2021年12月08日 17:33
(2019年7月11日发布)
第一章 总 则
第一条 为规范互联网新技术新业务安全评估(以下简称“安全评估”)第三方服务机构行为,遵照“鼓励发展、示范引导、效果监督、信用评价”的原则,建立安全评估第三方服务自律机制,确保安全评估第三方服务专业、公正、中立、客观,依法推动和保障电信和互联网行业网络和数据安全措施能力健全完善。
第二条 本公约所称互联网新技术新业务安全评估第三方服务是指受电信和互联网业务经营者的委托,对其拟上线运营或在线经营的业务开展安全评估,识别发现其存在的安全风险,评价是否具备健全、完备、必要的安全保障措施能力,并有针对性的提出整改建议的安全咨询服务活动。
第三条 根据《互联网新技术新业务安全评估服务机构认定准则》(2017-0934t-yd)(以下简称《认定准则》)、《互联网新技术新业务安全评估指南》(yd/t2016-3169),制定本公约。倡议安全评估第三方服务机构加入本公约,从维护国家安全、社会公益和公民个人权益的高度出发,积极推进行业自律,创造良好的行业发展环境。
第四条 中国互联网协会作为本公约的执行机构,负责组织实施本公约。安全评估第三方服务机构签署本公约后成为公约成员机构,受本公约约束,遵守执行本公约内容。
第二章 自律条款
第五条 安全评估第三方服务机构应参照《认定准则》,持续进行能力建设。机构应配备具有安全评估必要技能经验的专业人员和工作团队,满足具备可靠可信评估技术能力和配套实验环境的条件,具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度,依据有关法律法规和技术标准要求,严格严谨、客观公正、独立组织实施安全评估活动,出具安全评估报告,确保评估质量,全面、客观地反应业务网络和数据安全保障措施及能力配套情况。
第六条 安全评估第三方服务机构应保证不分包或转包安全评估项目,不从事能影响评估结果公正性的业务;公平合法、诚实守信,不扰乱评估市场秩序,不采用不正当手段进行竞争。
第七条 安全评估第三方服务机构应自觉接受社会监督,加强沟通协作和工作交流,积极参与安全评估有关标准及问题研讨,共同营造行业发展良好环境。
第八条 安全评估第三方服务机构应在每年3月15日前向公约执行机构主动报告前一年度安全评估服务开展情况、机构和人员资质能力情况、机构重大事项调整、服务投诉举报处理情况等。
第九条 安全评估第三方服务机构,针对在业界已形成一定规模的互联网新技术新业务主体或新型业态,宜结合自身实践优势向执行机构积极建言新技术标准或安全评估方法,便于推动自律工作适应产业发展需要。
第十条 安全评估第三方服务机构及其从业人员应自觉遵守国家有关网络和数据安全的法律、法规和政策,大力弘扬中华民族优秀文化传统和社会主义精神文明的道德准则,积极推动安全评估职业道德建设。
第十一条 安全评估第三方服务机构及其从业人员应按照法律法规及合同约定,根据授权查阅、使用并妥善保管有关工作资料及数据文件,遵守保密义务和工作纪律;不得将工作中获得的数据信息用于非评估必要用途。
第十二条 安全评估第三方服务机构及其从业人员应保证不利用工作便利,徇私舞弊、弄虚作假,出具与真实情况不一致的评估报告,谋取不正当利益。
第十三条 安全评估第三方服务机构及其从业人员应自觉接受安全评估有关政策法规、专业技能、职业道德规范等内容的教育培训,每年每人保证不少于30学时。
第三章 公约执行
第十四条 公约执行机构负责宣贯传达安全评估法规、政策及自律信息,维护公约成员机构的正当利益,组织实施行业自律。
第十五条 公约执行机构每年组织开展安全评估第三方机构服务信用监督工作,按照规范有序的工作流程和监督方案,结合机构主动报告、服务投诉反馈、质量巡检监测、安全责任考核与专项检查、重大安全风险预警排查、重要活动保障等信息,对公约成员机构的专业能力、服务质量、人员经验、技术实力、项目管理等抽检,开展综合信用监督管理,并对监督结果进行公示。
第十六条 公约成员机构违反本公约,造成权益损害结果或不良影响的,由公约执行机构核实后视情况内部通报或向社会公示;情节严重的,取消公约成员资格。公约成员机构可对其他成员机构违反公约情况进行举报,公约执行机构应组织进行查证核实,公布查实情况并依本公约处理。
第十七条 公约成员机构之间发生争议和纠纷时,应当本着互谅互让、团结协作的原则,争取以协商方式解决,也可以提请公约执行机构进行调解。公约执行机构有义务通过合理合规的方式尽快组织相关调解工作,并通报调解结果。
第十八条 公约执行机构根据互联网新技术新业务发展形势,每年组织不少于一次安全评估相关政策法规、技术标准、职业道德规范等内容的教育培训。
第十九条 本公约执行机构及成员机构在实施和履行本公约过程中必须遵守国家有关法律、法规。
第四章 附 则
第二十条 本公约旨在鼓励、敦促公约成员提升安全评估服务的质量及规范性。签订本公约不等同于新技术新业务安全评估服务能力和资质已获认可。严禁任何公约签订单位借以本公约名义进行不恰当宣传。
第二十一条 本公约自公约成员机构法定代表人或其委托代表签字并加盖单位公章后生效并施行,并在生效后的30日内进行公示。
第二十二条 本公约生效期间,遵循“动态修订、逐步完善”的原则,经公约执行机构或本公约三分之一以上成员机构提议,并经三分之二以上成员机构同意,可以对本公约进行修改。
第二十三条 本公约由中国互联网协会负责解释。
首批签约单位(19家,排名不分先后):
广东省信息安全测评中心、广州竞远、中国电信上海研究院、中国电信集团系统集成有限责任公司、中国信通院、中国联通研究院、中通服咨询设计研究院、天融信、安天、北京在信恒通、启明星辰、通和实益电信科学技术研究所、江苏君立华域、华信咨询设计研究院、杭州世平、奇安信、河南信安世纪、国家计算机网络应急技术处理协调中心、重庆市信息通信咨询设计院