安全信息管理，北京恩格威认证ISO27001信息安全管理体系认证介绍

北京恩格威认证信息安全管理体系认证介绍

北京恩格威认证中心有限公司（简称恩格威，缩写NGV），成立于2001年考什么证赚钱多，是经中国国家认证认可监督管理委员会批准设立安全信息管理，获得CNAS和JAS-ANZ认可，具有独立企业法人资格权威的第三方综合型技术服务机构。

下面证果果为大家讲解一下北京恩格威认证信息安全管理体系认证相关问题

更多认证机构信息可以到/shop查看。

查找更多认证机构可以登录证果果网站查询

信息安全管理体系认证概述:

是一个ISMS体系实施规范，并可使用该规范对组织的信息安全管理体系进行审核与认证，以保证组织能摆脱信息安全遭破坏。:2013标准，是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。作为一套管理标准安全信息管理，北京恩格威认证ISO27001信息安全管理体系认证介绍，指导相关人员如何去应用ISMS，其最终目的，还在于建立适合企业需要的信息安全管理体系。

信息安全管理标准是国际上具有代表性的信息安全管理体系标准。信息安全管理对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。

NGV拥有一支专业的审核团队，为您提供专业且全方位的信息安全管理体系认证，并为您提供及时的审核安排及高效的认证评审流程。

NGV提供的认证为各个生产商和贸易商带来的巨大好处：

通过认证可改善全体的业绩、消除不信任感。

获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。

建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

认证范围

证书样本

安全管理从范畴，【汽车数据合规系列】汽车数据安全管理年度报送知多少

前言

本文针对汽车行业年度汽车数据安全管理情况的报送，从监管要求和具体报送操作不同角度，为企业落实汽车数据安全管理情况报送义务提供些许抓手和参考。

一、 汽车数据报送的法定义务

随着智能汽车相关技术的不断发展，汽车数据处理能力日益增强，汽车数据安全问题和风险隐患也日益突出。相较于其他传统行业，汽车行业的所面临的数据及个人信息保护处理场景更为复杂，汽车数据的场景涉及的参与主体众多，所涉数据及个人信息的种类繁多，数量可观考证含金量排行榜，且包含大量重要数据、敏感个人信息等需要被重点关注和采取更高合规要求的内容。因此，监管部门也在不断深化和细化对于汽车数据及个人信息保护的监管要求，加强对重要数据和个人信息的保护力度。

2021年出台的《汽车数据安全管理若干规定（试行）》（下称“《汽车数据规定》”），可谓是“从顶层设计上对汽车数据安全管理进行了规范[1]”。《汽车数据规定》对汽车数据处理者在汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据的处理活动提出了明确的要求。而针对开展重要数据处理活动的汽车数据处理者，《汽车数据规定》提出了每年向网信部门和有关部门报送年度汽车数据安全管理情况（以下简称“汽车数据安全管理年报”）的要求。根据《汽车数据规定》第十三条的规定，汽车数据处理者开展重要数据处理活动，应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送“汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；处理汽车数据的种类、规模、目的和必要性；汽车数据的安全防护和管理措施；向境内第三方提供汽车数据情况；汽车数据安全事件和处置情况；汽车数据相关的用户投诉和处理情况及有关部门明确的其他汽车数据安全管理情况”。对于向境外提供重要数据的汽车数据处理者，《汽车数据规定》第十四条进一步明确，在上述要求报送的常规信息基础上，还需要补充报送境外接收者的基本情况；出境汽车数据的种类、规模、目的和必要性；汽车数据在境外的保存地点、期限、范围和方式；涉及向境外提供汽车数据的用户投诉和处理情况及有关部门明确需要报告的其他情况。

二、 各地监管部门对汽车数据安全管理情况报送的要求

（一）谁来报？

根据《汽车数据规定》的定义，汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等开展汽车处理活动的组织，均属于《汽车数据规定》项下的“汽车数据处理者”范畴，因此，受其规制的主体不仅仅限于通常意义上理解的“汽车企业”，即汽车制造商、经销商等，其上下游的其他参与者在处理汽车数据时，同样需要遵守《汽车数据规定》项下的相关规定。

针对汽车数据安全管理年报，《汽车数据规定》将其缩限于“开展重要数据处理活动”。何谓“重要数据”？《汽车数据规定》在明确重要数据定义的基础上，进一步列举了6大类的汽车行业的重要数据，包括：

因此，并非所有的汽车数据处理者均需要进行汽车数据安全管理情况报送，仅有开展“重要数据”处理的汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等汽车行业企业才需履行该义务。

根据2021年度及2022年度各省市地区网信部门发布的对报送汽车数据安全管理情况的要求，报送主体大多要求为注册地为该省市或“本省/市”的汽车数据处理者。在明确按照“注册地”属地原则进行报送的省市，开展“重要数据”处理的汽车数据处理者可以根据企业注册地址判断申报地点安全管理从范畴，但对于仅规定在“本省/市”的地区，如企业汽车数据处理者跨省市经营或在多地存在分支机构等复杂情况，还需进一步与所在地网信部门沟通，确认是否可以集中报送。

此外，尽管2021年度的报送要求中，有部分省市未提及“开展重要数据处理活动”的限定安全管理从范畴，【汽车数据合规系列】汽车数据安全管理年度报送知多少，但根据上位法《汽车数据规定》的要求，并参考2022年度各地更为细致统一的报送要求，可以推断，报送主体仍应限定为“开展重要数据处理活动”的注册地或所在地为当地的汽车数据处理者。

（二）如何报？

依据《汽车数据规定》，汽车数据处理者应当在每年十二月十五日前进行报送。由于《汽车数据规定》自2021年10月1日起开始施行，作为《汽车数据规定》出台后的首个报送年度，仅有广东、河北、江苏、湖南、天津、上海6个省市的网信办在公开渠道发布关于2021年度汽车数据安全管理情况报送的通知，且部分地方网信办将汽车数据安全管理情况的截止时间做了一定程度的延长。

我们对2021年度相关省市网信部门对报送汽车数据安全管理情况的要求进行了梳理：

考虑到2021年是汽车数据处理企业和监管部门开展汽车数据安全管理年报的首个年度，部分省市未制定汽车数据安全管理情况报告的参考模板（以下简称“《参考模板》”）供报送企业参考，相关汽车数据处理企业对《汽车数据规定》等监管要求可能也未理解透彻，监管口径和报送的审核也尚在摸索期，首年度或多或少存在问题在所难免。但在监管部门与报送企业间经过一年的调研、交流、研讨，在报送的细则上有了更明确的要求。2022年11月起，各省市地区的网信部门陆续发布2022年度汽车数据安全管理情况报送的通知，与2021年相比，在以下方面有明显的变化：

1. 要求报送的地区增加

首先，在公开渠道发布关于2022年度汽车数据安全管理情况报送的通知及要求的省级部门明显增多。根据我们的初步统计，截至2022年底，共有16个省市地区的网信部门在其官方公众号发布关于要求汽车数据处理者进行汽车数据安全管理年度报告工作的通知。

2. 提供标准《参考模板》的地区增加

其次，大部分网信部门均在通知中公开提供了可供报送企业参考的《参考模板》。除江苏和福建两省份的汽车数据处理者需要通过官方平台报送而未提供《参考模板》外，其余需要自行开展报送的省份均提供了《参考模板》及填报说明，供相关企业参考。

3. 报送时间基本统一

再次，除江苏网信办将报送截止日期延长至2023年1月10日24时外，其余开展年度报送的省份网信部门，均要求填报企业按照《汽车数据规定》的要求在2022年12月15日前完成报送。

为便于阅读，我们对2022年度相关省市发布的报送通知中的部分信息梳理如下：

4. 明确开展走访调研安排

此外，北京、上海、广东和江西的网信办还在通知中明确，将依据报送情况，选择重点单位进行实地走访调研，指导排查数据安全风险隐患。江苏省网信办也在2023年3月发布通知，定于2023年3-4月在江苏省范围内组织开展汽车数据安全风险排查，由此推测，其他省市地区的网信部门亦可能在开展年度报送后，挑选重点企业进行实地走访调研，这也可能将成为未来的监管趋势之一，需要相关汽车数据处理者予以关注。

（三）报什么？

尽管《汽车数据规定》对数据处理者的报送要求范围做出了较为详细的规定，但各省市网信部门在执行层面发布的要求进一步细化，也体现其在执行层面的监管口径，因此，各地汽车数据处理者所需要具体的报送内容更依赖于相关省市网信部门发布的《参考模板》。

针对《汽车数据规定》规定但未具体明确的“年度”，在大部分省市网信部门发布的《参考模板》中的《汽车数据安全管理情况报告填报说明》给出了明确的指向，其计算期间为“前一年12月1日至填报年11月30日”。

《参考模板》通常由七大部分组成，包括基本情况、汽车数据处理总体情况、汽车数据安全防护和管理措施、向境内第三方提供汽车数据情况、向境外提供汽车数据情况、安全事件及用户投诉处置情况及其他。为便于阅读，我们以上海《参考模板》为例，对《参考模板》的框架和基本内容进行梳理：

汽车数据处理者如何预判其日常经营是否符合相关的监管要求，及时进行自查和整改？除相关法律法规外，或许可以从国家及行业标准层面获得一些参考。

2022年10月19日，全国信息安全标准化技术委员会针对汽车处理者处理汽车数据的全流程，发布了GB/T -2022《信息安全技术 汽车数据处理安全要求》（以下简称“《汽车数据要求》”），《汽车数据要求》从“通用安全要求”、“车外数据安全要求”、“座舱数据安全要求”及“管理安全要求”四大方面着手，从国标层面针对汽车数据处理者落实《汽车数据规定》提出了全方位的要求。

值得关注的是，《汽车数据要求》第1条明确，该标准适用于汽车数据处理者开展汽车数据处理活动，适用于汽车的设计、生产、销售、使用和运维，也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。

结合各地网信部门提供的《参考模板》，不难发现《汽车数据要求》与《参考模板》中汽车数据处理者需填报的内容存在一定的对照关系。以北京市网信办和上海市网信办提供的2022年度的《参考模板》为例，在第三部分“汽车数据安全防护和管理措施”环节，两地网信部门均要求进行报送的汽车数据处理者从“车外人脸信息匿名化处理情况”、“默认不收集座舱数据情况”、“座舱数据向车外提供情况”、“处理个人信息的显著告知情况”、“汽车数据收集精度范围情况”、“汽车数据脱敏处理情况”、“持续提示收集敏感个人信息情况”、“汽车数据保存地点与期限情况”“汽车充电网数据处理情况”等方面进行说明。除其中的汽车数据收集精度范围情况和汽车充电网数据处理情况在《汽车数据要求》未有涉及外，针对其余需要汽车数据处理者填写的内容，《汽车数据要求》中均作出了较为具体和明确的要求。

因此，虽然《汽车数据要求》仅为非具有强制约束力的国家标准，但对汽车数据处理者而言，《汽车数据要求》不仅是其落实《汽车数据规定》项下的各项义务的重要参考和指引，也必然成为监管部门在评审相关汽车数据安全管理年度报告、开展汽车数据安全风险排查等工作的抓手和准绳。

三、 汽车数据安全管理情况报送的注意事项

经过对相关汽车数据处理企业所报送的汽车数据安全管理年报的评审，部分省市通信管理局就评审结果进行了分析。以上海地区为例，上海市通信管理局于2022年3月1日发文称，经有关行业组织专家组对各汽车数据处理企业报送的数据安全年报进行评审，2021年度，仅有2家企业报送的材料完整、目录清晰、内容充实，整体年报质量较好；其余企业的数据年报未达到合格要求，有待进一步整改[2]。综合各地区网信部门对报送结果以及汽车数据安全风险排查的反馈，汽车数据安全管理情况报送主要存在内容缺失不完整，描述前后不一致；未提供实施工作的证明材料；缺少用户请求删除数据的合理渠道；重要数据出境未落实评估备案等几方面问题。

依据多地《汽车数据安全管理情况报告填报说明》，汽车数据处理者在汽车数据安全管理情况报送中可能需要关注以下几方面的内容：