自《中华人民共和国计算机信息系统安全保护条例》发布,我国开始实施信息系统等级保护,在金融、能源、电信、卫生等多个行业都已深耕落地,是为等级保护1.0。而随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,带来了新的信息安全风险和技术挑战,为了有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。我国网络安全进入了新的发展阶段,很多行业主管单位要求相关企业组织开展等级保护工作,合理规避风险。
在数字经济高速发展的当下,《数据安全法》的颁布实施为有效防范和管理各种信息安全技术风险,提升国家层面的数据安全水平,全面保障数据流动中数据安全提供了基础保障。数据安全进入快速发展期,无论是从国家、行业监管角度,还是企业发展角度,合理地规避风险,标准化的完成数据安全建设至关重要。
今年6月,国家市场监督管理总局和国家互联网信息办公室联合发布了“关于开展数据安全管理认证工作的公告”(文号为2022年第18号,以下简称18号文),表明国家主管部门对数据安全管理体系正式提出了认证要求,文件中明确从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》。
0118号文出台意义
▪ 促进数据安全建设规范化
通过这次认证活动,会督促广大企业在相关标准规范之下,开展网络数据处理活动的合规建设,加强数据安全的防护力度。
▪ 加快数据安全建设步伐
认证推出势必会增强企业或组织对数据安全落地的积极性,对于对暂不符合认证要求的,机构可要求认证委托人限期整改,促使认证对象加快数据安全标准建设内容。在认证有效期内,要求企业须持续接受机构监督,确保数据安全工作持续落到实处。
▪ 保障数据经济发展
两家国家权威机构来开展数据安全管理认证工作,体现了国家对数据安全的高度重视,为数据安全建设代言,保障数据经济健康发展。
02《数据据安全管理实施认证规则》解读
□ 认证依据
数据安全管理认证是按照《数据安全管理认证实施规则》来实施,此规则的制定依据是《中华人民共和国认证认可条例》。而认证认可条例所称的“认证”是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。认证参照GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范执行。
□ 认证对象
针对网络运营者的数据安全管理体系开展的认证活动,以验证网络运营者是否建立了有效的数据安全管理体系来进行网络数据的收集、存储、使用、加工、传输、提供、公开等处理活动。
□ 认证模式
认证模式是技术验证+现场审核+获证后监督,提出对认证时限和认证证书和认证标志的相关要求;认证过程是认证委托+技术验证+现场审核+认证结果评价和批准+获证后监督。即认证通过发放认证标志,可以按照有关规定在广告等宣传中使用,可以增加外界公众对网络运营者的信任度,助力数据处理相关业务的顺利开展。
□ 证书期限
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书,认证证书有效期为3年。不同于网络安全等级保护认证,不需要按照等级划分。
□ 证书责任
认证机构应依据实施规则的要求细化认证实施程序,制定科学、合理、可操作的认证实施细则并对外公布实施,认证实施时其责任是对现场审核结论、认证结论负责;技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告,认证实施时其责任是对技术验证结论负责;认证委托人应当按认证机构要求提交认证委托资料,并配合认证机构和技术验证机构的现场审核与验证工作,其责任是对认证委托资料的真实性、合法性负责。
03明朝万达积极参与机构测评工作
为满足监管合规的要求,以及通过体系认证过程有效保护组织自身的数据安全,在18号文发布后,相关企业进一步加强了自身数据安全管理体系建设。作为我国新一代信息安全技术企业的代表厂商,明朝万达积极参与机构测评工作,数据分类分级能力通过了中国信息通信研究院数据安全能力测评。
该证书是中国信通院数据安全产品检验最高级别的认证。《数据安全法》明确规定应建立数据分类分级保护制度,对数据实行分类分级保护。此次明朝万达数据分类分级能力通过权威测评,充分体现明朝万达数据安全产品内核技术的先进性与创新性,功能完备成熟,符合并遵循数据安全标准规范,在满足用户数据安全建设的同时为实际业务需求提供可靠保障。