對移動互聯(lián)網(wǎng)應用開展App個人信息安全檢測服務，發(fā)現(xiàn)App存在的個人信息保護問題和安全風險，幫助網(wǎng)絡運營者提升App個人信息安全水平。App違法違規(guī)收集使用個人信息認定方法常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定工信部《關于開展APP侵害用戶權益專項整治工作的通知(工信部信管函〔2019〕337號)》工信部《關于開展縱深推進APP侵害用戶權益專項整治行動的通知(工信部信管函〔2020〕164號)》.....近來，App個人信息安全受到了社會大眾和政府監(jiān)管的廣泛關注，多項監(jiān)管行動相繼展開，App個人信息安全問題已經(jīng)制約著App的業(yè)務發(fā)展。認證背景：為規(guī)范移動互聯(lián)網(wǎng)應用程序（App）收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護，根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國認證認可條例》，市場監(jiān)管總局、中央網(wǎng)信辦決定開展App安全認證工作。認證依據(jù)：GB/T35273-2020《信息安全技術個人信息安全規(guī)范》App安全認證場景識別與數(shù)據(jù)映射分析個人信息處理的規(guī)范性分析處理過程的安全措施有效性分析風險源識別個人權益影響分析個人信息保護風險綜合分析

個人信息保護影響評估，從組織機構的角度出發(fā)，針對特定場景開展個人信息保護影響評估工作。個人信息的處理目的、處理方式等是否合法、正當、必要；對個人權益的影響及安全風險；所采取的保護措施是否合法、有效并與風險程度相適應。處理敏感個人信息；利用個人信息進行自動化決策；委托處理個人信息向其他個人信息處理者提供個人信息公開個人信息；向境外提供個人信息；其他對個人權益有重大影響的個人信息處理活動個人信息保護影響評估評估內(nèi)容評估情形個人信息跨境處理活動安全認證認證依據(jù)：1、GB/T39335-2020《信息安全技術個人信息安全影響評估指南》2、GB/T35273-2020《信息安全技術個人信息安全規(guī)范》3、《網(wǎng)絡安全標準實踐指南—個人信息跨境處理活動安全認證規(guī)范》認證對象：1、涉?zhèn)€人信息跨境處理活動的跨國公司或者同一經(jīng)濟、事業(yè)實體下屬子公司或關聯(lián)公司2、《個人信息保護法》第三條第二款規(guī)定的境外個人信息處理者03數(shù)據(jù)安全評估和認證應用案例

中國電子技術標準化研究院（CESI）是工業(yè)和信息化部直屬事業(yè)單位，集標準研制、試驗檢測、計量校準、認證評估、培訓服務和產(chǎn)業(yè)研究為一體的基礎性、公益性、綜合性科研機構。中國電子技術標準化研究院網(wǎng)絡安全研究中心是專職從事網(wǎng)絡安全技術、安全標準研制和測評業(yè)務開展的部門，建有2000多平米實驗室場地，擁有在職科研人員100名（其中博士學歷16名），專職實驗測評人員30余名，承擔全國信安標委（TC260）、中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟和工信部商用密碼應用產(chǎn)業(yè)促進聯(lián)盟秘書處工作。網(wǎng)安中心從2016年開始從事數(shù)據(jù)安全和個人信息保護工作，成立專職數(shù)據(jù)安全部門主要負責數(shù)據(jù)安全、個人信息保護、人工智能安全方向的標準研制、技術科研、政策支撐、安全服務等。數(shù)據(jù)安全服務能力數(shù)據(jù)安全服務能力數(shù)據(jù)安全技術檢測工具建設新一代信息安全與隱私保護標準化技術工業(yè)和信息化部重點實驗室，形成專業(yè)數(shù)據(jù)安全檢測能力通過專業(yè)技術工具，開展數(shù)據(jù)安全檢測，更全面地發(fā)掘數(shù)據(jù)安全風險，更精準地定位數(shù)據(jù)安全短板擁有十余名獲得資質的數(shù)據(jù)安全能力成熟度模型測評師等，具有豐富測評經(jīng)驗。全程評估工作由中國電子技術標準化研究院專業(yè)、自有評估師完成，保證評估工作質量。深入的數(shù)據(jù)安全技術檢測能力專業(yè)、自有評估隊伍權威標準解讀全國信息安全標準化技術委員會（TC260）秘書處單位多項標準牽頭編制單位之一多項標準核心編制成員多項標準研制、試點、應用推廣工作全程工作牽頭數(shù)據(jù)安全能力成熟度自評估工具（發(fā)布）賦能企業(yè)，提升企業(yè)數(shù)據(jù)安全能力助力評估，提升DSMM評估效率已有用戶600+，助力完成1000+次評估全程CNAS檢驗檢測實驗室質量保障詳細的評估報告公開可查的認證證書符合CNAS檢測實驗室要求的質量控制，全過程文檔質量保障公開發(fā)布數(shù)據(jù)安全能力成熟度自評估工具賦能企業(yè)，提升企業(yè)數(shù)據(jù)安全能力助力評估，提升DSMM評估效率已有用戶600+，助力完成1000+次評估應用案例在阿里巴巴生態(tài)企業(yè)和國泰產(chǎn)險、邦道科技、中和農(nóng)信、中交興路、小碼科技、公交云、米雅科技、鈞正網(wǎng)絡等螞蟻金服的TOP300生態(tài)企業(yè)中推廣，識別生態(tài)企業(yè)整體數(shù)據(jù)安全能力水位，并通過評估，有針對地提出建議，推動頭部生態(tài)企業(yè)的數(shù)據(jù)安全能力提升。在天津網(wǎng)信辦、貴陽大數(shù)據(jù)局、成都網(wǎng)信辦、武漢硚口區(qū)多地政府支持下在當?shù)亻_展地方推廣應用。電子標準院DSMM標準應用案例獲“信安標委20周年網(wǎng)絡安全國家標準優(yōu)秀實踐案例”一等獎電子標準院DSMM標準研制和應用相關成果獲“中國電子學會2020年科技進步”二等獎地方政府推廣12生態(tài)企業(yè)推廣3標準應用獲獎GB/T37988數(shù)據(jù)安全能力成熟度模型(DSMM)應用實踐

已在20+行業(yè)，500+機構推廣應用，幫助企業(yè)提升數(shù)據(jù)安全能力頒發(fā)國內(nèi)首張DSMM四級認證證書4助力企業(yè)提升應用案例國家監(jiān)管層面：隱私條款專項評估App違法違規(guī)收