網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全

一、業(yè)務(wù)背景

在全球信息化進(jìn)入全面滲透、跨界融合、加速創(chuàng )新、引領(lǐng)發(fā)展的大趨勢下，數據呈現爆發(fā)增長(cháng)，也帶來(lái)了前所未有的風(fēng)險與安全挑戰，對數據的掌控能力日益成為衡量國家競爭力的關(guān)鍵因素，數據安全成為大國博弈的戰場(chǎng)之一。國家對數據安全給與了極大的關(guān)注，《中華人民共和國數據安全法》是為了規范數據處理活動(dòng)，保障數據安全，促進(jìn)數據開(kāi)發(fā)利用，保護個(gè)人、組織的合法權益，維護國家主權、安全和發(fā)展利益，制定的法律，自2021年9月1日起施行。2021年11月1日，《中華人民共和國個(gè)人信息保護法》施行。GB/T 42017-2022《信息安全技術(shù) 網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全要求》適用于對網(wǎng)絡(luò )預約汽車(chē)服務(wù)組織的數據安全能力進(jìn)行評估，也可作為網(wǎng)絡(luò )預約汽車(chē)服務(wù)組織開(kāi)展數據安全能力建設時(shí)的依據。

二、業(yè)務(wù)介紹

網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全能力認證是依據《信息安全技術(shù) 網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全要求》標準（GB/T 42017-2022），對網(wǎng)絡(luò )預約汽車(chē)服務(wù)企業(yè)的數據安全能力進(jìn)行檢驗，對數據安全能力等級做出評價(jià)。

《信息安全技術(shù) 網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全要求》（GB/T 42017-2022）于2022年10月12日發(fā)布，2023年5月1日正式實(shí)施。該標準由中國電子技術(shù)標準化研究院、中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心、北京信息安全測評中心等業(yè)內權威機構、學(xué)術(shù)單位、企業(yè)多方，經(jīng)標準預研、標準編制、試點(diǎn)應用、提升完善，最終成為國家標準，由全國信息安全標準化技術(shù)委員會(huì )（SAC/TC260）提出并歸口，國家市場(chǎng)監督管理總局與中國國家標準化管理委員會(huì )聯(lián)合發(fā)布。

GB/T 42017以網(wǎng)絡(luò )預約汽車(chē)服務(wù)組織的數據為中心，圍繞數據的收集、存儲、使用、加工、提供、公開(kāi)、出境等數據處理活動(dòng)，按照1-3級，評判組織的數據安全能力。

三、實(shí)施該業(yè)務(wù)的價(jià)值 

(1) 理清網(wǎng)絡(luò )預約汽車(chē)服務(wù)企業(yè)數據安全現狀，發(fā)現企業(yè)和組織的數據安全能力短板；

(2) 帶來(lái)差異化競爭力：網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全能力認證能向企業(yè)的客戶(hù)及合作伙伴表明組織保障數據安全的能力，令其對組織的信心加強，有助于增加組織在同行業(yè)內的競爭優(yōu)勢，穩固市場(chǎng)地位；

(3) 減少可能的損失：數據安全能力的提升，能在一定程度上降低數據安全事件給組織帶來(lái)的不良聲譽(yù)影響和可能的經(jīng)濟損失；

(4) 增強員工的意識和相關(guān)技能：提升組織數據安全管理人員的技能，增強全體員工的數據安全意識，確保已建立的數據安全保障體系有效運轉和持續提升，從而整體上提升企業(yè)的數據安全水平；

(5) 從數據的安全保護、合規使用到數據的開(kāi)發(fā)利用，網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全能力認證和持續監督審核是組織數據安全的體檢措施，能為數據生產(chǎn)要素價(jià)值的實(shí)現打好基礎。

四、業(yè)務(wù)流程

企業(yè)如想獲得網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全能力認證證書(shū)，首先需要對照《信息安全技術(shù) 網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全要求》（GB/T 42017-2022）標準進(jìn)行差距分析；其次建立數據管理組織，完善制度，內部運行并開(kāi)展自評估，確定申請認證的數據安全能力等級；根據自評估結果向賽西認證提出認證申請，賽西認證收到企業(yè)提供的資料后，與企業(yè)簽訂認證合同，按照公正、合理、規范的原則，對企業(yè)的數據安全能力進(jìn)行檢驗和評價(jià)，按照最終的評價(jià)結果頒發(fā)相應的等級證書(shū)。  

組織應向賽西認證提供申請認證的網(wǎng)絡(luò )預約汽車(chē)服務(wù)所有業(yè)務(wù)系統運行的充分信息，認證時(shí)要到企業(yè)業(yè)務(wù)系統所涉及的物理場(chǎng)所進(jìn)行現場(chǎng)評價(jià)，最后得出綜合的評價(jià)結論。所以企業(yè)在提交數據安全能力成熟度認證申請表時(shí)，需要提交申請認證的業(yè)務(wù)系統所涉及的場(chǎng)所清單，評價(jià)時(shí)會(huì )對網(wǎng)點(diǎn)進(jìn)行抽樣。

認證分兩個(gè)階段進(jìn)行：第一階段審核，主要對申請方的《信息安全技術(shù) 網(wǎng)絡(luò )預約汽車(chē)服務(wù)數據安全要求》自評估表以及相關(guān)佐證材料進(jìn)行文件審查，對文件審查中發(fā)現的未達到項，申請方應及時(shí)修改、補充提交必要的文件，文件整改實(shí)施期限原則上不超過(guò) 10 個(gè)工作日，評價(jià)組出具文件審查報告，給出是否進(jìn)行現場(chǎng)評價(jià)的建議及現場(chǎng)評價(jià)中需重點(diǎn)關(guān)注的事項。第二階段審核，認證機構評價(jià)組依據GB/T 42017-2022對組織的數據安全管理能力相關(guān)的安全能力要求進(jìn)行審核，作出現場(chǎng)審核的推薦結論。

證書(shū)有效期3年，獲得認證后每年進(jìn)行一次監督，兩次監督間隔不得超過(guò)12個(gè)月。