数据安全评估认证概览-胡影

数据安全评估认证概览OverviewofDataSecurityCertificationandAssessment胡影HuYing中国电子技术标准化研究院ChinaElectronicsStandardizationInstituteCONTENTS目录01.02.数据安全评估和认证相关背景数据安全评估和认证工作现状2022WESTLAKECYBERSECURITYCONFERENCE03.数据安全评估和认证应用实践01数据安全评估和认证相关背景政策法规背景数据安全评估、认证是国家和行业数据安全管理工作的重要制度之一第十四个五年规划和2035年远景目标纲要个人信息保护法第十八条国家促进数据安全检测评估、认证等服务的发展数据安全法第六十二条支持有关机构开展个人信息保护评估、认证服务加强数据安全评估，推动数据跨境安全有序流动。网络数据安全管理条例（征求意见稿）提出年度数据安全评估制度，处理重要数据、赴境外上市的数据处理者、处理超过100万人以上个人信息处理者行业数据安全检测、认证工作，行业数据安全评估机构管理制度，风险评估、合规评估、能力评估、出境评估工业和信息化领域数据安全管理办法（试行）（征求意见稿）数据安全评估相关要求法律规定数据安全风险评估、数据出境安全评估、个人信息保护影响评估、应用程序个人信息保护测评等评估类型。《数据安全法》明确提出要建立数据安全风险评估机制，要求重要数据处理者定期对其数据处理活动开展风险评估，并向有关主管部门报送风险评估报告。《个人信息保护法》要求开展个人信息保护影响评估、应用程序个人信息保护测评、个人信息处理合规审计。《网络安全法》《数据安全法》《个人信息保护法》规定了个人信息和重要数据出境安全评估制度。数据安全认证相关要求《个人信息保护法》

：个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准；（四）法律、行政法规或者国家网信部门规定的其他条件。《数据安全管理办法（征求意见稿）》第三十四条

国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。国家网信部门会同国务院市场监督管理部门，指导国家网络安全审查与认证机构，组织数据安全管理认证和应用程序安全认证工作。02数据安全评估和认证工作现状数据安全评估认证常见类型数据安全能力评估数据安全风险评估数据出境安全评估App个人信息安全测评个人信息保护影响评估数据安全合规性评估App安全认证数据安全管理认证...........数据安全能力成熟度评估和认证

依据标准：GB/T37988—2019《信息安全技术数据安全能力成熟度模型》

标准定位：以数据为中心、成熟度为抓手，提出围绕组织机构的数据安全能力要求数据安全能力评估认证数据安全能力成熟度模型以能力成熟度为抓手覆盖全流程数据处理活动以组织机构业务为单位数据采集5级:持续改进4级:量化控制3级:妥善定义2级:计划跟踪

1级:非正式执行能力维度Level2:数据生命周期通用安全组织建设制度流程技术工具人员能力数据传输Level2:数据存储Level2:数据处理数据交换Level2:数据销毁成熟度等级数据生命周期4维度30安全域数据安全过程域（PA）19个数据生命周期安全过程域，11个通用安全过程域两部分

5级别组织建设制度流程技术工具人员能力1级

非正式执行级2级

计划跟踪级3级

充分定义级4级

量化控制级5级

持续优化级6阶段数据采集数据传输数据存储数据处理数据交换数据销毁576实践每个数据安全过程域（PA）由多个数据安全基本实践（BP）组成，共计576个BP实践DSMM的特征

数据安全能力成熟度评估认证数据收集数据存储数据使用数据加工数据传输数据提供数据公开数据删除网络安全等级保护制度全流程数据安全治理管理制度技术措施人员能力组织机构DSMM对《数据安全法》的支撑

《数据安全法》第二十七条：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。数据安全能力成熟度评估认证数据安全能力成熟度评估认证DSMM评估认证的价值和意义评估自身数据安全能力水位线帮助挖掘和发现数据安全能力的短板，提升数据安全能力建立覆盖全流程数据处理活动的数据安全治理体系建立基于数据安全能力的数据要素流通信任体系数据安全风险评估评估目标：数据安全风险评估，主要针对数据处理者的数据和数据处理活动进行安全风险评估，旨在了解处理的数据和开展的数据处理活动情况，发现存在的数据安全风险和违法违规问题，为进一步健全数据安全管理制度和技术措施，防范数据安全风险奠定基础。评估依据：《信息安全技术数据安全风险评估方法》、GB/T20984《信息安全技术信息安全风险评估规范》等。评估情形：重要数据处理者、核心数据处理者、关键信息基础设施运营者、处理一百万人以上的个人信息处理者、赴境外上市的数据处理者、大型互联网平台运营者等，每年开展一次网络数据安全评估。评估准备数据和数据处理活动识别数据安全风险识别数据安全风险分析与评价评估总结数据安全管理认证市场监管总局、网信办联合发文《关于开展数据安全管理认证工作的公告》《数据安全管理认证实施规则》认证依据：GB/T41479—2022《信息安全技术网络数据处理安全要求》认证对象：对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动认证模式：技术验证+现场审核+获证后监督

材料准备认证申请技术验证现场审核获证后监督认证阶段数据安全管理认证技术验证申请认证后，按认证机构要求，开展技术验证根据技术验证结果，编制技术验证报告前期摸底认证机构开展现场审核整改完善获证后，按认证实施规则，开展监督工作。数据出境安全评估评估依据：1、《网络安全法》《数据安全法》《个人信息保护法》2、《网络数据安全管理条例》《数据出境安全评估办法》3、《个人信息出境标准合同规定（征求意见稿）》《关键信息基础设施安全保护条例》评估对象：向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息，包括不限于：1、数据处理者向境外提供重要数据2、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息

3、其他情形。App个人信息安全测评依据移动互联网应用个人信息安全监管要求，对移动互联网应用开展App个人信息安全检测服务，发现App存在的个人信息保护问题和安全风险，帮助网络运营者提升App个人信息安全水平。App违法违规收集使用个人信息认定方法常见类型移动互联网应用程序必要个人信息范围规定工信部《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》工信部《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》.....近来，App个人信息安全受到了社会大众和政府监管的广泛关注，多项监管行动相继展开，App个人信息安全问题已经制约着App的业务发展。认证背景：为规范移动互联网应用程序（App）收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护，根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》，市场监管总局、中央网信办决定开展App安全认证工作。认证依据：GB/T35273-2020《信息安全技术个人信息安全规范》App安全认证场景识别与数据映射分析个人信息处理的规范性分析处理过程的安全措施有效性分析风险源识别个人权益影响分析个人信息保护风险综合分析

个人信息保护影响评估，从组织机构的角度出发，针对特定场景开展个人信息保护影响评估工作。个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。处理敏感个人信息；利用个人信息进行自动化决策；委托处理个人信息向其他个人信息处理者提供个人信息公开个人信息；向境外提供个人信息；其他对个人权益有重大影响的个人信息处理活动个人信息保护影响评估评估内容评估情形个人信息跨境处理活动安全认证认证依据：1、GB/T39335-2020《信息安全技术个人信息安全影响评估指南》2、GB/T35273-2020《信息安全技术个人信息安全规范》3、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》认证对象：1、涉个人信息跨境处理活动的跨国公司或者同一经济、事业实体下属子公司或关联公司2、《个人信息保护法》第三条第二款规定的境外个人信息处理者03数据安全评估和认证应用案例

中国电子技术标准化研究院（CESI）是工业和信息化部直属事业单位，集标准研制、试验检测、计量校准、认证评估、培训服务和产业研究为一体的基础性、公益性、综合性科研机构。中国电子技术标准化研究院网络安全研究中心是专职从事网络安全技术、安全标准研制和测评业务开展的部门，建有2000多平米实验室场地，拥有在职科研人员100名（其中博士学历16名），专职实验测评人员30余名，承担全国信安标委（TC260）、中国网络安全产业联盟和工信部商用密码应用产业促进联盟秘书处工作。网安中心从2016年开始从事数据安全和个人信息保护工作，成立专职数据安全部门主要负责数据安全、个人信息保护、人工智能安全方向的标准研制、技术科研、政策支撑、安全服务等。数据安全服务能力数据安全服务能力数据安全技术检测工具建设新一代信息安全与隐私保护标准化技术工业和信息化部重点实验室，形成专业数据安全检测能力通过专业技术工具，开展数据安全检测，更全面地发掘数据安全风险，更精准地定位数据安全短板拥有十余名获得资质的数据安全能力成熟度模型测评师等，具有丰富测评经验。全程评估工作由中国电子技术标准化研究院专业、自有评估师完成，保证评估工作质量。深入的数据安全技术检测能力专业、自有评估队伍权威标准解读全国信息安全标准化技术委员会（TC260）秘书处单位多项标准牵头编制单位之一多项标准核心编制成员多项标准研制、试点、应用推广工作全程工作牵头数据安全能力成熟度自评估工具（发布）赋能企业，提升企业数据安全能力助力评估，提升DSMM评估效率已有用户600+，助力完成1000+次评估全程CNAS检验检测实验室质量保障详细的评估报告公开可查的认证证书符合CNAS检测实验室要求的质量控制，全过程文档质量保障公开发布数据安全能力成熟度自评估工具赋能企业，提升企业数据安全能力助力评估，提升DSMM评估效率已有用户600+，助力完成1000+次评估应用案例在阿里巴巴生态企业和国泰产险、邦道科技、中和农信、中交兴路、小码科技、公交云、米雅科技、钧正网络等蚂蚁金服的TOP300生态企业中推广，识别生态企业整体数据安全能力水位，并通过评估，有针对地提出建议，推动头部生态企业的数据安全能力提升。在天津网信办、贵阳大数据局、成都网信办、武汉硚口区多地政府支持下在当地开展地方推广应用。电子标准院DSMM标准应用案例获“信安标委20周年网络安全国家标准优秀实践案例”一等奖电子标准院DSMM标准研制和应用相关成果获“中国电子学会2020年科技进步”二等奖地方政府推广12生态企业推广3标准应用获奖GB/T37988数据安全能力成熟度模型(DSMM)应用实践

已在20+行业，500+机构推广应用，帮助企业提升数据安全能力颁发国内首张DSMM四级认证证书4助力企业提升应用案例国家监管层面：隐私条款专项评估App违法违规收