信息安全技術(shù) 數(shù)據(jù)安全評估機構(gòu)能力要求-編制說明

國家標(biāo)準(zhǔn)編制說明

一、工作簡況

1.1任務(wù)來源

《信息安全技術(shù)數(shù)據(jù)安全評估機構(gòu)能力要求》（以下簡稱“本標(biāo)準(zhǔn)”）是全

國信息安全技術(shù)標(biāo)準(zhǔn)化委員會2022年立項的信息安全國家標(biāo)準(zhǔn)制定項目，任務(wù)

來源依據(jù)是《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于2022年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)項

目立項的通知》（信安字〔2022〕26號），由國家信息技術(shù)安全研究中心牽頭，參

與單位包括中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

等。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。

2023年3月21日，國家標(biāo)準(zhǔn)化管理委員會發(fā)布了《國家標(biāo)準(zhǔn)化管理委員會

關(guān)于下達(dá)2023年第一批推薦性國家標(biāo)準(zhǔn)計劃及相關(guān)標(biāo)準(zhǔn)外文版計劃的通知》國

標(biāo)委發(fā)(2023)10號)，正式下達(dá)了2023年第一批推薦性國家標(biāo)準(zhǔn)計劃項目，將

《信息安全技術(shù)數(shù)據(jù)安全評估機構(gòu)能力要求》(計劃編號:20230256-T-469)納

入本批標(biāo)準(zhǔn)制修訂計劃。

1.2制定背景

2022年3月6日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《關(guān)于發(fā)布2022年

度網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求的通知》（信安秘字〔2022〕47號)，在附件《2022年

網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求清單》中明確了有關(guān)需求，其中本標(biāo)準(zhǔn)擬解決的問題是“支

撐《數(shù)據(jù)安全法》第十八條‘國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，

支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)活動’規(guī)定的落地實施?！?/p>

數(shù)據(jù)安全評估是支撐國家規(guī)范數(shù)據(jù)處理活動、保障數(shù)據(jù)安全的重要抓手，數(shù)

據(jù)安全評估機構(gòu)是開展數(shù)據(jù)安全評估的核心力量，由專業(yè)評估機構(gòu)開展評估工作

是我國的慣例。數(shù)據(jù)安全評估相較于信息安全檢測評估存在特殊性和區(qū)別，制定

《數(shù)據(jù)安全評估機構(gòu)能力要求》用以規(guī)范數(shù)據(jù)安全評估機構(gòu)有序、專業(yè)、有質(zhì)量、

安全可靠地開展數(shù)據(jù)安全評估活動，符合當(dāng)前監(jiān)管形勢需要、符合有關(guān)法律要求。

本標(biāo)準(zhǔn)立足于數(shù)據(jù)安全評估工作的重要性以及數(shù)據(jù)安全評估對機構(gòu)能力要

求的特點，旨在提出切實合理的數(shù)據(jù)安全評估機構(gòu)能力要求，進(jìn)一步支撐《數(shù)據(jù)

1

國家標(biāo)準(zhǔn)編制說明

安全法》第十八條及有關(guān)數(shù)據(jù)安全工作的有效實施，為如何規(guī)范數(shù)據(jù)安全評估機

構(gòu)自身能力建設(shè)、安全有序地執(zhí)行評估任務(wù)、開展評估服務(wù)活動提供解決方案。

1.3起草過程

本標(biāo)準(zhǔn)牽頭單位與部分承擔(dān)單位持續(xù)支撐有關(guān)主管部門數(shù)據(jù)安全相關(guān)工作，

持續(xù)開展國內(nèi)數(shù)據(jù)安全監(jiān)管政策、技術(shù)標(biāo)準(zhǔn)、評估方法和有關(guān)評估機構(gòu)能力方面

的研究，持續(xù)執(zhí)行數(shù)據(jù)安全評估有關(guān)任務(wù)、項目，為本標(biāo)準(zhǔn)制定奠定了基礎(chǔ)。截

止目前的主要工作過程包括：

1.2022年3月。成立標(biāo)準(zhǔn)編制工作組（以下簡稱“編制組”），單位成員包

括：國家信息技術(shù)安全研究中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家計算機網(wǎng)絡(luò)

應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國信息安全測評中心、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證

中心、中國信息通信研究院、中國軟件測評中心、中國科學(xué)技術(shù)大學(xué)、中國科學(xué)

院軟件研究所、工業(yè)和信息化部電子第五研究所、中國電子信息產(chǎn)業(yè)集團(tuán)有限公

司第六研究所。形成《數(shù)據(jù)安全評估機構(gòu)能力要求》標(biāo)準(zhǔn)框架，啟動標(biāo)準(zhǔn)草案編

制，同步編制研究報告、實施應(yīng)用方案。

2.2022年4月。編制完成標(biāo)準(zhǔn)草案第1稿，參與WG7組在2022年第一次

全體會議中組織的研討，繼續(xù)完善標(biāo)準(zhǔn)草案。

3.2022年5-10月。組織多次研討會，編制組先后完成3次標(biāo)準(zhǔn)草案的修

改，同步研制形成《數(shù)據(jù)安全評估機構(gòu)能力要求研究報告》、《<信息安全技術(shù)數(shù)

據(jù)安全評估機構(gòu)能力要求>實施應(yīng)用方案（初稿）》。

4.2022年11月。編制組基本完成標(biāo)準(zhǔn)草案編制，本標(biāo)準(zhǔn)獲批立項，正在

按程序進(jìn)一步征集參編單位，進(jìn)一步完善標(biāo)準(zhǔn)內(nèi)容。

5.2022年12月。標(biāo)準(zhǔn)編制組在信安標(biāo)委2022年第二次工作組會議周上進(jìn)

行項目匯報，聽取專家意見，WG7組會議決議結(jié)論為:同意該標(biāo)準(zhǔn)進(jìn)入征求意見

稿階段。

6.2023年3月。編制組征詢責(zé)任專家、責(zé)任編輯的意見，按照專家意見對

標(biāo)準(zhǔn)文本進(jìn)一步修改完善。

7.2023年4月。編制組在秘書處組織召開的“《信息安全技術(shù)網(wǎng)絡(luò)安全信

息報送指南》等6項網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)專家審查會”上進(jìn)行匯報，會后按照專家

意見對標(biāo)準(zhǔn)文本進(jìn)一步修改完善。

2

國家標(biāo)準(zhǔn)編制說明

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

2.1標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在編制過程中將遵循以下原則：

1.規(guī)范性。嚴(yán)格按照國家標(biāo)準(zhǔn)編制流程進(jìn)行標(biāo)準(zhǔn)的編制工作，力求達(dá)到標(biāo)

準(zhǔn)思路清晰、邏輯合理、文本規(guī)范、內(nèi)容完整。

2.實用性。結(jié)合我國數(shù)據(jù)安全監(jiān)管形勢、國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要

求，在充分研究國內(nèi)外數(shù)據(jù)安全評估機制和國內(nèi)數(shù)據(jù)安全評估機構(gòu)現(xiàn)狀的基礎(chǔ)上

研制本標(biāo)準(zhǔn)，確保本標(biāo)準(zhǔn)實施的實用性和可操作性。

3.協(xié)調(diào)性。廣泛征求業(yè)界專家的意見，同時考慮相關(guān)標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系，充

分吸納科學(xué)合理的意見觀點，確保本標(biāo)準(zhǔn)內(nèi)容在不同使用方之間的協(xié)調(diào)一致。

4.突出重點，科學(xué)創(chuàng)新。數(shù)據(jù)安全評估屬于新型檢測評估領(lǐng)域，本標(biāo)準(zhǔn)編

制過程中，將圍繞數(shù)據(jù)安全評估工作特點和監(jiān)管要求，設(shè)置對應(yīng)重點要求內(nèi)容，

借鑒國內(nèi)外先進(jìn)經(jīng)驗，并在一定程度上支撐實現(xiàn)引領(lǐng)性、創(chuàng)新性要求。

5.加強銜接，支撐落地。本標(biāo)準(zhǔn)在研制過程中，同樣也應(yīng)注重與國家對于

數(shù)據(jù)安全評估機構(gòu)有關(guān)政策要求的銜接關(guān)系，支撐標(biāo)準(zhǔn)應(yīng)用落地實施。

2.2主要內(nèi)容及其確定依據(jù)

本標(biāo)準(zhǔn)能力要求框架見圖1：

圖1數(shù)據(jù)安全評估機構(gòu)能力要求框架圖

數(shù)據(jù)安全評估機構(gòu)能力要求由機構(gòu)基本要求、評估管理能力、評估技術(shù)能力、

評估人員能力、評估資源要求5部分組成。機構(gòu)基本要求包括基本條件、評估工

3

國家標(biāo)準(zhǔn)編制說明

作基礎(chǔ)、公正與獨立性；評估管理能力包括實施管理、安全保密與人員管理、規(guī)

范性管理、風(fēng)險控制、評估業(yè)務(wù)持續(xù)性保障管理；評估技術(shù)能力包括數(shù)據(jù)安全風(fēng)

險評估技術(shù)能力、個人信息保護(hù)影響評估技術(shù)能力、數(shù)據(jù)出境安全評估技術(shù)能力；

評估人員能力包括評估團(tuán)隊組成、人員能力；評估資源要求包括場所和環(huán)境、設(shè)

備和設(shè)施?？傮w上依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》、《個人信息保護(hù)法》、《網(wǎng)

絡(luò)數(shù)據(jù)安全管理條例》（征求意見稿）（以下簡稱“《條例》”）、《數(shù)據(jù)出境安全評

估辦法》等法律法規(guī)和有關(guān)標(biāo)準(zhǔn)編制，結(jié)合了數(shù)據(jù)安全評估特點和實踐經(jīng)驗。其

中：

機構(gòu)基本條件包括機構(gòu)基本要求，評估工作基礎(chǔ)，公正與獨立性要求。編制

過程中參考了有關(guān)文件、標(biāo)準(zhǔn)對評估機構(gòu)的基本要求，以及數(shù)據(jù)安全評估機構(gòu)需

具備的工作基礎(chǔ)和獨立性要求。其中，機構(gòu)基本要求在編制過程中部分參考了信

息安全風(fēng)險評估機構(gòu)、信息技術(shù)產(chǎn)品安全檢測機構(gòu)、等級保護(hù)測評機構(gòu)等相關(guān)國

家標(biāo)準(zhǔn)。

評估管理能力包括實施管理、安全保密與人員管理、規(guī)范性管理、風(fēng)險控制、

評估業(yè)務(wù)持續(xù)性保障管理。結(jié)合實踐經(jīng)驗和有關(guān)法律對評估內(nèi)容的要求（如《條

例》第三十二條、《個人信息保護(hù)法》第五十五條、五十六條），數(shù)據(jù)安全評估需

要更深入了解、評估數(shù)據(jù)處理者的業(yè)務(wù)活動，相較于傳統(tǒng)檢測評估在本部分提出

了嚴(yán)格的管理、風(fēng)險控制和安全保密要求。例如技術(shù)培訓(xùn)時間20學(xué)時參考了《條

例》第三十條重要數(shù)據(jù)的處理者，應(yīng)當(dāng)制定數(shù)據(jù)安全培訓(xùn)計劃，每年組織開展

全員數(shù)據(jù)安全教育培訓(xùn)，數(shù)據(jù)安全相關(guān)的技術(shù)和管理人員每年教育培訓(xùn)時間不得

少于二十小時。

評估技術(shù)能力包括技術(shù)能力類型、數(shù)據(jù)安全風(fēng)險評估技術(shù)能力、個人信息保

護(hù)影響評估技術(shù)能力、數(shù)據(jù)出境安全評估技術(shù)能力。技術(shù)能力類型方面，主要依

據(jù)是目前法律法規(guī)明確的三種評估類型，其中數(shù)據(jù)安全風(fēng)險評估類型依據(jù)《數(shù)據(jù)

安全法》第三十條和《條例》第三十二條確定；個人信息保護(hù)影響評估類型依據(jù)

《個人信息保護(hù)法》第五十五條、五十六條確定；數(shù)據(jù)出境安全評估依據(jù)《數(shù)據(jù)

出境安全評估辦法》第五條及有關(guān)法律法規(guī)要求確定。技術(shù)能力內(nèi)容方面，基于

有關(guān)法律法規(guī)提出的評估內(nèi)容要求，從實施應(yīng)具備的能力角度擴展了有關(guān)技術(shù)方

面的內(nèi)容，并且與正在制定的《信息安全技術(shù)數(shù)據(jù)安全風(fēng)險評估方法》及已發(fā)

4

國家標(biāo)準(zhǔn)編制說明

布的有關(guān)標(biāo)準(zhǔn)形成銜接。

評估人員能力包括評估團(tuán)隊組成、人員能力。結(jié)合實踐經(jīng)驗、上文提到的數(shù)

據(jù)安全評估內(nèi)容要求和有關(guān)依據(jù)、國際層面數(shù)據(jù)安全評估有關(guān)人員的能力要求編

制。

評估資源要求包括場所和環(huán)境、設(shè)備和設(shè)施。參考評估機構(gòu)能力有關(guān)標(biāo)準(zhǔn)，

結(jié)合了數(shù)據(jù)安全評估工作中常見、通用的技術(shù)工具提出能力要求。

此外，本標(biāo)準(zhǔn)還包括“數(shù)據(jù)安全評估機構(gòu)能力證明方法”及“設(shè)備和工具類

型”附件內(nèi)容。有關(guān)內(nèi)容參考了評估機構(gòu)有關(guān)標(biāo)準(zhǔn)和已實施的機構(gòu)能力證明方式

等。

三、試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會效

益和生態(tài)效益

3.1試驗驗證的分析、綜述報告

本標(biāo)準(zhǔn)目前處于草案階段。從計劃角度，一是根據(jù)國家主管部門有關(guān)要求，

視情將標(biāo)準(zhǔn)應(yīng)用于數(shù)據(jù)安全監(jiān)管部門或行業(yè)主管部門的數(shù)據(jù)安全評估機構(gòu)管理、

審批等有關(guān)工作中，以及為有關(guān)認(rèn)證認(rèn)可活動提供檢驗標(biāo)準(zhǔn)支撐；二是在國家信

息技術(shù)安全研究中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處

理協(xié)調(diào)中心、中國信息安全測評中心、中國軟件評測中心等標(biāo)準(zhǔn)編制單位代表及

數(shù)據(jù)安全評估機構(gòu)代表中推廣標(biāo)準(zhǔn)試點，開展標(biāo)準(zhǔn)對標(biāo)建設(shè)、運營自律等試點工

作，進(jìn)一步驗證標(biāo)準(zhǔn)的完備性、可操作性；三是召開試點啟動會，宣講試點工作

方案，并邀請業(yè)界專家對試點工作進(jìn)行指導(dǎo)。結(jié)合測評機構(gòu)實際開展數(shù)據(jù)安全評

估的經(jīng)驗，對本標(biāo)準(zhǔn)各條款進(jìn)行驗證。預(yù)計在試點工作中期，組織推進(jìn)會，對試

點過程中出現(xiàn)的難點問題進(jìn)行研究討論，確保按期高質(zhì)量完成試點工作。

3.2技術(shù)經(jīng)濟(jì)論證

通過監(jiān)管政策進(jìn)一步支持、明確，以及本標(biāo)準(zhǔn)的制定實施，有望在數(shù)據(jù)安全

領(lǐng)域中的評估方向支撐產(chǎn)業(yè)發(fā)展。

3.3預(yù)期的經(jīng)濟(jì)效益、社會效益和生態(tài)效益

通過本標(biāo)準(zhǔn)的制定、發(fā)布、實施，在經(jīng)濟(jì)效益方面有望帶動數(shù)據(jù)安全領(lǐng)域中

評估業(yè)務(wù)的發(fā)展；在社會效益和生態(tài)效益方面，以規(guī)范數(shù)據(jù)安全評估機構(gòu)有序、

專業(yè)、有質(zhì)量、安全可靠地開展數(shù)據(jù)安全評估活動，符合當(dāng)前監(jiān)管形勢需要、符

5

國家標(biāo)準(zhǔn)編制說明

合有關(guān)法律要求。

四、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、

樣機的有關(guān)數(shù)據(jù)對比情況

國外暫未有針對數(shù)據(jù)安全評估機構(gòu)能力要求的相關(guān)標(biāo)準(zhǔn)。

五、以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標(biāo)

準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因

國外暫未有針對數(shù)據(jù)安全評估機構(gòu)能力要求的相關(guān)標(biāo)準(zhǔn)。

六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)主要支撐《數(shù)據(jù)安全法》第十八條“國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)

證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)活動”

規(guī)定的落地實施，并銜接上文所述有關(guān)法律法規(guī)對數(shù)據(jù)安全評估內(nèi)容的要求，從

評估機構(gòu)能力角度編制。

國內(nèi)評估機構(gòu)標(biāo)準(zhǔn)方面，多見于信息安全類評估機構(gòu)要求，如：《GB/T

35280—2017信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準(zhǔn)則》《GB/T

36959—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)能力要求和評估規(guī)范》

《RB/T220—2018檢驗檢測機構(gòu)資質(zhì)認(rèn)定能力評價信息安全檢驗檢測機構(gòu)要

求》等，有關(guān)共性要求已經(jīng)借鑒并體現(xiàn)在標(biāo)準(zhǔn)內(nèi)容之中，但由于數(shù)據(jù)安全評估工

作有不同于傳統(tǒng)信息安全測評的鮮明特點，如：需要更深入評估對象的業(yè)務(wù)活動，

需要能夠結(jié)合數(shù)據(jù)安全法律法規(guī)和標(biāo)準(zhǔn)要求，需要具備專業(yè)化實施數(shù)據(jù)安全評估

的管理機制、技術(shù)手段和人員，需要更嚴(yán)格的風(fēng)險控制和安全保密要求等，本標(biāo)

準(zhǔn)內(nèi)容更多是圍繞數(shù)據(jù)安全評估工作出發(fā)提出的能力要求。

七、重大分歧意見的處理經(jīng)過和依據(jù)

無。

八、涉及專利的有關(guān)說明

本標(biāo)準(zhǔn)不涉及專利。

九、實施國家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過渡期和實施日期的

建議等措施建議

在標(biāo)準(zhǔn)組織實施層面，建議與有關(guān)主管部門對數(shù)據(jù)安全評估機構(gòu)的遴選、資

格評定等方面要求形成銜接。

6

國家標(biāo)準(zhǔn)編制說明

十、其他應(yīng)當(dāng)說明的事項

無。

7

國家標(biāo)準(zhǔn)編制說明

一、工作簡況

1.1任務(wù)來源

《信息安全技術(shù)數(shù)據(jù)安全評估機構(gòu)能力要求》（以下簡稱“本標(biāo)準(zhǔn)”）是全

國信息安全技術(shù)標(biāo)準(zhǔn)化委員會2022年立項的信息安全國家標(biāo)準(zhǔn)制定項目，任務(wù)

來源依據(jù)是《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于2022年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)項

目立項的通知》（信安字〔2022〕26號），由國家信息技術(shù)安全研究中心牽頭，參

與單位包括中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

等。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。

2023年3月21日，國家標(biāo)準(zhǔn)化管理委員會發(fā)布了《國家標(biāo)準(zhǔn)化管理委員會

關(guān)于下達(dá)2023年第一批推薦性國家標(biāo)準(zhǔn)計劃及相關(guān)標(biāo)準(zhǔn)外文版計劃的通知》國

標(biāo)委發(fā)(2023)10號)，正式下達(dá)了2023年第一批推薦性國家標(biāo)準(zhǔn)計劃項目，將

《信息安全技術(shù)數(shù)據(jù)安全評估機構(gòu)能力要求》(計劃編號:20230256-T-469)納

入本批標(biāo)準(zhǔn)制修訂計劃。

1.2制定背景

2022年3月6日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《關(guān)于發(fā)布2022年

度網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求的通知》（信安秘字〔2022〕47號)，在附件《2022年

網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求清單》中明確了有關(guān)需求，其中本標(biāo)準(zhǔn)擬解決的問題是“支

撐《數(shù)據(jù)安全法》第十八條‘國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，

支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)活動’規(guī)定的落地實施?！?/p>

數(shù)據(jù)安全評估是支撐國家規(guī)范數(shù)據(jù)處理活動、保障數(shù)據(jù)安全的重要抓手，數(shù)

據(jù)安全評估機構(gòu)是開展數(shù)據(jù)安全評估的核心力量，由專業(yè)評估機構(gòu)開展評估工作

是我國的慣例。數(shù)據(jù)安全評估相較于信息安全檢測評估存在特殊性和區(qū)別，制定

《數(shù)據(jù)安全評估機構(gòu)能力要求》用以規(guī)范數(shù)據(jù)安全評估機構(gòu)有序、專業(yè)、有質(zhì)量、

安全可靠地開展數(shù)據(jù)安全評估活動，符合當(dāng)前監(jiān)管形勢需要、符合有關(guān)法律要求。

本標(biāo)準(zhǔn)立足于數(shù)據(jù)安全評估工作的重要性以及數(shù)據(jù)安全評估對機構(gòu)能力要

求的特點，旨在提出切實合理的數(shù)據(jù)安全評估機構(gòu)能力要求，進(jìn)一步支撐《數(shù)據(jù)

1

國家標(biāo)準(zhǔn)編制說明

安全法》第十八條及有關(guān)數(shù)據(jù)安全工作的有效實施，為如何規(guī)范數(shù)據(jù)安全評估機

構(gòu)自身能力建設(shè)、安全有序地執(zhí)行評估任務(wù)、開展評估服務(wù)活動提供解決方案。

1.3起草過程

本標(biāo)準(zhǔn)牽頭單位與部分承擔(dān)單位持續(xù)支撐有關(guān)主管部門數(shù)據(jù)安全相關(guān)工作，

持續(xù)開展國內(nèi)數(shù)據(jù)安全監(jiān)管政策、技術(shù)標(biāo)準(zhǔn)、評估方法和有關(guān)評估機構(gòu)能力方面

的研究，持續(xù)執(zhí)行數(shù)據(jù)安全評估有關(guān)任務(wù)、項目，為本標(biāo)準(zhǔn)制定奠定了基礎(chǔ)。截

止目前的主要工作過程包括：

1.2022年3月。成立標(biāo)準(zhǔn)編制工作組（以下簡稱“編制組”），單位成員包

括：國家信息技術(shù)安全研究中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家計算機網(wǎng)絡(luò)

應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國信息安全測評中心、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證

中心、中國信息通信研究院、中國軟件測評中心、中國科學(xué)技術(shù)大學(xué)、中國科學(xué)

院軟件研究所、工業(yè)和信息化部電子第五研究所、中國電子信息產(chǎn)業(yè)集團(tuán)有限公

司第六研究所。形成《數(shù)據(jù)安全評估機構(gòu)能力要求》標(biāo)準(zhǔn)框架，啟動標(biāo)準(zhǔn)草案編

制，同步編制研究報告、實施應(yīng)用方案。

2.2022年4月。編制完成標(biāo)準(zhǔn)草案第1稿，參與WG7組在2022年第一次

全體會議中組織的研討，繼續(xù)完善標(biāo)準(zhǔn)草案。

3.2022年5-10月。組織多次研討會，編制組先后完成3次標(biāo)準(zhǔn)草案的修

改，同步研制形成《數(shù)據(jù)安全評估機構(gòu)能力要求研究報告》、《<信息安全技術(shù)數(shù)

據(jù)安全評估機構(gòu)能力要求>實施應(yīng)用方案（初稿）》。

4.2022年11月。編制組基本完成標(biāo)準(zhǔn)草案編制，本標(biāo)準(zhǔn)獲批立項，正在

按程序進(jìn)一步征集參編單位，進(jìn)一步完善標(biāo)準(zhǔn)內(nèi)容。

5.2022年12月。標(biāo)準(zhǔn)編制組在信安標(biāo)委2022年第二次工作組會議周上進(jìn)

行項目匯報，聽取專家意見，WG7組會議決議結(jié)論為:同意該標(biāo)準(zhǔn)進(jìn)入征求意見

稿階段。

6.2023年3月。編制組征詢責(zé)任專家、責(zé)任編輯的意見，按照專家意見對

標(biāo)準(zhǔn)文本進(jìn)一步修改完善。

7.2023年4月。編制組在秘書處組織召開的“《信息安全技術(shù)網(wǎng)絡(luò)安全信

息報送指南》等6項網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)專家審查會”上進(jìn)行匯報，會后按照專家

意見對標(biāo)準(zhǔn)文本進(jìn)一步修改完善。

2

國家標(biāo)準(zhǔn)編制說明

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

2.1標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在編制過程中將遵循以下原則：

1.規(guī)范性。嚴(yán)格按照國家標(biāo)準(zhǔn)編制流程進(jìn)行標(biāo)準(zhǔn)的編制工作，力求達(dá)到標(biāo)

準(zhǔn)思路清晰、邏輯合理、文本規(guī)范、內(nèi)容完整。

2.實用性。結(jié)合我國數(shù)據(jù)安全監(jiān)管形勢、國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要

求，在充分研究國內(nèi)外數(shù)據(jù)安全評估機制和國內(nèi)數(shù)據(jù)安全評估機構(gòu)現(xiàn)狀的基礎(chǔ)上

研制本標(biāo)準(zhǔn)，確保本標(biāo)準(zhǔn)實施的實用性和可操作性。

3.協(xié)調(diào)性。廣泛征求業(yè)界專家的意見，同時考慮相關(guān)標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系，充

分吸納科學(xué)合理的意見觀點，確保本標(biāo)準(zhǔn)內(nèi)容在不同使用方之間的協(xié)調(diào)一致。

4.突出重點，科學(xué)創(chuàng)新。數(shù)據(jù)安全評估屬于新型檢測評估領(lǐng)域，本標(biāo)準(zhǔn)編

制過程中，將圍繞數(shù)據(jù)安全評估工作特點和監(jiān)管要求，設(shè)置對應(yīng)重點要求內(nèi)容，

借鑒國內(nèi)外先進(jìn)經(jīng)驗，并在一定程度上支撐實現(xiàn)引領(lǐng)性、創(chuàng)新性要求。

5.加強銜接，支撐落地。本標(biāo)準(zhǔn)在研制過程中，同樣也應(yīng)注重與國家對于

數(shù)據(jù)安全評估機構(gòu)有關(guān)政策要求的銜接關(guān)系，支撐標(biāo)準(zhǔn)應(yīng)用落地實施。

2.2主要內(nèi)容及其確定依據(jù)

本標(biāo)準(zhǔn)能力要求框架見圖1：

圖1數(shù)據(jù)安全評估機構(gòu)能力要求框架圖

數(shù)據(jù)安全評估機構(gòu)能力要求由機構(gòu)基本要求、評估管理能力、評估技術(shù)能力、

評估人員能力、評估資源要求5部分組成。機構(gòu)基本要求包括基本條件、評估工

3

國家標(biāo)準(zhǔn)編制說明

作基礎(chǔ)、公正與獨立性；評估管理能力