移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實施規(guī)則_第1頁
移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實施規(guī)則_第2頁
移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實施規(guī)則_第3頁
移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實施規(guī)則_第4頁
移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實施規(guī)則_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、附件編號: CNCA-App-001移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證實施規(guī)則2019-03-13 發(fā)布2019-03-15 實施國家認(rèn)證認(rèn)可監(jiān)督管理委員會發(fā)布目錄1 適用范圍 12 認(rèn)證依據(jù) 13 認(rèn)證模式 14 認(rèn)證程序 14.1 認(rèn)證申請 14.2 認(rèn)證受理 24.3 技術(shù)驗證 24.4 現(xiàn)場審核 34.5 認(rèn)證決定 34.6 對認(rèn)證決定的申訴34.7 獲證后監(jiān)督 35 認(rèn)證時限 56 認(rèn)證證書 56.1 證書的保持 56.2 證書的變更 56.3 認(rèn)證的暫停、撤銷和注銷67 認(rèn)證證書和認(rèn)證標(biāo)志的使用和管理77.1 認(rèn)證證書的使用77.2 認(rèn)證標(biāo)志及其使用78 認(rèn)證責(zé)任81 適用范圍本

2、規(guī)則適用于對移動互聯(lián)網(wǎng)應(yīng)用程序(以下稱“ App”)的數(shù)據(jù)安全 認(rèn)證。2 認(rèn)證依據(jù)App 安全認(rèn)證的認(rèn)證依據(jù)為GB/T 35273 信息安全技術(shù)個人信息安全規(guī)范及相關(guān)標(biāo)準(zhǔn)、規(guī)范。上述標(biāo)準(zhǔn)原則上應(yīng)執(zhí)行國家標(biāo)準(zhǔn)化行政主管部門發(fā)布的最新版本。3 認(rèn)證模式App 安全認(rèn)證的認(rèn)證模式為:技術(shù)驗證+現(xiàn)場核查+獲證后監(jiān)督。4 認(rèn)證程序4.1 認(rèn)證申請4.1.1 申請方認(rèn)證申請主體為通過App向用戶提供服務(wù)的網(wǎng)絡(luò)運營者(以下簡稱 App運營者”),且取得市場監(jiān)督管理部門或有關(guān)機構(gòu)注冊登記的法人 資格。App 運營者有下列情形之一的,不得申請認(rèn)證:( 1 )違反相關(guān)法律法規(guī);( 2)在12個月內(nèi)發(fā)生重大信息安全

3、事件;( 3)所持同類證書在撤銷認(rèn)證影響期內(nèi);( 4)認(rèn)證機構(gòu)規(guī)定的其他情況。4.1.2 申請單元的確定原則上按App版本申請認(rèn)證。同一名稱的App,版本號、操作系統(tǒng)平臺等不同時,一般應(yīng)分為不同申請單元,具體由認(rèn)證機構(gòu)依據(jù)本規(guī)則制定的認(rèn)證實施細(xì)則予以規(guī)定。4.1.3 申請方應(yīng)提交的文件和資料認(rèn)證申請方在申請認(rèn)證時,提交的文檔資料應(yīng)至少包含以下內(nèi)容:( 1 )認(rèn)證申請書;( 2)法人資格證明材料;(3) App版本控制說明;( 4)對認(rèn)證要求符合性的自評價結(jié)果及相關(guān)證明文檔;(5)對App符合相關(guān)安全技術(shù)標(biāo)準(zhǔn)的證明文件;( 6)不同發(fā)布渠道的版本差異性聲明;( 7)其他需要的文件。4.2 認(rèn)證受

4、理認(rèn)證機構(gòu)對申請資料進行審核后做出受理決定,并向認(rèn)證申請方反饋受理決定。4.3 技術(shù)驗證4.3.1 樣品獲取認(rèn)證申請方按照申請書填寫的送樣方式提交樣本。送樣副本應(yīng)反映所有發(fā)布渠道App副本與認(rèn)證相關(guān)的技術(shù)特性;不 能反映時,還應(yīng)選送申請單元內(nèi)其他 App副本。4.3.2 技術(shù)驗證依據(jù)的標(biāo)準(zhǔn)技術(shù)驗證的依據(jù)為GB/T 35273 信息安全技術(shù)個人信息安全規(guī)范。認(rèn)證機構(gòu)應(yīng)根據(jù)GB/T 35273 制定技術(shù)驗證規(guī)范,確定針對標(biāo)準(zhǔn)要求的技術(shù)驗證內(nèi)容、方法和評價準(zhǔn)則。4.3.3 技術(shù)驗證方式技術(shù)驗證采用實驗室檢測和現(xiàn)場核查等方式進行。4.3.4 技術(shù)驗證實施檢測機構(gòu)按照技術(shù)驗證規(guī)范實施技術(shù)驗證,并按照認(rèn)證

5、機構(gòu)有關(guān)規(guī)定出具技術(shù)驗證報告。發(fā)現(xiàn)不符合時,檢測機構(gòu)向認(rèn)證申請方出具不符合報告,并要求 限期整改;逾期未完成整改的,中止認(rèn)證過程。4.4 現(xiàn)場審核技術(shù)驗證通過后,認(rèn)證機構(gòu)對 App運營者進行現(xiàn)場審核。4.4.1 現(xiàn)場審核依據(jù)的標(biāo)準(zhǔn)現(xiàn)場審核的依據(jù)為 GB/T 35273信息安全技術(shù)個人信息安全規(guī) 范。認(rèn)證機構(gòu)應(yīng)根據(jù)GB/T 35273制定現(xiàn)場審核規(guī)范,確定針對標(biāo) 準(zhǔn)要求的現(xiàn)場審核內(nèi)容、方法和評價準(zhǔn)則。4.4.2 現(xiàn)場審核實施認(rèn)證機構(gòu)按照現(xiàn)場審核規(guī)范實施現(xiàn)場審核,并按認(rèn)證機構(gòu)有關(guān)規(guī) 定出具現(xiàn)場審核報告。發(fā)現(xiàn)不符合時,認(rèn)證機構(gòu)向認(rèn)證申請方出具不符合報告,并要求 限期整改;逾期未完成整改的,中止認(rèn)證過

6、程。4.5 認(rèn)證決定認(rèn)證機構(gòu)根據(jù)申請資料、技術(shù)驗證結(jié)論和現(xiàn)場審核結(jié)論等進行綜 合評價,做出認(rèn)證決定。認(rèn)證決定通過后,由認(rèn)證機構(gòu)向認(rèn)證申請方 頒發(fā)認(rèn)證證書,并授權(quán)獲證App運營者使用規(guī)定的認(rèn)證標(biāo)志。認(rèn)證決定 不通過的,終止認(rèn)證。4.6 對認(rèn)證決定的申訴認(rèn)證申請方如對認(rèn)證決定結(jié)果有異議,可在收到認(rèn)證結(jié)果通知后 10個工作日內(nèi)通過認(rèn)證機構(gòu)指定的申訴渠道進行申訴。認(rèn)證機構(gòu)自收到申訴之日起,應(yīng)在5個工作日決定是否予以受理;對于受理的申訴, 一般應(yīng)在30個工作日給出處理結(jié)果,并將處理結(jié)果書面通知認(rèn)證申請 方。4.7 獲證后監(jiān)督獲證App運營者應(yīng)持續(xù)進行獲證后自評價,并配合認(rèn)證機構(gòu)的監(jiān)督 活動。認(rèn)證機構(gòu)應(yīng)對

7、獲證App和App運營者實施持續(xù)監(jiān)督,監(jiān)督方式包括日常監(jiān)督和專項監(jiān)督。4.7.1 獲證后自評價獲證 App 運營者應(yīng)對獲證App 持續(xù)符合認(rèn)證要求的情況進行自評價。當(dāng)出現(xiàn)如下情形時,獲證App 運營者應(yīng)向認(rèn)證機構(gòu)提交自評價報告:( 1 )獲證 App 的分發(fā)渠道發(fā)生變化;( 2)認(rèn)證標(biāo)志使用情況發(fā)生變化;(3)獲證App發(fā)生變更,以及所引起的收集、處理和使用個人信息的目的、類型、方式發(fā)生變化;(4)獲證App運營者對所收集個人信息的共享、轉(zhuǎn)讓、公開披露的對象、方式和目的發(fā)生變化;(5)獲證App運營者收到獲證App個人信息保護相關(guān)的投訴舉報。4.7.2 日常監(jiān)督認(rèn)證機構(gòu)應(yīng)對獲證App 和 Ap

8、p 運營者持續(xù)實施日常監(jiān)督,日常監(jiān)督的內(nèi)容至少包括以下方面:( 1 )獲證 App 一致性檢查;(2)獲證App的更新情況;( 3)認(rèn)證證書和認(rèn)證標(biāo)志的使用情況;( 4)企業(yè)開展自評價的情況;(5)獲證App被網(wǎng)民舉報投訴和社會媒體曝光情況;(6)其他影響獲證App在個人信息收集、處理和使用方面持續(xù)符合認(rèn)證要求的情況。認(rèn)證機構(gòu)應(yīng)定期對日常監(jiān)督情況進行評價,形成日常監(jiān)督報告。4.7.3 專項監(jiān)督當(dāng)出現(xiàn)如下情形,認(rèn)證機構(gòu)應(yīng)啟動專項監(jiān)督:(1)網(wǎng)民舉報投訴、媒體曝光、行業(yè)通報等涉及獲證 App存在個 人信息安全方面的問題,并經(jīng)查實獲證 App運營者負(fù)有責(zé)任時;(2)獲證App運營者因組織架構(gòu)、服務(wù)模

9、式等發(fā)生重大變更,或 發(fā)生破產(chǎn)并購等可能影響App認(rèn)證特性符合性時;(3)認(rèn)證機構(gòu)根據(jù)日常監(jiān)督結(jié)果,對獲證 App與本規(guī)則中規(guī)定的標(biāo)準(zhǔn)要求的符合性提出具體質(zhì)疑時。專項監(jiān)督應(yīng)對上述情形進行深入調(diào)查,并對獲證App 持續(xù)符合性全面審核,必要時還可進行技術(shù)驗證。認(rèn)證機構(gòu)可采取事先不通知的方式對獲證App 運營者實施專項監(jiān)督。4.7.4 監(jiān)督結(jié)果的處理獲證后監(jiān)督中發(fā)現(xiàn)不符合時,認(rèn)證機構(gòu)應(yīng)要求獲證App運營者在限 期內(nèi)進行整改,并對整改結(jié)果進行驗證。未在規(guī)定期限內(nèi)完成整改或整改結(jié)果未通過驗證的,按照6.3規(guī)定處置。5 認(rèn)證時限認(rèn)證時限是指自作出受理決定之日起至作出認(rèn)證決定所實際發(fā)生的工作日,一般為90個

10、工作日(不包含整改時間)。6 認(rèn)證證書6.1 證書的保持認(rèn)證機構(gòu)應(yīng)對認(rèn)證證書的有效期做出規(guī)定,超過有效期的認(rèn)證證書自行失效。當(dāng)認(rèn)證規(guī)則要求(如標(biāo)準(zhǔn))發(fā)生變化時,應(yīng)在認(rèn)證機構(gòu)確定的轉(zhuǎn)換期限內(nèi)完成換證。6.2 證書的變更6.2.1 變更申請與通知出現(xiàn)下列情況之一時,獲證App 運營者應(yīng)向認(rèn)證機構(gòu)提出變更申請:( 1 )獲證 App 名稱、版本發(fā)生變更;( 2)認(rèn)證范圍擴大或縮小;(3)獲證App運營者名稱、注冊地址發(fā)生變更;( 4)認(rèn)證機構(gòu)規(guī)定的其它事項發(fā)生變更時。6.2.2 變更評價和批準(zhǔn)認(rèn)證機構(gòu)根據(jù)變更的內(nèi)容,對提供的資料進行評價,確定是否可以批準(zhǔn)變更。如需重新技術(shù)驗證和現(xiàn)場審核,應(yīng)在技術(shù)驗證

11、和/或現(xiàn)場審核通過后方能批準(zhǔn)變更。6.3 認(rèn)證的暫停、撤銷和注銷6.3.1 暫停認(rèn)證有下列情形之一的,認(rèn)證機構(gòu)應(yīng)暫停認(rèn)證,并予以公布:(1)國家有關(guān)主管部門發(fā)現(xiàn)獲證App存在安全問題;(2)在監(jiān)督中發(fā)現(xiàn)獲證App不能持續(xù)符合認(rèn)證要求;(3)獲證App運營者在App發(fā)生重大變更后,未及時向認(rèn)證機構(gòu) 報告變更情況;(4)獲證App運營者違規(guī)使用認(rèn)證證書、認(rèn)證標(biāo)志;(5)認(rèn)證標(biāo)準(zhǔn)或認(rèn)證規(guī)則發(fā)生變化,獲證 App運營者未按認(rèn)證機 構(gòu)規(guī)定完成過渡轉(zhuǎn)換;(6)獲證App運營者主動申請暫停認(rèn)證;( 7)其他依法應(yīng)當(dāng)暫停的情形。暫停期限一般為180天。暫停期限內(nèi),獲證App運營者可提出恢復(fù) 認(rèn)證的申請,認(rèn)證機

12、構(gòu)經(jīng)審核、批準(zhǔn)后,方可使用該證書。在暫停認(rèn)證期間,獲證App 運營者不得繼續(xù)使用證書和認(rèn)證標(biāo)志。6.3.2 撤銷認(rèn)證有下列情形之一的,認(rèn)證機構(gòu)應(yīng)撤銷認(rèn)證,并予以公布:( 1 )獲證App 運營者存在個人信息安全有關(guān)的違規(guī)違法行為;(2)暫停認(rèn)證期間,獲證App運營者未采取有效整改措施;(3)發(fā)現(xiàn)獲證App運營者在認(rèn)證過程中存在欺騙、隱瞞、違反承 諾等不當(dāng)行為,影響認(rèn)證有效性;(4)獲證App運營者拒絕接受獲證后監(jiān)督;(5)超過暫停期限;(6)其他依法應(yīng)當(dāng)撤銷的情形。撤銷認(rèn)證后,獲證App運營者應(yīng)交回認(rèn)證證書,停止使用認(rèn)證標(biāo)志6.3.3 注銷認(rèn)證有下列情形之一的,認(rèn)證機構(gòu)應(yīng)注銷認(rèn)證,并予以公布:(1)獲證App不再向用戶提供服務(wù);(2)獲證App運營者申請注銷;(3)其他依法應(yīng)當(dāng)注銷的情形。注銷認(rèn)證后,獲證App運營者應(yīng)交回認(rèn)證證書,停止使用認(rèn)證標(biāo)志7認(rèn)證證書和認(rèn)證標(biāo)志的使用和管理7.1 認(rèn)證證書的使用和管理在認(rèn)證證書有效期內(nèi),獲證 App運營者可將證書在網(wǎng)站、工作場 所和宣傳資料中展示,但不應(yīng)進行誤導(dǎo)性宣傳。7.2 認(rèn)證標(biāo)志及其使用和管理7.2.1 認(rèn)證標(biāo)志的式樣認(rèn)證標(biāo)志的式樣由基本圖案、認(rèn)證機構(gòu)識別信息組成。A B C D“ABCD”代表認(rèn)證機構(gòu)識別信息。7.2.2 認(rèn)證標(biāo)志的使用和管理認(rèn)證機構(gòu)應(yīng)規(guī)定認(rèn)證標(biāo)志的使用和管

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論