网络预约汽车服务数据安全

一、业务背景

在全球信息化进入全面渗透、跨界融合、加速创新、引领发展的大趋势下，数据呈现爆发增长，也带来了前所未有的风险与安全挑战，对数据的掌控能力日益成为衡量国家竞争力的关键因素，数据安全成为大国博弈的战场之一。国家对数据安全给与了极大的关注，《中华人民共和国数据安全法》是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定的法律，自2021年9月1日起施行。2021年11月1日，《中华人民共和国个人信息保护法》施行。GB/T 42017-2022《信息安全技术 网络预约汽车服务数据安全要求》适用于对网络预约汽车服务组织的数据安全能力进行评估，也可作为网络预约汽车服务组织开展数据安全能力建设时的依据。

二、业务介绍

网络预约汽车服务数据安全能力认证是依据《信息安全技术 网络预约汽车服务数据安全要求》标准（GB/T 42017-2022），对网络预约汽车服务企业的数据安全能力进行检验，对数据安全能力等级做出评价。

《信息安全技术 网络预约汽车服务数据安全要求》（GB/T 42017-2022）于2022年10月12日发布，2023年5月1日正式实施。该标准由中国电子技术标准化研究院、中国网络安全审查技术与认证中心、北京信息安全测评中心等业内权威机构、学术单位、企业多方，经标准预研、标准编制、试点应用、提升完善，最终成为国家标准，由全国信息安全标准化技术委员会（SAC/TC260）提出并归口，国家市场监督管理总局与中国国家标准化管理委员会联合发布。

GB/T 42017以网络预约汽车服务组织的数据为中心，围绕数据的收集、存储、使用、加工、提供、公开、出境等数据处理活动，按照1-3级，评判组织的数据安全能力。

三、实施该业务的价值 

(1) 理清网络预约汽车服务企业数据安全现状，发现企业和组织的数据安全能力短板；

(2) 带来差异化竞争力：网络预约汽车服务数据安全能力认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位；

(3) 减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失；

(4) 增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识，确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平；

(5) 从数据的安全保护、合规使用到数据的开发利用，网络预约汽车服务数据安全能力认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

四、业务流程

企业如想获得网络预约汽车服务数据安全能力认证证书，首先需要对照《信息安全技术 网络预约汽车服务数据安全要求》（GB/T 42017-2022）标准进行差距分析；其次建立数据管理组织，完善制度，内部运行并开展自评估，确定申请认证的数据安全能力等级；根据自评估结果向赛西认证提出认证申请，赛西认证收到企业提供的资料后，与企业签订认证合同，按照公正、合理、规范的原则，对企业的数据安全能力进行检验和评价，按照最终的评价结果颁发相应的等级证书。  

组织应向赛西认证提供申请认证的网络预约汽车服务所有业务系统运行的充分信息，认证时要到企业业务系统所涉及的物理场所进行现场评价，最后得出综合的评价结论。所以企业在提交数据安全能力成熟度认证申请表时，需要提交申请认证的业务系统所涉及的场所清单，评价时会对网点进行抽样。

认证分两个阶段进行：第一阶段审核，主要对申请方的《信息安全技术 网络预约汽车服务数据安全要求》自评估表以及相关佐证材料进行文件审查，对文件审查中发现的未达到项，申请方应及时修改、补充提交必要的文件，文件整改实施期限原则上不超过 10 个工作日，评价组出具文件审查报告，给出是否进行现场评价的建议及现场评价中需重点关注的事项。第二阶段审核，认证机构评价组依据GB/T 42017-2022对组织的数据安全管理能力相关的安全能力要求进行审核，作出现场审核的推荐结论。

证书有效期3年，获得认证后每年进行一次监督，两次监督间隔不得超过12个月。