■ 6月9日,官网公布了国家市场监督管理总局、国家互联网信息办公室联合印发的《关于开展数据安全管理认证工作的公告》。发文日期为6月5日,文号为2022年第18号。数据安全,认证,这都是大事,也都是热点。两者结合在一起,更增加了关注度。为此,小贝说安全采用问答形式,对文件作了自己的解读,仅供各方参考。

一、怎么理解认证?

“认证”是一个严肃的话题。我们常见到一些机构声称开展认证、颁发证书,但很多都是违法的,不能写个报告盖个章就叫“认证”。认证来自于社会化大生产时代的商品流通需求。买方对于卖方的产品或服务天然不信任,最初由卖方自己证明,这称为一方认证,但如此便有“王婆卖瓜自卖自夸”之嫌;此后发展成了由买方对卖方的产品或服务进行证明,这称为二方认证,此时买方肯定是放心了,但如果每个买方都这么干,显然会带来极高的社会成本,而且买方也未必具有相应的技术和能力;于是三方认证应用而生,即由买方和卖方都认可的第三方机构对产品和服务给出证明,这就是现代认证制度的由来。现如今人们所说的“认证”,都是指第三方认证。

二、我国对认证的监管制度是什么?

显然,既然认证机构要对产品和服务作背书,颁发的证书要供商品流通过程采信,其自身必须很靠谱,故认证活动必须要处于严格监管之下。为此,我国制定了《中华人民共和国认证认可条例》。2003年9月3日中华人民共和国国务院令第390号公布;根据2016年2月6日《国务院关于修改部分行政法规的决定》第一次修订;根据2020年11月29日《国务院关于修改和废止部分行政法规的决定》第二次修订。目前,该条例又在继续修订。2021年11月,国家市场监管总局在官网公布了条例修订草案的征求意见稿。

《中华人民共和国认证认可条例》规定,取得认证机构资质,应当经国务院认证认可监督管理部门批准,并在批准范围内从事认证活动。未经批准,任何单位和个人不得从事认证活动。这里的“国务院认证认可监督管理部门”是指国家认证认可监督管理委员会(国家认监委)。本轮机构改革前,国家认监委是国家质检总局之下的副部级事业单位。机构改革后,国家认监委的牌子还在,但是职能由国家市场监管总局内设的相关司局承担。

这也是为什么《关于开展数据安全管理认证工作的公告》是由国家市场监管总局和国家互联网信息办公室联合印发,且使用的是国家市场监管总局文号的原因。

三、认证对象是什么?

根据《中华人民共和国认证认可条例》,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一定义说明,认证的对象分为三种:产品、服务、管理体系。但并不是获得认证机构资格后,就可以对任何对象颁发证书了,其只能在国家认监委批准的范围内从事认证。即,批准你只对木材产品进行认证,便不得对软件产品进行认证。

《中华人民共和国认证认可条例》还要求,从事产品认证活动的认证机构,还应当具备与从事相关产品认证活动相适应的检测、检查等技术能力。那么认证机构的能力由谁评价呢?这便引出了“认可”的概念,即由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。这里的“认可机构”是指中国合格评定国家认可委员会。所以,认证机构除必须由国家认监委审批成立外,其能力还要经过国家认可委的验证。

四、《关于开展数据安全管理认证工作的公告》针对的是哪一种认证?

如前所述,认证对象分三种。《关于开展数据安全管理认证工作的公告》开展的是管理体系认证。

即,通过开展这项工作,是要给一个组织的数据安全管理体系颁发认证证书。可以类比ISO 9000、ISO 14000、ISO 27000等认证,他们分别针对质量管理体系、环境管理体系、信息安全管理体系。这次无非是在这个系列中,增加了一个“数据安全管理体系”。

五、《关于开展数据安全管理认证工作的公告》的附件《数据安全管理认证实施规则》是怎么回事?

既然要颁发可供社会采信的证书,肯定要经历严格的过程,那么工作流程是什么?《中华人民共和国认证认可条例》规定,认证机构应当按照认证基本规范、认证规则从事认证活动。认证基本规范、认证规则由国务院认证认可监督管理部门制定;涉及国务院有关部门职责的,国务院认证认可监督管理部门应当会同国务院有关部门制定。属于认证新领域,前款规定的部门尚未制定认证规则的,认证机构可以自行制定认证规则,并报国务院认证认可监督管理部门备案。即,无论开展哪一种认证,必须首先制定认证基本规范和认证规则,《数据安全管理认证实施规则》便是这样的事物。

六、数据安全管理体系认证制度是怎么设计的?之前是否有迹可循?

事实上,主管机关很早便开始设计我国数据安全认证制度。2019年5月,国家网信办就《数据安全管理办法(征求意见稿)》公开征求意见。文件第三十四条提出:“国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。”

此后,移动应用程序的安全认证逐步建立,但数据安全管理认证一直在筹备之中。

目前,《数据安全法》已经发布实施,《网络数据安全管理条例》正在制定,《数据安全管理办法》应该不会再继续制定了。但当时确立的工作思路一直延续下来,这是数据安全管理体系认证制度的最早出处。

七、怎么理解数据安全管理体系认证制度所依据的标准GB/T 41479《信息安全技术 网络数据处理安全要求》?

自从《数据安全管理办法(征求意见稿)》提出了数据安全管理认证后,主管机关便开始着手考虑认证所依据的标准规范问题。2020年,国家标准化管理委员会下达了制定《信息安全技术 网络数据处理安全规范》的国家信息安全标准制定项目,代号为20205156-T-469。标准由中国网络安全审查技术与认证中心牵头,并联合中国电子技术标准化研究院、清华大学等单位编制。

可以说,这个标准一开始就是为了开展数据安全管理体系认证而制定的。相当于数据安全领域的ISO 27001。此后,根据实际工作需要,标准名字变更为《信息安全计技术 网络数据处理安全要求》。这一改动的原因是,仅把这一标准定位于数据安全管理体系认证未免有些狭窄。主管部门希望这一标准在更大的范围内起到指导工作的作用。

经过两年的抓紧工作,该标准于2022年4月15日正式发布,于2022年11月1起实施,标准号为GB/T 41479-2022。

八、数据安全管理体系认证制度和数据安全认证制度什么关系?以后还会有别的数据安全认证吗?

数据安全管理体系认证是数据安全认证的一种。目前,我国已经建立了两种数据安全相关的认证制度:数据安全管理体系认证和移动互联网APP安全认证。未来,不排除还会开展针对其他产品的数据安全认证,以及针对服务的数据安全认证。但千变万化不离其宗,大类都是分三种:产品、服务和管理体系,以上三种数据安全认证都可能有。

《个人信息保护法》在设计个人信息出境安全管理制度时,将“个人信息保护认证”作为个人信息出境的途径之一。因此,这方面的工作也是将来的努力方向之一。但是,是不是拿到了数据安全管理体系认证证书,就相当于通过了出境场景下的个人信息保护认证呢?不排除两者有密切关联,但这需要权威部门确认。但可以明确的是,即使在个人信息出境场景中采信数据安全管理体系认证,仅这一证书仍然是不够的,毕竟数据出境安全风险的考虑因素更多。

另外需要指出的是,目前还有一种“泊来”的数据安全认证,即ISO 27701认证。这一认证也是数据安全管理体系认证,但其侧重于个人信息保护,而且脱胎于ISO 27001。我国已有很多机构通过了这种认证。

九、既然数据安全认证分很多种,那我到底需要拿什么认证?

不同的认证有不同的目的,侧重点不同,依据的标准也不同,能证明的事项也不同。就如同一个机构通过了ISO 27001信息安全管理体系认证,这有助于社会相信该机构的信息安全管理能力是不错的。但如果这个机构是网络安全产品厂商,那么其生产的产品依然需要根据有关规定获取产品认证证书,不同证书不能混用。

具体到数据安全管理体系认证而言,由于这与ISO 27001类似,不限于申请机构的具体业务类型,因此其对于各类机构是广泛适用的。但是,如果这个机构不是APP生产商,也不是其他的IT厂商,其当然不必申请数据安全产品证书了。

十、我通过了数据安全管理体系认证后,还需要进行数据安全测评吗?

认证有认证的目的,测评有测评的目的。认证不可能完全取代测评。而且,即使是认证,就数据安全管理体系认证而言,其也只能证明某机构的管理体系可以有效保护数据安全,不能证明其他的。

就如同,一个机构虽然通过了ISO 27001信息安全管理体系认证,但其仍然不能取代等级保护测评、渗透性测试或其他可能的网络安全测评。只不过,其获得的ISO 27001对于证明该机构的网络安全能力的确有好处。在很多场合,有这一张证书也够了,因为不同的场景下,对不同机构的数据安全级别要求是不一样的。

十一、我们单位能不能申请成为数据安全管理体系认证机构?

根据《认证认可条例》,认证机构不能是独家(即使是强制性认证)。但是由于我国建立信息安全产品认证认可体系时的特殊历史背景,当时成立中国信息安全认证中心(即现在的中国网络安全审查技术与认证中心)时,独家指定其承担信息安全产品强制性认证。这种“独家”针对的只是当时的信息安全产品强制性认证。

可以这么理解,按照规则,可以有多家机构承担数据安全管理体系认证任务。至于是否会指定多家,如何申请成为数据安全管理体系认证机构,这有待主管部门后续文件予以明确。

十二、数据安全管理体系认证是强制的吗?收费吗?

不是强制的。

收费。

对数据安全管理体系但凡有不理解的,都可以比照ISO 27001去理解,就一通百通了。

十三、我是一家网络安全企业,这个文件的发布对我有什么机会?

首先,作为网络安全企业,建议你首先去申请数据安全管理体系认证。你给别人提供网络安全和数据安全服务,那么你自己得先做好。就如同一个网络安全企业必须有ISO 27001证书一样。

其次,类比ISO 27001认证,“数据安全管理体系认证咨询服务”这个市场来了,赶快努力吧。

第三,数据安全管理体系的建立,一般还需要相关的工具作支撑,一种新的产品门类也呼之欲出。

小贝结语

■ 《关于开展数据安全管理认证工作的公告》今天在官网印发,朋友圈已然刷屏了。但GB/T 41479-2022《信息安全技术 网络数据处理安全要求》可是早就发布了的,一点都不应该感到突然。世界变化这么快,既要低头拉车,也要抬头看路。对任何一个机构而言,保持战略规划研究能力和对政策的洞察力真的太重要了。

公告链接:国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。