两部门：开展数据安全管理认证工作 规范网络数据处理活动

　　来源：网信中国

国家市场监督管理总局

　　国家互联网信息办公室

　　公 告

　　2022年第18号

　　关于开展数据安全管理认证工作的公告

　　根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定，国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立，并按照《数据安全管理认证实施规则》（见附件）实施认证。

　　特此公告。

　　国家市场监督管理总局 国家互联网信息办公室

　　2022年6月5日

　　附

　　数据安全管理认证实施规则

　　1 适用范围

　　本规则依据《中华人民共和国认证认可条例》制定，规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

　　2 认证依据

　　GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范。

　　上述标准原则上应当执行国家标准化行政主管部门发布的最新版本。

　　3 认证模式

　　数据安全管理认证的认证模式为：

　　技术验证+现场审核+获证后监督

　　4 认证实施程序

　　4.1 认证委托

　　认证机构应当明确认证委托资料要求，包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。

　　认证委托人应当按认证机构要求提交认证委托资料，认证机构在对认证委托资料审查后及时反馈是否受理。

　　认证机构应当根据认证委托资料确定认证方案，包括数据类型和数量、涉及的数据处理活动范围、技术验证机构信息等，并通知认证委托人。

　　4.2 技术验证

　　技术验证机构应当按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告。

　　4.3 现场审核

　　认证机构实施现场审核，并向认证委托人出具现场审核报告。

　　4.4 认证结果评价和批准

　　认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价，作出认证决定。对符合认证要求的，颁发认证证书；对暂不符合认证要求的，可要求认证委托人限期整改，整改后仍不符合的，以书面形式通知认证委托人终止认证。

　　如发现认证委托人、网络运营者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时，认证不予通过。