7月11日,《互联网新技术新业务安全评估第三方服务自律公约》签约仪式在2019中国互联网大会权威发布论坛上正式举行。在工业和信息化部网络安全管理局处长姚志杰、中国互联网协会副秘书长宋茂恩和互联网新技术新业务安全评估中心副主任覃庆玲的见证下,近20家安全评估服务机构进行了现场签约。
互联网新技术新业务安全评估第三方服务指受电信和互联网业务经营者的委托,对其拟上线运营或在线经营的业务开展安全评估,识别发现其存在的安全风险,评价是否具备健全、完备、必要的安全保障措施能力,并有针对性的提出整改建议的安全咨询服务活动。随着近年来的发展,安全评估工作已成为维护网络信息安全、促进互联网行业健康发展的重要抓手。
自2019年3月开始,中国互联网协会在工业和信息化部网络安全管理局的委托和指导下,积极开展互联网新技术新业务安全评估服务自律工作,旨在进一步规范安全评估服务市场、保障服务质量,引导企业提高安全风险防范和应急处置能力,创造良好的行业发展环境。
在充分调研的基础上,《互联网新技术新业务安全评估第三方服务自律公约》重点突出了人员培训、信用评价、自我承诺、社会监督、畅通沟通协作等行业共性要求,它的签订实施将形成行业自律合力,推动安全评估服务自律工作进入新阶段。中国互联网协会作为本次公约的执行单位,将坚决做好相关的推进及监督工作,使公约发挥实效。我们也欢迎更多的安全评估服务机构加入到公约中来,与我们一同致力于提高安全评估行业的规范性和专业性。
下一步,协会将以《互联网新技术新业务安全评估第三方服务自律公约》为着力点,在畅通宣传交流机制、贯彻信用监督、提升队伍专业素质、建立安全评估能力评价体系、完善行业标准规范等方面继续开展工作,积极稳妥、深入细致地将安全评估服务自律工作做好做实。
《互联网新技术新业务安全评估第三方服务自律公约》
互联网新技术新业务安全评估第三方服务自律公约
第一章 总 则
-
为规范互联网新技术新业务安全评估(以下简称“安全评估”)第三方服务机构行为,遵照“鼓励发展、示范引导、效果监督、信用评价”的原则,建立安全评估第三方服务自律机制,确保安全评估第三方服务专业、公正、中立、客观,依法推动和保障电信和互联网行业网络和数据安全措施能力健全完善。
-
本公约所称互联网新技术新业务安全评估第三方服务是指受电信和互联网业务经营者的委托,对其拟上线运营或在线经营的业务开展安全评估,识别发现其存在的安全风险,评价是否具备健全、完备、必要的安全保障措施能力,并有针对性的提出整改建议的安全咨询服务活动。
-
根据《互联网新技术新业务安全评估服务机构认定准则》(2017-0934T-YD)(以下简称《认定准则》)、《互联网新技术新业务安全评估指南》(YD/T2016-3169),制定本公约。倡议安全评估第三方服务机构加入本公约,从维护国家安全、社会公益和公民个人权益的高度出发,积极推进行业自律,创造良好的行业发展环境。
-
中国互联网协会作为本公约的执行机构,负责组织实施本公约。安全评估第三方服务机构签署本公约后成为公约成员机构,受本公约约束,遵守执行本公约内容。
第二章 自律条款
-
安全评估第三方服务机构应参照《认定准则》,持续进行能力建设。机构应配备具有安全评估必要技能经验的专业人员和工作团队,满足具备可靠可信评估技术能力和配套实验环境的条件,具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度,依据有关法律法规和技术标准要求,严格严谨、客观公正、独立组织实施安全评估活动,出具安全评估报告,确保评估质量,全面、客观地反应业务网络和数据安全保障措施及能力配套情况。
-
安全评估第三方服务机构应保证不分包或转包安全评估项目,不从事能影响评估结果公正性的业务;公平合法、诚实守信,不扰乱评估市场秩序,不采用不正当手段进行竞争。
-
安全评估第三方服务机构应自觉接受社会监督,加强沟通协作和工作交流,积极参与安全评估有关标准及问题研讨,共同营造行业发展良好环境。
-
安全评估第三方服务机构应在每年3月15日前向公约执行机构主动报告前一年度安全评估服务开展情况、机构和人员资质能力情况、机构重大事项调整、服务投诉举报处理情况等。
-
安全评估第三方服务机构,针对在业界已形成一定规模的互联网新技术新业务主体或新型业态,宜结合自身实践优势向执行机构积极建言新技术标准或安全评估方法,便于推动自律工作适应产业发展需要。
-
安全评估第三方服务机构及其从业人员应自觉遵守国家有关网络和数据安全的法律、法规和政策,大力弘扬中华民族优秀文化传统和社会主义精神文明的道德准则,积极推动安全评估职业道德建设。
-
安全评估第三方服务机构及其从业人员应按照法律法规及合同约定,根据授权查阅、使用并妥善保管有关工作资料及数据文件,遵守保密义务和工作纪律;不得将工作中获得的数据信息用于非评估必要用途。
-
安全评估第三方服务机构及其从业人员应保证不利用工作便利,徇私舞弊、弄虚作假,出具与真实情况不一致的评估报告,谋取不正当利益。
-
安全评估第三方服务机构及其从业人员应自觉接受安全评估有关政策法规、专业技能、职业道德规范等内容的教育培训,每年每人保证不少于30学时。
第三章 公约执行
-
公约执行机构负责宣贯传达安全评估法规、政策及自律信息,维护公约成员机构的正当利益,组织实施行业自律。
-
公约执行机构每年组织开展安全评估第三方机构服务信用监督工作,按照规范有序的工作流程和监督方案,结合机构主动报告、服务投诉反馈、质量巡检监测、安全责任考核与专项检查、重大安全风险预警排查、重要活动保障等信息,对公约成员机构的专业能力、服务质量、人员经验、技术实力、项目管理等抽检,开展综合信用监督管理,并对监督结果进行公示。
-
公约成员机构违反本公约,造成权益损害结果或不良影响的,由公约执行机构核实后视情况内部通报或向社会公示;情节严重的,取消公约成员资格。公约成员机构可对其他成员机构违反公约情况进行举报,公约执行机构应组织进行查证核实,公布查实情况并依本公约处理。
-
公约成员机构之间发生争议和纠纷时,应当本着互谅互让、团结协作的原则,争取以协商方式解决,也可以提请公约执行机构进行调解。公约执行机构有义务通过合理合规的方式尽快组织相关调解工作,并通报调解结果。
-
公约执行机构根据互联网新技术新业务发展形势,每年组织不少于一次安全评估相关政策法规、技术标准、职业道德规范等内容的教育培训。
-
本公约执行机构及成员机构在实施和履行本公约过程中必须遵守国家有关法律、法规。
第四章 附 则
-
本公约旨在鼓励、敦促公约成员提升安全评估服务的质量及规范性。签订本公约不等同于新技术新业务安全评估服务能力和资质已获认可。严禁任何公约签订单位借以本公约名义进行不恰当宣传。
-
本公约自公约成员机构法定代表人或其委托代表签字并加盖单位公章后生效并施行,并在生效后的30日内进行公示。
-
本公约生效期间,遵循“动态修订、逐步完善”的原则,经公约执行机构或本公约三分之一以上成员机构提议,并经三分之二以上成员机构同意,可以对本公约进行修改。
-
本公约由中国互联网协会负责解释。