《公共數(shù)據(jù)安全評估規(guī)范》

ICS35.240.01

CCSL67

DB4403

深圳市地方標(biāo)準(zhǔn)

DB4403/TXXX—XXXX

公共數(shù)據(jù)安全評估規(guī)范

Assessmentspecificationofcommondatasecurity

（送審稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

深圳市市場監(jiān)督管理局發(fā)布

DB4403/TXXX—XXXX

公共數(shù)據(jù)安全評估規(guī)范

1范圍

本文件規(guī)定了公共數(shù)據(jù)安全的總體概述、通用管理安全評估要求、通用技術(shù)安全評估要求、數(shù)據(jù)處

理活動安全評估要求、整體評估與評估結(jié)論。

本文件適用于公共管理和服務(wù)機(jī)構(gòu)數(shù)據(jù)安全能力的評估，也適用于處理大量個人信息的服務(wù)平臺數(shù)

據(jù)安全能力的評估，各級公共數(shù)據(jù)主管部門、公共管理和服務(wù)機(jī)構(gòu)可參照執(zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

GB/T39477—2020信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求

DB4403/T271—2022公共數(shù)據(jù)安全要求

3術(shù)語和定義

GB/T35273—2020、GB/T37988—2019、DB4403/T271-2022界定的以及下列術(shù)語和定義適用于本

文件。

3.1

評估機(jī)構(gòu)evaluationorganization

提供公共數(shù)據(jù)安全評估服務(wù)的機(jī)構(gòu)，可為公共管理和服務(wù)機(jī)構(gòu)本身、第三方數(shù)據(jù)安全服務(wù)機(jī)構(gòu)或數(shù)

據(jù)統(tǒng)籌監(jiān)管部門。

3.2

被評估機(jī)構(gòu)evaluatedorganization

在公共數(shù)據(jù)安全評估過程中，作為被評估角色的機(jī)構(gòu)，主要為公共管理和服務(wù)機(jī)構(gòu)，也可為處理大

量個人信息的服務(wù)平臺。

3.3

數(shù)據(jù)場景datascenario

為了達(dá)到特定業(yè)務(wù)目的而對數(shù)據(jù)進(jìn)行處理和使用的場景，對場景下數(shù)據(jù)流向進(jìn)行全鏈路分析，單個

數(shù)據(jù)場景可能涉及多個機(jī)構(gòu)及其業(yè)務(wù)系統(tǒng)。

3.4

主責(zé)機(jī)構(gòu)mainresponsibleorganization

評估對象為數(shù)據(jù)場景時，主責(zé)機(jī)構(gòu)指場景涉及主要系統(tǒng)的責(zé)任部門。

1

DB4403/TXXX—XXXX

3.5

關(guān)聯(lián)機(jī)構(gòu)relatedresponsibleorganization

評估對象為數(shù)據(jù)場景時，關(guān)聯(lián)機(jī)構(gòu)指涉及場景相關(guān)處理活動的其他機(jī)構(gòu)，如數(shù)據(jù)場景處理活動僅在

主責(zé)機(jī)構(gòu)內(nèi)部，則不涉及關(guān)聯(lián)機(jī)構(gòu)。

4縮略語

下列縮略語適用于本文件：

M：通用管理安全（GeneralManagementSecurity）

T：通用技術(shù)安全（GeneralTechnologySecurity）

P：數(shù)據(jù)處理活動安全（DataProcessingActivitySecurity）

BR：基本安全要求（BasicSecurityRequirements）

TR：三級增強(qiáng)要求（LevelThreeEnhancementRequirements）

FR：四級增強(qiáng)要求（LevelFourEnhancementRequirements）

DT：數(shù)據(jù)子類或字段（DataSubclassOrField）

SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）

API：應(yīng)用程序接口（ApplicationProgrammingInterface）

5概述

5.1評估原則

為規(guī)范公共數(shù)據(jù)安全評估工作，全面有效發(fā)現(xiàn)公共數(shù)據(jù)可能面臨的各類安全風(fēng)險，評估機(jī)構(gòu)在評估

過程中，應(yīng)遵循下列原則，具體包括：

a)公正客觀原則——評估機(jī)構(gòu)在整體評估過程中，對評估對象數(shù)據(jù)安全保障措施進(jìn)行公平客觀

的判定，不應(yīng)受機(jī)構(gòu)性質(zhì)、評估對象、評估時間、評估人員、利益關(guān)系等任何因素影響而損

害評估的公正及客觀性；

b)最小影響原則——評估機(jī)構(gòu)在評估過程中，對評估對象的網(wǎng)絡(luò)、業(yè)務(wù)、數(shù)據(jù)流轉(zhuǎn)等正常運(yùn)行

造成的影響應(yīng)降低到最低，不因評估工作而導(dǎo)致業(yè)務(wù)連續(xù)性的中斷；

c)可控性原則——在評估過程中，評估機(jī)構(gòu)應(yīng)確保評估過程可管可控，使用的評估工具或技術(shù)

手段，已經(jīng)過實踐驗證，不存在安全隱患；

d)全面性原則——評估機(jī)構(gòu)在評估過程應(yīng)全面覆蓋評估要點，基于評估要點對評估對象涉及的

資產(chǎn)（如制度類文檔、數(shù)據(jù)資產(chǎn)、軟硬件資產(chǎn)、人力資源等）、數(shù)據(jù)處理活動各環(huán)節(jié)進(jìn)行評

估；

e)書面授權(quán)原則——評估機(jī)構(gòu)所開展的評估工作，包括評估對象、評估范圍、方法、時間等，

應(yīng)得到被評估機(jī)構(gòu)的正式書面授權(quán)，嚴(yán)禁未經(jīng)授權(quán)的評估行為；

f)保密性原則——評估機(jī)構(gòu)及評估人員在評估前應(yīng)與被評估機(jī)構(gòu)簽訂數(shù)據(jù)安全相關(guān)保密協(xié)議，

明確保密責(zé)任、義務(wù)及爭議條款，除法律要求或獲得被評估機(jī)構(gòu)同意外，評估人員在評估過

程中獲取的評估對象相關(guān)信息、過程文檔等應(yīng)嚴(yán)格保密，不得對外透露，以確保被評估機(jī)構(gòu)

的數(shù)據(jù)安全。

5.2評估職責(zé)

2

DB4403/TXXX—XXXX

評估機(jī)構(gòu)負(fù)責(zé)為被評估機(jī)構(gòu)提供公共數(shù)據(jù)安全評估服務(wù)，在得到被評估機(jī)構(gòu)書面授權(quán)及簽署數(shù)據(jù)安

全相關(guān)保密協(xié)議后，應(yīng)遵循公正客觀原則開展評估工作，評估過程應(yīng)不對被評估機(jī)構(gòu)公共數(shù)據(jù)運(yùn)營活動

造成影響；被評估機(jī)構(gòu)應(yīng)向評估機(jī)構(gòu)提供公共數(shù)據(jù)安全評估過程所需資源，包括但不限于文檔、人員、

網(wǎng)絡(luò)等。

5.3安全能力評估維度

評估機(jī)構(gòu)對評估對象的數(shù)據(jù)安全能力進(jìn)行評估，安全能力應(yīng)分為以下4個維度：

a)組織能力——主要考察數(shù)據(jù)安全組織架構(gòu)及人員的設(shè)立、職責(zé)分工及溝通協(xié)作；

b)制度能力——主要考察數(shù)據(jù)安全制度及流程建設(shè)完備性、可執(zhí)行性、動態(tài)更新性；

c)人員能力——主要考察人員數(shù)據(jù)安全建設(shè)專業(yè)能力、工作執(zhí)行落地情況；

d)技術(shù)能力——主要考察采取技術(shù)手段或自動化技術(shù)工具落實數(shù)據(jù)安全要求的能力。

5.4評估體系

評估機(jī)構(gòu)采用文檔查閱、人員訪談、技術(shù)檢測、系統(tǒng)核驗等評估方法，對評估對象涉及的資產(chǎn)、數(shù)

據(jù)處理活動各環(huán)節(jié)的數(shù)據(jù)安全保障措施合規(guī)情況進(jìn)行評估。評估流程包括組建評估團(tuán)隊、確定評估對象

及評估范圍、評估對象調(diào)研、組織評估實施及評估報告編制。評估涵蓋通用管理安全要求、通用技術(shù)安

全要求及數(shù)據(jù)處理活動安全要求三方面。針對不同的安全等級選取相對應(yīng)的安全要求進(jìn)行評估。框架結(jié)

構(gòu)如圖1。

圖1公共數(shù)據(jù)安全評估框架

注：評估對象涉及不同安全等級的數(shù)據(jù)類型且無法拆分評估時，依據(jù)評定的最高數(shù)據(jù)安全等級的安全要求開展評估，

安全等級與安全要求的關(guān)系參見DB4403/T271-2022。

5.5評估方法

公共數(shù)據(jù)安全評估宜采取如下評估方法開展評估工作：

3

DB4403/TXXX—XXXX

a)文檔查閱——評估人員通過查看數(shù)據(jù)安全評估相關(guān)材料，如數(shù)據(jù)安全管理制度、業(yè)務(wù)安全保障

措施技術(shù)材料、制度落地執(zhí)行記錄表單等，輔助驗證是否符合相關(guān)安全要求；被評估機(jī)構(gòu)應(yīng)提

前準(zhǔn)備相關(guān)文檔以供評估人員查閱；

b)人員訪談——評估人員與被評估機(jī)構(gòu)相關(guān)人員進(jìn)行交流、討論、詢問等，以初步驗證數(shù)據(jù)安全

要求的符合性，可結(jié)合其它評估方法，充分驗證數(shù)據(jù)安全保障措施的有效性；此評估方法通常

在評估前期調(diào)研、評估過程中使用，訪談人員范圍包含數(shù)據(jù)安全管理機(jī)構(gòu)人員以及承載業(yè)務(wù)系

統(tǒng)運(yùn)行的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)相關(guān)人員等；

c)技術(shù)檢測——評估人員對業(yè)務(wù)系統(tǒng)不同應(yīng)用形態(tài)（如web應(yīng)用、移動應(yīng)用程序、小程序、公眾

號等）、系統(tǒng)、網(wǎng)絡(luò)等進(jìn)行技術(shù)測試，以驗證是否符合數(shù)據(jù)處理活動技術(shù)安全要求；通過由評

估人員事先準(zhǔn)備測試工具（如流量監(jiān)測工具、掃描工具、滲透測試工具等）、業(yè)務(wù)注冊或使用

被評估機(jī)構(gòu)準(zhǔn)備的測試賬號等以完成技術(shù)測試；

d)系統(tǒng)核驗——由被評估機(jī)構(gòu)人員根據(jù)評估人員的要求，上機(jī)核驗被評估機(jī)構(gòu)相關(guān)安全能力平臺

或業(yè)務(wù)數(shù)據(jù)處理活動各環(huán)節(jié)、數(shù)據(jù)操作日志記錄等界面，此評估方法可直觀驗證數(shù)據(jù)安全保障

措施是否有效，被評估機(jī)構(gòu)人員安排相關(guān)人員進(jìn)行現(xiàn)場演示，評估人員根據(jù)演示結(jié)果判斷安全

要求的符合性。

5.6評估適用情形

滿足如下情形之一，應(yīng)及時啟動評估工作：

a)承載公共數(shù)據(jù)的業(yè)務(wù)系統(tǒng)上線前；

b)業(yè)務(wù)運(yùn)營階段，數(shù)據(jù)承載環(huán)境發(fā)生重大變更時，如數(shù)據(jù)處理技術(shù)模式變更、數(shù)據(jù)采集渠道變

更、數(shù)據(jù)種類發(fā)生重大變化、批量數(shù)據(jù)共享對象變更、業(yè)務(wù)重大版本迭代、網(wǎng)絡(luò)環(huán)境重大變

更、數(shù)據(jù)存儲系統(tǒng)升級改造、數(shù)據(jù)出境等；

c)行業(yè)主管部門要求時；

d)法律法規(guī)規(guī)定的其它情形。

5.7評估對象和評估指標(biāo)說明

業(yè)務(wù)系統(tǒng)、數(shù)據(jù)場景均可作為評估對象。評估機(jī)構(gòu)針對選取的評估對象，確定評估指標(biāo)，開展評估

工作，并編制形成評估報告。不同的評估對象適用于不同的評估指標(biāo)，選取原則如下：

a)業(yè)務(wù)系統(tǒng)；

1)對業(yè)務(wù)系統(tǒng)進(jìn)行評估時，根據(jù)其安全等級選取本文件第6至8章節(jié)相對應(yīng)安全要求的評估指標(biāo)

進(jìn)行評估，判別依據(jù)為被評估機(jī)構(gòu)數(shù)據(jù)安全組織架構(gòu)、人員配備、制度流程，技術(shù)能力及與該業(yè)務(wù)

系統(tǒng)相關(guān)的資產(chǎn)、已有安全保護(hù)措施等。

b)數(shù)據(jù)場景；

1)對數(shù)據(jù)場景進(jìn)行評估時，單個數(shù)據(jù)場景可能涉及多個機(jī)構(gòu)及其業(yè)務(wù)系統(tǒng)，應(yīng)劃分主責(zé)機(jī)構(gòu)和關(guān)

聯(lián)機(jī)構(gòu)；

2)主責(zé)機(jī)構(gòu)指數(shù)據(jù)場景主要系統(tǒng)的管理者，對該場景下處理的數(shù)據(jù)負(fù)主要責(zé)任，關(guān)聯(lián)機(jī)構(gòu)指與數(shù)

據(jù)場景有關(guān)聯(lián)關(guān)系，涉及該場景下數(shù)據(jù)處理活動中單個或多個環(huán)節(jié)的機(jī)構(gòu)，對其涉及到的環(huán)節(jié)負(fù)關(guān)

聯(lián)責(zé)任；

3)評估對象為數(shù)據(jù)場景時，主責(zé)機(jī)構(gòu)和關(guān)聯(lián)機(jī)構(gòu)均需納入評估范圍，針對主責(zé)機(jī)構(gòu)，應(yīng)選取本文

件第6至8章節(jié)的評估指標(biāo)對其開展評估，針對關(guān)聯(lián)機(jī)構(gòu)，一個關(guān)聯(lián)機(jī)構(gòu)可能涉及該場景下單個或

多個數(shù)據(jù)處理活動環(huán)節(jié)，應(yīng)選取本文件第8章節(jié)中與該關(guān)聯(lián)機(jī)構(gòu)涉及數(shù)據(jù)處理活動環(huán)節(jié)所對應(yīng)的評

估指標(biāo)開展評估。

4

DB4403/TXXX—XXXX

5.8評估流程

公共數(shù)據(jù)安全的評估流程宜按照以下步驟進(jìn)行：

a)組建評估團(tuán)隊；

數(shù)據(jù)安全評估前，應(yīng)組建數(shù)據(jù)安全評估團(tuán)隊，評估團(tuán)隊宜包含評估機(jī)構(gòu)評估人員、被評估機(jī)構(gòu)數(shù)據(jù)

安全管理機(jī)構(gòu)人員，評估過程中涉及的人員包含評估對象相關(guān)的業(yè)務(wù)運(yùn)營運(yùn)維部門、業(yè)務(wù)開發(fā)測試部門、

數(shù)據(jù)合作方等人員，評估機(jī)構(gòu)的評估人員應(yīng)具備數(shù)據(jù)安全評估能力，確保評估結(jié)果的有效性。

b)確定評估對象；

參見本文件5.7明確數(shù)據(jù)安全評估對象，根據(jù)選定的評估對象，針對評估對象的安全等級，確定評

估指標(biāo)。

c)評估對象調(diào)研；

數(shù)據(jù)安全評估團(tuán)隊?wèi)?yīng)對評估對象相關(guān)數(shù)據(jù)安全工作進(jìn)行充分調(diào)研，包括業(yè)務(wù)簡介、網(wǎng)絡(luò)拓?fù)淝闆r、

數(shù)據(jù)安全崗位人員、數(shù)據(jù)安全管理相關(guān)制度流程表單、數(shù)據(jù)安全設(shè)備部署情況、已有安全保護(hù)措施等；

在組織評估實施之前，應(yīng)提供評估方案，并與被評估機(jī)構(gòu)協(xié)商一致。

d)組織評估實施；

數(shù)據(jù)安全評估團(tuán)隊組織遠(yuǎn)程及現(xiàn)場評估，按DB4403/T271-2022描述的公共數(shù)據(jù)安全要求，采用文

檔查閱、人員訪談、技術(shù)檢測、系統(tǒng)核驗等評估方法對評估對象的管理及技術(shù)安全保障能力進(jìn)行評估，

評估過程可配套使用相關(guān)數(shù)據(jù)安全技術(shù)測試工具加強(qiáng)評估風(fēng)險驗證結(jié)果，評估團(tuán)隊對評估過程進(jìn)行記錄，

保存對應(yīng)的評估佐證材料，得出公正客觀的評估結(jié)果，并逐一體現(xiàn)在評估報告中，評估案例見附錄E。

e)評估報告編制。

數(shù)據(jù)安全評估團(tuán)隊在完成數(shù)據(jù)安全評估工作后，宜組織與被評估機(jī)構(gòu)共同確認(rèn)數(shù)據(jù)安全評估結(jié)果，

并編制數(shù)據(jù)安全評估報告（見附錄D）。

6通用管理安全評估

6.1總體數(shù)據(jù)安全策略

總體數(shù)據(jù)安全策略評估內(nèi)容描述見表1。

表1總體數(shù)據(jù)安全策略評估內(nèi)容

評估項級別要求評估子項評估方法評估內(nèi)容

組織能力：

應(yīng)明確數(shù)據(jù)安全管理1.通過人員訪談，詢問被評估機(jī)構(gòu)是否組織專門

的策略，包括管理目部門明確總體數(shù)據(jù)安全策略。

標(biāo)、原則、要求等內(nèi)制度能力：

總體數(shù)據(jù)安容，制定或修訂完善2.通過文檔查閱，確認(rèn)總體數(shù)據(jù)安全策略是否包

基本安全要人員訪談

全策略總體安全管理框架，括管理目標(biāo)、原則、要求等內(nèi)容；或相關(guān)信息安

求文檔查閱

（M01）公共數(shù)據(jù)安全管理應(yīng)全總體綱領(lǐng)文檔是否體現(xiàn)數(shù)據(jù)安全方面的總體

作為重點內(nèi)容，納入方針政策。

總體安全管理范疇。人員能力：

（M01-BR01）3.通過人員訪談，詢問被評估機(jī)構(gòu)是否了解機(jī)構(gòu)

制定的總體數(shù)據(jù)安全策略。

5

DB4403/TXXX—XXXX

表1總體數(shù)據(jù)安全策略評估內(nèi)容（續(xù)）

評估項級別要求評估子項評估方法評估內(nèi)容

組織能力：

1.被評估機(jī)構(gòu)是否組織定期對數(shù)據(jù)安全策略的

應(yīng)定期對數(shù)據(jù)安全策

總體數(shù)據(jù)安合理性及適用性進(jìn)行論證和審定，查閱相關(guān)評審

三級增強(qiáng)要略的合理性及適用性

全策略文檔查閱記錄。

求進(jìn)行論證和審定，動

（M01）制度能力：

態(tài)調(diào)整。（M01-TR01）

2.是否根據(jù)定期審定結(jié)果，動態(tài)調(diào)整數(shù)據(jù)安全策

略，查閱動態(tài)調(diào)整內(nèi)容。

6.2數(shù)據(jù)安全管理機(jī)構(gòu)與人員

數(shù)據(jù)安全管理機(jī)構(gòu)與人員評估內(nèi)容描述見表2。

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評估內(nèi)容

評估項級別要求評估子項評估方法評估內(nèi)容

應(yīng)設(shè)立數(shù)據(jù)安全管理

機(jī)構(gòu)，明確數(shù)據(jù)安全

責(zé)任人，落實數(shù)據(jù)安

組織能力：

全保護(hù)責(zé)任。數(shù)據(jù)安

1．通過人員訪談，詢問被評估機(jī)構(gòu)是否明確數(shù)

全責(zé)任人履行職責(zé)包

據(jù)安全管理機(jī)構(gòu)及數(shù)據(jù)安全負(fù)責(zé)人，明確數(shù)據(jù)安

括但不限于：

全責(zé)任人的工作職責(zé)，查閱正式發(fā)文文檔。

1）組織制定數(shù)據(jù)保護(hù)

制度能力：

計劃并落實；

2．查閱數(shù)據(jù)安全負(fù)責(zé)人的職責(zé)內(nèi)容是否包括但

基本安全要2）組織開展數(shù)據(jù)安全人員訪談

不限于：

求影響分析和風(fēng)險評文檔查閱

1）組織制定數(shù)據(jù)保護(hù)計劃并落實；

估，督促整改安全隱

數(shù)據(jù)安全管2）組織開展數(shù)據(jù)安全影響分析和風(fēng)險評估，督

患；

理機(jī)構(gòu)與人促整改安全隱患；

3）組織按要求向有關(guān)

員（M02）3）組織按要求向有關(guān)部門報告數(shù)據(jù)安全保護(hù)和

部門報告數(shù)據(jù)安全保

事件處置情況；

護(hù)和事件處置情況；

4）組織受理并處理數(shù)據(jù)安全投訴和舉報事項等。

4）組織受理并處理數(shù)

據(jù)安全投訴和舉報事

項等。（M02-BR01）

應(yīng)按照相關(guān)法律、法

制度能力：

規(guī)、規(guī)章的要求編制

基本安全要人員訪談1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

公共數(shù)據(jù)資源目錄，

求文檔查閱構(gòu)是否按照相關(guān)法律、法規(guī)、規(guī)章、規(guī)定的要求

加強(qiáng)數(shù)據(jù)安全保護(hù)。

編制公共數(shù)據(jù)資源目錄。

（M02-BR02）

6

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評估內(nèi)容（續(xù)）

評估項級別要求評估子項評估方法評估內(nèi)容

數(shù)據(jù)安全管理機(jī)構(gòu)應(yīng)

明確數(shù)據(jù)管理員、數(shù)

據(jù)安全管理員、數(shù)據(jù)組織能力：

安全審計員等崗位職1.通過人員訪談，詢問被評估機(jī)構(gòu)的數(shù)據(jù)安全管

責(zé)，落實崗位人員，理機(jī)構(gòu)是否設(shè)立數(shù)據(jù)安全相關(guān)崗位人員，包括數(shù)

保障數(shù)據(jù)安全管理與據(jù)管理員、數(shù)據(jù)安全管理員、數(shù)據(jù)安全審計員等

審計工作開展。相關(guān)崗位，其中數(shù)據(jù)管理員和數(shù)據(jù)安全審計員不能由

崗位職責(zé)應(yīng)包括：同一人兼任，數(shù)據(jù)安全管理員和數(shù)據(jù)安全審計員

1）數(shù)據(jù)管理員負(fù)責(zé)數(shù)不得由同一人兼任。

據(jù)存儲、數(shù)據(jù)權(quán)限分制度能力：

基本安全要配、數(shù)據(jù)資產(chǎn)梳理等；人員訪談2.通過文檔查閱方式，查看被評估機(jī)構(gòu)是否明確

求2）數(shù)據(jù)安全管理員負(fù)文檔查閱不同數(shù)據(jù)安全相關(guān)崗位的職責(zé)明細(xì)，查看崗位職

責(zé)數(shù)據(jù)權(quán)限審批、數(shù)責(zé)內(nèi)容是否全面、明確，是否包含如下職責(zé)內(nèi)容：

據(jù)分類分級、數(shù)據(jù)安1）數(shù)據(jù)管理員負(fù)責(zé)數(shù)據(jù)存儲安全、數(shù)據(jù)權(quán)限分

全風(fēng)險檢測與評估、配、數(shù)據(jù)資產(chǎn)梳理等；

數(shù)據(jù)安全事件應(yīng)急響2）數(shù)據(jù)安全管理員負(fù)責(zé)數(shù)據(jù)權(quán)限審批、數(shù)據(jù)分

應(yīng)處置、教育培訓(xùn)等，類分級、數(shù)據(jù)安全風(fēng)險檢測與評估、數(shù)據(jù)安全事

數(shù)據(jù)安全管可由安全管理員兼件應(yīng)急響應(yīng)處置、教育培訓(xùn)等，可由安全管理員

理機(jī)構(gòu)與人任；兼任；

員（M02）3）數(shù)據(jù)安全審計員負(fù)3）數(shù)據(jù)安全審計員負(fù)責(zé)數(shù)據(jù)安全審計等。

責(zé)數(shù)據(jù)安全審計等。

（M02-BR03）

處理個人信息達(dá)到國

家網(wǎng)信部門規(guī)定數(shù)量

組織能力：

的，應(yīng)指定個人信息

1.通過人員訪談，詢問被評估機(jī)構(gòu)是否屬于處理

保護(hù)負(fù)責(zé)人，負(fù)責(zé)對

個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的公共管

個人信息處理活動以

理和服務(wù)機(jī)構(gòu)，如是則是否明確指定個人信息保

及采取的保護(hù)措施等

基本安全要人員訪談護(hù)負(fù)責(zé)人，負(fù)責(zé)對個人信息處理活動以及采取的

進(jìn)行監(jiān)督，并公開個

求文檔查閱保護(hù)措施等進(jìn)行監(jiān)督。

人信息保護(hù)負(fù)責(zé)人聯(lián)

制度能力：

系方式，將個人信息

2.查驗被評估機(jī)構(gòu)是否公開個人信息保護(hù)負(fù)責(zé)

保護(hù)負(fù)責(zé)人的姓名、

人的姓名、聯(lián)系方式等，并已報送履行個人信息

聯(lián)系方式等報送履行

保護(hù)職責(zé)的部門。

個人信息保護(hù)職責(zé)部

門。（M02-BR04）

7

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評估內(nèi)容（續(xù)）

評估項級別要求評估子項評估方法評估內(nèi)容

應(yīng)針對數(shù)據(jù)類別級別

制度能力：

變更、數(shù)據(jù)權(quán)限變更、

1.通過文檔查閱方式，查看被評估機(jī)構(gòu)是否已建

重大數(shù)據(jù)操作及外部

基本安全要立針對數(shù)據(jù)類別級別變更、數(shù)據(jù)權(quán)限變更、重大

系統(tǒng)接入等事項建立文檔查閱

求數(shù)據(jù)操作及外部系統(tǒng)接入等事項的審批程序；

審批程序，按照審批

2.通過文檔查閱方式，查看事項審批程序執(zhí)行記

程序執(zhí)行審批過程。

錄文件。

（M02-BR05）

組織能力：

涉及數(shù)據(jù)合作方的機(jī)

1.通過人員訪談方式，查驗被評估機(jī)構(gòu)是否定期

構(gòu)，應(yīng)與數(shù)據(jù)合作方

組織審核數(shù)據(jù)合作方資質(zhì)背景、數(shù)據(jù)安全保障能

簽訂合作協(xié)議及數(shù)據(jù)

力等，并組織合規(guī)評估，出具評估報告；通過文

安全保密協(xié)議，明確

檔查閱方式，查看數(shù)據(jù)合作方合規(guī)評估報告的完

基本安全要雙方數(shù)據(jù)安全保密責(zé)人員訪談

整性。

求任與義務(wù)，宜定期審文檔查閱

制度能力：

核數(shù)據(jù)合作方資質(zhì)背

2.查驗被評估機(jī)構(gòu)是否明確與數(shù)據(jù)合作方簽訂

景、數(shù)據(jù)安全保障能

合作協(xié)議及數(shù)據(jù)安全保密協(xié)議，通過文檔查閱方

力等，并組織動態(tài)合

式，查看協(xié)議是否明確雙方數(shù)據(jù)安全保密責(zé)任與

規(guī)評估。（M02-BR06）

義務(wù)。

數(shù)據(jù)安全管

制度能力：

理機(jī)構(gòu)與人應(yīng)針對重大數(shù)據(jù)處理

三級增強(qiáng)要人員訪談1.查驗被評估機(jī)構(gòu)是否建立重大數(shù)據(jù)處理活動

員（M02）活動建立逐級審批機(jī)

求文檔查閱逐級審批機(jī)制，通過文檔查閱方式，查看審批機(jī)

制。（M02-TR01）

制的合理性、有效性及可執(zhí)行性。

組織能力：

1.查驗被評估機(jī)構(gòu)是否組織定期審查審批事項。

應(yīng)定期審查審批事

制度能力：

項，及時更新需授權(quán)

三級增強(qiáng)要人員訪談2.查驗被評估機(jī)構(gòu)是否在審查后，動態(tài)更新授權(quán)

和審批的項目、審批

求文檔查閱和審批的項目、審批部門和審批人等信息，保持

部門和審批人等信

審批機(jī)制的合理性；通過文檔查閱方式，查驗是

息。（M02-TR02）

否具有對相關(guān)審批事項的定期審查記錄和授權(quán)

更新記錄。

應(yīng)加強(qiáng)人員管理，明

制度能力：

確規(guī)定人員錄用、人

1.通過人員訪談、文檔查閱方式，明確被評估機(jī)

員培訓(xùn)、人員考核、

基本安全要人員訪談構(gòu)是否制定人員管理相關(guān)制度；查閱制度是否包

保密協(xié)議、離崗離職、

求文檔查閱含人員錄用、人員培訓(xùn)、人員考核、保密協(xié)議、

外部人員管理等方面

離崗離職、外部人員管理等方面的管理要求，查

管理要求并嚴(yán)格落

閱制度執(zhí)行記錄。

實。（M02-BR07）

8

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評估內(nèi)容（續(xù)）

評估項級別要求評估子項評估方法評估內(nèi)容

應(yīng)與內(nèi)部數(shù)據(jù)崗位人

員、數(shù)據(jù)合作方人員制度能力：

簽訂保密協(xié)議，明確1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

數(shù)據(jù)訪問范圍、操作構(gòu)是否與內(nèi)部數(shù)據(jù)崗位人員及數(shù)據(jù)合作方人員

基本安全要人員訪談

權(quán)限、人員調(diào)離崗保簽訂保密協(xié)議；

求文檔查閱

密要求、保密期限、2.通過文檔查閱方式，查驗保密協(xié)議內(nèi)容是否包

違約責(zé)任等，有效約括數(shù)據(jù)訪問范圍、操作權(quán)限、人員調(diào)離崗保密要

束操作行為。求、保密期限、違約責(zé)任等。

（M02-BR08）

組織能力：

1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

應(yīng)制定數(shù)據(jù)安全培訓(xùn)

構(gòu)是否制定了數(shù)據(jù)安全培訓(xùn)計劃，每年至少組織

計劃，定期組織數(shù)據(jù)

開展一次數(shù)據(jù)安全培訓(xùn)工作。

安全培訓(xùn)工作，每年

制度能力：

至少一次。針對機(jī)構(gòu)

2.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

全員，培訓(xùn)內(nèi)容包括

構(gòu)是否針對機(jī)構(gòu)全員開展數(shù)據(jù)安全培訓(xùn)，針對機(jī)

但不限于數(shù)據(jù)安全意

數(shù)據(jù)安全管基本安全要人員訪談構(gòu)全員的培訓(xùn)內(nèi)容應(yīng)包括但不限于數(shù)據(jù)安全意

識、法律法規(guī)等。針

理機(jī)構(gòu)與人求文檔查閱識、法律法規(guī)等；

對數(shù)據(jù)崗位人員，培

員（M02）3.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

訓(xùn)內(nèi)容包括但不限于

構(gòu)是否針對相關(guān)數(shù)據(jù)崗位人員開展數(shù)據(jù)安全培

標(biāo)準(zhǔn)規(guī)范、技能培訓(xùn)、

訓(xùn)，針對數(shù)據(jù)崗位人員的培訓(xùn)課件應(yīng)包括但不限

應(yīng)急響應(yīng)、應(yīng)急演練

于標(biāo)準(zhǔn)規(guī)范、技能培訓(xùn)、應(yīng)急響應(yīng)、應(yīng)急演練等；

等，留存培訓(xùn)記錄

4.通過文檔查閱方式，查驗以往數(shù)據(jù)安全培訓(xùn)記

（M02-BR09）

錄，是否包括培訓(xùn)通知、培訓(xùn)照片、培訓(xùn)簽到表、

培訓(xùn)課件、培訓(xùn)評價表、培訓(xùn)考核記錄等。

組織能力：

宜組織數(shù)據(jù)崗位人員

1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

基本安全要考取相關(guān)資質(zhì)證書，人員訪談

構(gòu)數(shù)據(jù)崗位人員是否均考取相關(guān)資質(zhì)證書，持證

求持證上崗。文檔查閱

上崗，證書類型包括但不限于：CISP、CISSP、

（M02-BR10）

CDPSE、數(shù)據(jù)庫工程師、數(shù)據(jù)治理工程師等。

組織能力：

應(yīng)配備專職安全管理1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

三級增強(qiáng)要人員訪談

員承擔(dān)數(shù)據(jù)安全管理構(gòu)是否設(shè)立專職數(shù)據(jù)安全管理員或者配備專職

求文檔查閱

員工作。（M02-TR03）安全管理員，其職責(zé)范圍涉及數(shù)據(jù)安全管理員工

作。

9

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評估內(nèi)容（續(xù)）

評估項級別要求評估子項評估方法評估內(nèi)容

應(yīng)針對不同數(shù)據(jù)崗位

組織能力：

制定不同的培訓(xùn)計

1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

三級增強(qiáng)要劃，對數(shù)據(jù)安全基礎(chǔ)人員訪談

構(gòu)是否組織針對不同數(shù)據(jù)崗位制定不同的培訓(xùn)

求知識、崗位操作規(guī)程文檔查閱

計劃，對數(shù)據(jù)安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)

等進(jìn)行培訓(xùn)。

行培訓(xùn)。

（M02-TR04）

組織能力：

1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

構(gòu)是否定期組織對不同數(shù)據(jù)崗位人員進(jìn)行技能

應(yīng)定期對不同數(shù)據(jù)崗

三級增強(qiáng)要人員訪談考核，查閱技能考核記錄文件。

位人員進(jìn)行技能考

求文檔查閱人員能力：

核。（M02-TR05）

2.通過人員訪談方式，了解不同數(shù)據(jù)崗位人員技

數(shù)據(jù)安全管能掌握程度，不同數(shù)據(jù)崗位人員應(yīng)熟練掌握對應(yīng)

理機(jī)構(gòu)與人崗位技能。

員（M02）

關(guān)鍵事務(wù)崗位應(yīng)配備組織能力：

四級增強(qiáng)要

多人共同管理。人員訪談1.通過人員訪談方式，查驗被評估機(jī)構(gòu)是否針對

求

（M02-FR01）關(guān)鍵事務(wù)崗位設(shè)立多人共同管理。

組織能力：

應(yīng)從內(nèi)部人員中選拔

四級增強(qiáng)要人員訪談1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

從事關(guān)鍵數(shù)據(jù)崗位的

求文檔查閱構(gòu)的關(guān)鍵事務(wù)崗位是否從內(nèi)部人員中選拔產(chǎn)生，

人員。（M02-FR02）

查閱選拔執(zhí)行記錄文檔。

10

DB4403/TXXX—XXXX

6.3數(shù)據(jù)安全管理制度體系

數(shù)據(jù)安全管理制度體系評估內(nèi)容描述見表3。

表3數(shù)據(jù)安全管理制度體系評估內(nèi)容

評估項級別要求評估子項評估方法評估內(nèi)容

應(yīng)指定專門的部門或組織能力：

授權(quán)數(shù)據(jù)安全管理機(jī)1.通過人員訪談、文檔查閱方式，查驗被評估機(jī)

基本安全要人員訪談

構(gòu)負(fù)責(zé)數(shù)據(jù)安全管理構(gòu)是否指定專門的部門或授權(quán)數(shù)據(jù)安全管理機(jī)

求文檔查閱

制度的制定。構(gòu)負(fù)責(zé)數(shù)據(jù)安全管理制度的制定工作，查閱相關(guān)

（M03-BR01）指定或授權(quán)文件。

應(yīng)建立健全數(shù)據(jù)安全

保護(hù)制度體系，制度

體系內(nèi)容包括但不限

于數(shù)據(jù)安全政策、組

制度能力：

織機(jī)構(gòu)與人員管理、

1.通過文檔查閱方式，查驗被評估機(jī)構(gòu)是否已建

數(shù)據(jù)分類分級、數(shù)據(jù)

立數(shù)據(jù)安全保護(hù)制度體系；

安全評估、數(shù)據(jù)安全

2.通過文檔查閱方式，查驗被評估機(jī)構(gòu)制定的數(shù)

風(fēng)險監(jiān)測、數(shù)據(jù)訪問

據(jù)安全保護(hù)制度體系是否包括但不限于數(shù)據(jù)安

權(quán)限管控、數(shù)據(jù)安全

基本安全要全政策、組織機(jī)構(gòu)與人員管理、數(shù)據(jù)分類分級、

應(yīng)急與處置、數(shù)據(jù)安文檔查閱

求數(shù)據(jù)安全評估、數(shù)據(jù)安全風(fēng)險監(jiān)測、數(shù)據(jù)訪問權(quán)

全審計、數(shù)據(jù)活動安

限管控、數(shù)據(jù)安全應(yīng)急與處置、數(shù)據(jù)安全審計、

數(shù)據(jù)安全管全管理要求（包括數(shù)

數(shù)據(jù)活動安全管理要求（包括數(shù)據(jù)收集、存儲、

理制度體系據(jù)收集、存儲、傳輸、

傳輸、使用、加工、開放共享、交易、出境、銷

（M03）使用、加工、開放共

毀等）、數(shù)據(jù)安全教育培訓(xùn)、數(shù)據(jù)合作方管理、

享、交易、出境、銷

個人信息安全保護(hù)等。

毀等）、數(shù)據(jù)安全教

育培訓(xùn)、數(shù)據(jù)合作方

管理、個人信息安全

保護(hù)等。（M03-BR02）

提供重要互聯(lián)網(wǎng)平臺

組織能力：