《公共數(shù)據(jù)安全評估規(guī)范》編制說明

《公共數(shù)據(jù)安全評估規(guī)范》（送審稿）

編制說明

一、項目背景

2021年6月10日，全國人大常委會第二十九次會議通過了我國首部數(shù)據(jù)保護

領域專項法律《中華人民共和國數(shù)據(jù)安全法》，以國家法律的形式對我國數(shù)據(jù)安

全保護工作提出要求，并明確說明我國促進并支持數(shù)據(jù)安全檢測評估、認證等服

務發(fā)展和活動開展。2021年10月，中共中央、國務院印發(fā)《國家標準化發(fā)展綱要》，

也明確提出要強化數(shù)據(jù)安全領域標準的制定與實施。

公共數(shù)據(jù)構成復雜、涉及范圍廣、處理環(huán)節(jié)多樣、數(shù)據(jù)流動頻繁，過程中潛

藏了諸多安全風險問題，公共數(shù)據(jù)安全防護面臨巨大挑戰(zhàn)。當前各公共管理和服

務機構數(shù)據(jù)安全能力尚處于參差不齊的狀態(tài)，整體數(shù)據(jù)安全保護仍有待進一步統(tǒng)

籌協(xié)調，逐步實現(xiàn)規(guī)范化和標準化。

為加強公共數(shù)據(jù)安全風險防控，統(tǒng)一指導并有序推進公共管理和服務機構數(shù)

據(jù)安全管理工作，有必要對深圳市公共數(shù)據(jù)安全評估工作進行規(guī)范化和標準化要

求。因此，基于我國現(xiàn)有法律法規(guī)、《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》、目前已發(fā)布的

DB4403/T271—2022《公共數(shù)據(jù)安全要求》等所明確的數(shù)據(jù)安全要求，結合實際

情況，組織開展本文件的研制工作。

本文件的制定和實施，一方面能夠推動公共管理和服務機構落實公共數(shù)據(jù)安

全要求，提升數(shù)據(jù)安全保護工作的規(guī)范化和標準化程度，另一方面有助于公共管

理和服務機構及時全面掌握本機構數(shù)據(jù)安全管理水平，有效防控數(shù)據(jù)安全事件風

險和危害，為數(shù)據(jù)的應用和流動提供有力保障。

二、工作簡況

1、任務來源

2021年我國相繼發(fā)布《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個

人信息保護法》，其中數(shù)據(jù)安全法第十八條、二十二條、三十條均提及數(shù)據(jù)安全

風險評估法規(guī)要求。我市《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第八十七條、八十九條明確

1

需建立健全數(shù)據(jù)安全監(jiān)督機制，組織數(shù)據(jù)安全監(jiān)督檢查，以及需對數(shù)據(jù)處理者開

展數(shù)據(jù)安全管理認證以及數(shù)據(jù)安全評估工作，并對其進行安全等級評定。

地市層面，為提升深圳市公共數(shù)據(jù)安全建設能力，維護數(shù)據(jù)安全，切實保護

公共數(shù)據(jù)的敏感信息，保護社會公眾的合法權益，推動我市《深圳經(jīng)濟特區(qū)數(shù)據(jù)

條例》貫徹實施，落實公共數(shù)據(jù)保護責任與義務，指導公共管理和服務機構的公

共數(shù)據(jù)安全管理與建設工作，2021年由深圳市信息安全管理中心牽頭編制了《公

共數(shù)據(jù)安全要求》地方標準，于2022年11月已正式發(fā)布。但《公共數(shù)據(jù)安全要求》

僅對我市公共管理和服務機構提出數(shù)據(jù)安全建設要求，未有公共數(shù)據(jù)安全評估細

則。因此亟需制定《公共數(shù)據(jù)安全評估規(guī)范》，用于指導公共管理和服務機構開

展安全自評估工作?！豆矓?shù)據(jù)安全評估規(guī)范》屬于公共數(shù)據(jù)安全建設相關系列

標準之一，是《公共數(shù)據(jù)安全要求》的配套標準，依托于《公共數(shù)據(jù)安全要求》

中具體安全要求條款，提出可操作的評估操作方法。

2、主要起草過程

1）2022年3月，深圳市信息安全管理中心提交《深圳市地方標準制修訂計

劃項目建議書》，2022年4月28日深圳市市場監(jiān)督管理局批準立項。

2）2022年5月至2022年10月，深圳市信息安全管理中心組織內(nèi)部專家及

其它參與起草單位，對相關技術要求、政策標準及行業(yè)實踐等情況進行多輪次的

研討和交流，形成了標準草案。

3）2022年11月，深圳市信息安全管理中心組織外部專家針對標準草案召

開專家研討會。

4）2022年12月至2023年2月，深圳市信息安全管理中心及其他參與起草

單位對標準草案進行了進一步修改，形成征求意見稿。

5）2023年2月27日至3月3日，深圳市政務服務數(shù)據(jù)管理局發(fā)函征求79

個單位意見，共收到反饋意見85條，其中采納10條，部分采納4條，不采納1

條，無意見70條。

6）2023年3月至8月，根據(jù)收到的反饋意見進行修改，形成送審稿。

三、標準主要內(nèi)容依據(jù)

1、同類標準編制情況

國家標準層面目前暫無數(shù)據(jù)安全評估相關，全國信息安全標準化技術委員會

2

2023年5月發(fā)布了技術文件《網(wǎng)絡安全標準實踐指南—網(wǎng)絡數(shù)據(jù)安全風險評估

實施指引》。

行業(yè)標準層面，涉及數(shù)據(jù)安全評估相關的包括金融行業(yè)的《金融數(shù)據(jù)安全數(shù)

據(jù)安全評估規(guī)范》（征求意見稿）、通信行業(yè)的《電信領域數(shù)據(jù)安全評估規(guī)范》

（報批稿）、YD/T3801—2020《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法》

等。

地方標準層面，2022年4月26日，浙江省市場監(jiān)督管理局批準發(fā)布了DB33/T

2488—2022《公共數(shù)據(jù)安全體系評估規(guī)范》。

目前國家及行業(yè)層面暫無公共數(shù)據(jù)安全領域的評估標準，我市亦無數(shù)據(jù)安全

評估相關地方標準。

2、標準主要依據(jù)

本文件制定的主要依據(jù)為：

1）第1至4章節(jié)主要依據(jù)《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第1章節(jié)，結合DB4403/T

271—2022《公共數(shù)據(jù)安全要求》編寫；

2）第5章節(jié)主要依據(jù)GB/T28448—2019《信息安全技術網(wǎng)絡安全等級保

護測評要求》第5章節(jié)、YD/T3956—2021《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》

第4章節(jié)編寫；

3）第6至8章節(jié)主要依據(jù)GB/T28448—2019《信息安全技術網(wǎng)絡安全等

級保護測評要求》第6至9章節(jié)、GB/T37988—2019《信息安全技術數(shù)據(jù)安全

能力成熟度模型》的第6至12章節(jié)、YD/T3956—2021《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安

全評估規(guī)范》的第5至6章節(jié)，并結合DB4403/T271—2022《公共數(shù)據(jù)安全要

求》的第7至9章節(jié)內(nèi)容編寫；

4）第9章節(jié)主要依據(jù)GB/T28448—2019《信息安全技術網(wǎng)絡安全等級保

護測評要求》第11章節(jié)編寫；

5）第10章節(jié)主要依據(jù)GB/T28448—2019《信息安全技術網(wǎng)絡安全等級保

護測評要求》第12章節(jié)，并結合GB/T20984—2022《信息安全技術信息安全

風險評估規(guī)范》第5章節(jié)編寫。

3

四、主要條款說明、技術指標參數(shù)及試驗驗證

1、編制原則

由于公共數(shù)據(jù)復雜多樣、影響面廣，在標準編制過程中，標準編制組以“兼

顧管理”為基本編制思路，充分考慮當前公共數(shù)據(jù)數(shù)據(jù)安全管理現(xiàn)狀，同時兼顧

國家相關政策和行業(yè)發(fā)展趨勢，遵循以下幾個原則：

1）行業(yè)適用性——本文件在編制過程中始終堅持公共數(shù)據(jù)安全評估內(nèi)容體

系在公共數(shù)據(jù)管理領域的普遍適用性，同時重點關注數(shù)據(jù)安全評估策略及方法在

各公共管理和服務機構的可落地性；

2）安全合規(guī)性——本文件在編制過程中始終遵循與我國現(xiàn)有的法律法規(guī)、

標準規(guī)范等規(guī)定相一致的原則，同時也兼顧行業(yè)主管及監(jiān)管部門對公共數(shù)據(jù)進行

安全管理的實際監(jiān)管要求。

2、主要條款說明、技術指標參數(shù)

《公共數(shù)據(jù)安全評估規(guī)范》屬于公共數(shù)據(jù)安全建設相關系列標準之一，是《公

共數(shù)據(jù)安全要求》的配套標準，依托于《公共數(shù)據(jù)安全要求》中具體安全要求條

款，提出可操作的評估操作方法。本文件主要內(nèi)容包括：

1）范圍；

本文件規(guī)定了公共數(shù)據(jù)安全的評估規(guī)范，主要包括總體概述、通用管理安全

評估要求、通用技術安全評估要求、數(shù)據(jù)處理活動安全評估要求、整體評估與評

估結論。

本文件適用于公共管理和服務機構數(shù)據(jù)安全能力的評估，也適用于處理大量

個人信息的服務平臺數(shù)據(jù)安全能力的評估，各級公共數(shù)據(jù)主管部門、公共管理和

服務機構可參照執(zhí)行。

2）規(guī)范性引用文件；

對本文件規(guī)范引用進行說明。

3）術語和定義；

對評估機構、被評估機構、數(shù)據(jù)場景、主責機構及關聯(lián)機構進行了界定和說

明。

4）縮略語；

對縮略語進行界定。

4

5）概述；

本文件明確了評估機構在評估過程中應遵循的原則，包括公正客觀、最小影

響、可控性、全面性、書面授權、保密性等原則；本文件明確了評估過程中評估

機構和被評估機構應承擔的責任和義務；本文件提出評論能力維度可劃分為組織

能力、制度能力、人員能力、技術能力四個方面。本文件提出的評估方法包括文

檔查閱、人員訪談、技術檢測、系統(tǒng)核驗；本文件提出了評估適用情形和評估流

程；并對評估對象進行了說明。

本文件提出了如下圖所示的評估框架：

圖1公共數(shù)據(jù)安全評估框架

6）通用管理安全評估；

給出包含總體數(shù)據(jù)安全策略、數(shù)據(jù)安全管理機構和人員、數(shù)據(jù)安全管理制度

體系三個評估項的具體評估細則，包括級別要求、評估子項、評估方法、評估內(nèi)

容。

7）通用技術安全評估；

給出包含數(shù)據(jù)分類分級保護、數(shù)據(jù)安全評估、數(shù)據(jù)安全風險監(jiān)測、數(shù)據(jù)安全

管控、數(shù)據(jù)安全應急處置、數(shù)據(jù)安全審計六個評估項的具體評估細則，包括級別

要求、評估子項、評估方法、評估內(nèi)容。

8）數(shù)據(jù)處理活動安全評估；

給出包含數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)加工、數(shù)據(jù)開放

共享、數(shù)據(jù)交易、數(shù)據(jù)出境、數(shù)據(jù)銷毀與刪除九個評估項的具體評估細則，包括

5

級別要求、評估子項、評估方法、評估內(nèi)容。

9）整體評估；

給出評估子項間評估、例外情況評估的定義。

10）評估結論；

提出采用風險分析的方法對單個評估子項評估結果中存在的不符合或部分

符合項，分析所產(chǎn)生的安全問題被威脅利用的可能性，判斷其被威脅利用后對公

共數(shù)據(jù)安全造成影響的程度，綜合評價這些不符合項或部分符合項對評估對象造

成的安全風險，公共數(shù)據(jù)安全評估報告應給出評估對象的評估結論，確認評估對

象達到相應數(shù)據(jù)安全等級保護要求的程度。評估結論分為優(yōu)、良、中、差。

11）附錄。

給出了公共數(shù)據(jù)安全評估評分細則、高風險項判例、常見威脅列表、公共數(shù)

據(jù)安全評估報告模版、公共數(shù)據(jù)安全評估案例等資料性附錄。

3、主要試驗情況分析

1）標準編制組成員對數(shù)據(jù)安全領域相關法律法規(guī)、上位標準的內(nèi)容和框架

進行充分研究，并廣泛查閱相關文獻完善技術細節(jié)。

2）自2020年起，為摸清深圳市黨政機關數(shù)據(jù)安全管理工作現(xiàn)狀，識別數(shù)據(jù)

安全短板，評估其與數(shù)據(jù)安全相關政策法規(guī)、標準規(guī)范差距點，深圳市信息安全

管理中心已連續(xù)三年對重點單位開展數(shù)據(jù)安全風險評估。《公共數(shù)據(jù)安全評估規(guī)

范》的編制也充分吸納了評估工作的實踐經(jīng)驗，未來也會結合每年度的數(shù)據(jù)安全

風險評估活動進行該標準的推廣和貫標。

3）本文件在編制過程中已選取某單位系統(tǒng)作為試點，對評估細則的合理性

和可操作性進行論證，并提供評估案例作為資料性附錄。

五、知識產(chǎn)權情況說明

本文件不涉及專利及知識產(chǎn)權問題。

六、重大意見分歧的處理依據(jù)和結果

無。