大数据时代下,现代企业在网络与数据安全上需要遵循的相关规范和标准越来越多,监管部门对企业在网络安全与数据保护上的要求愈发严格。在评价判断特定企业是否建立起有效的网络安全、数据安全保护制度时,一个较为客观便捷的方式就是查阅该企业是否在网络安全、数据安全方面积极地开展了相关资质的认证工作。
目前实务中存在的认证机构、资质名称类别繁杂,还有不少与官方机构合作的第三方认证机构。本文旨在梳理国内环境下在网络与数据安全保护方面的官方资质认证类别,为企业找准符合现有发展阶段的目标资质、厘清认证申请前的准备工作提供帮助。
一、三大基本法对于“安全认证”的规定及要求
《网络安全法》第17条明确规定:“开展网络安全认证、检测、风险评估等安全服务。”
《数据安全法》第18条第1款对数据安全认证进行了原则性的规定:“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。”
《个人信息保护法》第38条将个人信息保护认证作为向境外提供个人信息的合法性条件之一,第62条规定:“推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。”
由此可知,与网络安全、数据安全有关的评估认证对某些企业而言是必须选项,对某些企业而言是一项添光加彩的加分选项。
二、主要的官方认证机构
企业申请与网络安全、数据安全相关的资质认证,有必要了解以下机构或组织:
1.中国国家认证认可监督管理委员会(CNCA):受国家市场监督管理总局管理,是履行统一管理、监督和综合协调全国认证认可工作的行政主管机构。
2.中国网络安全审查技术与认证中心(CCRC,原为中国信息安全认证中心):为国家市场监督管理总局直属事业单位,承担网络安全审查技术支撑和认证工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作。
3.中国电子技术标准化研究院:为工业和信息化部直属事业单位,是国家从事电子信息技术领域标准化的基础性、公益性、综合性研究机构,开展标准科研、检测、计量、认证、信息服务等业务。与中国赛西实验室在检测计量方面有深入合作。
4.国家互联网应急中心:为中国计算机网络应急处理体系中的牵头单位,也是中共中央网络安全和信息化委员会办公室直属事业单位,承担国家网络信息安全管理技术支撑保障职能。与绿盟科技集团股份有限公司在测试评估项目方面有深入合作。
5.中国信息安全测评中心:对提供信息安全服务的组织和单位资质进行审核、评估和认定。
此外,还有一些第三方认证机构,如上文提及的绿盟科技,以及北京赛西认证有限责任公司、方圆标志认证集团有限公司等。
三、认证的类别及领域
(一)中国国家认证认可监督管理委员会在网络与数据保护方面提供的认证类别有管理体系认证和国推认证。
管理体系认证
1.信息安全管理体系认证:即ISO认证,该认证体系在企业信息安全管理上给出了实施规则层面上的建议,并对于信息安全管理体系规定了建立、实施和文件化信息安全管理体系的要求。
2.信息技术服务管理体系认证:该认证以国家标准GB/T.1《信息技术服务管理第1部分:规范》为认证依据。目标是以合适的成本提供满足客户质量要求的IT服务,从流程、人员和技术三方面提升IT的效率和效用,强调将企业的运营目标、业务需求与IT服务提供相协调一致。
国推认证
1.信息安全产品认证:是根据《中华人民共和国产品质量法》《中华人民共和国标准化法》《中华人民共和国进出口商品检验法》《中华人民共和国认证认可条例》《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》,对部分信息安全产品实施的强制性认证。
2.软件过程能力及成熟度评估(SPCA):评估机构证明软件过程能力及成熟度符合相关技术规范和标准的认证活动。认监委负责软件过程能力及成熟度评估活动的统一管理、监督和综合协调工作。国务院信息产业行政管理部门负责软件过程能力及成熟度评估的有关产业政策及行业管理。
(二)中国网络安全审查技术与认证中心提供的认证类别有产品认证、服务认证、体系认证和人员认证,每个认证类别下细分为若干认证领域。
数据安全管理认证
数据安全管理认证。数据安全管理是组织开展数据收集、存储、使用、加工、传输、提供、公开等数据处理时采取的一系列管理活动,中国网络安全审查技术与认证中心负责数据安全管理认证制度的具体建设和实施工作。
产品认证
1.移动互联网应用程序(APP)安全认证:为规范App收集、使用用户信息的行为,加强个人信息安全保护,年3月市场监管总局、中央网信办决定开展App安全认证工作。
2.网络关键设备和网络安全专用产品安全认证:依据《网络安全法》的规定,对网络关键设备和网络安全专用产品依据国家标准强制性要求开展安全认证。
体系认证
1.信息安全管理体系认证(ISMS,同上文ISO认证):是组织达到动态的、系统的、全员参与的、制度化的,以预防为主的信息安全管理方式。
2.隐私信息管理体系认证:即ISO认证,适用于所有对隐私保护有需求的组织。其将隐私保护的原则和方法融入信息安全保护体系中,对个人身份信息控制者和个人身份信息处理者进行了落地性较强的规定。在进行ISO之前,必须先经过基本的1SO认证,ISO认证也有可能与1SO认证一并进行。
服务认证
1.信息安全服务资质认证(CCRC):是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求,以应急处理、风险e评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容。
2.数据中心服务能力成熟度认证:包括战略发展、运营保障和组织治理三个能力域,组织通过建立通用的、基于服务能力成熟度的数据中心管理框架,降低数据中心的管理难度,简化数据中心的运作流程。
人员认证
1.信息安全保障人员认证(CISAW):针对信息安全保障领域不同专业技术方向、应用方向和保障岗位,依据国际标准ISO/IEC《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系。认证方向包括:安全集成、安全软件、安全运维、网络舆情分析与处置、电子数据取证、WEB安全等。
2.网络安全应急响应工程师(CSERE):监测预警和应急响应是网络安全保障工作不可或缺的部分,这要求网络安全保障人中不断检测安全态势,做到预防和应急工作相互结合,互为补充。中国网络安全审查技术与认证中心推出网络安全应急响应工程师。
3.信息系统审计师(ISA):各行业领域从事财务、审计、信息系统相关工作的从业人员、核心骨干以及管理人员均可申请。
(三)中国电子技术标准化研究院提供以下认证类别:
CCC认证
强制性产品认证,是我国政府按照世贸组织有关协议和国际通行规则,为保护消费者人身和动植物生命安全、保护环境、保护国家安全,依照法律法规实施的一种产品合格评定制度。
年12月28日,认监委第一次在CCC认证领域新增具备特定技术能力的认证机构,赛西认证成为其中之一,对08类音视频设备实施CCC认证工作;年9月认监委通过第26号公告,新批准赛西认证09类信息技术设备和16类电信终端设备两个CCC认证领域。
信息安全/IT服务认证
1.信息安全管理体系认证(同前述介绍)
2.信息技术服务管理体系认证(同前述介绍)
云服务信息安全管理
云服务信息安全管理体系认证,即ISO认证,该认证适用于所有提供和使用云服务的组织,是专门针对云计算服务的信息安全控制措施实用标准,提供了适用于云服务提供商和云服务客户的信息安全控制指南。
隐私信息管理
隐私信息管理体系认证(同前述介绍)
(四)国家互联网应急中心发起的认证类别
网络与信息安全应急人员认证
1.网络与信息安全应急人员认证(CCSRP):是面向重点行业网络与信息安全从业人员的技能认证,以网络安全应急响应为切入点,覆盖网络与信息安全的事前、事中和事后等各方面的能力。
2.网络安全能力认证(CCSC):是在“网络与信息安全应急人员认证”(CCSRP)基础上推出的,面向网络安全从业人员和社会大众的技能认证。由绿盟科技提供CCSC数据安全培训认证课程,国家互联网应急中心认证并颁发证书。Acheron工业互联网安全测评认证
Acheron工业互联网安全测评认证:网络安全专用产品,对工业防火墙、工业网络安全监测预警系统、安全隔离与信息交换产品等用于安全防护的工业网络安全专用产品进行测评认证。
(五)中国信息安全测评中心提供产品、系统、服务、人员方面的评估。
产品测评
国家信息安全测评/信息技术产品安全测评,对国内外信息技术产品的安全性进行测评。根据测评依据及测评内容,分为:信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
系统测评
对国内信息系统的安全性进行测试、评估。根据依据标准及测评方法的不同,主要提供:信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。
服务测评
国家信息安全测评/信息安全服务资质。对提供信息安全服务的组织和单位资质进行审核、评估和认定。信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。目前分为:信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、大数据安全等七大类。
人员测评
信息安全人员测评与资质认定,主要包括注册信息安全专业人员(CISP)、注册信息安全员(CISM)及安全编程等专项培训、信息安全意识培训。年,中国信息安全测评中心开展“信息安全人员培训与资质认证”的职能,推出了对个人信息保护专业人员能力认定的CISP-PIP(注册信息安全专业人员-个人信息保护)项目,同时授权设立了CISP-PIP运营中心。
浏览完各大机构的认证类别后,细心的读者可能会发现,上文所附的资质证书示意图中,不少证书在落款处都出现了“CNAS”的字样,且基本都和认证机构的签章并排展示。那么,什么是CNAS,其与本文的认证又有什么关系呢?
CNAS中文全称为中国合格评定国家认可委员会,它是根据《中华人民共和国认证认可条例》的规定,由国家认证认可监督管理委员会批准成立并确定的认可机构。至于CNAS和本文认证的关系,可以表述为:CNAS其实是对当前存在的认证机构、检验机构或实验室等开展认证工作前,对上述机构的管理能力、技术能力、认证能力进行检测和评定的专业性组织。上述机构在获得了CNAS认可之后,可以获得CNAS颁发的认可证书,并依此展开对企业或其他组织的认证工作。很多证书上带有CNAS的字样,则说明该认证机构(或检验机构、实验室)是获得了CNAS认可的,其在认证上的专业能力是有说服力的,作出的认证也是有权威性和公信力的。
企业要做好网络安全及数据安全保护工作,需要部署好网络安全防御体系、建立完善的数据合规管理体系,在这个过程中各种建章立制、搭建组织架构、配备责任人员等工作不可或缺。本文梳理的具体认证及资质的申请评估种类及要求,能够为企业的数据合规建设工作提供借鉴思路,若企业及相关责任人员成功申请到相关资质,则能够成为企业合规管理体系的有益组成部分。
本文作者:星来律所王珺律师、陈卓菱实习律师
联系电话: