移动互联网应用程序App安全认证实施规则.PDFVIP

附件 编号：CNCA-App-001 移动互联网应用程序（App ） 安全认证实施规则 2019-03-13发布 2019-03-15实施 国家认证认可监督管理委员会发布 目录 1 适用范围 1 2 认证依据 1 3 认证模式 1 4 认证程序 1 4.1 认证申请 1 4.2 认证受理 2 4.3 技术验证 2 4.4 现场审核 3 4.5 认证决定 3 4.6 对认证决定的申诉 3 4.7 获证后监督 3 5 认证时限 5 6 认证证书 5 6.1 证书的保持 5 6.2 证书的变更 5 6.3 认证的暂停、撤销和注销 6 7 认证证书和认证标志的使用和管理 7 7.1 认证证书的使用 7 7.2 认证标志及其使用 7 8 认证责任 8 1 适用范围 本规则适用于对移动互联网应用程序（以下称“App”）的数据安全 认证。 2 认证依据 App安全认证的认证依据为GB/T 35273 《信息安全技术个人信息 安全规范》及相关标准、规范。 上述标准原则上应执行国家标准化行政主管部门发布的最新版本。 3 认证模式 App安全认证的认证模式为：技术验证+现场核查+获证后监督。 4 认证程序 4.1 认证申请 4.1.1 申请方 认证申请主体为通过App 向用户提供服务的网络运营者（以下简称 “App运营者”），且取得市场监督管理部门或有关机构注册登记的法人 资格。 App运营者有下列情形之一的，不得申请认证： （1 ）违反相关法律法规； （2 ）在12个月内发生重大信息安全事件； （3 ）所持同类证书在撤销认证影响期内； （4 ）认证机构规定的其他情况。 4.1.2 申请单元的确定 原则上按App版本申请认证。同一名称的App ，版本号、操作系统 平台等不同时，一般应分为不同申请单元，具体由认证机构依据本规 则制定的认证实施细则予以规定。 1 4.1.3 申请方应提交的文件和资料 认证申请方在申请认证时，提交的文档资料应至少包含以下内容： （1 ）认证申请书； （2 ）法人资格证明材料； （3 ）App版本控制说明； （4 ）对认证要求符合性的自评价结果及相关证明文档； （5 ）对App符合相关安全技术标准的证明文件； （6 ）不同发布渠道的版本差异性声明 ； （7 ）其他需要的文件。 4.2 认证受理 认证机构对申请资料进行审核后做出受理决定，并向认证申请方 反馈受理决定。 4.3 技术验证 4.3.1 样品获取 认证申请方按照申请书填写的送样方式提交样本。 送样副本应反映所有发布渠道App副本与认证相关的技术特性；不 能反映时，还应选送申请单元内其他App副本。 4.3.2 技术验证依据的标准 技术验证的依据为 GB/T 35273 《信息安全技术个人信息安全规 范》。 认证机构应根据GB/T 35273制定技术验证规范，确定针对标准要 求的技术验证内容、方法和评价准则。 4.3.3 技术验证方式 技术验证采用实验室检测和现场核查等方式进行。 4.3.4 技术验证实施 检测机构按照技术验证规范实施技术验证，并按照认证机构有关 规定出具技术验证报告。 2 发现不符合时，检测机构向认证申请方出具不符合报告，并要求 限期整改；逾期未完成整改的，中止认证过程。 4.4 现场审核 技术验证通过后，认证机构对App运营者进行现场审核。 4.4.1 现场审核依据的标准 现场审核的依据为 GB/T 35273 《信息安全技术个人信息安全规 范》。 认证机构应根据GB/T 35273 制定现场审核规范 ，确定针对标