炼石图解国家“数据安全三认证”V1.0.0

炼石 CipherGateway 图解国家“数据安全三认证 炼石网络2022年11月 二十大报告新增“安全章节”炼石 十九大报告二十大报告 、过去五年的工作和历史性变革过去五年的工作和新时代十年的伟大变革 二、新时代中国共产党的历史使命开辟马克思主义中国化时代化新境界三、新时代中国特色社会主义思想和基本方略【分拆】三、新时代新征程中国共产党的使命任务 四、决胜全面建成小康社会，开启全面建设社会主义现代化国四、加快构建新发展格局，若力推动高质量发展 家新征程【新增】五、实施科教兴国战略，强化现代化建设人才支撑五、贯彻新发展理念，建设现代化经济体系六、发展全过程人民民主，保障人民当家作主 六、健全人民当家作主制度体系，发展社会主义民主政治【新增】七、坚持全面依法治国，推进法治中国建设 七、坚定文化自信，推动社会主义文化繁荣兴盛八、推进文化自信自强，铸就社会主义文化新辉煌 CipherGateway 八、提高保障和改善民生水平，加强和创新社会治理九、加快生态文明体制改革，建设美丽中国 九、增进民生福让，提高人民生活品质 十、推动绿色发展，促进人与自然和谐共生 【新增】十一、推进国家安全体系和能力现代化，坚决维护国家安全和 十、坚持走中国特色强军之路，全面推进国防和军队现代化社会稳定 十一、坚持“一国两制”，推进祖国统-十二、实现建军一百年奋斗目标，开创国防和军队现代化新局面 十二，坚持和平发展道路，推动构建人类命运共同体十三、坚持和完善“一国两制”，推进祖国统- 十三、坚定不移全面从严治党，不断提高党的执政能力和领导十四、促进世界和平与发展，推动构建人类命运共同体 水平十五、坚定不移全面从严治党，深入推进新时代党的建设新的伟大工程 “来源：新华网 二十大报告指引数据安全事业开启新征程炼石 数据发现 間 数据加密 访问控制工业及物联网 CipherGateway 党政军数据安全应用 数据安全应用回 数据安全评估审计 中国共产党巴 交通+第二十次全国代表大会密码SDK电信及互联网 数据安全应用数据防泄漏数据安全应用 能源 数据安全应用 @20 数据安全治理 数字水印 金融 数据安全应用 容灾备份个人隐私保护 卫生健康电子签名去标识化个人 数据安全应用数据安全应用 安全监管：“四法四例四规”驱动全行业数据保护炼石 CipherGatewoy 《网络安全法》《密码法》《数据安全法》《个人信息保护法》 第二十一条国家实行网络安全等级保护制度。其安全保护义务第4条明确采取数据分类。重要数据备份和加密等措施。 二十七条法律、行政法规和国家有关规定要第二十七条开展数据处理活动应当依照法律、第五十一条第三款；采取相应的加密、去标识求使用商用密码进行保护的关键信息基础设法规的规定，建立健全全流程数捉安全管理制化等安全技术措施； 施，其运营者应当使用商用密码进行保护，度，组织开展数据安全教育培训，采取相应的第六十六条：情节严重的，由省级以上履行个关信息基础设施运营者：应当自行或者委技术措施和其他必要措施，保障数据安全。利人信息保护职责的部门责令改正，没收违法所托商用密码检测机构开展商用密码应用安全用互联网等信息网终开展数据处理活动，应当得，并处五千万元以下或者上一年度营业额百性评估。在网络安全等级保护制度的基础上，履行上述分之五以下罚款·. 数据安全保护义务。 《网络安全等级保护条例》《关键信息基础设施安全保护条例》《商用密码管理条例》《网络数据安全管理条例》 （征求意见稳）（格订草案征求亮见积）（征求意见稿） 国家密码管理部门根据网络的安全保护等级，关链信息基础设施安全保护条例》（国令《商用密码管理条例》（修订草案征求意见家对个人信息和重要数据进行重点保护，对核 涉密网络的密级和保护等级，确定密码的配备、第745号）规定履行个人信息和数据安全保护稿）提日非涉密的关键信息基础设施、网络心数据实行严格保护。数据处理者应当采取备份 使用，管理和应用安全性评估要求，制定网络 责任，建立健全个人信息和数据安全保护制安全等级保护第三级以上网络、国家政务信加密、访问控制等必要措施，保障数无免造泄露、 安全等级保护密码标准规范。度。关错信息基础设施中的密码使用和管理息系统等网络与信息系统，其运营者应当使离取、改、毁损、丢失、非法使用：数据处理 应当遵守相关法律、行政法规。用商用密码进行保护。者应当使用密码对重要数据和核心数据进行保护。 等保关保HW密评数管DSM 等保2.0建设，结合HVV攻防演绩[待发布】对关链信息基础设施的增强保护政务、等保、关基等领域，落实“密码三同对网络运营者开展网络数据收集、存储、使用、 步"加工、传辅、提供、公开等处理活动连行认证 信创着力在构注自主可控信息技术体系中准进密码优先发展 炼石 义公务顶层开收规划集 工业和信息化领域数中国银保监会国家医疗保障局 据安全管理办法（试监管数据安全管理办交通运输政务数据共关于加强网络安全和 CipherGateway 意社会保险个人权益记录 行）（征求意见稿） 法(试行) 享管理办法数据保护工作的指导单位教育数据管理办法管理办法 意见 三、17个省市积极响应落实数据安全要求 条例 应用与管理办法 例 陕西省大数据发展应 辽宁省大数据发展应 山西省大数据发展应 用条例（征求意见稿） 用促进条例（草案） 用促进条例 广东省公共数据江苏省公共数据山东省大数据发展浙江省公共数据湖北省政务数据资源福建省大数据发展条 管理办法管理办法促进条例 上海市数据条例 安徽省大数据发展条 深圳经济特区数据条公开 例例 用条例 贵州省大数据发展应黑龙江省促进大数据吉林省促进大数据发海南省大数据开发应 用促进条例 发展应用条例（征求 意见稿） 展应用条例 据产业发展促进条例 (草案）6 《数据安全法》总结构炼石 CipherGateway 数据安全法 第一章总则第二章数据安全与发展第三章数据安全制度 1.立法目的 13.16. 产业发展大数据战路老年人残疾人权益技术研究21. 分类分级 检测认证服务 2.适用范压17.18.1920. 标准体系数据交易管理制度人才培养 3.定义 第四章数据安全保护义务风险评估、报告、信息 4.坚持总体国家安全观 27.主要责任 28.价值取向 29.监测处置 30.风险评估 31.数据出境 5.协调机制6.部门职责 32.收集数据禁则 33.交易中介责任 34.行政许可前置 35.执法调取数据 36.跨境司法合作 共享、监测预警 7.基本权利第五章政务数据安全与开放 23 应急处置 24. 8.基本义务 推行电子政务建设 38 国家机关依法收集据 保护政务数据安全 40 委托建设电子政务系统要求 数据安全审查 9.共同维护政务数据公开政务数据开放目录公共事务组织的适用 25. 10.行业自律第六章法律责任出口管制 11.国际合作44.针对教据处理风45.关于数据安全保4647.48 险约谈整改护义务罚则关于数据出境缸则交易中介罚则关于效据调取罚则 12.投诉举报49.对国家机关罚则5051.非法获取数据52 26. 对等反制 对国家人员的罚则 限制竞争等罚则民事刑事责任 第七章附则 53.涉密、统计档案、个人信息保护✁他法遵循54.军事数据安全保护的他法遵循55.施行时间 《网络数据安全管理条例（征求意见稿）》总结构 网络数据安全管理条例 炼石 CipherGateway 1.立法目的 8.守法原则 14.继承报告 2适用范压 9.等保措施 15.问接获取 第一章总则第二章一般义务市场监管总局中央网信办关于开展《中华人民共和国认证认可条例》19.原则23.权力响应27.地方管理 20.处理规则告知24.个人信息转移28.专职机构 3.基本原则10.风除补教16.机关数据安全责任 4.鼓助支持 11.应急处置 17.自动化合规 21.征求同意25.生物认证 29.备案要求及内容 5.分类分级12.共享合规18.投诉举报22.删除处理26.升级重保30.教育及培训 6.数据安全责任《中华人民共和国网络安全法》 60.一般贡任61.个保贡任62.重保责任 决定开息APp安全认证二作，需将有买事必告知下：70.民刑衔接71.监管责任72.境外追责63.关保责任 信息安全技术个人信息安全规范 32.年度安全评估 59.行业自律33.共享交易审批 58.合规审计 67.运营者责任68.共享责任69.新技术责66.网关责任65.司协责任64.跨境责任 34.机关、关基运营者云 57.监督检查51.国家机关服务47.应用分发43.义务要求计算服务采购评估 56.应急机制52.国务数据调取48.服务反望断44.第三方责任41.安全网关39.合规义务37.出境评估35合规路径 53.年度审计49.个性化推送45.印时通信分美 55.协调分工 54.新技术评估50.个人身份认证 46.禁止行为 42.技管措施 40.出境年报 38.国际条约36.向个人告知同意 第七章监督管理第六章网络平台第五章数据跨境 第九章附则73.定义74.指引适用75.生效条款 实战与合规辩证推动数据安全产业发展 实战是检验安全能力的唯一标准实战对抗HVV攻防演练 网络攻破后数据不泄露 形成实战 最佳实践对抗 炼石 CipherGateway 将偶发的、高技术水平的对抗风险， 转化成常态的、可重复验证的非对抗风险 实战之三体 ADCIABCD 过程合规结果合规 商用密码应用安全性评估个人信息保护认证 免改造解决密评“应用与数据”合规数据安全管理认证 移动互联网应用程序（APP）安全认证 国家“数据安全三认证总览炼石 《网络安全法》数据安全法发《个人信息保护法》 《中华人民共和国认证认可条例》 国家市场监督管课总局国家互联网信惠办公室国家市场监督管理总局国系互联网信惠办公室市场监管总局中央网信办 《数据安全管理认证实施规则》&个人信息保护认证实施规则”（移动互联网应用程序（ApP）安全认证实施规 2022年6月5月岁布2022年11月18日发行2019年3月13日发布，3月15日开始期行 规则腰定了对网终运营者开感网结取揭收落、存诺、更用、加工、传输、疫则》提定了对个人情息处择书开层个人有息收单，存就，使用，加工 把供，公开等处理活动进行认证的基本原则和要求格练，提信。公开，到除以及冲情等处国活性进行认证的器本原即和常，认证 认证热据认证依帮 CinherGateway 认证微据 GB/T41479信息要全提术个人信息安全规范 TC260-PG-20222A 《个人给息需境处理活动史全认证规范务 具 认证对象认证对象 管理体系产品、服务、管理体系 认证对象 产品、服务(注：App) “数据安全管理认证”并不是“数据安全认证的总称，与“个人信息保护认证”不存在包含关系， 个人信息保护认证不能简单说两者是并列关系； HEI人信息保护认证”包含“移动互联 数据安全管理认证网应用程序（APP）安全认证” 移动互联网应用程序（APP） 安全认证 息出境认证是其中的子集，但其针 对个人信息出境场景还有特殊要求， 故措确说其属于“子集”+“补集” 国家“数据安全三认证”的关系 炼石 CipherGateway PT PIPCB ABCDABCD 《个人信息保护认证实施规则》 我国建立个人信息保护认证制度的关键环节 炼石 CipherGateway 国家市场监督管理总局CEAEESRABa2022年11月4日，国家市场监督管理总局、国家互联网信息办公室发布《关于实施 合首页品礼构国联K务服务产五店专期 个人信息保护认证的公告》，鼓励个人信息处理者通过认证方式提升个人信息保 护能力，规范个人信息处理活动，促进个人信息合理利用。 从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动，并按照 表引号《个人信息保护认证实施规则》实施认证。 ;E期：2022年月1日3券日期：202211月3日 制定依据制定依据 《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》 国家市场监督管理总局