數(shù)據(jù)安全評估認(rèn)證概覽-胡影

數(shù)據(jù)安全評估認(rèn)證概覽OverviewofDataSecurityCertificationandAssessment胡影HuYing中國電子技術(shù)標(biāo)準(zhǔn)化研究院ChinaElectronicsStandardizationInstituteCONTENTS目錄01.02.數(shù)據(jù)安全評估和認(rèn)證相關(guān)背景數(shù)據(jù)安全評估和認(rèn)證工作現(xiàn)狀2022WESTLAKECYBERSECURITYCONFERENCE03.數(shù)據(jù)安全評估和認(rèn)證應(yīng)用實(shí)踐01數(shù)據(jù)安全評估和認(rèn)證相關(guān)背景政策法規(guī)背景數(shù)據(jù)安全評估、認(rèn)證是國家和行業(yè)數(shù)據(jù)安全管理工作的重要制度之一第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要個人信息保護(hù)法第十八條國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展數(shù)據(jù)安全法第六十二條支持有關(guān)機(jī)構(gòu)開展個人信息保護(hù)評估、認(rèn)證服務(wù)加強(qiáng)數(shù)據(jù)安全評估，推動數(shù)據(jù)跨境安全有序流動。網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）提出年度數(shù)據(jù)安全評估制度，處理重要數(shù)據(jù)、赴境外上市的數(shù)據(jù)處理者、處理超過100萬人以上個人信息處理者行業(yè)數(shù)據(jù)安全檢測、認(rèn)證工作，行業(yè)數(shù)據(jù)安全評估機(jī)構(gòu)管理制度，風(fēng)險(xiǎn)評估、合規(guī)評估、能力評估、出境評估工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）（征求意見稿）數(shù)據(jù)安全評估相關(guān)要求法律規(guī)定數(shù)據(jù)安全風(fēng)險(xiǎn)評估、數(shù)據(jù)出境安全評估、個人信息保護(hù)影響評估、應(yīng)用程序個人信息保護(hù)測評等評估類型。《數(shù)據(jù)安全法》明確提出要建立數(shù)據(jù)安全風(fēng)險(xiǎn)評估機(jī)制，要求重要數(shù)據(jù)處理者定期對其數(shù)據(jù)處理活動開展風(fēng)險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告?！秱€人信息保護(hù)法》要求開展個人信息保護(hù)影響評估、應(yīng)用程序個人信息保護(hù)測評、個人信息處理合規(guī)審計(jì)?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》規(guī)定了個人信息和重要數(shù)據(jù)出境安全評估制度。數(shù)據(jù)安全認(rèn)證相關(guān)要求《個人信息保護(hù)法》

：個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)至少具備下列一項(xiàng)條件：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證；（三）按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，并監(jiān)督其個人信息處理活動達(dá)到本法規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn)；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件?！稊?shù)據(jù)安全管理辦法（征求意見稿）》第三十四條

國家鼓勵網(wǎng)絡(luò)運(yùn)營者自愿通過數(shù)據(jù)安全管理認(rèn)證和應(yīng)用程序安全認(rèn)證，鼓勵搜索引擎、應(yīng)用商店等明確標(biāo)識并優(yōu)先推薦通過認(rèn)證的應(yīng)用程序。國家網(wǎng)信部門會同國務(wù)院市場監(jiān)督管理部門，指導(dǎo)國家網(wǎng)絡(luò)安全審查與認(rèn)證機(jī)構(gòu)，組織數(shù)據(jù)安全管理認(rèn)證和應(yīng)用程序安全認(rèn)證工作。02數(shù)據(jù)安全評估和認(rèn)證工作現(xiàn)狀數(shù)據(jù)安全評估認(rèn)證常見類型數(shù)據(jù)安全能力評估數(shù)據(jù)安全風(fēng)險(xiǎn)評估數(shù)據(jù)出境安全評估App個人信息安全測評個人信息保護(hù)影響評估數(shù)據(jù)安全合規(guī)性評估App安全認(rèn)證數(shù)據(jù)安全管理認(rèn)證...........數(shù)據(jù)安全能力成熟度評估和認(rèn)證

依據(jù)標(biāo)準(zhǔn)：GB/T37988—2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

標(biāo)準(zhǔn)定位：以數(shù)據(jù)為中心、成熟度為抓手，提出圍繞組織機(jī)構(gòu)的數(shù)據(jù)安全能力要求數(shù)據(jù)安全能力評估認(rèn)證數(shù)據(jù)安全能力成熟度模型以能力成熟度為抓手覆蓋全流程數(shù)據(jù)處理活動以組織機(jī)構(gòu)業(yè)務(wù)為單位數(shù)據(jù)采集5級:持續(xù)改進(jìn)4級:量化控制3級:妥善定義2級:計(jì)劃跟蹤

1級:非正式執(zhí)行能力維度Level2:數(shù)據(jù)生命周期通用安全組織建設(shè)制度流程技術(shù)工具人員能力數(shù)據(jù)傳輸Level2:數(shù)據(jù)存儲Level2:數(shù)據(jù)處理數(shù)據(jù)交換Level2:數(shù)據(jù)銷毀成熟度等級數(shù)據(jù)生命周期4維度30安全域數(shù)據(jù)安全過程域（PA）19個數(shù)據(jù)生命周期安全過程域，11個通用安全過程域兩部分

5級別組織建設(shè)制度流程技術(shù)工具人員能力1級

非正式執(zhí)行級2級

計(jì)劃跟蹤級3級

充分定義級4級

量化控制級5級

持續(xù)優(yōu)化級6階段數(shù)據(jù)采集數(shù)據(jù)傳輸數(shù)據(jù)存儲數(shù)據(jù)處理數(shù)據(jù)交換數(shù)據(jù)銷毀576實(shí)踐每個數(shù)據(jù)安全過程域（PA）由多個數(shù)據(jù)安全基本實(shí)踐（BP）組成，共計(jì)576個BP實(shí)踐DSMM的特征

數(shù)據(jù)安全能力成熟度評估認(rèn)證數(shù)據(jù)收集數(shù)據(jù)存儲數(shù)據(jù)使用數(shù)據(jù)加工數(shù)據(jù)傳輸數(shù)據(jù)提供數(shù)據(jù)公開數(shù)據(jù)刪除網(wǎng)絡(luò)安全等級保護(hù)制度全流程數(shù)據(jù)安全治理管理制度技術(shù)措施人員能力組織機(jī)構(gòu)DSMM對《數(shù)據(jù)安全法》的支撐

《數(shù)據(jù)安全法》第二十七條：開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。數(shù)據(jù)安全能力成熟度評估認(rèn)證數(shù)據(jù)安全能力成熟度評估認(rèn)證DSMM評估認(rèn)證的價(jià)值和意義評估自身數(shù)據(jù)安全能力水位線幫助挖掘和發(fā)現(xiàn)數(shù)據(jù)安全能力的短板，提升數(shù)據(jù)安全能力建立覆蓋全流程數(shù)據(jù)處理活動的數(shù)據(jù)安全治理體系建立基于數(shù)據(jù)安全能力的數(shù)據(jù)要素流通信任體系數(shù)據(jù)安全風(fēng)險(xiǎn)評估評估目標(biāo)：數(shù)據(jù)安全風(fēng)險(xiǎn)評估，主要針對數(shù)據(jù)處理者的數(shù)據(jù)和數(shù)據(jù)處理活動進(jìn)行安全風(fēng)險(xiǎn)評估，旨在了解處理的數(shù)據(jù)和開展的數(shù)據(jù)處理活動情況，發(fā)現(xiàn)存在的數(shù)據(jù)安全風(fēng)險(xiǎn)和違法違規(guī)問題，為進(jìn)一步健全數(shù)據(jù)安全管理制度和技術(shù)措施，防范數(shù)據(jù)安全風(fēng)險(xiǎn)奠定基礎(chǔ)。評估依據(jù)：《信息安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》、GB/T20984《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》等。評估情形：重要數(shù)據(jù)處理者、核心數(shù)據(jù)處理者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、處理一百萬人以上的個人信息處理者、赴境外上市的數(shù)據(jù)處理者、大型互聯(lián)網(wǎng)平臺運(yùn)營者等，每年開展一次網(wǎng)絡(luò)數(shù)據(jù)安全評估。評估準(zhǔn)備數(shù)據(jù)和數(shù)據(jù)處理活動識別數(shù)據(jù)安全風(fēng)險(xiǎn)識別數(shù)據(jù)安全風(fēng)險(xiǎn)分析與評價(jià)評估總結(jié)數(shù)據(jù)安全管理認(rèn)證市場監(jiān)管總局、網(wǎng)信辦聯(lián)合發(fā)文《關(guān)于開展數(shù)據(jù)安全管理認(rèn)證工作的公告》《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》認(rèn)證依據(jù)：GB/T41479—2022《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》認(rèn)證對象：對網(wǎng)絡(luò)運(yùn)營者開展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動認(rèn)證模式：技術(shù)驗(yàn)證+現(xiàn)場審核+獲證后監(jiān)督

材料準(zhǔn)備認(rèn)證申請技術(shù)驗(yàn)證現(xiàn)場審核獲證后監(jiān)督認(rèn)證階段數(shù)據(jù)安全管理認(rèn)證技術(shù)驗(yàn)證申請認(rèn)證后，按認(rèn)證機(jī)構(gòu)要求，開展技術(shù)驗(yàn)證根據(jù)技術(shù)驗(yàn)證結(jié)果，編制技術(shù)驗(yàn)證報(bào)告前期摸底認(rèn)證機(jī)構(gòu)開展現(xiàn)場審核整改完善獲證后，按認(rèn)證實(shí)施規(guī)則，開展監(jiān)督工作。數(shù)據(jù)出境安全評估評估依據(jù)：1、《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》2、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《數(shù)據(jù)出境安全評估辦法》3、《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》評估對象：向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息，包括不限于：1、數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)2、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息

3、其他情形。App個人信息安全測評依據(jù)移動互聯(lián)網(wǎng)應(yīng)用個人信息安全監(jiān)管要求，對移動互聯(lián)網(wǎng)應(yīng)用開展App個人信息安全檢測服務(wù)，發(fā)現(xiàn)App存在的個人信息保護(hù)問題和安全風(fēng)險(xiǎn)，幫助網(wǎng)絡(luò)運(yùn)營者提升App個人信息安全水平。App違法違規(guī)收集使用個人信息認(rèn)定方法常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定工信部《關(guān)于開展APP侵害用戶權(quán)益專項(xiàng)整治工作的通知(工信部信管函〔2019〕337號)》工信部《關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動的通知(工信部信管函〔2020〕164號)》.....近來，App個人信息安全受到了社會大眾和政府監(jiān)管的廣泛關(guān)注，多項(xiàng)監(jiān)管行動相繼展開，App個人信息安全問題已經(jīng)制約著App的業(yè)務(wù)發(fā)展。認(rèn)證背景：為規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集、使用用戶信息特別是個人信息的行為，加強(qiáng)個人信息安全保護(hù)，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國認(rèn)證認(rèn)可條例》，市場監(jiān)管總局、中央網(wǎng)信辦決定開展App安全認(rèn)證工作。認(rèn)證依據(jù)：GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》App安全認(rèn)證場景識別與數(shù)據(jù)映射分析個人信息處理的規(guī)范性分析處理過程的安全措施有效性分析風(fēng)險(xiǎn)源識別個人權(quán)益影響分析個人信息保護(hù)風(fēng)險(xiǎn)綜合分析

個人信息保護(hù)影響評估，從組織機(jī)構(gòu)的角度出發(fā)，針對特定場景開展個人信息保護(hù)影響評估工作。個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；對個人權(quán)益的影響及安全風(fēng)險(xiǎn)；所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。處理敏感個人信息；利用個人信息進(jìn)行自動化決策；委托處理個人信息向其他個人信息處理者提供個人信息公開個人信息；向境外提供個人信息；其他對個人權(quán)益有重大影響的個人信息處理活動個人信息保護(hù)影響評估評估內(nèi)容評估情形個人信息跨境處理活動安全認(rèn)證認(rèn)證依據(jù)：1、GB/T39335-2020《信息安全技術(shù)個人信息安全影響評估指南》2、GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》3、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個人信息跨境處理活動安全認(rèn)證規(guī)范》認(rèn)證對象：1、涉?zhèn)€人信息跨境處理活動的跨國公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司2、《個人信息保護(hù)法》第三條第二款規(guī)定的境外個人信息處理者03數(shù)據(jù)安全評估和認(rèn)證應(yīng)用案例

中國電子技術(shù)標(biāo)準(zhǔn)化研究院（CESI）是工業(yè)和信息化部直屬事業(yè)單位，集標(biāo)準(zhǔn)研制、試驗(yàn)檢測、計(jì)量校準(zhǔn)、認(rèn)證評估、培訓(xùn)服務(wù)和產(chǎn)業(yè)研究為一體的基礎(chǔ)性、公益性、綜合性科研機(jī)構(gòu)。中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心是專職從事網(wǎng)絡(luò)安全技術(shù)、安全標(biāo)準(zhǔn)研制和測評業(yè)務(wù)開展的部門，建有2000多平米實(shí)驗(yàn)室場地，擁有在職科研人員100名（其中博士學(xué)歷16名），專職實(shí)驗(yàn)測評人員30余名，承擔(dān)全國信安標(biāo)委（TC260）、中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟和工信部商用密碼應(yīng)用產(chǎn)業(yè)促進(jìn)聯(lián)盟秘書處工作。網(wǎng)安中心從2016年開始從事數(shù)據(jù)安全和個人信息保護(hù)工作，成立專職數(shù)據(jù)安全部門主要負(fù)責(zé)數(shù)據(jù)安全、個人信息保護(hù)、人工智能安全方向的標(biāo)準(zhǔn)研制、技術(shù)科研、政策支撐、安全服務(wù)等。數(shù)據(jù)安全服務(wù)能力數(shù)據(jù)安全服務(wù)能力數(shù)據(jù)安全技術(shù)檢測工具建設(shè)新一代信息安全與隱私保護(hù)標(biāo)準(zhǔn)化技術(shù)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室，形成專業(yè)數(shù)據(jù)安全檢測能力通過專業(yè)技術(shù)工具，開展數(shù)據(jù)安全檢測，更全面地發(fā)掘數(shù)據(jù)安全風(fēng)險(xiǎn)，更精準(zhǔn)地定位數(shù)據(jù)安全短板擁有十余名獲得資質(zhì)的數(shù)據(jù)安全能力成熟度模型測評師等，具有豐富測評經(jīng)驗(yàn)。全程評估工作由中國電子技術(shù)標(biāo)準(zhǔn)化研究院專業(yè)、自有評估師完成，保證評估工作質(zhì)量。深入的數(shù)據(jù)安全技術(shù)檢測能力專業(yè)、自有評估隊(duì)伍權(quán)威標(biāo)準(zhǔn)解讀全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）秘書處單位多項(xiàng)標(biāo)準(zhǔn)牽頭編制單位之一多項(xiàng)標(biāo)準(zhǔn)核心編制成員多項(xiàng)標(biāo)準(zhǔn)研制、試點(diǎn)、應(yīng)用推廣工作全程工作牽頭數(shù)據(jù)安全能力成熟度自評估工具（發(fā)布）賦能企業(yè)，提升企業(yè)數(shù)據(jù)安全能力助力評估，提升DSMM評估效率已有用戶600+，助力完成1000+次評估全程CNAS檢驗(yàn)檢測實(shí)驗(yàn)室質(zhì)量保障詳細(xì)的評估報(bào)告公開可查的認(rèn)證證書符合CNAS檢測實(shí)驗(yàn)室要求的質(zhì)量控制，全過程文檔質(zhì)量保障公開發(fā)布數(shù)據(jù)安全能力成熟度自評估工具賦能企業(yè)，提升企業(yè)數(shù)據(jù)安全能力助力評估，提升DSMM評估效率已有用戶600+，助力完成1000+次評估應(yīng)用案例在阿里巴巴生態(tài)企業(yè)和國泰產(chǎn)險(xiǎn)、邦道科技、中和農(nóng)信、中交興路、小碼科技、公交云、米雅科技、鈞正網(wǎng)絡(luò)等螞蟻金服的TOP300生態(tài)企業(yè)中推廣，識別生態(tài)企業(yè)整體數(shù)據(jù)安全能力水位，并通過評估，有針對地提出建議，推動頭部生態(tài)企業(yè)的數(shù)據(jù)安全能力提升。在天津網(wǎng)信辦、貴陽大數(shù)據(jù)局、成都網(wǎng)信辦、武漢硚口區(qū)多地政府支持下在當(dāng)?shù)亻_展地方推廣應(yīng)用。電子標(biāo)準(zhǔn)院DSMM標(biāo)準(zhǔn)應(yīng)用案例獲“信安標(biāo)委20周年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)優(yōu)秀實(shí)踐案例”一等獎電子標(biāo)準(zhǔn)院DSMM標(biāo)準(zhǔn)研制和應(yīng)用相關(guān)成果獲“中國電子學(xué)會2020年科技進(jìn)步”二等獎地方政府推廣12生態(tài)企業(yè)推廣3標(biāo)準(zhǔn)應(yīng)用獲獎GB/T37988數(shù)據(jù)安全能力成熟度模型(DSMM)應(yīng)用實(shí)踐

已在20+行業(yè)，500+機(jī)構(gòu)推廣應(yīng)用，幫助企業(yè)提升數(shù)據(jù)安全能力頒發(fā)國內(nèi)首張DSMM四級認(rèn)證證書4助力企業(yè)提升應(yīng)用案例國家監(jiān)管層面：隱私條款專項(xiàng)評估App違法違規(guī)收