« 経済産業省 METI解体新書 サイバーセキュリティ対策は企業価値を守る“投資” (2022.06.06) | Main | デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08) »

2022.06.13

中国 GB/T 41479 ネットワークデータセキュリティ処理マネジメント要求に基づく認証に関する通知

こんにちは、丸山満彦です。

中国が、GB/T 41479《信息安全技术 网络数据处理安全要求》 (GB/T 41479-2022   Information security technology—Network data processing security requirements) に基づくデータキュリティマネジメント認証についての通知をしていますね。。。

GB/T 41479《信息安全技术 网络数据处理安全要求》は2022.04.15に発行され、2022.11.01に施行されますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.06.09 国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告

 

关于开展数据安全管理认证工作的公告 データセキュリティマネジメントの認証に関する通知
国家市场监督管理总局 国家市場監督管理総局
国家互联网信息办公室 国家サイバースーペース管理局
公 告 公告
2022年第18号 2022年第18号
关于开展数据安全管理认证工作的公告 データセキュリティマネジメントの認証に関する通知
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》(见附件)实施认证。 中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国認証認可規則の関連規定に基づき、国家市場監督管理総局と国家インターネット情報局は、データセキュリティ管理認証作業を実施し、ネットワーク運営者が認証によってネットワークデータ処理活動を規制し、ネットワークを強化するよう促すことを決定しました データセキュリティの保護 データセキュリティマネジメント認証活動を行う認証機関は、法令に基づき、「データセキュリティマネジメント認証実施規程」(別紙参照)に従って設立され、認証を実施するものとする。
特此公告。 以上、発表する。
附件:数据安全管理认证实施规则 別紙:データセキュリティマネジメントの認証の実施規則
国家市场监督管理总局   国家互联网信息办公室 国家市場監督管理総局 国家サイバースペース管理局
2022年6月5日 2022年6月5日
附件 別紙
数据安全管理认证实施规则 データセキュリティマネジメント認証取得のための実施規則
1 适用范围 1 適用範囲
本规则依据《中华人民共和国认证认可条例》制定,规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。 本規則は、「中華人民共和国認証及び認定に関する規則」に基づいて制定され、ネットワーク事業者がネットワークデータの収集、保存、使用、処理、伝送、提供及び開示などの処理活動を行うための認証に関する基本原則と要件を定める。
2 认证依据 2 認証根拠
GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范。 GB/T 41479 "情報セキュリ技術 ネットワーク・データ処理セキュリティ要求" および関連する標準仕様書。
上述标准原则上应当执行国家标准化行政主管部门发布的最新版本。 上記の規格は、原則として国家標準化管理部門が発行する最新版により実施すること。
3 认证模式 3 認証方法
数据安全管理认证的认证模式为: データセキュリティマネジメント認証の認証方式
技术验证+现场审核+获证后监督 技術検証+現地監査+認証取得後の監督
4 认证实施程序 4 認証実施手順
4.1 认证委托 4.1 認証委託
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 認証機関は、認証委託者の基本資料、認証委託書、関連する補足資料等を含むがこれらに限定されない認証委託情報の要件を規定するものとする。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。 認証委託者は、認証機関の要求に応じて認証委託情報を提出するものとし、認証機関は、監査後、認証委託情報の受理について適時フィードバックするものとする。
认证机构应当根据认证委托资料确定认证方案,包括数据类型和数量、涉及的数据处理活动范围、技术验证机构信息等,并通知认证委托人。 認証機関は、データの種類と量、関与する情報処理活動の範囲、技術検証機関情報等の認証委託情報に基づき、認証スキームを決定し、認証委託者に通知するものとする。
4.2 技术验证 4.2 技術検証
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。 技術検証機関は、認証スキームに従って技術検証を実施し、認証機関および認証主体に技術検証報告書を発行する。
4.3 现场审核 4.3 現地監査
认证机构实施现场审核,并向认证委托人出具现场审核报告。 現地監査を実施する認証機関、および認証委員が現地監査報告書を発行する。
4.4 认证结果评价和批准 4.4 認証結果の評価と承認
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 認証機関は、認証委託者の情報、技術検証報告書、現地監査報告書と包括的な評価のための他の関連情報に応じて、認証の決定を行う。 認証の要件を満たしている場合、認証証明書を発行する。認証要件を一部満たしていない場合は、制限期間内に認証委託者が是正するよう要求することができる。それでも是正がされない場合は、書面で認証を終了する認証委託者に通知する。
如发现认证委托人、网络运营者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 認証委託者またはネットワーク運営者が、虚偽、情報の隠蔽、意図的な認証要件違反、その他認証の実施に重大な影響を与える行為を行ったことが判明した場合は、認証を通過させることができません。
4.5 获证后监督 4.5 認証取得後の監督
4.5.1 监督的频次 4.5.1 監督の頻度
认证机构应当在认证有效期内,对获得认证的网络运营者进行持续监督,并合理确定监督频次。 認証機関は、認証の有効期間中、認証されたネットワーク事業者に対する継続的な監督を行うものとし、その頻度を合理的に決定するものとする。
4.5.2 监督的内容 4.5.2 監督の内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的网络运营者持续符合认证要求。 認証機関は、認証されたネットワーク事業者が認証要件を継続的に満たしていることを確認するために、認証後の監督を実施する適切な方法を講じるものとする。
4.5.3 获证后监督结果的评价 4.5.3 認証取得後の監督結果の評価
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 包括的な評価、通路の評価のための監督と他の関連情報の結論後に認定される認証機関は、認証証明書を維持し続けることができる。不備があった場合、認証機関は、認証証明書の処理の撤回まで、対応する状況に応じて中断されるものとします。
4.6 认证时限 4.6 認証取得時期
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 認証機関は、明確な規定を設け、時間的要件に従って作業が完了するよう、あらゆる側面から認証を実施すべきである。 認証委託者は、認証活動に積極的に協力することが望ましい。
5 认证证书和认证标志 5 認証書と認証マーク
5.1 认证证书 5.1 認証証明書
5.1.1 认证证书的保持 5.1.1 認証証明書の維持管理
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。 認定証の有効期限は3年間とする。 有効期間中、認証機関の認証後の監督を通じて、認証の有効性を維持する。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 認証が失効し、更新が必要な場合、認証委託者は、失効日の6ヶ月前以内に認証委託書を提出する。 認証機関は、認証後の監督を利用して、委員会の認証要件を満たし、新たな認証書を発行するものとする。
5.1.2 认证证书的变更 5.1.2 認証証明書の変更
认证证书有效期内,若获得认证的网络运营者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 認証証明書は、認定されたネットワーク事業者の名前、登録住所、または認証要件、認証およびその他の変更の範囲は、認証委員会は、委員会を変更するには、認証機関に提案されるべきである場合、有効です。 変更の内容に応じて認証機関、変更手数料の情報は、変更が承認されることができるかどうかを判断するために、評価する。 技術検証および/またはサイト監査の場合、また、技術検証および/または現地監査の変更前に承認される必要がある。
5.1.3 认证证书的注销、暂停和撤销 5.1.3 認証の取消し、一時停止及び取消し
当获得认证的网络运营者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。 認証されたネットワーク事業者が認証要件を満たさなくなった場合、認証機関は速やかに認証証を失効するまで停止するものとする。 認証証明書の有効期間内の認証プリンシパルは、証明書の懸濁液、キャンセルを申請することができます。
认证机构应当采用适当方式对外公布被暂停、注销和撤销的网络运营者认证证书。 認証機関は、ネットワーク事業者の認証の一時停止、取り消し、および撤回を適切な手段で公表するものとする。
5.2 认证标志 5.2 認証マーク
Fig_20220612161201
“ABCD”代表认证机构识别信息。 「ABCD」は認証機関識別情報を表す。
5.3 认证证书和认证标志的使用 5.3 認証書と認証マークの使用
在认证证书有效期内,获得认证的网络运营者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。 認証されたネットワーク事業者は、認証書の有効期間中、関連法規に従い、広告その他の宣伝において認証書および認証マークを正しく使用し、公衆に誤解を与えてはならない。
6 认证实施细则 6 認証実施規則
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 認証機関は、規則の関連要件に基づいて、認証の実装手順、認証および実装のための科学的、合理的かつ運用上の細則の制定、および公表を改善するものとする。
7 认证责任 7 認証責任
认证机构应当对现场审核结论、认证结论负责。 認証機関は、現地監査の結論と認証の結論に責任を負う。
技术验证机构应当对技术验证结论负责。 技術検証機関は、技術検証の結論に責任を負う。
认证委托人应当对认证委托资料的真实性、合法性负责。 認証委託者は、認証委託情報の真正性・適法性について責任を負う。

 

 

|

« 経済産業省 METI解体新書 サイバーセキュリティ対策は企業価値を守る“投資” (2022.06.06) | Main | デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済産業省 METI解体新書 サイバーセキュリティ対策は企業価値を守る“投資” (2022.06.06) | Main | デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08) »