21世纪经济报道记者白杨 北京报道
6月9日,国家市场监督管理总局和国家互联网信息办公室联合发布了《关于开展数据安全管理认证工作的公告》。
根据数据安全管理认证实施规则(简称“规则”),数据安全管理认证的依据是GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范,认证模式为“技术验证+现场审核+获证后监督”。
规则指出,数据安全管理认证证书的有效期为3年,在认证证书有效期内,获得认证的网络运营者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。
对于数据安全管理认证工作的开展,奇安信集团副总裁孔德亮向21世纪经济报道记者表示,之前网络数据管理并没有认证一说,而这次是由两家国家权威机构来开展数据安全管理认证工作,体现了国家对数据安全的高度重视。
孔德亮表示,此次开展数据安全管理认证工作,将督促广大企业在相关标准规范之下,开展网络数据处理活动的合规建设,加强数据安全的防护力度。对于暂不符合认证要求的,机构可要求认证委托人限期整改,具有一定的监督和震慑作用。而在认证有效期内,企业须持续接受机构监督,确保数据安全工作持续落到实处,而非单纯认证时的走过场。
在获证后监督方面,规则提出,“认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理”。
认证工作开展后,是否获得数据安全管理认证,对网络运营者也将产生不同的影响。孔德亮称,通过认证后,可以证明网络运营者在网络数据处理活动、网络数据安全保护等方面,符合相关标准规范,可以说是对自身数据安全的全方位验证和保障;
其次,通过认证后获得的“认证标志”,可以按照有关规定在广告等宣传中使用,从而增加外界公众对网络运营者的信任度,有助于数据处理相关业务的顺利开展。
而在行业影响层面,孔德亮认为,认证工作将数据安全从法律法规、标准层面,推向了监管落地方向。认证工作的推出,势必会增强企业或组织对数据安全落地的积极性,为数据安全行业提供新的助推引擎。
(作者:白杨 编辑:张伟贤)