《公共數(shù)據(jù)安全評(píng)估規(guī)范》

ICS35.240.01

CCSL67

DB4403

深圳市地方標(biāo)準(zhǔn)

DB4403/TXXX—XXXX

公共數(shù)據(jù)安全評(píng)估規(guī)范

Assessmentspecificationofcommondatasecurity

（送審稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

深圳市市場(chǎng)監(jiān)督管理局發(fā)布

DB4403/TXXX—XXXX

公共數(shù)據(jù)安全評(píng)估規(guī)范

1范圍

本文件規(guī)定了公共數(shù)據(jù)安全的總體概述、通用管理安全評(píng)估要求、通用技術(shù)安全評(píng)估要求、數(shù)據(jù)處

理活動(dòng)安全評(píng)估要求、整體評(píng)估與評(píng)估結(jié)論。

本文件適用于公共管理和服務(wù)機(jī)構(gòu)數(shù)據(jù)安全能力的評(píng)估，也適用于處理大量個(gè)人信息的服務(wù)平臺(tái)數(shù)

據(jù)安全能力的評(píng)估，各級(jí)公共數(shù)據(jù)主管部門(mén)、公共管理和服務(wù)機(jī)構(gòu)可參照?qǐng)?zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

GB/T39477—2020信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求

DB4403/T271—2022公共數(shù)據(jù)安全要求

3術(shù)語(yǔ)和定義

GB/T35273—2020、GB/T37988—2019、DB4403/T271-2022界定的以及下列術(shù)語(yǔ)和定義適用于本

文件。

3.1

評(píng)估機(jī)構(gòu)evaluationorganization

提供公共數(shù)據(jù)安全評(píng)估服務(wù)的機(jī)構(gòu)，可為公共管理和服務(wù)機(jī)構(gòu)本身、第三方數(shù)據(jù)安全服務(wù)機(jī)構(gòu)或數(shù)

據(jù)統(tǒng)籌監(jiān)管部門(mén)。

3.2

被評(píng)估機(jī)構(gòu)evaluatedorganization

在公共數(shù)據(jù)安全評(píng)估過(guò)程中，作為被評(píng)估角色的機(jī)構(gòu)，主要為公共管理和服務(wù)機(jī)構(gòu)，也可為處理大

量個(gè)人信息的服務(wù)平臺(tái)。

3.3

數(shù)據(jù)場(chǎng)景datascenario

為了達(dá)到特定業(yè)務(wù)目的而對(duì)數(shù)據(jù)進(jìn)行處理和使用的場(chǎng)景，對(duì)場(chǎng)景下數(shù)據(jù)流向進(jìn)行全鏈路分析，單個(gè)

數(shù)據(jù)場(chǎng)景可能涉及多個(gè)機(jī)構(gòu)及其業(yè)務(wù)系統(tǒng)。

3.4

主責(zé)機(jī)構(gòu)mainresponsibleorganization

評(píng)估對(duì)象為數(shù)據(jù)場(chǎng)景時(shí)，主責(zé)機(jī)構(gòu)指場(chǎng)景涉及主要系統(tǒng)的責(zé)任部門(mén)。

1

DB4403/TXXX—XXXX

3.5

關(guān)聯(lián)機(jī)構(gòu)relatedresponsibleorganization

評(píng)估對(duì)象為數(shù)據(jù)場(chǎng)景時(shí)，關(guān)聯(lián)機(jī)構(gòu)指涉及場(chǎng)景相關(guān)處理活動(dòng)的其他機(jī)構(gòu)，如數(shù)據(jù)場(chǎng)景處理活動(dòng)僅在

主責(zé)機(jī)構(gòu)內(nèi)部，則不涉及關(guān)聯(lián)機(jī)構(gòu)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件：

M：通用管理安全（GeneralManagementSecurity）

T：通用技術(shù)安全（GeneralTechnologySecurity）

P：數(shù)據(jù)處理活動(dòng)安全（DataProcessingActivitySecurity）

BR：基本安全要求（BasicSecurityRequirements）

TR：三級(jí)增強(qiáng)要求（LevelThreeEnhancementRequirements）

FR：四級(jí)增強(qiáng)要求（LevelFourEnhancementRequirements）

DT：數(shù)據(jù)子類(lèi)或字段（DataSubclassOrField）

SDK：軟件開(kāi)發(fā)工具包（SoftwareDevelopmentKit）

API：應(yīng)用程序接口（ApplicationProgrammingInterface）

5概述

5.1評(píng)估原則

為規(guī)范公共數(shù)據(jù)安全評(píng)估工作，全面有效發(fā)現(xiàn)公共數(shù)據(jù)可能面臨的各類(lèi)安全風(fēng)險(xiǎn)，評(píng)估機(jī)構(gòu)在評(píng)估

過(guò)程中，應(yīng)遵循下列原則，具體包括：

a)公正客觀原則——評(píng)估機(jī)構(gòu)在整體評(píng)估過(guò)程中，對(duì)評(píng)估對(duì)象數(shù)據(jù)安全保障措施進(jìn)行公平客觀

的判定，不應(yīng)受機(jī)構(gòu)性質(zhì)、評(píng)估對(duì)象、評(píng)估時(shí)間、評(píng)估人員、利益關(guān)系等任何因素影響而損

害評(píng)估的公正及客觀性；

b)最小影響原則——評(píng)估機(jī)構(gòu)在評(píng)估過(guò)程中，對(duì)評(píng)估對(duì)象的網(wǎng)絡(luò)、業(yè)務(wù)、數(shù)據(jù)流轉(zhuǎn)等正常運(yùn)行

造成的影響應(yīng)降低到最低，不因評(píng)估工作而導(dǎo)致業(yè)務(wù)連續(xù)性的中斷；

c)可控性原則——在評(píng)估過(guò)程中，評(píng)估機(jī)構(gòu)應(yīng)確保評(píng)估過(guò)程可管可控，使用的評(píng)估工具或技術(shù)

手段，已經(jīng)過(guò)實(shí)踐驗(yàn)證，不存在安全隱患；

d)全面性原則——評(píng)估機(jī)構(gòu)在評(píng)估過(guò)程應(yīng)全面覆蓋評(píng)估要點(diǎn)，基于評(píng)估要點(diǎn)對(duì)評(píng)估對(duì)象涉及的

資產(chǎn)（如制度類(lèi)文檔、數(shù)據(jù)資產(chǎn)、軟硬件資產(chǎn)、人力資源等）、數(shù)據(jù)處理活動(dòng)各環(huán)節(jié)進(jìn)行評(píng)

估；

e)書(shū)面授權(quán)原則——評(píng)估機(jī)構(gòu)所開(kāi)展的評(píng)估工作，包括評(píng)估對(duì)象、評(píng)估范圍、方法、時(shí)間等，

應(yīng)得到被評(píng)估機(jī)構(gòu)的正式書(shū)面授權(quán)，嚴(yán)禁未經(jīng)授權(quán)的評(píng)估行為；

f)保密性原則——評(píng)估機(jī)構(gòu)及評(píng)估人員在評(píng)估前應(yīng)與被評(píng)估機(jī)構(gòu)簽訂數(shù)據(jù)安全相關(guān)保密協(xié)議，

明確保密責(zé)任、義務(wù)及爭(zhēng)議條款，除法律要求或獲得被評(píng)估機(jī)構(gòu)同意外，評(píng)估人員在評(píng)估過(guò)

程中獲取的評(píng)估對(duì)象相關(guān)信息、過(guò)程文檔等應(yīng)嚴(yán)格保密，不得對(duì)外透露，以確保被評(píng)估機(jī)構(gòu)

的數(shù)據(jù)安全。

5.2評(píng)估職責(zé)

2

DB4403/TXXX—XXXX

評(píng)估機(jī)構(gòu)負(fù)責(zé)為被評(píng)估機(jī)構(gòu)提供公共數(shù)據(jù)安全評(píng)估服務(wù)，在得到被評(píng)估機(jī)構(gòu)書(shū)面授權(quán)及簽署數(shù)據(jù)安

全相關(guān)保密協(xié)議后，應(yīng)遵循公正客觀原則開(kāi)展評(píng)估工作，評(píng)估過(guò)程應(yīng)不對(duì)被評(píng)估機(jī)構(gòu)公共數(shù)據(jù)運(yùn)營(yíng)活動(dòng)

造成影響；被評(píng)估機(jī)構(gòu)應(yīng)向評(píng)估機(jī)構(gòu)提供公共數(shù)據(jù)安全評(píng)估過(guò)程所需資源，包括但不限于文檔、人員、

網(wǎng)絡(luò)等。

5.3安全能力評(píng)估維度

評(píng)估機(jī)構(gòu)對(duì)評(píng)估對(duì)象的數(shù)據(jù)安全能力進(jìn)行評(píng)估，安全能力應(yīng)分為以下4個(gè)維度：

a)組織能力——主要考察數(shù)據(jù)安全組織架構(gòu)及人員的設(shè)立、職責(zé)分工及溝通協(xié)作；

b)制度能力——主要考察數(shù)據(jù)安全制度及流程建設(shè)完備性、可執(zhí)行性、動(dòng)態(tài)更新性；

c)人員能力——主要考察人員數(shù)據(jù)安全建設(shè)專業(yè)能力、工作執(zhí)行落地情況；

d)技術(shù)能力——主要考察采取技術(shù)手段或自動(dòng)化技術(shù)工具落實(shí)數(shù)據(jù)安全要求的能力。

5.4評(píng)估體系

評(píng)估機(jī)構(gòu)采用文檔查閱、人員訪談、技術(shù)檢測(cè)、系統(tǒng)核驗(yàn)等評(píng)估方法，對(duì)評(píng)估對(duì)象涉及的資產(chǎn)、數(shù)

據(jù)處理活動(dòng)各環(huán)節(jié)的數(shù)據(jù)安全保障措施合規(guī)情況進(jìn)行評(píng)估。評(píng)估流程包括組建評(píng)估團(tuán)隊(duì)、確定評(píng)估對(duì)象

及評(píng)估范圍、評(píng)估對(duì)象調(diào)研、組織評(píng)估實(shí)施及評(píng)估報(bào)告編制。評(píng)估涵蓋通用管理安全要求、通用技術(shù)安

全要求及數(shù)據(jù)處理活動(dòng)安全要求三方面。針對(duì)不同的安全等級(jí)選取相對(duì)應(yīng)的安全要求進(jìn)行評(píng)估?？蚣芙Y(jié)

構(gòu)如圖1。

圖1公共數(shù)據(jù)安全評(píng)估框架

注：評(píng)估對(duì)象涉及不同安全等級(jí)的數(shù)據(jù)類(lèi)型且無(wú)法拆分評(píng)估時(shí)，依據(jù)評(píng)定的最高數(shù)據(jù)安全等級(jí)的安全要求開(kāi)展評(píng)估，

安全等級(jí)與安全要求的關(guān)系參見(jiàn)DB4403/T271-2022。

5.5評(píng)估方法

公共數(shù)據(jù)安全評(píng)估宜采取如下評(píng)估方法開(kāi)展評(píng)估工作：

3

DB4403/TXXX—XXXX

a)文檔查閱——評(píng)估人員通過(guò)查看數(shù)據(jù)安全評(píng)估相關(guān)材料，如數(shù)據(jù)安全管理制度、業(yè)務(wù)安全保障

措施技術(shù)材料、制度落地執(zhí)行記錄表單等，輔助驗(yàn)證是否符合相關(guān)安全要求；被評(píng)估機(jī)構(gòu)應(yīng)提

前準(zhǔn)備相關(guān)文檔以供評(píng)估人員查閱；

b)人員訪談——評(píng)估人員與被評(píng)估機(jī)構(gòu)相關(guān)人員進(jìn)行交流、討論、詢問(wèn)等，以初步驗(yàn)證數(shù)據(jù)安全

要求的符合性，可結(jié)合其它評(píng)估方法，充分驗(yàn)證數(shù)據(jù)安全保障措施的有效性；此評(píng)估方法通常

在評(píng)估前期調(diào)研、評(píng)估過(guò)程中使用，訪談人員范圍包含數(shù)據(jù)安全管理機(jī)構(gòu)人員以及承載業(yè)務(wù)系

統(tǒng)運(yùn)行的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)相關(guān)人員等；

c)技術(shù)檢測(cè)——評(píng)估人員對(duì)業(yè)務(wù)系統(tǒng)不同應(yīng)用形態(tài)（如web應(yīng)用、移動(dòng)應(yīng)用程序、小程序、公眾

號(hào)等）、系統(tǒng)、網(wǎng)絡(luò)等進(jìn)行技術(shù)測(cè)試，以驗(yàn)證是否符合數(shù)據(jù)處理活動(dòng)技術(shù)安全要求；通過(guò)由評(píng)

估人員事先準(zhǔn)備測(cè)試工具（如流量監(jiān)測(cè)工具、掃描工具、滲透測(cè)試工具等）、業(yè)務(wù)注冊(cè)或使用

被評(píng)估機(jī)構(gòu)準(zhǔn)備的測(cè)試賬號(hào)等以完成技術(shù)測(cè)試；

d)系統(tǒng)核驗(yàn)——由被評(píng)估機(jī)構(gòu)人員根據(jù)評(píng)估人員的要求，上機(jī)核驗(yàn)被評(píng)估機(jī)構(gòu)相關(guān)安全能力平臺(tái)

或業(yè)務(wù)數(shù)據(jù)處理活動(dòng)各環(huán)節(jié)、數(shù)據(jù)操作日志記錄等界面，此評(píng)估方法可直觀驗(yàn)證數(shù)據(jù)安全保障

措施是否有效，被評(píng)估機(jī)構(gòu)人員安排相關(guān)人員進(jìn)行現(xiàn)場(chǎng)演示，評(píng)估人員根據(jù)演示結(jié)果判斷安全

要求的符合性。

5.6評(píng)估適用情形

滿足如下情形之一，應(yīng)及時(shí)啟動(dòng)評(píng)估工作：

a)承載公共數(shù)據(jù)的業(yè)務(wù)系統(tǒng)上線前；

b)業(yè)務(wù)運(yùn)營(yíng)階段，數(shù)據(jù)承載環(huán)境發(fā)生重大變更時(shí)，如數(shù)據(jù)處理技術(shù)模式變更、數(shù)據(jù)采集渠道變

更、數(shù)據(jù)種類(lèi)發(fā)生重大變化、批量數(shù)據(jù)共享對(duì)象變更、業(yè)務(wù)重大版本迭代、網(wǎng)絡(luò)環(huán)境重大變

更、數(shù)據(jù)存儲(chǔ)系統(tǒng)升級(jí)改造、數(shù)據(jù)出境等；

c)行業(yè)主管部門(mén)要求時(shí)；

d)法律法規(guī)規(guī)定的其它情形。

5.7評(píng)估對(duì)象和評(píng)估指標(biāo)說(shuō)明

業(yè)務(wù)系統(tǒng)、數(shù)據(jù)場(chǎng)景均可作為評(píng)估對(duì)象。評(píng)估機(jī)構(gòu)針對(duì)選取的評(píng)估對(duì)象，確定評(píng)估指標(biāo)，開(kāi)展評(píng)估

工作，并編制形成評(píng)估報(bào)告。不同的評(píng)估對(duì)象適用于不同的評(píng)估指標(biāo)，選取原則如下：

a)業(yè)務(wù)系統(tǒng)；

1)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行評(píng)估時(shí)，根據(jù)其安全等級(jí)選取本文件第6至8章節(jié)相對(duì)應(yīng)安全要求的評(píng)估指標(biāo)

進(jìn)行評(píng)估，判別依據(jù)為被評(píng)估機(jī)構(gòu)數(shù)據(jù)安全組織架構(gòu)、人員配備、制度流程，技術(shù)能力及與該業(yè)務(wù)

系統(tǒng)相關(guān)的資產(chǎn)、已有安全保護(hù)措施等。

b)數(shù)據(jù)場(chǎng)景；

1)對(duì)數(shù)據(jù)場(chǎng)景進(jìn)行評(píng)估時(shí)，單個(gè)數(shù)據(jù)場(chǎng)景可能涉及多個(gè)機(jī)構(gòu)及其業(yè)務(wù)系統(tǒng)，應(yīng)劃分主責(zé)機(jī)構(gòu)和關(guān)

聯(lián)機(jī)構(gòu)；

2)主責(zé)機(jī)構(gòu)指數(shù)據(jù)場(chǎng)景主要系統(tǒng)的管理者，對(duì)該場(chǎng)景下處理的數(shù)據(jù)負(fù)主要責(zé)任，關(guān)聯(lián)機(jī)構(gòu)指與數(shù)

據(jù)場(chǎng)景有關(guān)聯(lián)關(guān)系，涉及該場(chǎng)景下數(shù)據(jù)處理活動(dòng)中單個(gè)或多個(gè)環(huán)節(jié)的機(jī)構(gòu)，對(duì)其涉及到的環(huán)節(jié)負(fù)關(guān)

聯(lián)責(zé)任；

3)評(píng)估對(duì)象為數(shù)據(jù)場(chǎng)景時(shí)，主責(zé)機(jī)構(gòu)和關(guān)聯(lián)機(jī)構(gòu)均需納入評(píng)估范圍，針對(duì)主責(zé)機(jī)構(gòu)，應(yīng)選取本文

件第6至8章節(jié)的評(píng)估指標(biāo)對(duì)其開(kāi)展評(píng)估，針對(duì)關(guān)聯(lián)機(jī)構(gòu)，一個(gè)關(guān)聯(lián)機(jī)構(gòu)可能涉及該場(chǎng)景下單個(gè)或

多個(gè)數(shù)據(jù)處理活動(dòng)環(huán)節(jié)，應(yīng)選取本文件第8章節(jié)中與該關(guān)聯(lián)機(jī)構(gòu)涉及數(shù)據(jù)處理活動(dòng)環(huán)節(jié)所對(duì)應(yīng)的評(píng)

估指標(biāo)開(kāi)展評(píng)估。

4

DB4403/TXXX—XXXX

5.8評(píng)估流程

公共數(shù)據(jù)安全的評(píng)估流程宜按照以下步驟進(jìn)行：

a)組建評(píng)估團(tuán)隊(duì)；

數(shù)據(jù)安全評(píng)估前，應(yīng)組建數(shù)據(jù)安全評(píng)估團(tuán)隊(duì)，評(píng)估團(tuán)隊(duì)宜包含評(píng)估機(jī)構(gòu)評(píng)估人員、被評(píng)估機(jī)構(gòu)數(shù)據(jù)

安全管理機(jī)構(gòu)人員，評(píng)估過(guò)程中涉及的人員包含評(píng)估對(duì)象相關(guān)的業(yè)務(wù)運(yùn)營(yíng)運(yùn)維部門(mén)、業(yè)務(wù)開(kāi)發(fā)測(cè)試部門(mén)、

數(shù)據(jù)合作方等人員，評(píng)估機(jī)構(gòu)的評(píng)估人員應(yīng)具備數(shù)據(jù)安全評(píng)估能力，確保評(píng)估結(jié)果的有效性。

b)確定評(píng)估對(duì)象；

參見(jiàn)本文件5.7明確數(shù)據(jù)安全評(píng)估對(duì)象，根據(jù)選定的評(píng)估對(duì)象，針對(duì)評(píng)估對(duì)象的安全等級(jí)，確定評(píng)

估指標(biāo)。

c)評(píng)估對(duì)象調(diào)研；

數(shù)據(jù)安全評(píng)估團(tuán)隊(duì)?wèi)?yīng)對(duì)評(píng)估對(duì)象相關(guān)數(shù)據(jù)安全工作進(jìn)行充分調(diào)研，包括業(yè)務(wù)簡(jiǎn)介、網(wǎng)絡(luò)拓?fù)淝闆r、

數(shù)據(jù)安全崗位人員、數(shù)據(jù)安全管理相關(guān)制度流程表單、數(shù)據(jù)安全設(shè)備部署情況、已有安全保護(hù)措施等；

在組織評(píng)估實(shí)施之前，應(yīng)提供評(píng)估方案，并與被評(píng)估機(jī)構(gòu)協(xié)商一致。

d)組織評(píng)估實(shí)施；

數(shù)據(jù)安全評(píng)估團(tuán)隊(duì)組織遠(yuǎn)程及現(xiàn)場(chǎng)評(píng)估，按DB4403/T271-2022描述的公共數(shù)據(jù)安全要求，采用文

檔查閱、人員訪談、技術(shù)檢測(cè)、系統(tǒng)核驗(yàn)等評(píng)估方法對(duì)評(píng)估對(duì)象的管理及技術(shù)安全保障能力進(jìn)行評(píng)估，

評(píng)估過(guò)程可配套使用相關(guān)數(shù)據(jù)安全技術(shù)測(cè)試工具加強(qiáng)評(píng)估風(fēng)險(xiǎn)驗(yàn)證結(jié)果，評(píng)估團(tuán)隊(duì)對(duì)評(píng)估過(guò)程進(jìn)行記錄，

保存對(duì)應(yīng)的評(píng)估佐證材料，得出公正客觀的評(píng)估結(jié)果，并逐一體現(xiàn)在評(píng)估報(bào)告中，評(píng)估案例見(jiàn)附錄E。

e)評(píng)估報(bào)告編制。

數(shù)據(jù)安全評(píng)估團(tuán)隊(duì)在完成數(shù)據(jù)安全評(píng)估工作后，宜組織與被評(píng)估機(jī)構(gòu)共同確認(rèn)數(shù)據(jù)安全評(píng)估結(jié)果，

并編制數(shù)據(jù)安全評(píng)估報(bào)告（見(jiàn)附錄D）。

6通用管理安全評(píng)估

6.1總體數(shù)據(jù)安全策略

總體數(shù)據(jù)安全策略評(píng)估內(nèi)容描述見(jiàn)表1。

表1總體數(shù)據(jù)安全策略評(píng)估內(nèi)容

評(píng)估項(xiàng)級(jí)別要求評(píng)估子項(xiàng)評(píng)估方法評(píng)估內(nèi)容

組織能力：

應(yīng)明確數(shù)據(jù)安全管理1.通過(guò)人員訪談，詢問(wèn)被評(píng)估機(jī)構(gòu)是否組織專門(mén)

的策略，包括管理目部門(mén)明確總體數(shù)據(jù)安全策略。

標(biāo)、原則、要求等內(nèi)制度能力：

總體數(shù)據(jù)安容，制定或修訂完善2.通過(guò)文檔查閱，確認(rèn)總體數(shù)據(jù)安全策略是否包

基本安全要人員訪談

全策略總體安全管理框架，括管理目標(biāo)、原則、要求等內(nèi)容；或相關(guān)信息安

求文檔查閱

（M01）公共數(shù)據(jù)安全管理應(yīng)全總體綱領(lǐng)文檔是否體現(xiàn)數(shù)據(jù)安全方面的總體

作為重點(diǎn)內(nèi)容，納入方針政策。

總體安全管理范疇。人員能力：

（M01-BR01）3.通過(guò)人員訪談，詢問(wèn)被評(píng)估機(jī)構(gòu)是否了解機(jī)構(gòu)

制定的總體數(shù)據(jù)安全策略。

5

DB4403/TXXX—XXXX

表1總體數(shù)據(jù)安全策略評(píng)估內(nèi)容（續(xù)）

評(píng)估項(xiàng)級(jí)別要求評(píng)估子項(xiàng)評(píng)估方法評(píng)估內(nèi)容

組織能力：

1.被評(píng)估機(jī)構(gòu)是否組織定期對(duì)數(shù)據(jù)安全策略的

應(yīng)定期對(duì)數(shù)據(jù)安全策

總體數(shù)據(jù)安合理性及適用性進(jìn)行論證和審定，查閱相關(guān)評(píng)審

三級(jí)增強(qiáng)要略的合理性及適用性

全策略文檔查閱記錄。

求進(jìn)行論證和審定，動(dòng)

（M01）制度能力：

態(tài)調(diào)整。（M01-TR01）

2.是否根據(jù)定期審定結(jié)果，動(dòng)態(tài)調(diào)整數(shù)據(jù)安全策

略，查閱動(dòng)態(tài)調(diào)整內(nèi)容。

6.2數(shù)據(jù)安全管理機(jī)構(gòu)與人員

數(shù)據(jù)安全管理機(jī)構(gòu)與人員評(píng)估內(nèi)容描述見(jiàn)表2。

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評(píng)估內(nèi)容

評(píng)估項(xiàng)級(jí)別要求評(píng)估子項(xiàng)評(píng)估方法評(píng)估內(nèi)容

應(yīng)設(shè)立數(shù)據(jù)安全管理

機(jī)構(gòu)，明確數(shù)據(jù)安全

責(zé)任人，落實(shí)數(shù)據(jù)安

組織能力：

全保護(hù)責(zé)任。數(shù)據(jù)安

1．通過(guò)人員訪談，詢問(wèn)被評(píng)估機(jī)構(gòu)是否明確數(shù)

全責(zé)任人履行職責(zé)包

據(jù)安全管理機(jī)構(gòu)及數(shù)據(jù)安全負(fù)責(zé)人，明確數(shù)據(jù)安

括但不限于：

全責(zé)任人的工作職責(zé)，查閱正式發(fā)文文檔。

1）組織制定數(shù)據(jù)保護(hù)

制度能力：

計(jì)劃并落實(shí)；

2．查閱數(shù)據(jù)安全負(fù)責(zé)人的職責(zé)內(nèi)容是否包括但

基本安全要2）組織開(kāi)展數(shù)據(jù)安全人員訪談

不限于：

求影響分析和風(fēng)險(xiǎn)評(píng)文檔查閱

1）組織制定數(shù)據(jù)保護(hù)計(jì)劃并落實(shí)；

估，督促整改安全隱

數(shù)據(jù)安全管2）組織開(kāi)展數(shù)據(jù)安全影響分析和風(fēng)險(xiǎn)評(píng)估，督

患；

理機(jī)構(gòu)與人促整改安全隱患；

3）組織按要求向有關(guān)

員（M02）3）組織按要求向有關(guān)部門(mén)報(bào)告數(shù)據(jù)安全保護(hù)和

部門(mén)報(bào)告數(shù)據(jù)安全保

事件處置情況；

護(hù)和事件處置情況；

4）組織受理并處理數(shù)據(jù)安全投訴和舉報(bào)事項(xiàng)等。

4）組織受理并處理數(shù)

據(jù)安全投訴和舉報(bào)事

項(xiàng)等。（M02-BR01）

應(yīng)按照相關(guān)法律、法

制度能力：

規(guī)、規(guī)章的要求編制

基本安全要人員訪談1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

公共數(shù)據(jù)資源目錄，

求文檔查閱構(gòu)是否按照相關(guān)法律、法規(guī)、規(guī)章、規(guī)定的要求

加強(qiáng)數(shù)據(jù)安全保護(hù)。

編制公共數(shù)據(jù)資源目錄。

（M02-BR02）

6

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評(píng)估內(nèi)容（續(xù)）

評(píng)估項(xiàng)級(jí)別要求評(píng)估子項(xiàng)評(píng)估方法評(píng)估內(nèi)容

數(shù)據(jù)安全管理機(jī)構(gòu)應(yīng)

明確數(shù)據(jù)管理員、數(shù)

據(jù)安全管理員、數(shù)據(jù)組織能力：

安全審計(jì)員等崗位職1.通過(guò)人員訪談，詢問(wèn)被評(píng)估機(jī)構(gòu)的數(shù)據(jù)安全管

責(zé)，落實(shí)崗位人員，理機(jī)構(gòu)是否設(shè)立數(shù)據(jù)安全相關(guān)崗位人員，包括數(shù)

保障數(shù)據(jù)安全管理與據(jù)管理員、數(shù)據(jù)安全管理員、數(shù)據(jù)安全審計(jì)員等

審計(jì)工作開(kāi)展。相關(guān)崗位，其中數(shù)據(jù)管理員和數(shù)據(jù)安全審計(jì)員不能由

崗位職責(zé)應(yīng)包括：同一人兼任，數(shù)據(jù)安全管理員和數(shù)據(jù)安全審計(jì)員

1）數(shù)據(jù)管理員負(fù)責(zé)數(shù)不得由同一人兼任。

據(jù)存儲(chǔ)、數(shù)據(jù)權(quán)限分制度能力：

基本安全要配、數(shù)據(jù)資產(chǎn)梳理等；人員訪談2.通過(guò)文檔查閱方式，查看被評(píng)估機(jī)構(gòu)是否明確

求2）數(shù)據(jù)安全管理員負(fù)文檔查閱不同數(shù)據(jù)安全相關(guān)崗位的職責(zé)明細(xì)，查看崗位職

責(zé)數(shù)據(jù)權(quán)限審批、數(shù)責(zé)內(nèi)容是否全面、明確，是否包含如下職責(zé)內(nèi)容：

據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安1）數(shù)據(jù)管理員負(fù)責(zé)數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)權(quán)限分

全風(fēng)險(xiǎn)檢測(cè)與評(píng)估、配、數(shù)據(jù)資產(chǎn)梳理等；

數(shù)據(jù)安全事件應(yīng)急響2）數(shù)據(jù)安全管理員負(fù)責(zé)數(shù)據(jù)權(quán)限審批、數(shù)據(jù)分

應(yīng)處置、教育培訓(xùn)等，類(lèi)分級(jí)、數(shù)據(jù)安全風(fēng)險(xiǎn)檢測(cè)與評(píng)估、數(shù)據(jù)安全事

數(shù)據(jù)安全管可由安全管理員兼件應(yīng)急響應(yīng)處置、教育培訓(xùn)等，可由安全管理員

理機(jī)構(gòu)與人任；兼任；

員（M02）3）數(shù)據(jù)安全審計(jì)員負(fù)3）數(shù)據(jù)安全審計(jì)員負(fù)責(zé)數(shù)據(jù)安全審計(jì)等。

責(zé)數(shù)據(jù)安全審計(jì)等。

（M02-BR03）

處理個(gè)人信息達(dá)到國(guó)

家網(wǎng)信部門(mén)規(guī)定數(shù)量

組織能力：

的，應(yīng)指定個(gè)人信息

1.通過(guò)人員訪談，詢問(wèn)被評(píng)估機(jī)構(gòu)是否屬于處理

保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)

個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的公共管

個(gè)人信息處理活動(dòng)以

理和服務(wù)機(jī)構(gòu)，如是則是否明確指定個(gè)人信息保

及采取的保護(hù)措施等

基本安全要人員訪談護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的

進(jìn)行監(jiān)督，并公開(kāi)個(gè)

求文檔查閱保護(hù)措施等進(jìn)行監(jiān)督。

人信息保護(hù)負(fù)責(zé)人聯(lián)

制度能力：

系方式，將個(gè)人信息

2.查驗(yàn)被評(píng)估機(jī)構(gòu)是否公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)

保護(hù)負(fù)責(zé)人的姓名、

人的姓名、聯(lián)系方式等，并已報(bào)送履行個(gè)人信息

聯(lián)系方式等報(bào)送履行

保護(hù)職責(zé)的部門(mén)。

個(gè)人信息保護(hù)職責(zé)部

門(mén)。（M02-BR04）

7

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評(píng)估內(nèi)容（續(xù)）

評(píng)估項(xiàng)級(jí)別要求評(píng)估子項(xiàng)評(píng)估方法評(píng)估內(nèi)容

應(yīng)針對(duì)數(shù)據(jù)類(lèi)別級(jí)別

制度能力：

變更、數(shù)據(jù)權(quán)限變更、

1.通過(guò)文檔查閱方式，查看被評(píng)估機(jī)構(gòu)是否已建

重大數(shù)據(jù)操作及外部

基本安全要立針對(duì)數(shù)據(jù)類(lèi)別級(jí)別變更、數(shù)據(jù)權(quán)限變更、重大

系統(tǒng)接入等事項(xiàng)建立文檔查閱

求數(shù)據(jù)操作及外部系統(tǒng)接入等事項(xiàng)的審批程序；

審批程序，按照審批

2.通過(guò)文檔查閱方式，查看事項(xiàng)審批程序執(zhí)行記

程序執(zhí)行審批過(guò)程。

錄文件。

（M02-BR05）

組織能力：

涉及數(shù)據(jù)合作方的機(jī)

1.通過(guò)人員訪談方式，查驗(yàn)被評(píng)估機(jī)構(gòu)是否定期

構(gòu)，應(yīng)與數(shù)據(jù)合作方

組織審核數(shù)據(jù)合作方資質(zhì)背景、數(shù)據(jù)安全保障能

簽訂合作協(xié)議及數(shù)據(jù)

力等，并組織合規(guī)評(píng)估，出具評(píng)估報(bào)告；通過(guò)文

安全保密協(xié)議，明確

檔查閱方式，查看數(shù)據(jù)合作方合規(guī)評(píng)估報(bào)告的完

基本安全要雙方數(shù)據(jù)安全保密責(zé)人員訪談

整性。

求任與義務(wù)，宜定期審文檔查閱

制度能力：

核數(shù)據(jù)合作方資質(zhì)背

2.查驗(yàn)被評(píng)估機(jī)構(gòu)是否明確與數(shù)據(jù)合作方簽訂

景、數(shù)據(jù)安全保障能

合作協(xié)議及數(shù)據(jù)安全保密協(xié)議，通過(guò)文檔查閱方

力等，并組織動(dòng)態(tài)合

式，查看協(xié)議是否明確雙方數(shù)據(jù)安全保密責(zé)任與

規(guī)評(píng)估。（M02-BR06）

義務(wù)。

數(shù)據(jù)安全管

制度能力：

理機(jī)構(gòu)與人應(yīng)針對(duì)重大數(shù)據(jù)處理

三級(jí)增強(qiáng)要人員訪談1.查驗(yàn)被評(píng)估機(jī)構(gòu)是否建立重大數(shù)據(jù)處理活動(dòng)

員（M02）活動(dòng)建立逐級(jí)審批機(jī)

求文檔查閱逐級(jí)審批機(jī)制，通過(guò)文檔查閱方式，查看審批機(jī)

制。（M02-TR01）

制的合理性、有效性及可執(zhí)行性。

組織能力：

1.查驗(yàn)被評(píng)估機(jī)構(gòu)是否組織定期審查審批事項(xiàng)。

應(yīng)定期審查審批事

制度能力：

項(xiàng)，及時(shí)更新需授權(quán)

三級(jí)增強(qiáng)要人員訪談2.查驗(yàn)被評(píng)估機(jī)構(gòu)是否在審查后，動(dòng)態(tài)更新授權(quán)

和審批的項(xiàng)目、審批

求文檔查閱和審批的項(xiàng)目、審批部門(mén)和審批人等信息，保持

部門(mén)和審批人等信

審批機(jī)制的合理性；通過(guò)文檔查閱方式，查驗(yàn)是

息。（M02-TR02）

否具有對(duì)相關(guān)審批事項(xiàng)的定期審查記錄和授權(quán)

更新記錄。

應(yīng)加強(qiáng)人員管理，明

制度能力：

確規(guī)定人員錄用、人

1.通過(guò)人員訪談、文檔查閱方式，明確被評(píng)估機(jī)

員培訓(xùn)、人員考核、

基本安全要人員訪談構(gòu)是否制定人員管理相關(guān)制度；查閱制度是否包

保密協(xié)議、離崗離職、

求文檔查閱含人員錄用、人員培訓(xùn)、人員考核、保密協(xié)議、

外部人員管理等方面

離崗離職、外部人員管理等方面的管理要求，查

管理要求并嚴(yán)格落

閱制度執(zhí)行記錄。

實(shí)。（M02-BR07）

8

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評(píng)估內(nèi)容（續(xù)）

評(píng)估項(xiàng)級(jí)別要求評(píng)估子項(xiàng)評(píng)估方法評(píng)估內(nèi)容

應(yīng)與內(nèi)部數(shù)據(jù)崗位人

員、數(shù)據(jù)合作方人員制度能力：

簽訂保密協(xié)議，明確1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

數(shù)據(jù)訪問(wèn)范圍、操作構(gòu)是否與內(nèi)部數(shù)據(jù)崗位人員及數(shù)據(jù)合作方人員

基本安全要人員訪談

權(quán)限、人員調(diào)離崗保簽訂保密協(xié)議；

求文檔查閱

密要求、保密期限、2.通過(guò)文檔查閱方式，查驗(yàn)保密協(xié)議內(nèi)容是否包

違約責(zé)任等，有效約括數(shù)據(jù)訪問(wèn)范圍、操作權(quán)限、人員調(diào)離崗保密要

束操作行為。求、保密期限、違約責(zé)任等。

（M02-BR08）

組織能力：

1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

應(yīng)制定數(shù)據(jù)安全培訓(xùn)

構(gòu)是否制定了數(shù)據(jù)安全培訓(xùn)計(jì)劃，每年至少組織

計(jì)劃，定期組織數(shù)據(jù)

開(kāi)展一次數(shù)據(jù)安全培訓(xùn)工作。

安全培訓(xùn)工作，每年

制度能力：

至少一次。針對(duì)機(jī)構(gòu)

2.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

全員，培訓(xùn)內(nèi)容包括

構(gòu)是否針對(duì)機(jī)構(gòu)全員開(kāi)展數(shù)據(jù)安全培訓(xùn)，針對(duì)機(jī)

但不限于數(shù)據(jù)安全意

數(shù)據(jù)安全管基本安全要人員訪談構(gòu)全員的培訓(xùn)內(nèi)容應(yīng)包括但不限于數(shù)據(jù)安全意

識(shí)、法律法規(guī)等。針

理機(jī)構(gòu)與人求文檔查閱識(shí)、法律法規(guī)等；

對(duì)數(shù)據(jù)崗位人員，培

員（M02）3.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

訓(xùn)內(nèi)容包括但不限于

構(gòu)是否針對(duì)相關(guān)數(shù)據(jù)崗位人員開(kāi)展數(shù)據(jù)安全培

標(biāo)準(zhǔn)規(guī)范、技能培訓(xùn)、

訓(xùn)，針對(duì)數(shù)據(jù)崗位人員的培訓(xùn)課件應(yīng)包括但不限

應(yīng)急響應(yīng)、應(yīng)急演練

于標(biāo)準(zhǔn)規(guī)范、技能培訓(xùn)、應(yīng)急響應(yīng)、應(yīng)急演練等；

等，留存培訓(xùn)記錄

4.通過(guò)文檔查閱方式，查驗(yàn)以往數(shù)據(jù)安全培訓(xùn)記

（M02-BR09）

錄，是否包括培訓(xùn)通知、培訓(xùn)照片、培訓(xùn)簽到表、

培訓(xùn)課件、培訓(xùn)評(píng)價(jià)表、培訓(xùn)考核記錄等。

組織能力：

宜組織數(shù)據(jù)崗位人員

1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

基本安全要考取相關(guān)資質(zhì)證書(shū)，人員訪談

構(gòu)數(shù)據(jù)崗位人員是否均考取相關(guān)資質(zhì)證書(shū)，持證

求持證上崗。文檔查閱

上崗，證書(shū)類(lèi)型包括但不限于：CISP、CISSP、

（M02-BR10）

CDPSE、數(shù)據(jù)庫(kù)工程師、數(shù)據(jù)治理工程師等。

組織能力：

應(yīng)配備專職安全管理1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

三級(jí)增強(qiáng)要人員訪談

員承擔(dān)數(shù)據(jù)安全管理構(gòu)是否設(shè)立專職數(shù)據(jù)安全管理員或者配備專職

求文檔查閱

員工作。（M02-TR03）安全管理員，其職責(zé)范圍涉及數(shù)據(jù)安全管理員工

作。

9

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評(píng)估內(nèi)容（續(xù)）

評(píng)估項(xiàng)級(jí)別要求評(píng)估子項(xiàng)評(píng)估方法評(píng)估內(nèi)容

應(yīng)針對(duì)不同數(shù)據(jù)崗位

組織能力：

制定不同的培訓(xùn)計(jì)

1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

三級(jí)增強(qiáng)要?jiǎng)?，?duì)數(shù)據(jù)安全基礎(chǔ)人員訪談

構(gòu)是否組織針對(duì)不同數(shù)據(jù)崗位制定不同的培訓(xùn)

求知識(shí)、崗位操作規(guī)程文檔查閱

計(jì)劃，對(duì)數(shù)據(jù)安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)

等進(jìn)行培訓(xùn)。

行培訓(xùn)。

（M02-TR04）

組織能力：

1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

構(gòu)是否定期組織對(duì)不同數(shù)據(jù)崗位人員進(jìn)行技能

應(yīng)定期對(duì)不同數(shù)據(jù)崗

三級(jí)增強(qiáng)要人員訪談考核，查閱技能考核記錄文件。

位人員進(jìn)行技能考

求文檔查閱人員能力：

核。（M02-TR05）

2.通過(guò)人員訪談方式，了解不同數(shù)據(jù)崗位人員技

數(shù)據(jù)安全管能掌握程度，不同數(shù)據(jù)崗位人員應(yīng)熟練掌握對(duì)應(yīng)

理機(jī)構(gòu)與人崗位技能。

員（M02）

關(guān)鍵事務(wù)崗位應(yīng)配備組織能力：

四級(jí)增強(qiáng)要

多人共同管理。人員訪談1.通過(guò)人員訪談方式，查驗(yàn)被評(píng)估機(jī)構(gòu)是否針對(duì)

求

（M02-FR01）關(guān)鍵事務(wù)崗位設(shè)立多人共同管理。

組織能力：

應(yīng)從內(nèi)部人員中選拔

四級(jí)增強(qiáng)要人員訪談1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

從事關(guān)鍵數(shù)據(jù)崗位的

求文檔查閱構(gòu)的關(guān)鍵事務(wù)崗位是否從內(nèi)部人員中選拔產(chǎn)生，

人員。（M02-FR02）

查閱選拔執(zhí)行記錄文檔。

10

DB4403/TXXX—XXXX

6.3數(shù)據(jù)安全管理制度體系

數(shù)據(jù)安全管理制度體系評(píng)估內(nèi)容描述見(jiàn)表3。

表3數(shù)據(jù)安全管理制度體系評(píng)估內(nèi)容

評(píng)估項(xiàng)級(jí)別要求評(píng)估子項(xiàng)評(píng)估方法評(píng)估內(nèi)容

應(yīng)指定專門(mén)的部門(mén)或組織能力：

授權(quán)數(shù)據(jù)安全管理機(jī)1.通過(guò)人員訪談、文檔查閱方式，查驗(yàn)被評(píng)估機(jī)

基本安全要人員訪談

構(gòu)負(fù)責(zé)數(shù)據(jù)安全管理構(gòu)是否指定專門(mén)的部門(mén)或授權(quán)數(shù)據(jù)安全管理機(jī)

求文檔查閱

制度的制定。構(gòu)負(fù)責(zé)數(shù)據(jù)安全管理制度的制定工作，查閱相關(guān)

（M03-BR01）指定或授權(quán)文件。

應(yīng)建立健全數(shù)據(jù)安全

保護(hù)制度體系，制度

體系內(nèi)容包括但不限

于數(shù)據(jù)安全政策、組

制度能力：

織機(jī)構(gòu)與人員管理、

1.通過(guò)文檔查閱方式，查驗(yàn)被評(píng)估機(jī)構(gòu)是否已建

數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)

立數(shù)據(jù)安全保護(hù)制度體系；

安全評(píng)估、數(shù)據(jù)安全

2.通過(guò)文檔查閱方式，查驗(yàn)被評(píng)估機(jī)構(gòu)制定的數(shù)

風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)訪問(wèn)

據(jù)安全保護(hù)制度體系是否包括但不限于數(shù)據(jù)安

權(quán)限管控、數(shù)據(jù)安全

基本安全要全政策、組織機(jī)構(gòu)與人員管理、數(shù)據(jù)分類(lèi)分級(jí)、

應(yīng)急與處置、數(shù)據(jù)安文檔查閱

求數(shù)據(jù)安全評(píng)估、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)訪問(wèn)權(quán)

全審計(jì)、數(shù)據(jù)活動(dòng)安

限管控、數(shù)據(jù)安全應(yīng)急與處置、數(shù)據(jù)安全審計(jì)、

數(shù)據(jù)安全管全管理要求（包括數(shù)

數(shù)據(jù)活動(dòng)安全管理要求（包括數(shù)據(jù)收集、存儲(chǔ)、

理制度體系據(jù)收集、存儲(chǔ)、傳輸、

傳輸、使用、加工、開(kāi)放共享、交易、出境、銷(xiāo)

（M03）使用、加工、開(kāi)放共

毀等）、數(shù)據(jù)安全教育培訓(xùn)、數(shù)據(jù)合作方管理、

享、交易、出境、銷(xiāo)

個(gè)人信息安全保護(hù)等。

毀等）、數(shù)據(jù)安全教

育培訓(xùn)、數(shù)據(jù)合作方

管理、個(gè)人信息安全

保護(hù)等。（M03-BR02）

提供重要互聯(lián)網(wǎng)平臺(tái)

組織能力：