公共数据安全评估规范.pdf

1、ICS 35.240.01CCS L 67DB4403深圳市地方标准DB4403/T XXXXXXXXX公共数据安全评估规范Assessment specification of common data security送审稿深圳市市场监督管理局发 布2023-XX-XX 发布2023-XX-XX 实施DB4403/T XXXXXXXXXI目次前言.III1范围.12规范性引用文件.13术语和定义.14缩略语.25概述.25.1评估原则.25.2评估职责.25.3安全能力评估维度.35.4评估体系.35.5评估方法.35.6评估适用情形.45.7评估对象和评估指标说明.45.8评估流程.56通

2、用管理安全评估.56.1总体数据安全策略.56.2数据安全管理机构与人员.66.3数据安全管理制度体系.117通用技术安全评估.137.1数据分类分级保护.137.2数据安全评估.157.3数据安全风险监测.177.4数据安全管控.197.5数据安全应急处置.237.6数据安全审计.258数据处理活动安全评估.278.1数据收集.278.2数据存储.298.3数据传输.328.4数据使用.348.5数据加工.378.6数据开放共享.408.7数据交易.428.8数据出境.428.9数据销毁与删除.449整体评估.469.1概述.469.2评估子项间评估.469.3例外情况评估.4610评估结论

3、47DB4403/T XXXXXXXXXII10.1安全风险分析和评价.4710.2评估结论判定.47附录 A（资料性）公共数据安全评估评分细则.48附录 B（资料性）高风险项判例.72附录 C（资料性）常见威胁列表.75附录 D（资料性）公共数据安全评估报告模板.78附录 E（资料性）公共数据安全评估案例.81参考文献.87DB4403/T XXXXXXXXXIII前言本文件按照 GB/T 1.12020标准化工作导则第 1 部分：标准化文件的结构和起草规则的规定起草。本文件由深圳市政务服务数据管理局提出并归口。本文件起草单位：深圳市信息安全管理中心、全知科技（杭州）有限责任公司、鹏城实验

4、室、中国电子标准化研究院、金砖国家未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、深圳国家金融科技测评中心有限公司、深圳赛西信息技术有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司。本文件主要起草人：李苏、董安波、罗菁春、林宇群、穆端端、赵剑、轩豪男、潘志斌、方兴、周顿科、魏凤玲、李佳雯、董亮、包亚鹏、林生锐、束建钢、何延哲、林桢、刘慧洋、王志、罗丰、吴祖顺、白晓媛、昌文婷、常新苗。DB4403/T XXXXXXXXX1公共数据安全评估规范1范围本文件规定了公共数据安全的总体概述、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论。本文件适

5、用于公共管理和服务机构数据安全能力的评估，也适用于处理大量个人信息的服务平台数据安全能力的评估，各级公共数据主管部门、公共管理和服务机构可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 222392019信息安全技术网络安全等级保护基本要求GB/T 352732020信息安全技术个人信息安全规范GB/T 379882019信息安全技术数据安全能力成熟度模型GB/T 394772020信息安全技术政务信息共享 数据安全技术要求

6、DB4403/T 2712022公共数据安全要求3术语和定义GB/T 352732020、GB/T 379882019、DB4403/T 271-2022界定的以及下列术语和定义适用于本文件。3.1评估机构evaluation organization提供公共数据安全评估服务的机构，可为公共管理和服务机构本身、第三方数据安全服务机构或数据统筹监管部门。3.2被评估机构evaluated organization在公共数据安全评估过程中，作为被评估角色的机构，主要为公共管理和服务机构，也可为处理大量个人信息的服务平台。3.3数据场景data scenario为了达到特定业务目的而对数据进行处理和

7、使用的场景，对场景下数据流向进行全链路分析，单个数据场景可能涉及多个机构及其业务系统。3.4主责机构main responsible organization评估对象为数据场景时，主责机构指场景涉及主要系统的责任部门。DB4403/T XXXXXXXXX23.5关联机构related responsible organization评估对象为数据场景时，关联机构指涉及场景相关处理活动的其他机构，如数据场景处理活动仅在主责机构内部，则不涉及关联机构。4缩略语下列缩略语适用于本文件：M：通用管理安全（General Management Security）T：通用技术安全（General Tech

8、nology Security）P：数据处理活动安全（Data Processing Activity Security）BR：基本安全要求（Basic Security Requirements）TR：三级增强要求（Level Three Enhancement Requirements）FR：四级增强要求（Level Four Enhancement Requirements）DT：数据子类或字段（Data Subclass Or Field）SDK：软件开发工具包（Software Development Kit）API：应用程序接口（Application Programming In

9、terface）5概述5.1评估原则为规范公共数据安全评估工作，全面有效发现公共数据可能面临的各类安全风险，评估机构在评估过程中，应遵循下列原则，具体包括：a)公正客观原则评估机构在整体评估过程中，对评估对象数据安全保障措施进行公平客观的判定，不应受机构性质、评估对象、评估时间、评估人员、利益关系等任何因素影响而损害评估的公正及客观性；b)最小影响原则评估机构在评估过程中，对评估对象的网络、业务、数据流转等正常运行造成的影响应降低到最低，不因评估工作而导致业务连续性的中断；c)可控性原则在评估过程中，评估机构应确保评估过程可管可控，使用的评估工具或技术手段，已经过实践验证，不存在安全隐患；d)

10、全面性原则评估机构在评估过程应全面覆盖评估要点，基于评估要点对评估对象涉及的资产（如制度类文档、数据资产、软硬件资产、人力资源等）、数据处理活动各环节进行评估；e)书面授权原则评估机构所开展的评估工作，包括评估对象、评估范围、方法、时间等，应得到被评估机构的正式书面授权，严禁未经授权的评估行为；f)保密性原则评估机构及评估人员在评估前应与被评估机构签订数据安全相关保密协议，明确保密责任、义务及争议条款，除法律要求或获得被评估机构同意外，评估人员在评估过程中获取的评估对象相关信息、过程文档等应严格保密，不得对外透露，以确保被评估机构的数据安全。5.2评估职责DB4403/T XXXXXXXXX3

11、评估机构负责为被评估机构提供公共数据安全评估服务，在得到被评估机构书面授权及签署数据安全相关保密协议后，应遵循公正客观原则开展评估工作，评估过程应不对被评估机构公共数据运营活动造成影响；被评估机构应向评估机构提供公共数据安全评估过程所需资源，包括但不限于文档、人员、网络等。5.3安全能力评估维度评估机构对评估对象的数据安全能力进行评估，安全能力应分为以下4个维度：a)组织能力主要考察数据安全组织架构及人员的设立、职责分工及沟通协作；b)制度能力主要考察数据安全制度及流程建设完备性、可执行性、动态更新性；c)人员能力主要考察人员数据安全建设专业能力、工作执行落地情况；d)技术能力主要考察采取技术

12、手段或自动化技术工具落实数据安全要求的能力。5.4评估体系评估机构采用文档查阅、人员访谈、技术检测、系统核验等评估方法，对评估对象涉及的资产、数据处理活动各环节的数据安全保障措施合规情况进行评估。评估流程包括组建评估团队、确定评估对象及评估范围、评估对象调研、组织评估实施及评估报告编制。评估涵盖通用管理安全要求、通用技术安全要求及数据处理活动安全要求三方面。针对不同的安全等级选取相对应的安全要求进行评估。框架结构如图1。图1公共数据安全评估框架注：评估对象涉及不同安全等级的数据类型且无法拆分评估时，依据评定的最高数据安全等级的安全要求开展评估，安全等级与安全要求的关系参见DB4403/T 27

13、1-2022。5.5评估方法公共数据安全评估宜采取如下评估方法开展评估工作：DB4403/T XXXXXXXXX4a)文档查阅评估人员通过查看数据安全评估相关材料，如数据安全管理制度、业务安全保障措施技术材料、制度落地执行记录表单等，辅助验证是否符合相关安全要求；被评估机构应提前准备相关文档以供评估人员查阅；b)人员访谈评估人员与被评估机构相关人员进行交流、讨论、询问等，以初步验证数据安全要求的符合性，可结合其它评估方法，充分验证数据安全保障措施的有效性；此评估方法通常在评估前期调研、评估过程中使用，访谈人员范围包含数据安全管理机构人员以及承载业务系统运行的应用、系统、网络相关人员等；c)技术

14、检测评估人员对业务系统不同应用形态（如web应用、移动应用程序、小程序、公众号等）、系统、网络等进行技术测试，以验证是否符合数据处理活动技术安全要求；通过由评估人员事先准备测试工具（如流量监测工具、扫描工具、渗透测试工具等）、业务注册或使用被评估机构准备的测试账号等以完成技术测试；d)系统核验由被评估机构人员根据评估人员的要求，上机核验被评估机构相关安全能力平台或业务数据处理活动各环节、数据操作日志记录等界面，此评估方法可直观验证数据安全保障措施是否有效，被评估机构人员安排相关人员进行现场演示，评估人员根据演示结果判断安全要求的符合性。5.6评估适用情形满足如下情形之一，应及时启动评估工作：a

15、)承载公共数据的业务系统上线前；b)业务运营阶段，数据承载环境发生重大变更时，如数据处理技术模式变更、数据采集渠道变更、数据种类发生重大变化、批量数据共享对象变更、业务重大版本迭代、网络环境重大变更、数据存储系统升级改造、数据出境等；c)行业主管部门要求时；d)法律法规规定的其它情形。5.7评估对象和评估指标说明业务系统、数据场景均可作为评估对象。评估机构针对选取的评估对象，确定评估指标，开展评估工作，并编制形成评估报告。不同的评估对象适用于不同的评估指标，选取原则如下：a)业务系统；1)对业务系统进行评估时，根据其安全等级选取本文件第6 至8 章节相对应安全要求的评估指标进行评估，判别依据为

16、被评估机构数据安全组织架构、人员配备、制度流程，技术能力及与该业务系统相关的资产、已有安全保护措施等。b)数据场景；1)对数据场景进行评估时，单个数据场景可能涉及多个机构及其业务系统，应划分主责机构和关联机构；2)主责机构指数据场景主要系统的管理者，对该场景下处理的数据负主要责任，关联机构指与数据场景有关联关系，涉及该场景下数据处理活动中单个或多个环节的机构，对其涉及到的环节负关联责任；3)评估对象为数据场景时，主责机构和关联机构均需纳入评估范围，针对主责机构，应选取本文件第6 至8 章节的评估指标对其开展评估，针对关联机构，一个关联机构可能涉及该场景下单个或多个数据处理活动环节，应选取本文件

17、第8 章节中与该关联机构涉及数据处理活动环节所对应的评估指标开展评估。DB4403/T XXXXXXXXX55.8评估流程公共数据安全的评估流程宜按照以下步骤进行：a)组建评估团队；数据安全评估前，应组建数据安全评估团队，评估团队宜包含评估机构评估人员、被评估机构数据安全管理机构人员，评估过程中涉及的人员包含评估对象相关的业务运营运维部门、业务开发测试部门、数据合作方等人员，评估机构的评估人员应具备数据安全评估能力，确保评估结果的有效性。b)确定评估对象；参见本文件5.7明确数据安全评估对象，根据选定的评估对象，针对评估对象的安全等级，确定评估指标。c)评估对象调研；数据安全评估团队应对评估对

18、象相关数据安全工作进行充分调研，包括业务简介、网络拓扑情况、数据安全岗位人员、数据安全管理相关制度流程表单、数据安全设备部署情况、已有安全保护措施等；在组织评估实施之前，应提供评估方案，并与被评估机构协商一致。d)组织评估实施；数据安全评估团队组织远程及现场评估，按DB4403/T 271-2022描述的公共数据安全要求，采用文档查阅、人员访谈、技术检测、系统核验等评估方法对评估对象的管理及技术安全保障能力进行评估，评估过程可配套使用相关数据安全技术测试工具加强评估风险验证结果，评估团队对评估过程进行记录，保存对应的评估佐证材料，得出公正客观的评估结果，并逐一体现在评估报告中，评估案例见附录E

19、e)评估报告编制。数据安全评估团队在完成数据安全评估工作后，宜组织与被评估机构共同确认数据安全评估结果，并编制数据安全评估报告（见附录D）。6通用管理安全评估6.1总体数据安全策略总体数据安全策略评估内容描述见表1。表1总体数据安全策略评估内容评估项级别要求评估子项评估方法评估内容总体数据安全策略（M01）基本安全要求应明确数据安全管理的策略，包括管理目标、原则、要求等内容，制定或修订完善总体安全管理框架，公共数据安全管理应作为重点内容，纳入总体安全管理范畴。（M01-BR01）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈，询问被评估机构是否组织专门部门明确总体数据安全策略。制度能力

20、制度能力：2.通过文档查阅，确认总体数据安全策略是否包括管理目标、原则、要求等内容；或相关信息安全总体纲领文档是否体现数据安全方面的总体方针政策。人员能力：人员能力：3.通过人员访谈，询问被评估机构是否了解机构制定的总体数据安全策略。DB4403/T XXXXXXXXX6表1总体数据安全策略评估内容（续）评估项级别要求评估子项评估方法评估内容总体数据安全策略（M01）三级增强要求应定期对数据安全策略的合理性及适用性进行论证和审定，动态调整。（M01-TR01）文档查阅组织能力：组织能力：1.被评估机构是否组织定期对数据安全策略的合理性及适用性进行论证和审定，查阅相关评审记录。制度能力：制度能

21、力：2.是否根据定期审定结果，动态调整数据安全策略，查阅动态调整内容。6.2数据安全管理机构与人员数据安全管理机构与人员评估内容描述见表2。表2数据安全管理机构与人员评估内容评估项级别要求评估子项评估方法评估内容数据安全管理机构与人员（M02）基本安全要求应设立数据安全管理机构，明确数据安全责任人，落实数据安全保护责任。数据安全责任人履行职责包括但不限于：1）组织制定数据保护计划并落实；2）组织开展数据安全影响分析和风险评估，督促整改安全隐患；3）组织按要求向有关部门报告数据安全保护和事件处置情况；4）组织受理并处理数据安全投诉和举报事项等。（M02-BR01）人员访谈文档查阅组织能力：组织能

22、力：1通过人员访谈，询问被评估机构是否明确数据安全管理机构及数据安全负责人，明确数据安全责任人的工作职责，查阅正式发文文档。制度能力：制度能力：2查阅数据安全负责人的职责内容是否包括但不限于：1）组织制定数据保护计划并落实；2）组织开展数据安全影响分析和风险评估，督促整改安全隐患；3）组织按要求向有关部门报告数据安全保护和事件处置情况；4）组织受理并处理数据安全投诉和举报事项等。基本安全要求应按照相关法律、法规、规章的要求编制公共数据资源目录，加强数据安全保护。（M02-BR02）人员访谈文档查阅制度能力：制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否按照相关法律、法规、规章、规

23、定的要求编制公共数据资源目录。DB4403/T XXXXXXXXX7表2数据安全管理机构与人员评估内容（续）评估项级别要求评估子项评估方法评估内容数据安全管理机构与人员（M02）基本安全要求数据安全管理机构应明确数据管理员、数据安全管理员、数据安全审计员等岗位职责，落实岗位人员，保障数据安全管理与审计工作开展。相关岗位职责应包括：1）数据管理员负责数据存储、数据权限分配、数据资产梳理等；2）数据安全管理员负责数据权限审批、数据分类分级、数据安全风险检测与评估、数据安全事件应急响应处置、教育培训等，可由安全管理员兼任；3）数据安全审计员负责数据安全审计等。（M02-BR03）人员访谈文档查阅组织

24、能力：组织能力：1.通过人员访谈，询问被评估机构的数据安全管理机构是否设立数据安全相关岗位人员，包括数据管理员、数据安全管理员、数据安全审计员等岗位，其中数据管理员和数据安全审计员不能由同一人兼任，数据安全管理员和数据安全审计员不得由同一人兼任。制度能力：制度能力：2.通过文档查阅方式，查看被评估机构是否明确不同数据安全相关岗位的职责明细，查看岗位职责内容是否全面、明确，是否包含如下职责内容：1）数据管理员负责数据存储安全、数据权限分配、数据资产梳理等；2）数据安全管理员负责数据权限审批、数据分类分级、数据安全风险检测与评估、数据安全事件应急响应处置、教育培训等，可由安全管理员兼任；3）数据安

25、全审计员负责数据安全审计等。基本安全要求处理个人信息达到国家网信部门规定数量的，应指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督，并公开个人信息保护负责人联系方式，将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责部门。（M02-BR04）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈，询问被评估机构是否属于处理个人信息达到国家网信部门规定数量的公共管理和服务机构，如是则是否明确指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。制度能力：制度能力：2.查验被评估机构是否公开个人信息保护负责人的姓名、联系方式等，并已报送履行

26、个人信息保护职责的部门。DB4403/T XXXXXXXXX8表2数据安全管理机构与人员评估内容（续）评估项级别要求评估子项评估方法评估内容数据安全管理机构与人员（M02）基本安全要求应针对数据类别级别变更、数据权限变更、重大数据操作及外部系统接入等事项建立审批程序，按照审批程序执行审批过程。（M02-BR05）文档查阅制度能力：制度能力：1.通过文档查阅方式，查看被评估机构是否已建立针对数据类别级别变更、数据权限变更、重大数据操作及外部系统接入等事项的审批程序；2.通过文档查阅方式，查看事项审批程序执行记录文件。基本安全要求涉及数据合作方的机构，应与数据合作方签订合作协议及数据安全保密协议，

27、明确双方数据安全保密责任与义务，宜定期审核数据合作方资质背景、数据安全保障能力等，并组织动态合规评估。（M02-BR06）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈方式，查验被评估机构是否定期组织审核数据合作方资质背景、数据安全保障能力等，并组织合规评估，出具评估报告；通过文档查阅方式，查看数据合作方合规评估报告的完整性。制度能力：制度能力：2.查验被评估机构是否明确与数据合作方签订合作协议及数据安全保密协议，通过文档查阅方式，查看协议是否明确双方数据安全保密责任与义务。三级增强要求应针对重大数据处理活动建立逐级审批机制。（M02-TR01）人员访谈文档查阅制度能力：制度能力：1.查

28、验被评估机构是否建立重大数据处理活动逐级审批机制，通过文档查阅方式，查看审批机制的合理性、有效性及可执行性。三级增强要求应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。（M02-TR02）人员访谈文档查阅组织能力：组织能力：1.查验被评估机构是否组织定期审查审批事项。制度能力：制度能力：2.查验被评估机构是否在审查后，动态更新授权和审批的项目、审批部门和审批人等信息，保持审批机制的合理性；通过文档查阅方式，查验是否具有对相关审批事项的定期审查记录和授权更新记录。基本安全要求应加强人员管理，明确规定人员录用、人员培训、人员考核、保密协议、离岗离职、外部人员管理等方面管理要

29、求并严格落实。（M02-BR07）人员访谈文档查阅制度能力：制度能力：1.通过人员访谈、文档查阅方式，明确被评估机构是否制定人员管理相关制度；查阅制度是否包含人员录用、人员培训、人员考核、保密协议、离岗离职、外部人员管理等方面的管理要求，查阅制度执行记录。DB4403/T XXXXXXXXX9表2数据安全管理机构与人员评估内容（续）评估项级别要求评估子项评估方法评估内容数据安全管理机构与人员（M02）基本安全要求应与内部数据岗位人员、数据合作方人员签订保密协议，明确数据访问范围、操作权限、人员调离岗保密要求、保密期限、违约责任等，有效约束操作行为。（M02-BR08）人员访谈文档查阅制度能力：

30、制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否与内部数据岗位人员及数据合作方人员签订保密协议；2.通过文档查阅方式，查验保密协议内容是否包括数据访问范围、操作权限、人员调离岗保密要求、保密期限、违约责任等。基本安全要求应制定数据安全培训计划，定期组织数据安全培训工作，每年至少一次。针对机构全员，培训内容包括但不限于数据安全意识、法律法规等。针对数据岗位人员，培训内容包括但不限于标准规范、技能培训、应急响应、应急演练等，留存培训记录（M02-BR09）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否制定了数据安全培训计划，每年至少组织开展一次数

31、据安全培训工作。制度能力：制度能力：2.通过人员访谈、文档查阅方式，查验被评估机构是否针对机构全员开展数据安全培训，针对机构全员的培训内容应包括但不限于数据安全意识、法律法规等；3.通过人员访谈、文档查阅方式，查验被评估机构是否针对相关数据岗位人员开展数据安全培训，针对数据岗位人员的培训课件应包括但不限于标准规范、技能培训、应急响应、应急演练等；4.通过文档查阅方式，查验以往数据安全培训记录，是否包括培训通知、培训照片、培训签到表、培训课件、培训评价表、培训考核记录等。基本安全要求宜组织数据岗位人员考取相关资质证书，持证上岗。（M02-BR10）人员访谈文档查阅组织能力：组织能力：1.通过人员

32、访谈、文档查阅方式，查验被评估机构数据岗位人员是否均考取相关资质证书，持证上岗，证书类型包括但不限于：CISP、CISSP、CDPSE、数据库工程师、数据治理工程师等。三级增强要求应配备专职安全管理员承担数据安全管理员工作。（M02-TR03）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否设立专职数据安全管理员或者配备专职安全管理员，其职责范围涉及数据安全管理员工作。DB4403/T XXXXXXXXX10表2数据安全管理机构与人员评估内容（续）评估项级别要求评估子项评估方法评估内容数据安全管理机构与人员（M02）三级增强要求应针对不同数据岗位制定不同的

33、培训计划，对数据安全基础知识、岗位操作规程等进行培训。（M02-TR04）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否组织针对不同数据岗位制定不同的培训计划，对数据安全基础知识、岗位操作规程等进行培训。三级增强要求应定期对不同数据岗位人员进行技能考核。（M02-TR05）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否定期组织对不同数据岗位人员进行技能考核，查阅技能考核记录文件。人员能力：人员能力：2.通过人员访谈方式，了解不同数据岗位人员技能掌握程度，不同数据岗位人员应熟练掌握对应岗位技能。四级增强要求关键事务岗

34、位应配备多人共同管理。（M02-FR01）人员访谈组织能力：组织能力：1.通过人员访谈方式，查验被评估机构是否针对关键事务岗位设立多人共同管理。四级增强要求应从内部人员中选拔从事关键数据岗位的人员。（M02-FR02）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构的关键事务岗位是否从内部人员中选拔产生，查阅选拔执行记录文档。DB4403/T XXXXXXXXX116.3数据安全管理制度体系数据安全管理制度体系评估内容描述见表3。表3数据安全管理制度体系评估内容评估项级别要求评估子项评估方法评估内容数据安全管理制度体系（M03）基本安全要求应指定专门的部门或授

35、权数据安全管理机构负责数据安全管理制度的制定。（M03-BR01）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否指定专门的部门或授权数据安全管理机构负责数据安全管理制度的制定工作，查阅相关指定或授权文件。基本安全要求应建立健全数据安全保护制度体系，制度体系内容包括但不限于数据安全政策、组织机构与人员管理、数据分类分级、数据安全评估、数据安全风险监测、数据访问权限管控、数据安全应急与处置、数据安全审计、数据活动安全管理要求（包括数据收集、存储、传输、使用、加工、开放共享、交易、出境、销毁等）、数据安全教育培训、数据合作方管理、个人信息安全保护等。（M03-

36、BR02）文档查阅制度能力：制度能力：1.通过文档查阅方式，查验被评估机构是否已建立数据安全保护制度体系；2.通过文档查阅方式，查验被评估机构制定的数据安全保护制度体系是否包括但不限于数据安全政策、组织机构与人员管理、数据分类分级、数据安全评估、数据安全风险监测、数据访问权限管控、数据安全应急与处置、数据安全审计、数据活动安全管理要求（包括数据收集、存储、传输、使用、加工、开放共享、交易、出境、销毁等）、数据安全教育培训、数据合作方管理、个人信息安全保护等。基本安全要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应按照国家规定建立健全个人信息保护合规制度体系，成立主要由

37、外部成员组成的独立机构对个人信息保护情况进行监督。（M03-BR03）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否属于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，若是则是否组建由外部成员组成的独立机构对个人信息保护情况进行监督，查阅相关执行记录文档。制度能力：制度能力：2.通过文档查阅方式，查验被评估机构是否建立个人信息保护合规制度体系，查阅个人信息保护合规制度体系文档。DB4403/T XXXXXXXXX12表3数据安全管理制度体系评估内容（续）评估项级别要求评估子项评估方法评估内容数据安全管理制度体系（M03）基本安全要求应

38、建立投诉、举报受理处置制度，收到通过其平台编造、传播虚假信息，发布侵害他人名誉、隐私、知识产权和其他合法权益信息，以及假冒、仿冒、盗用他人名义发布信息的投诉、举报，自接受投诉举报起，受理时间不超过3 天，受理后进行调查取证，一经查实，应依法采取停止传输、消除等处置措施。（M03-BR04）人员访谈文档查阅制度能力：制度能力：1.通过人员访谈方式，查验被评估机构是否制定个人信息与数据安全投诉、举报受理处置制度；2.如属于提供网络信息内容传播服务的网络信息服务提供者，通过文档查阅方式，查验是否明确网络平台运营中，当收到通过其平台编造、传播虚假信息，发布侵害他人名誉、隐私、知识产权和其他合法权益信息

39、以及假冒、仿冒、盗用他人名义发布信息的投诉、举报时，自接受投诉举报起，受理时间不超过 3 天，受理后进行调查取证，一经查实，应依法采取停止传输、消除等处置措施。基本安全要求应建立个人信息主体保护权利的渠道和机制，及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账号的请求，按照 GB/T 352732020 中 8.7 规定的要求响应个人信息主体的请求，不应对请求设置不合理条件。（M03-BR05）人员访谈文档查阅系统核验制度能力：制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构业务系统是否建立个人信息主体保护权利的渠道和机制。技术能力：技术能力：2.通过系统核验方式，查验被

40、评估机构业务系统是否能及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账号的请求，按照 GB/T352732020 中 8.7 的要求响应个人信息主体的请求，不对请求设置不合理条件。基本安全要求应通过正式、有效的方式发布数据安全管理制度，并进行版本控制。（M03-BR06）人员访谈文档查阅制度能力：制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否已通过正式、有效的方式发布数据安全管理制度，查阅制度发布执行记录，查阅制度是否已进行版本控制。基本安全要求应定期对数据安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。（M03-BR07）人员

41、访谈文档查阅制度能力：制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否定期对数据安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的制度进行修订，查阅修订执行记录文档。DB4403/T XXXXXXXXX13表3数据安全管理制度体系评估内容（续）评估项级别要求评估子项评估方法评估内容数据安全管理制度体系（M03）三级增强要求应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的数据安全管理制度体系。（M03-TR01）人员访谈文档查阅制度能力：制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否建立全面的数据安全管理制度体系，体系结构是否由安全策略、管理

42、制度、操作规程、记录表单等构成，查阅制度体系文档。7通用技术安全评估7.1数据分类分级保护数据分类分级保护评估内容描述见表4。表4数据分类分级保护评估内容评估项级别要求评估子项评估方法评估内容数据分类分级保护（T01）基本安全要求应结合数据资产识别技术手段，梳理数据资产，并明确数据资产类型、数据量、存储位置、数据关联系统、数据共享情况、数据出境情况等。（T01-BR01）人员访谈系统核验技术能力：技术能力：1.通过人员访谈方式，查验被评估机构是否具备数据资产识别相关技术平台；2.通过系统核验方式，查验平台是否可自动化梳理数据资产，明确数据资产类型、数据量、存放位置、数据关联系统、数据共享情况、

43、数据出境情况等。基本安全要求应明确数据分类标准，依据数据资源属性特征，将数据合理划分类别，形成数据资源分类目录。（T01-BR02）人员访谈文档查阅制度能力：制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否依据DB4403/T 271-2022中附录A 建立数据分类标准，被评估机构业务系统是否依据数据资源属性特征，将数据合理划分类别。人员能力：人员能力：2.通过人员访谈方式，查验被评估机构业务系统数据分类分级相关岗位人员是否具备数据分类识别能力，能独立开展数据分类工作；如由数据合作方协助开展数据分类工作，则被评估机构业务系统数据分类分级相关岗位人员是否能对数据合作方的数据分类工作进

44、行管理。DB4403/T XXXXXXXXX14表4数据分类分级保护评估内容（续）评估项级别要求评估子项评估方法评估内容数据分类分级保护（T01）基本安全要求应明确数据对象安全等级，依据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用时，对国家安全、社会秩序和公共利益或者个人信息主体、公共管理和服务机构合法权益造成的侵害程度确定安全等级。（T01-BR03）人员访谈文档查阅制度能力：制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否依据 DB4403/T 271-2022 第 6 章确定的数据分级方法，建立数据分级标准，被评估机构业务系统是否依据分级标准，明确业务数据安全等级。人员

45、能力：人员能力：2.通过人员访谈方式，查验被评估机构业务系统数据分类分级相关岗位人员是否具备数据分级能力，能独立开展数据分级工作；如由数据合作方协助开展数据分级工作，则被评估机构业务系统数据分类分级相关岗位人员是否能对数据合作方的数据分级工作进行管理。基本安全要求应在数据分类分级基础上，形成数据资产清单，落实不同数据安全等级差异化防护措施要求。（T01-BR04）人员访谈文档查阅制度能力：制度能力：1.通过文档查阅方式，查验被评估机构业务系统是否明确不同数据安全等级差异化防护措施要求。人员能力：人员能力：2.通过人员访谈、文档查阅方式，查验被评估机构业务系统数据分类分级相关岗位人员是否已依据制

46、定的数据分类分级标准，形成数据资产清单，对照落实不同数据安全等级差异化防护措施要求。基本安全要求应定期评审数据对象的类别和级别，如需变更数据所属类型或级别，应依据变更审批流程执行变更。（T01-BR05）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构业务系统是否组织定期评审数据对象所属类型及级别，确保数据对象类别及级别的合理性，查阅记录文档。制度能力：制度能力：2.通过人员访谈、文档查阅方式，查验被评估机构业务系统是否建立数据对象类别或级别变更流程，查阅变更审批记录。三级增强要求应采取数据安全防护措施，对重要数据和敏感个人信息进行重点保护。（T01-TR01

47、人员访谈技术检测系统核验技术能力：技术能力：1.通过人员访谈、系统核验方式，查验被评估机构业务系统是否对重要数据及敏感个人信息进行重点保护，重点安全保护具体技术措施应涉及数据处理活动全过程；2.通过技术检测方式，查验重点安全保护技术措施是否有效。DB4403/T XXXXXXXXX15表4数据分类分级保护评估内容（续）评估项级别要求评估子项评估方法评估内容数据分类分级保护（T01）四级增强要求应建立数据资产识别技术能力，对数据对象进行标记与跟踪，构建数据血缘关系。（T01-FR01）系统核验技术能力：技术能力：1.通过系统核验方式，查验被评估机构业务系统是否已建立数据资产识别技术能力，并能对

48、数据对象进行标记与跟踪，构建数据血缘关系。7.2数据安全评估数据安全评估评估内容描述见表5。表5数据安全评估评估内容评估项级别要求评估子项评估方法评估内容数据安全评估（T02）基本安全要求应结合自身数据安全要求，制定数据安全风险评估方法，明确风险评估目的、范围、依据、评估流程、评估频率、实施评估、综合评估分析等内容。（T02-BR01）人员访谈文档查阅制度能力：制度能力：1.通过人员访谈、文档查阅方式，查验被评估机构是否制定数据安全风险评估制度，、；查阅制度是否包括风险评估目的、范围、依据、评估流程、评估频率、实施评估、综合评估分析等内容。基本安全要求在出现法律法规重大更改或增删、业务活动发生

49、重大变化、数据资产发生重大变化、发生重大数据安全事件、数据安全管理方针发生变化等重大情况变化时应进行局部或全面数据安全风险评估，形成数据安全风险评估报告。（T02-BR02）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构业务系统是否建立数据安全风险评估启动机制，是否明确在出现法律法规重大更改或增删、业务活动发生重大变化、数据资产发生重大变化、发生重大数据安全事件、数据安全管理方针发生变化等重大情况变化时应进行局部或全面数据安全风险评估；2.通过文档查阅方式，查验在重大情况变化发生时是否启动数据安全风险评估，查阅数据安全风险评估报告。DB4403/T XXXX

50、XXXXX16表5数据安全评估评估内容（续）评估项级别要求评估子项评估方法评估内容数据安全评估（T02）基本安全要求涉及国家、行业存在数据安全合规监管要求的机构，应定期开展数据安全合规性评估，并向有关主管部门报送合规性评估报告。（T02-BR03）人员访谈文档查阅组织能力：组织能力：1.通过人员访谈、文档查阅方式，查验被评估机构业务系统是否存在行业或国家相关部门（如工业和信息化部、中共中央网络安全和信息化委员会办公室等）数据安全合规性评估监管要求，查阅相关文件通知；2.如存在相关监管要求，通过人员访谈、文档查阅方式，查验被评估机构业务系统是否定期开展数据安全合规性评估，并向有关主管部门报送合规