网络与信息安全服务行业信用管理体系建设指南

1T/-XXX网络与信息安全服务行业信用管理体系建设指南本文件规定了网络与信息安全服务行业信用管理体系建设的基本原则、组织环境、组织管理、建设内容、风险识别、检查与改进等内容。本文件适用于网络与信息安全服务行业信用管理体系的构建。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T31950-2023企业诚信管理体系要求3术语和定义下列术语和定义适用于本文件。3.1网络与信息安全服务为保障网络与信息系统安全而提供的各类服务，包括但不限于安全咨询、安全评估、安全运维、应急响应等。3.2信用管理体系通过制度、流程和技术手段，对企业在经营活动中遵守法律法规、履行合同义务、维护客户权益等方面进行系统化管理的体系。3.3公共数据国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位，在依法履行职责或者提供公共服务过程中收集、产生的数据。4基本原则4.1依法合规T/-XXX2网络与信息安全服务行业企业及其员工有责任确保其生产经营活动中的管理行为，符合法律法规、监管规定、行业准则和企业规章制度以及国际条约、规则等要求。4.2风险导向网络与信息安全服务行业企业应有效识别、评估和应对信用管理风险，减少违规事件的发生。4.3持续改进网络与信息安全服务行业企业应根据政策、技术、市场等内外部环境变化，持续对信用管理体系进行评估和优化。4.4数据安全网络与信息安全服务行业企业在信用管理过程中涉及的数据应严格遵循信息安全要求，确保数据采集、存储、传输和使用的安全性。5组织环境5.1内部环境网络与信息安全服务企业应分析内部环境及其变化对实现企业信用管理目标的实现，内部环境包括：——企业的信用合规方针、目标以及实现目标的策略；——企业的信用认知情况，包括愿景、价值观和目标以及建立企业独有的信用合规知识体系——企业的内部信用管理现状，包括信用教育培训、员工诚信行为和信用合规考核评价、投资人及管理团队的信用合规管理行为等；——企业的运行现状，包括治理结构、财务状况和履约能力等；——企业涉及网络与信息安全服务管理的内部规章制度；——企业网络与信息安全服务管理风险的内部相关方及其价值观以及信用管理现状；——其他影响网络与信息安全服务企业生产经营合规管理的内部环境因素。5.2外部环境网络与信息安全服务企业应分析外部环境及其变化对实现企业信用管理目标的实现，外部环境包括：——国际、国内与网络与信息安全服务相关的法律法规和技术规范的适用性；——客户的合理需求和期望；——数据管理部门的合理需求和期望；——国家主管部门信用监管措施的适用性，如信用公示、信用修复、联合惩戒等；——社会信用体系推进对主体的影响，包括信用信息的共享与披露、信用评价结果的应用等方面；——行业业务模式及特点；——影响到网络与信息安全服务企业生产经营管理目标的关键因素及其趋势，如法律法规、政策、监管要求、标准等的变化，环保组织的要求，新相关方的产生等；——其他影响网络与信息安全服务企业生产经营合规管理的外部环境因素。T/-XXX35.3信用风险评估5.3.1网络与信息安全服务企业应结合其开展的生产经营活动，提供的产品及服务以及相关方的期待，识别并评估自身面临的信用合规风险，在此基础上对风险进行分级，相应采取应对措施。5.3.2网络与信息安全服务企业应根据内外部环境的变化及其业务活动情况及时更新风险评估结果，确保有效管控各类信用合规风险。6组织管理6.1管理机构6.1.1网络与信息安全服务企业内部应设立信用管理机构，并予以相应的授权。6.1.2信用管理机构可依据信用管理制度，成立或指定相关部门负责信用审核、审批工作。6.1.3应明确界定信用合规管理机构与其他部门之间的职责边界与工作分工，并根据工作需要配置具备一定的信用管理专业知识和业务能力的专(兼)职人员，负责公司的信用管理工作。6.2管理职能6.2.1组织宣传、贯彻相关法律法规和信用管理制度,培训信用管理人员和业务人员。6.2.2制定、发布、修订、废除本组织信用政策、信用管理制度,组织实施信用管理工作的考核。6.2.3制定包括但不限于信用档案管理、信用评级管理、客户授信管理、供应商管理、诚信教育和培训等信用管理制度。6.2.4建立和完善组织信用风险管理体系,可包括但不限于部门构成、目标管理、制度管理、过程管理管理流程、信用评估、管理的差别化政策、管理的专业化队伍等内容的框架结构。6.2.5建立和完善信用档案管理,进行信用调查和动态化管理。6.2.6进行客户授信和供应商管理,包括信用审核、审批等,并定期对信用评级标准和体系、以及执行情况进行分析。6.2.7进行应收账款与商账追收管理,包括日常监督应收账款的账龄和是否超过预警量,对潜在的不良状况进行分析,并组织、督促和引导业务部门和业务人员做好应收账款与商账追收。6.2.8定期召集相关部门就信用管理过程中存在的问题、发生的冲突和与重大事项决策相关的事项进行调查和协调。6.3管理制度应建立健全信用管理制度，并根据法律法规变化和监管动态，及时将外部有关信用合规要求转化为内部规章制度。网络与信息安全服务企业信用管理制度一般包括但不限于以下内容：a)信用管理基本制度；b)信用管理岗位责任制度；c)信用档案管理制度；d)信用调查管理制度；e)授信管理制度；f)合同管理制度；g)知识产权管理制度；h)内外部失信行为责任追究制度；i)守信激励制度；j)社会责任履行制度；T/-XXX4k)信息公开制度；l)诚信系统运维管理制度；m)风险管控制度；n)公共关系管理制度；o)数据安全管理制度；p)商业秘密保护制度。6.4信用管理培训应形成制度化、常态化的培训机制，一般包括但不限于以下培训形式及内容：a)讲座分享；b)外部调查的模拟演练；c)信用合规案例分享；d)信用合规测试认证。6.5信用管理文化应树立信用管理理念和宣传信用管理文化，一般包括但不限于以下形式：a)最高层和管理层以身作则积极推行；b)制定发放信用合规手册；c)签订信用合规承诺书；d)召开日常信用合规会议；e)对信用不合规行为进行一致性处理。6.6应急准备与响应当企业已经发生失信行为或失信行为对单位信用产生重大影响时，应采取以下措施：a)确定信用合规应急响应小组及相关负责人负责响应与处置；b)保持与相关方的充分沟通与协商；c)挽回或尽量减少对相关方造成的影响或损失；d)及时在数据主管部门文件和网络与信息安全服务行业规范的要求内予以信息披露，并明示实施的纠正措施以及与相关方达成的协商结果。6.7文件化信息6.7.1应保留合规活动准确且实时的记录，以帮助评价信用管理目标的实现情况并评估合规绩6.7.2在信用管理体系建设过程中，应包括以下文件化信息:a)GB/T31950-2023、GB/T35770-2022要求的文件化信息；a)根据自身规模及活动、过程、产品、服务的类型等因素确定的，对于信用合规管理体系有效性所必需的文件化信息。6.7.3在创建和更新文件化信息时，应确保适当的标记和说明，明确标题、日期、文件编号等内容和格式，并确定各类文件化信息的保存形式和载体。6.7.4应对文件化信息适当控制，确定分发、访问、检索和使用的不同权限，防止泄密、不当使用或完整性受损。7建设内容T/-XXX7.1交易主体管理网络与信息安全服务企业应按GB/T31950-2023第9章的要求开展主体信用管理。7.2交易产品管理7.2.1数据来源管理7.2.1.1基本要求7.2.1.1.1数据应具有真实合法的来源。7.2.1.1.2数据为数据卖方自行生产的数据的，应在合法经营活动中产生，且能够证明数据具有独立来源，不存在侵犯第三方合法权益的情形，若无法证明的，应能够提交数据具有独立来源的书面承诺。7.2.1.1.3数据为从公开渠道获取的数据的，应能够证明获取方式与过程的合法性。7.2.1.1.4数据为从第三方采购或获得第三方授权运营的数据的，应能够证明采购或授权的合法性、真实性、完整性和有效性。7.2.1.1.5数据获取过程、手段不应存在违反法律法规等强制性规定或者危害国家安全、公共安全或侵犯第三方合法权益的情形，且不应含有以欺诈、诱骗、误导等方式或从非法、违规渠道获取的数据。7.2.1.2公共数据涉及对公共数据处理的，在满足基本要求的基础上，还满足以下要求：a)如公共数据为交易主体履行职责过程中自行制作、获取的，交易主体应取得内部的审批同意；b)如公共数据为交易主体经过授权运营、共享等方式获得的，交易主体应通过公共数据授权协议、其他形式取得有关主管部门的有效授权，或满足法律法规的相关要求；c)如公共数据为交易主体经过开放渠道获得的，交易主体应采用合法、正当的方式收集7.2.1.3个人数据涉及对个人信息进行处理的，在满足基本要求的基础上，还满足以下要求：a)交易主体处理个人信息行为应符合合法、正当、必要与诚信等原则的要求；b)交易主体处理个人信息前已取得个人信息主体授权同意或具有其他处理个人信息的合法性基础，处理不满十四周岁未成年人的个人信息，应取得其监护人的同意；c)交易主体已依照相关法律法规等规定的要求向个人信息主体公示个人信息处理规则，涉及不满十四周岁未成年人个人信息的，应制定专门的个人信息处理规则；d)符合法律法规等规定应进行个人信息保护影响评估情形的，交易主体应进行个人信息保护影响评估并留存评估报告至少三年；e)交易主体已按照法律法规等规定和本文件的要求，采取个人信息安全保护措施。7.2.1.4其他重要数据涉及对其他重要数据进行处理的，在满足基本要求的基础上，还满足以下要求：a)如重要数据为交易主体自行产生的，交易主体应取得内部的审批同意或有关主管部门的审批同意；T/-XXX6b)如重要数据是从第三方采购或获得第三方授权运营的数据的，交易主体应与数据提供方或授权方通过签署相关协议、承诺书等方式，确保数据来源合法并明确双方法律责任。7.2.2数据处理管理7.2.2.1基本要求7.2.2.1.1数据处理行为不存在违反法律法规等强制性规定，危害国家利益、社会公共利益或侵害第三方合法权益的情形；7.2.2.1.2数据提供方或授权方对数据处理做出限制的，交易标的涉及的数据处理不应超出提供方或授权方对授权期限、类型范围、处理方式、目的等的限制，并履行法律法规等规定的数据处理强制性义务，遵循数据处理的合规要求。7.2.2.2公共数据公共数据处理在满足通用要求的基础上，还满足以下要求：a)交易主体处理公共数据应遵守社会公序良俗，不违反社会公德；b)交易主体处理公共数据应遵循公共数据开发利用相关法律法规等规定、公共数据授权协议对公共数据处理的限制；c)交易主体为国家机关、关键信息基础设施运营者提供服务，或者参与其他公共基础设施、公共服务系统建设、运行、维护的，对公共数据的访问、获取、留存、使用、向他人提供或进行关联分析，应取得委托方同意。7.2.2.3个人数据个人信息处理在满足通用要求的基础上，还满足以下要求：a)交易主体涉及处理个人信息的，应遵循合法、正当、必要和诚信原则，并具有明确合理的目的，采取对个人权益影响最小的方式，不应通过误导、欺诈、胁迫等方式处理个人信息；b)交易主体涉及处理个人信息的，应公开个人信息处理规则，明示处理的目的、方式和范围，保障个人信息质量，并采取必要措施保障个人信息安全；c)交易主体处理个人信息应取得个人信息主体的同意或具有其他处理个人信息的合法性基础；d)交易主体保存个人信息期限应为实现处理目的所必要的最短时间，在个人信息处理完毕或丧失合法性基础、处理必要性时依法删除、销毁个人数据，但法律法规等另有规定的除外；e)交易主体委托处理个人信息的，应与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督；f)交易主体处理不满十四周岁未成年人个人信息的，应取得未成年人的父母或者其他监护人的同意，并制定专门的个人信息处理规则；g)数据涉及处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息或其他对个人权益有重大影响的个人信息处理活动的，交易主体应开展个人信息保护影响评估并履行相应的合规义务。7.2.2.4其他重要数据T/-XXX7重要数据处理在满足通用要求的基础上，还满足以下要求：a)交易标的涉及对重要数据进行加工处理的，在根据法律法规等规定的要求进行数据安全风险评估的过程中，应对重要数据加工处理或流转的情况进行评估，并在向主管部门报送的数据安全风险评估报告中予以体现；b)交易主体涉及处理工业和信息化领域重要数据的，应将本单位重要数据目录向本地区行业监管部门备案，备案内容发生重大变化的，应在发生变化的三个月内履行变更备案手续，备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况；c)交易主体涉及销毁工业和信息化领域重要数据的，不应以任何理由、任何方式对销毁数据进行恢复，引起备案内容发生变化的，应履行备案变更手续。7.2.3数据安全管理7.2.3.1基本要求7.2.3.1.1交易主体应根据交易所涉及的数据类型和重要程度采取不同级别的安全管理和技术措施，保障数据安全。7.2.3.1.2数据所在的存储区域与其他区域之间应采取可靠的技术隔离手段；7.2.3.1.3对访问数据进行身份标识和鉴别，身份鉴别信息具有复杂度要求并定期更换；7.2.3.1.4存储数据应使用适当的技术保护措施，保证交易标的在存储过程中的完整性、保密7.2.3.1.5涉及数据处理平台处理数据的，数据处理平台应按照等级保护的相关要求符合GB/T22239—2019对应的系统级别；7.2.3.1.6数据处理平台涉及算法模型的，应按照对应等级的保护要求部署管理措施和技术措施，如使用的算法模型根据法律法规等规定的要求需要进行备案的，应根据要求进行备案；7.2.3.1.7应定期对访问数据的账号进行识别、梳理及分类，防止非法账号、闲置账号、过期账号的存在；7.2.3.2公共数据涉及公共数据的交易标的，在满足通用要求的基础上，还应满足GB/T22239—2019中第二级要求关于数据完整性、数据保密性、数据备份恢复的内容。7.2.3.3个人数据涉及个人信息的交易标的，在满足通用要求的基础上，还满足以下要求：a)应把个人生物识别信息与个人身份识别信息分开存储，并有单独的访问控制措施；b)应对交易标的的访问进行身份验证，验证方式应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对双方进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现；c)除非取得个人信息主体同意，原则上宜采用去标识化等技术手段，对涉及的个人信息进行去标识化处理后再进行交易，且去标识化的效果宜满足GB/T42460—2023中第2级的要求；d)数据卖方应在涉及个人信息的数据交易前，对涉及个人信息的交易活动开展个人信息保护影响评估，并采取相应措施控制个人信息泄露风险，并且评估结果为无高危风险；e)数据卖方涉及个人信息的数据交易的，应按照个人信息保护审计相关法律法规等规定的要求定期对个人信息合规进行审计。T/-XXX87.2.3.4其他重要数据涉及其他重要数据的交易标的，在满足通用要求的基础上，还满足以下要求：a)如涉及脱敏后的重要数据交易，数据卖方应评价重要数据脱敏有效性，评估脱敏后的风险为无高危风险；b)涉及处理重要数据的，应满足国家相关法律法规等规定对重要数据处理的要求。7.3交易平台管理7.3.1应支持交易企业面向不同场景需求，采用联合计算、多方安全计算、数据元件、联邦计算、可信执行环境等多种技术路线，进行数据加工开发。7.3.2应构建数据安全与合规体系，建立数据安全管理机构、工作机制和制度规范。7.3.3应当建立数据来源可确认、使用范围可界定、交易过程可追溯、安全风险可防范的可信数据交易环境，制定平台准入、数据质量评估、交易管理、合规审查、信息披露、自律监管等规则，对场平台内交易进行管理。7.3.4数据交易平台应当对平台内交易进行合法性与合规性评估，并履行以下义务：a)要求数据提供方说明数据来源，并审核相关信息；b)审核数据交易双方身份和数据交易合同；c)留存相关审核、交易记录；监督数据交易、结算和交付；d)采取必要技术手段确保数据交易安全，保护个人信息、个人隐私、商业秘密、保密商务信息和重要数据。7.3.5应建立数据服务机制，提供包括但不限于以下服务：a)合规认证；b)安全审计；c)数据公证；d)数据知识产权登记；e)数据保险；f)数据托管；g)资产评估；h)争议仲裁；i)交易撮合；j)人才培训。7.4交易流通管理7.4.1交易对象管理7.4.1.1数据买方应提供所属行业、数据需求内容、数据用途等信息，以确保采购需求真实、合法、合理，与其所在行业、业务需求相符；7.4.1.2交易主体应在流通前取得相关主体对数据流通及数据使用的授权；7.4.1.3数据买方应按照交易申报的使用目的、场景和方式，并按照买卖双方约定和数据授权使用的目的、范围以及限制，合法合规地使用数据。7.4.2交易内容管理T/-XXX9数据应具有可交易性，不应具有以下情形：a)流通可能危害国家安全、公共利益；b)流通可能侵犯第三方的合法权益；c)数据流通时含有未依法获得授权的个人信息或有不借助其他数据的情况下可以识别特定自然人的数据；d)数据流通时含有未依法公开、开放的公共数据；e)法律法规等规定禁止交易的其他情形。7.4.3交易程序管理7.4.3.1数据交易涉及许可、备案等行政手续的，交易主体应向有关部门申请许可、履行备案或办理其他行政手续。7.4.3.2数据交易涉及数据出境的，交易主体应根据适用的法律法规等规定履行数据出境相关义务。7.4.4交易安全管理7.4.4.1基本要求7.4.4.1.1交易主体应根据数据类型和重要程度采取不同级别的安全管理措施和安全技术措施。7.4.4.1.2交易主体应开展数据交易安全风险评估，评估内容包含在数据交易过程中数据被篡改、破坏、泄露、丢失或者被非法获取、非法利用的风险，以及对国家安全、公共利益带来的风险，评估结果应为无高危风险；7.4.4.1.3交易流通影响或者可能影响国家安全的，应当按照国家有关规定进行国家安全审查；7.4.4.1.4应在数据交易流通前对交易主体进行身份验证，保证交易主体身份真实性；7.4.4.1.5交易主体应采用安全的数据传输通道，采取加密、签名、防重放等措施，确保数据在传输过程中的保密性、完整性、不可否认性；7.4.4.1.6交易数据交付完成后，数据卖方应立即关闭数据访问渠道；7.4.4.1.7在数据交易结束后，交易主体应保存交易商品和服务信息、交易信息等，包括但不限于交易唯一标识、交易标的信息、交易时间、数据卖方、数据买方、交易结果等相关信息不少于三年，并确保信息的完整性、保密性、可用性。法律、行政法规另有规定的，依照其规定；7.4.4.1.8交易主体应能配合监管部门调查访问交易日志、重要数据交易服务合约等相关过程文档资料，支持监管部门开展数据交易服务的安全审计工作；7.4.4.1.9交易主体应对交付数据内容进行监测和核验，如发现异常情况，及时中断数据交易行为，并按照相关应急预案及时处理。发现违法违规事件，应及时上报相关主管部门、监督管理部门，并保留好相关日志证据。7.4.5公共数据涉及公共数据流通的，在满足通用要求的基础上，交易主体还应在交易流通前进行身份验证，验证方式应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对双方进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。7.4.6个人数据涉及个人信息流通的，在满足通用要求的基础上，还满足以下要求：T/-XXXa)交易主体应在数据交易前，对涉及个人信息的交易活动开展个人信息保护影响评估，并采取相应措施控制个人信息泄露风险，并且评估结果为无高危风险；b)交易主体应在交易流通前进行身份验证，验证方式应采用口令、密码技术、生物技术等两种两种以上组合的鉴别技术对双方进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现；c)交易主体应保存个人信息交易活动情况记录至少三年。7.4.7其他重要数据涉及其他重要数据流通的，在满足通用要求的基础上，还满足以下要求：a)交易主体应对风险评估结果进行审核，确保数据可交易，并将评估结果和审批记录留存三年以上；b)交易主体应在交易流通前进行身份验证，验证方式应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对双方进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现；c)交易主体应对数据交易的全过程进行审计，并采用标记、数字水印、区块链等技术，确保数据交付过程所记录信息具有不可篡改性，并对相关方数据交易过程的审计进程进行保护、防止未授权的中断，具备对数据交易过程可追溯的能力；d)交易主体应在数据传输链路上部署交易数据监控工具，发现异常情况应能及时告警；e)交易主体应保存重要数据交易活动情况记录至少三年。8