DB33T 2488-2022 公共數(shù)據(jù)安全體系評(píng)估規(guī)范

33I 2 2 2 5 本標(biāo)準(zhǔn)按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本標(biāo)準(zhǔn)由浙江省大數(shù)據(jù)發(fā)展管理局提出、歸口并組局、臺(tái)州市大數(shù)據(jù)發(fā)展管理局、麗水市大數(shù)據(jù)發(fā)展管嬡、葉春雷、孔俊、朱通、王沁怡、張偉偉為保障一體化智能化公共數(shù)據(jù)平臺(tái)和公共數(shù)據(jù)安全,建立健全數(shù)據(jù)安全防護(hù)能力評(píng)估指標(biāo),規(guī)范和——公共數(shù)據(jù)安全體系建設(shè)指南（DB33/T2487——公共數(shù)據(jù)分類分級(jí)指南（DB33/T2351—21公共數(shù)據(jù)安全體系評(píng)估規(guī)范GB/T37973信息安全技術(shù)大數(shù)據(jù)安全管理GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39477信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)DB33/T2350數(shù)字化改革術(shù)DB33/T2487公共數(shù)據(jù)安全體系建設(shè)被評(píng)估的組織機(jī)構(gòu)或部門，主要涉及相關(guān)配套制度文檔、設(shè)備設(shè)施及人24縮略語(yǔ)AIT：評(píng)估項(xiàng)（AssessmentItem）5.1科學(xué)性5.4代表性評(píng)估項(xiàng)應(yīng)能較為全面地反映公共數(shù)據(jù)安全體系建設(shè)的總體水5.5持續(xù)性應(yīng)充分應(yīng)用評(píng)估結(jié)果，促進(jìn)公共數(shù)據(jù)安全體系的持續(xù)3公共數(shù)據(jù)安全體系評(píng)估維度公共數(shù)據(jù)安全體系評(píng)估維度公共數(shù)據(jù)安全體系評(píng)估項(xiàng)制度規(guī)范技術(shù)防護(hù)站全面性圖1公共數(shù)據(jù)安全體系評(píng)估模型6.2評(píng)估項(xiàng)6.2.1制度規(guī)范子體系評(píng)估項(xiàng)制度規(guī)范子體系評(píng)估項(xiàng)可基于二級(jí)制度展開，主要包含的評(píng)估子項(xiàng)：a)分類分級(jí)管理制度；b)訪問(wèn)權(quán)限管理制度；c)數(shù)據(jù)脫敏管理制度；d)數(shù)據(jù)共享和開放安全管理制度；e)數(shù)據(jù)安全銷毀管理制度；f)供應(yīng)方安全管理制度；g)安全監(jiān)督檢查制度；h)安全日志審計(jì)制度；i)安全事件管理與應(yīng)急響應(yīng)制度等。6.2.2技術(shù)防護(hù)子體系評(píng)估項(xiàng)技術(shù)防護(hù)子體系評(píng)估項(xiàng)主要包含的評(píng)估子項(xiàng)：a)數(shù)據(jù)源統(tǒng)一鑒別技術(shù)；b)敏感數(shù)據(jù)識(shí)別技術(shù)；c)數(shù)據(jù)分類分級(jí)標(biāo)識(shí)技術(shù)；4h)數(shù)據(jù)備份和恢復(fù)技術(shù)；m)數(shù)據(jù)共享和開放；1)全面性：評(píng)估相關(guān)制度文件內(nèi)容是否全面，是2)可執(zhí)行性：評(píng)估相關(guān)制度文件內(nèi)容是否具備可落地執(zhí)行性；3)動(dòng)態(tài)更新性：評(píng)估相關(guān)制度文件內(nèi)容是否根據(jù)外部環(huán)境、政策變化、組織實(shí)際情況等進(jìn)2)適用性：評(píng)估相關(guān)技術(shù)產(chǎn)品的安全功能和性能是否有效實(shí)現(xiàn)公共數(shù)據(jù)安全防3)安全性：評(píng)估相關(guān)技術(shù)產(chǎn)品本身是否存在漏洞、配置錯(cuò)誤（基線檢查）、業(yè)務(wù)邏輯錯(cuò)誤2)專業(yè)性：評(píng)估相關(guān)人員是否有足夠能力勝任職責(zé)范圍內(nèi)的工作，評(píng)估相關(guān)人員是否定期52)符合性：評(píng)估該運(yùn)行管理機(jī)制是否已在該組織落地實(shí)3)有效性：評(píng)估該運(yùn)行管理機(jī)制在該組織落實(shí)后，是否有效的實(shí)現(xiàn)公共數(shù)據(jù)安全防護(hù)預(yù)期——全面性：查驗(yàn)制度文件是否包括分類分級(jí)原則、要求、維度、方法、操作指南、工作流程以及類別和級(jí)別變更場(chǎng)景、變更申請(qǐng)審批流程及工作要求——可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修——全面性：查驗(yàn)制度文件是否包括對(duì)公共數(shù)據(jù)載體和公共數(shù)據(jù)權(quán)限管理系統(tǒng)的賬號(hào)權(quán)限安全管理職責(zé)分工和工作要求，公共數(shù)據(jù)訪問(wèn)賬號(hào)權(quán)限分配、開通、使用銷等的申請(qǐng)審批流程，對(duì)具備超級(jí)管理員權(quán)限或數(shù)據(jù)批量復(fù)制、處理、導(dǎo)出和刪除等高風(fēng)險(xiǎn)——可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修——可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修公共數(shù)據(jù)共享和開放安全管理相關(guān)制度評(píng)估——全面性：查驗(yàn)制度文件是否充分根據(jù)公共數(shù)據(jù)分類分級(jí)結(jié)果；查驗(yàn)制度文件是否包括差異化6——可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修——全面性：查驗(yàn)制度文件是否充分根據(jù)公共數(shù)據(jù)分類分級(jí)結(jié)果；查驗(yàn)制度文件是否包括公共數(shù)據(jù)銷毀對(duì)象、銷毀場(chǎng)景、銷毀方式、銷毀流程、銷毀工作要——可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修——全面性：查驗(yàn)制度文件是否包括供應(yīng)方及供應(yīng)方人員的安全管理要求，涉及終端安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、保密管理等方面；查驗(yàn)制度文件是否包括供應(yīng)方及供應(yīng)方人員的崗位職責(zé)、安全考核要求和處罰措施；核查服務(wù)安全保護(hù)及保密協(xié)議是否明確了對(duì)供應(yīng)方及方人員的數(shù)據(jù)保密范圍、保密責(zé)任與義務(wù)、?！蓤?zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修——全面性：查驗(yàn)制度文件是否包括對(duì)公共數(shù)據(jù)安全體系建設(shè)現(xiàn)狀的監(jiān)督檢查內(nèi)容、方式、工作——可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修——全面性：查驗(yàn)制度文件是否包括安全審計(jì)日志的采集內(nèi)容、采集方式、標(biāo)準(zhǔn)化要求、日志存儲(chǔ)要求、審計(jì)策略和規(guī)則、異常預(yù)警及處置工作流——可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)7——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修公共數(shù)據(jù)安全事件管理與應(yīng)急響應(yīng)相關(guān)制度評(píng)估——全面性：查驗(yàn)制度文件是否包括數(shù)據(jù)安全事件分類分級(jí)方法；核查制度文件是否充分結(jié)合數(shù)據(jù)安全事件分類分級(jí)結(jié)果；核查制度文件是否包括公共數(shù)——可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)——?jiǎng)討B(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修——適用性：核查該技術(shù)產(chǎn)品是否有效防止非法數(shù)據(jù)源接入，實(shí)現(xiàn)防止虛假數(shù)據(jù)注入；核查該技——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否具備敏感數(shù)據(jù)識(shí)別功能；——適用性：核查該技術(shù)產(chǎn)品是否可有效識(shí)別出敏感數(shù)據(jù)；核查該技術(shù)產(chǎn)品性能是否滿足該組織——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否具備根據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行智能化分類分級(jí)的功能；檢查該技術(shù)產(chǎn)——適用性：核查該技術(shù)產(chǎn)品是否可有效標(biāo)識(shí)數(shù)據(jù)類別和級(jí)別；核查該技術(shù)產(chǎn)品性能是否滿足該——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤8——功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)敏感數(shù)據(jù)脫敏功能；檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)或使用脫敏功能（包含靜態(tài)和動(dòng)態(tài)脫敏）；檢查該技術(shù)產(chǎn)品是否可根據(jù)不同——適用性：核查是否已有效對(duì)規(guī)定場(chǎng)景數(shù)據(jù)進(jìn)行靜態(tài)或動(dòng)態(tài)脫敏保護(hù)；核查該技術(shù)產(chǎn)品性能是——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)敏感數(shù)據(jù)存儲(chǔ)和傳輸加密功能；——適用性：核查是否已有效對(duì)存儲(chǔ)和傳輸?shù)拿舾袛?shù)據(jù)實(shí)施加密保護(hù)；核查該技術(shù)產(chǎn)品性能是否——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)數(shù)據(jù)傳輸通道加密；——適用性：核查是否已有效對(duì)數(shù)據(jù)傳輸通道實(shí)施加密保護(hù)；核查該技術(shù)產(chǎn)品性能是否滿足該組——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否具有追蹤記錄數(shù)據(jù)間的血緣關(guān)系的功能；檢查該技術(shù)產(chǎn)品是否——適用性：核查該技術(shù)產(chǎn)品是否可有效監(jiān)控?cái)?shù)據(jù)流轉(zhuǎn)過(guò)程；核查該技術(shù)產(chǎn)品性能是否滿足該組——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否具備自動(dòng)化數(shù)據(jù)備份的功能；檢查該技術(shù)產(chǎn)品是否具備自動(dòng)檢驗(yàn)備份數(shù)據(jù)完整性的功能；檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)恢復(fù)的功能——適用性：核查該技術(shù)產(chǎn)品在數(shù)據(jù)遭受破壞時(shí)，數(shù)據(jù)備份機(jī)制是否保存了恢復(fù)所需的數(shù)據(jù)復(fù)機(jī)制是否能夠根據(jù)備份數(shù)據(jù)有效恢復(fù)，保證業(yè)務(wù)受影響程度在可接受的范圍內(nèi)；核9——適用性：核查該技術(shù)產(chǎn)品是否有效實(shí)現(xiàn)了數(shù)據(jù)在終端、網(wǎng)絡(luò)和應(yīng)用等流轉(zhuǎn)過(guò)程的——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——適用性：核查該技術(shù)產(chǎn)品是否可有效識(shí)別符合數(shù)據(jù)銷毀場(chǎng)景的數(shù)據(jù)；核查該技術(shù)產(chǎn)品性能是——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否具備多種數(shù)據(jù)銷毀策略和技術(shù)手段等；——適用性：核查該技術(shù)產(chǎn)品的銷毀策略和手段是否可實(shí)現(xiàn)對(duì)數(shù)據(jù)的徹底銷毀；核查該技術(shù)產(chǎn)品——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否具備公共數(shù)據(jù)訪問(wèn)權(quán)限集中認(rèn)證、統(tǒng)一訪問(wèn)入口等功能；檢查該技術(shù)產(chǎn)品是否具備庫(kù)、表、字段級(jí)別的訪問(wèn)控制功能；檢查該技術(shù)產(chǎn)品是否與——適用性：核查該技術(shù)產(chǎn)品是否有效支撐該組織和角色職能需求，實(shí)現(xiàn)公共數(shù)據(jù)訪問(wèn)權(quán)限的有效管控；核查該技術(shù)產(chǎn)品性能是否滿足該組織——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤——功能性：檢查該技術(shù)產(chǎn)品是否具備訪問(wèn)控制功能；檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)脫敏功能；核查該技術(shù)產(chǎn)品是否具備接口實(shí)時(shí)數(shù)據(jù)安全監(jiān)測(cè)與異常告警功能；檢查該技術(shù)產(chǎn)品是——適用性：核查該技術(shù)產(chǎn)品是否可有效支撐共享和開放數(shù)據(jù)的訪問(wèn)控制功能；核查該技術(shù)產(chǎn)品的數(shù)據(jù)脫敏能力是否可有效對(duì)共享和開放的數(shù)據(jù)實(shí)施脫敏，包括脫敏算法的類型、核查該技術(shù)產(chǎn)品是否可有效發(fā)現(xiàn)接口安全風(fēng)險(xiǎn)，并告警；核查該數(shù)據(jù)產(chǎn)品的溯源過(guò)——功能性：檢查該技術(shù)產(chǎn)品是否具備可配置化的量化指標(biāo)的功能；檢查該技術(shù)產(chǎn)品是否接入了全量重要系統(tǒng)的日志數(shù)據(jù)，并具備支撐威脅發(fā)現(xiàn)、識(shí)別、理解分析、風(fēng)險(xiǎn)預(yù)警和提供處置建——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤9運(yùn)行管理子體系評(píng)估項(xiàng)9.1數(shù)據(jù)安全管理團(tuán)隊(duì)——完備性：檢查是否設(shè)置公共數(shù)據(jù)安全管理團(tuán)隊(duì)，包括公共數(shù)據(jù)安全決策方、公共數(shù)據(jù)安全管理方、公共數(shù)據(jù)安全執(zhí)行方、公共數(shù)據(jù)安全審計(jì)方等；檢查是否明確公共數(shù)據(jù)安全管的各方的職責(zé)分工；檢查是否設(shè)置機(jī)構(gòu)主要負(fù)責(zé)人為公共數(shù)據(jù)安全管理第一責(zé)任人；否設(shè)置專職的公共數(shù)據(jù)安全管理負(fù)責(zé)人；檢查是否明確公共數(shù)據(jù)安全管理第一責(zé)任人等安全專業(yè)證書；查驗(yàn)公共數(shù)據(jù)安全管理負(fù)責(zé)人是否接受安全技能培訓(xùn)和考核；查驗(yàn)否為公共數(shù)據(jù)安全管理負(fù)責(zé)人提供必備的人力支持和技術(shù)支持。查驗(yàn)該團(tuán)隊(duì)成員專業(yè)——可靠性：查驗(yàn)該團(tuán)隊(duì)安全管理負(fù)責(zé)人和成員9.2數(shù)據(jù)分類分級(jí)管理機(jī)制——完整性：查驗(yàn)該工作機(jī)制是否與數(shù)據(jù)資源目錄機(jī)制協(xié)同；查驗(yàn)該工作機(jī)制是否建立維護(hù)了數(shù)據(jù)資產(chǎn)全景視圖；查驗(yàn)該工作機(jī)制是否實(shí)現(xiàn)分類分級(jí)工作實(shí)施、工作結(jié)果反饋、分類分級(jí)機(jī)——符合性：查驗(yàn)分類分級(jí)工作實(shí)施、數(shù)據(jù)資源目錄同步、分級(jí)結(jié)果反饋、分類分級(jí)機(jī)制優(yōu)化等——有效性：檢查分類分級(jí)工作實(shí)施、數(shù)據(jù)資源目錄同步、分級(jí)結(jié)果反饋、分類分級(jí)機(jī)制優(yōu)化等9.3數(shù)據(jù)訪問(wèn)權(quán)限管理機(jī)制——完整性：查驗(yàn)該工作機(jī)制是否包括公共數(shù)據(jù)訪問(wèn)權(quán)限的分配、開通、使用、變更、重銷等的申請(qǐng)審批、實(shí)施、以及定期核查等；查驗(yàn)該工作機(jī)制是否建立維護(hù)了統(tǒng)一的公共數(shù)據(jù)9.4數(shù)據(jù)共享和開放安全管理機(jī)制——完整性：查驗(yàn)該工作機(jī)制是否包括公共數(shù)據(jù)共享和開放的申請(qǐng)審批，接口上線前和上線后的——符合性：查驗(yàn)公共數(shù)據(jù)共享和開放的申請(qǐng)審批，接口上線前和上線后的安全檢查、敏感數(shù)據(jù)——有效性：檢查公共數(shù)據(jù)共享和開放的申請(qǐng)審批，共享和開放接口安全檢查及整改、敏感數(shù)據(jù)9.5安全日志審計(jì)機(jī)制——符合性：查驗(yàn)違規(guī)行為告警的核實(shí)、分析、處置和整改等工作過(guò)程文件和記錄；——有效性：檢查違規(guī)行為告警的核實(shí)、分析、處置和整9.6安全監(jiān)督檢查機(jī)制——完整性：查驗(yàn)該工作機(jī)制是否包括安全監(jiān)督檢查工作實(shí)施、工作總結(jié)，問(wèn)題整改、整改效果——符合性：查驗(yàn)安全監(jiān)督檢查工作實(shí)施、工作總結(jié)，問(wèn)題整改、整改效果驗(yàn)證等工作過(guò)程文件——有效性：檢查安全監(jiān)督檢查工作實(shí)施、工作總結(jié)，問(wèn)題整改、整改效果驗(yàn)證等工作結(jié)果文件9.7安全事件應(yīng)急響應(yīng)機(jī)制——完整性：查驗(yàn)該工作機(jī)制是否包括應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急——符合性：查驗(yàn)應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等工作過(guò)程——有效性：檢查應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等工作結(jié)果文件和記錄；檢查安全事件發(fā)生時(shí)，應(yīng)急響應(yīng)工作記錄和——完整性：查驗(yàn)該工作機(jī)制是否包括培訓(xùn)計(jì)劃制定、工作實(shí)施、效果考核、計(jì)劃優(yōu)化調(diào)整等環(huán)組建評(píng)估團(tuán)隊(duì)方案組建評(píng)估團(tuán)隊(duì)方案實(shí)施評(píng)估首先應(yīng)明確評(píng)估范圍，包括被評(píng)估方涉及評(píng)估的系統(tǒng)、應(yīng)用——公共數(shù)據(jù)相關(guān)基礎(chǔ)設(shè)施(政務(wù)云、網(wǎng)絡(luò)、終端等)運(yùn)維人員；——公共數(shù)據(jù)重點(diǎn)應(yīng)用部門相關(guān)人員等。對(duì)應(yīng)的評(píng)估項(xiàng)(含子項(xiàng))和評(píng)估維度，制定評(píng)估指標(biāo)(取定評(píng)估權(quán)重和賦分規(guī)則可參考附錄B),通過(guò)g)評(píng)估方式(參見(jiàn)附錄B):根據(jù)評(píng)估指標(biāo)，確定主要評(píng)估方式。a)評(píng)估團(tuán)隊(duì)按照評(píng)估方案實(shí)施評(píng)估，收集并整理相關(guān)證明材料，初步研判各評(píng)估指標(biāo)符合情況b)評(píng)估團(tuán)隊(duì)根據(jù)評(píng)估過(guò)程記錄及證明材料，組織召開會(huì)議，與被評(píng)估單位確認(rèn)研判結(jié)果，形成評(píng)估結(jié)果以報(bào)告形式展現(xiàn)，評(píng)估報(bào)告內(nèi)容主要A.2根據(jù)評(píng)估子項(xiàng)在該組織數(shù)據(jù)安全體系中的重要性設(shè)置該評(píng)估子項(xiàng)的權(quán)重值，權(quán)重值一般為1-10A.3所有高風(fēng)險(xiǎn)項(xiàng)應(yīng)全部滿足，出現(xiàn)一個(gè)及以上未滿足高風(fēng)險(xiǎn)項(xiàng)且不進(jìn)行整改的，公共數(shù)據(jù)安全體系A(chǔ).4公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例見(jiàn)表A.1。162347567789758和處罰措施、明確了對(duì)供應(yīng)方及其人員的數(shù)578842-AS11)8882-AS14)52-AS15)62-AS16)362-AS18)72-AS18)72-AS19)6據(jù)銷毀場(chǎng)景的數(shù)據(jù)。（全部滿足得2分）2.核查2-AS20)6據(jù)銷毀場(chǎng)景的數(shù)據(jù)。（全部滿足得2分）2.核查2-AS21)877否全量接入重要系統(tǒng)日志，并具備支撐威脅核查該技術(shù)產(chǎn)品性能是否滿足該組織高峰期業(yè)務(wù)需求等。3-AS24)66873-AS28)73-AS29)783-AS31)5