數據安全評估認證概覽OverviewofDataSecurityCertificationandAssessment胡影HuYing中國電子技術標準化研究院ChinaElectronicsStandardizationInstituteCONTENTS目錄01.02.數據安全評估和認證相關背景數據安全評估和認證工作現狀2022WESTLAKECYBERSECURITYCONFERENCE03.數據安全評估和認證應用實踐01數據安全評估和認證相關背景政策法規背景數據安全評估、認證是國家和行業數據安全管理工作的重要制度之一第十四個五年規劃和2035年遠景目標綱要個人信息保護法第十八條國家促進數據安全檢測評估、認證等服務的發展數據安全法第六十二條支持有關機構開展個人信息保護評估、認證服務加強數據安全評估，推動數據跨境安全有序流動。網絡數據安全管理條例（征求意見稿）提出年度數據安全評估制度，處理重要數據、赴境外上市的數據處理者、處理超過100萬人以上個人信息處理者行業數據安全檢測、認證工作，行業數據安全評估機構管理制度，風險評估、合規評估、能力評估、出境評估工業和信息化領域數據安全管理辦法（試行）（征求意見稿）數據安全評估相關要求法律規定數據安全風險評估、數據出境安全評估、個人信息保護影響評估、應用程序個人信息保護測評等評估類型。《數據安全法》明確提出要建立數據安全風險評估機制，要求重要數據處理者定期對其數據處理活動開展風險評估，并向有關主管部門報送風險評估報告。《個人信息保護法》要求開展個人信息保護影響評估、應用程序個人信息保護測評、個人信息處理合規審計。《網絡安全法》《數據安全法》《個人信息保護法》規定了個人信息和重要數據出境安全評估制度。數據安全認證相關要求《個人信息保護法》

：個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當至少具備下列一項條件：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準；（四）法律、行政法規或者國家網信部門規定的其他條件。《數據安全管理辦法（征求意見稿）》第三十四條

國家鼓勵網絡運營者自愿通過數據安全管理認證和應用程序安全認證，鼓勵搜索引擎、應用商店等明確標識并優先推薦通過認證的應用程序。國家網信部門會同國務院市場監督管理部門，指導國家網絡安全審查與認證機構，組織數據安全管理認證和應用程序安全認證工作。02數據安全評估和認證工作現狀數據安全評估認證常見類型數據安全能力評估數據安全風險評估數據出境安全評估App個人信息安全測評個人信息保護影響評估數據安全合規性評估App安全認證數據安全管理認證...........數據安全能力成熟度評估和認證

依據標準：GB/T37988—2019《信息安全技術數據安全能力成熟度模型》

標準定位：以數據為中心、成熟度為抓手，提出圍繞組織機構的數據安全能力要求數據安全能力評估認證數據安全能力成熟度模型以能力成熟度為抓手覆蓋全流程數據處理活動以組織機構業務為單位數據采集5級:持續改進4級:量化控制3級:妥善定義2級:計劃跟蹤

1級:非正式執行能力維度Level2:數據生命周期通用安全組織建設制度流程技術工具人員能力數據傳輸Level2:數據存儲Level2:數據處理數據交換Level2:數據銷毀成熟度等級數據生命周期4維度30安全域數據安全過程域（PA）19個數據生命周期安全過程域，11個通用安全過程域兩部分

5級別組織建設制度流程技術工具人員能力1級

非正式執行級2級

計劃跟蹤級3級

充分定義級4級

量化控制級5級

持續優化級6階段數據采集數據傳輸數據存儲數據處理數據交換數據銷毀576實踐每個數據安全過程域（PA）由多個數據安全基本實踐（BP）組成，共計576個BP實踐DSMM的特征

數據安全能力成熟度評估認證數據收集數據存儲數據使用數據加工數據傳輸數據提供數據公開數據刪除網絡安全等級保護制度全流程數據安全治理管理制度技術措施人員能力組織機構DSMM對《數據安全法》的支撐

《數據安全法》第二十七條：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。數據安全能力成熟度評估認證數據安全能力成熟度評估認證DSMM評估認證的價值和意義評估自身數據安全能力水位線幫助挖掘和發現數據安全能力的短板，提升數據安全能力建立覆蓋全流程數據處理活動的數據安全治理體系建立基于數據安全能力的數據要素流通信任體系數據安全風險評估評估目標：數據安全風險評估，主要針對數據處理者的數據和數據處理活動進行安全風險評估，旨在了解處理的數據和開展的數據處理活動情況，發現存在的數據安全風險和違法違規問題，為進一步健全數據安全管理制度和技術措施，防范數據安全風險奠定基礎。評估依據：《信息安全技術數據安全風險評估方法》、GB/T20984《信息安全技術信息安全風險評估規范》等。評估情形：重要數據處理者、核心數據處理者、關鍵信息基礎設施運營者、處理一百萬人以上的個人信息處理者、赴境外上市的數據處理者、大型互聯網平臺運營者等，每年開展一次網絡數據安全評估。評估準備數據和數據處理活動識別數據安全風險識別數據安全風險分析與評價評估總結數據安全管理認證市場監管總局、網信辦聯合發文《關于開展數據安全管理認證工作的公告》《數據安全管理認證實施規則》認證依據：GB/T41479—2022《信息安全技術網絡數據處理安全要求》認證對象：對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動認證模式：技術驗證+現場審核+獲證后監督

材料準備認證申請技術驗證現場審核獲證后監督認證階段數據安全管理認證技術驗證申請認證后，按認證機構要求，開展技術驗證根據技術驗證結果，編制技術驗證報告前期摸底認證機構開展現場審核整改完善獲證后，按認證實施規則，開展監督工作。數據出境安全評估評估依據：1、《網絡安全法》《數據安全法》《個人信息保護法》2、《網絡數據安全管理條例》《數據出境安全評估辦法》3、《個人信息出境標準合同規定（征求意見稿）》《關鍵信息基礎設施安全保護條例》評估對象：向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息，包括不限于：1、數據處理者向境外提供重要數據2、關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息

3、其他情形。App個人信息安全測評依據移動互聯網應用個人信息安全監管要求，對移動互聯網應用開展App個人信息安全檢測服務，發現App存在的個人信息保護問題和安全風險，幫助網絡運營者提升App個人信息安全水平。App違法違規收集使用個人信息認定方法常見類型移動互聯網應用程序必要個人信息范圍規定工信部《關于開展APP侵害用戶權益專項整治工作的通知(工信部信管函〔2019〕337號)》工信部《關于開展縱深推進APP侵害用戶權益專項整治行動的通知(工信部信管函〔2020〕164號)》.....近來，App個人信息安全受到了社會大眾和政府監管的廣泛關注，多項監管行動相繼展開，App個人信息安全問題已經制約著App的業務發展。認證背景：為規范移動互聯網應用程序（App）收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護，根據《中華人民共和國網絡安全法》《中華人民共和國認證認可條例》，市場監管總局、中央網信辦決定開展App安全認證工作。認證依據：GB/T35273-2020《信息安全技術個人信息安全規范》App安全認證場景識別與數據映射分析個人信息處理的規范性分析處理過程的安全措施有效性分析風險源識別個人權益影響分析個人信息保護風險綜合分析

個人信息保護影響評估，從組織機構的角度出發，針對特定場景開展個人信息保護影響評估工作。個人信息的處理目的、處理方式等是否合法、正當、必要；對個人權益的影響及安全風險；所采取的保護措施是否合法、有效并與風險程度相適應。處理敏感個人信息；利用個人信息進行自動化決策；委托處理個人信息向其他個人信息處理者提供個人信息公開個人信息；向境外提供個人信息；其他對個人權益有重大影響的個人信息處理活動個人信息保護影響評估評估內容評估情形個人信息跨境處理活動安全認證認證依據：1、GB/T39335-2020《信息安全技術個人信息安全影響評估指南》2、GB/T35273-2020《信息安全技術個人信息安全規范》3、《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》認證對象：1、涉個人信息跨境處理活動的跨國公司或者同一經濟、事業實體下屬子公司或關聯公司2、《個人信息保護法》第三條第二款規定的境外個人信息處理者03數據安全評估和認證應用案例

中國電子技術標準化研究院（CESI）是工業和信息化部直屬事業單位，集標準研制、試驗檢測、計量校準、認證評估、培訓服務和產業研究為一體的基礎性、公益性、綜合性科研機構。中國電子技術標準化研究院網絡安全研究中心是專職從事網絡安全技術、安全標準研制和測評業務開展的部門，建有2000多平米實驗室場地，擁有在職科研人員100名（其中博士學歷16名），專職實驗測評人員30余名，承擔全國信安標委（TC260）、中國網絡安全產業聯盟和工信部商用密碼應用產業促進聯盟秘書處工作。網安中心從2016年開始從事數據安全和個人信息保護工作，成立專職數據安全部門主要負責數據安全、個人信息保護、人工智能安全方向的標準研制、技術科研、政策支撐、安全服務等。數據安全服務能力數據安全服務能力數據安全技術檢測工具建設新一代信息安全與隱私保護標準化技術工業和信息化部重點實驗室，形成專業數據安全檢測能力通過專業技術工具，開展數據安全檢測，更全面地發掘數據安全風險，更精準地定位數據安全短板擁有十余名獲得資質的數據安全能力成熟度模型測評師等，具有豐富測評經驗。全程評估工作由中國電子技術標準化研究院專業、自有評估師完成，保證評估工作質量。深入的數據安全技術檢測能力專業、自有評估隊伍權威標準解讀全國信息安全標準化技術委員會（TC260）秘書處單位多項標準牽頭編制單位之一多項標準核心編制成員多項標準研制、試點、應用推廣工作全程工作牽頭數據安全能力成熟度自評估工具（發布）賦能企業，提升企業數據安全能力助力評估，提升DSMM評估效率已有用戶600+，助力完成1000+次評估全程CNAS檢驗檢測實驗室質量保障詳細的評估報告公開可查的認證證書符合CNAS檢測實驗室要求的質量控制，全過程文檔質量保障公開發布數據安全能力成熟度自評估工具賦能企業，提升企業數據安全能力助力評估，提升DSMM評估效率已有用戶600+，助力完成1000+次評估應用案例在阿里巴巴生態企業和國泰產險、邦道科技、中和農信、中交興路、小碼科技、公交云、米雅科技、鈞正網絡等螞蟻金服的TOP300生態企業中推廣，識別生態企業整體數據安全能力水位，并通過評估，有針對地提出建議，推動頭部生態企業的數據安全能力提升。在天津網信辦、貴陽大數據局、成都網信辦、武漢硚口區多地政府支持下在當地開展地方推廣應用。電子標準院DSMM標準應用案例獲“信安標委20周年網絡安全國家標準優秀實踐案例”一等獎電子標準院DSMM標準研制和應用相關成果獲“中國電子學會2020年科技進步”二等獎地方政府推廣12生態企業推廣3標準應用獲獎GB/T37988數據安全能力成熟度模型(DSMM)應用實踐

已在20+行業，500+機構推廣應用，幫助企業提升數據安全能力頒發國內首張DSMM四級認證證書4助力企業提升應用案例國家監管層面：隱私條款專項評估App違法違規收