你想知道的数据安全相关认证,都在这里
2021-11-30
1266
数据是国家重要的生产要素,数据安全事关国家安全与经济社会发展。近年来,数据安全事件频发、数据安全问题日益复杂,国内数据安全领域的法律法规密集出台,构建起数据监管法律体系。除国家法律法规外,通过数据安全相关认证也将为企业的数据安全保驾护航。目前,我国针对于数据安全的主流认证涉及数据安全能力评估、云安全管理、个人隐私安全管理等方面,擎标可为企业提供以下数据安全相关的认证。
数据安全能力成熟度模型(DSMM)和ISO27001认证,适用于所有类型的组织。
DSMM 数据安全能力成熟度模型
DSMM认证适用于所有有数据安全需求的组织,是国家认证认可监督管理委员会依据《中华人民共和国认证认可条例》批准的,按照《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)开展的认证。GB/T 37988-2019是中国首部数据安全管理的国家标准,用来衡量一个组织的数据安全能力成熟度水平,可帮助行业、企业和组织发现数据安全能力短板,相关主管部门也可以将其用于数据安全治理,提升区域的数据安全水平和竞争力,促进大数据产业及数字经济发展。
DSMM将数据按照其生命周期,分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM围绕组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力指导建设。
通过DSMM评估,组织可以摸清企业数据资产现状、及时发现潜在数据安全风险、满足数字化转型与合规要求。
ISO27001 信息安全管理体系认证
ISO27001认证适用于所有类型的组织,采用以风险管理为核心的方法来管理公司和客户信息,并通过定期评估风险和控制措施的有效性来保证体系的持续运行。
ISO27001体系共分为两部分,一是信息安全管理实施规则:该部分对信息安全管理给出建议,供负责在组织启动、实施或维护安全的人员使用;二是信息安全管理体系规范:该部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
C-STAR评估、ISO27017认证、ISO27018认证是云安全管理的相关认证,适用于使用云服务和提供云服务的组织。
C-STAR 云安全评估
C-STAR云安全评估适用于提供云服务的组织。国际云安全联盟(CSA)在2012“安全云”大会上正式发布了其开放认证框架(Open CertificationFramework,OCF)。
C-STAR云安全评估依据CSA最新发布的云安全控制矩阵CCM V3.0,结合国内相关法律法规和标准要求,形成C-STAR云安全控制矩阵,从应用和接口安全、审核保证、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理等16个云安全控制领域,对云服务的安全控制状况进行系统评估。
同时,为了帮助企业对云安全管理成熟度进行评估和持续改进,引入了云安全管理成熟度评价(将在形成的评估报告中给出成熟度评估得分),对C-STAR云安全控制矩阵中的安全控制措施进行成熟度评分并划分为5个等级,不同分数等级代表云服务提供商的安全控制的管理成熟度水平。
C-STAR云安全评估可帮助云服务提供商提升云安全实践的透明度,提高市场可信度,增强用户信心。
ISO27017 云服务信息安全管理体系认证
ISO27017认证适用于所有提供和使用云服务的组织。ISO/IEC 27017:2015基于ISO/IEC 27002,是专门针对云计算服务的信息安全控制措施实用标准,提供了适用于云服务提供商和云服务客户的信息安全控制指南,包括如下两个方面:ISO/IEC 27002标准中有关控制的附加实施指南,带有具体涉及云服务实施指南的附加控制。
在进行ISO27017之前,必须先经过基本的ISO27001认证,ISO27017认证也有可能与1SO27001认证一并进行。
ISO27018 云隐私保护认证
ISO27018认证适用于所有提供和使用云服务的组织,ISO/IEC 27018:2019基于ISO/IEC 27002。ISO27018认证是目前国际被广泛接受和应用的信息安全体系认证之一,在进行ISO27018之前,必须先经过基本的1SO27001认证,ISO27018认证也有可能与1SO27001认证一并进行。
相对ISO29151,ISO27018针对性更强,突出个人身份信息处理者的身份及公有云的环境。
ISO29151、ISO27701和《个人信息安全规范》属于个人隐私安全管理类的认证,适用于对隐私保护有需求的组织。
ISO29151 个人身份信息保护认证
ISO29151认证适用于所有对隐私保护有需求的组织,是国际通行的个人身份信息保护指南。
ISO/IEC 29151:2017基于ISO/IEC 27002,涵盖26个控制域,181条控制措施,以保护个人信息为核心,规范个人信息收集、存储、处理、使用和披露等各个环节中数据操作的相关行为,为企业保障个人隐私安全及降低合规风险控制提供了指导。
ISO27701 隐私信息管理体系认证
ISO27701认证适用于所有对隐私保护有需求的组织。ISO/IEC27701:2019基于ISO/IEC 27002,将隐私保护的原则和方法融入信息安全保护体系中,对个人身份信息(PII)控制者和个人身份信息(PII)处理者进行了落地性较强的规定。
在进行ISO27701之前,必须先经过基本的1SO27001认证,ISO27701认证也有可能与1SO27001认证一并进行。
相对于ISO29151、ISO27018,ISO27701从实践指南的层面提升到了管理体系,包含自我改善的PDCA机制,持续改进的要求,最大程度的兼顾了 《通用数据保护条例》(GDPR)、加州法案等国际上已有的隐私法规合规要求。
GB/T 35273-2020 《个人信息安全规范》
国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》于2020年10月正式生效,作为国家推荐性标准,它的适用主体不仅仅限于企业,也包括企事业单位和国家机关等等。
《个人信息安全规范》更恰当的功能定位应当是一种有关个人信息处理业务合规指引的一揽子推荐性解决方案,可比对ISO/IEC 29151,属于实践指南,完全基于我国的国情制定,可充分体现组织对遵守我国的隐私管理要求的能力及承诺。