自《中華人民共和國計算機信息系統安全保護條例》發布,我國開始實施信息系統等級保護,在金融、能源、電信、衛生等多個行業都已深耕落地,是為等級保護1.0。而隨著云計算、大數據、物聯網、移動互聯以及人工智能等新技術的發展,帶來了新的信息安全風險和技術挑戰,為了有效防范和管理各種信息技術風險,提升國家層面的安全水平,等級保護2.0應時而生。我國網絡安全進入了新的發展階段,很多行業主管單位要求相關企業組織開展等級保護工作,合理規避風險。
在數字經濟高速發展的當下,《數據安全法》的頒布實施為有效防范和管理各種信息安全技術風險,提升國家層面的數據安全水平,全面保障數據流動中數據安全提供了基礎保障。數據安全進入快速發展期,無論是從國家、行業監管角度,還是企業發展角度,合理地規避風險,標準化的完成數據安全建設至關重要。
今年6月,國家市場監督管理總局和國家互聯網信息辦公室聯合發布了“關于開展數據安全管理認證工作的公告”(文號為2022年第18號,以下簡稱18號文),表明國家主管部門對數據安全管理體系正式提出了認證要求,文件中明確從事數據安全管理認證活動的認證機構應當依法設立,并按照《數據安全管理認證實施規則》。
0118號文出臺意義
? 促進數據安全建設規范化
通過這次認證活動,會督促廣大企業在相關標準規范之下,開展網絡數據處理活動的合規建設,加強數據安全的防護力度。
? 加快數據安全建設步伐
認證推出勢必會增強企業或組織對數據安全落地的積極性,對于對暫不符合認證要求的,機構可要求認證委托人限期整改,促使認證對象加快數據安全標準建設內容。在認證有效期內,要求企業須持續接受機構監督,確保數據安全工作持續落到實處。
? 保障數據經濟發展
兩家國家權威機構來開展數據安全管理認證工作,體現了國家對數據安全的高度重視,為數據安全建設代言,保障數據經濟健康發展。
02《數據據安全管理實施認證規則》解讀
□ 認證依據
數據安全管理認證是按照《數據安全管理認證實施規則》來實施,此規則的制定依據是《中華人民共和國認證認可條例》。而認證認可條例所稱的“認證”是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。認證參照GB/T 41479《信息安全技術 網絡數據處理安全要求》及相關標準規范執行。
□ 認證對象
針對網絡運營者的數據安全管理體系開展的認證活動,以驗證網絡運營者是否建立了有效的數據安全管理體系來進行網絡數據的收集、存儲、使用、加工、傳輸、提供、公開等處理活動。
□ 認證模式
認證模式是技術驗證+現場審核+獲證后監督,提出對認證時限和認證證書和認證標志的相關要求;認證過程是認證委托+技術驗證+現場審核+認證結果評價和批準+獲證后監督。即認證通過發放認證標志,可以按照有關規定在廣告等宣傳中使用,可以增加外界公眾對網絡運營者的信任度,助力數據處理相關業務的順利開展。
□ 證書期限
認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價,作出認證決定。對符合認證要求的,頒發認證證書,認證證書有效期為3年。不同于網絡安全等級保護認證,不需要按照等級劃分。
□ 證書責任
認證機構應依據實施規則的要求細化認證實施程序,制定科學、合理、可操作的認證實施細則并對外公布實施,認證實施時其責任是對現場審核結論、認證結論負責;技術驗證機構應當按照認證方案實施技術驗證,并向認證機構和認證委托人出具技術驗證報告,認證實施時其責任是對技術驗證結論負責;認證委托人應當按認證機構要求提交認證委托資料,并配合認證機構和技術驗證機構的現場審核與驗證工作,其責任是對認證委托資料的真實性、合法性負責。
03明朝萬達積極參與機構測評工作
為滿足監管合規的要求,以及通過體系認證過程有效保護組織自身的數據安全,在18號文發布后,相關企業進一步加強了自身數據安全管理體系建設。作為我國新一代信息安全技術企業的代表廠商,明朝萬達積極參與機構測評工作,數據分類分級能力通過了中國信息通信研究院數據安全能力測評。
該證書是中國信通院數據安全產品檢驗最高級別的認證。《數據安全法》明確規定應建立數據分類分級保護制度,對數據實行分類分級保護。此次明朝萬達數據分類分級能力通過權威測評,充分體現明朝萬達數據安全產品內核技術的先進性與創新性,功能完備成熟,符合并遵循數據安全標準規范,在滿足用戶數據安全建設的同時為實際業務需求提供可靠保障。
