《公共數(shù)據(jù)安全評估規(guī)范》

ICS35.240.01

CCSL67

DB4403

深圳市地方標準

DB4403/TXXX—XXXX

公共數(shù)據(jù)安全評估規(guī)范

Assessmentspecificationofcommondatasecurity

（送審稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

深圳市市場監(jiān)督管理局發(fā)布

DB4403/TXXX—XXXX

公共數(shù)據(jù)安全評估規(guī)范

1范圍

本文件規(guī)定了公共數(shù)據(jù)安全的總體概述、通用管理安全評估要求、通用技術安全評估要求、數(shù)據(jù)處

理活動安全評估要求、整體評估與評估結論。

本文件適用于公共管理和服務機構數(shù)據(jù)安全能力的評估，也適用于處理大量個人信息的服務平臺數(shù)

據(jù)安全能力的評估，各級公共數(shù)據(jù)主管部門、公共管理和服務機構可參照執(zhí)行。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術網絡安全等級保護基本要求

GB/T35273—2020信息安全技術個人信息安全規(guī)范

GB/T37988—2019信息安全技術數(shù)據(jù)安全能力成熟度模型

GB/T39477—2020信息安全技術政務信息共享數(shù)據(jù)安全技術要求

DB4403/T271—2022公共數(shù)據(jù)安全要求

3術語和定義

GB/T35273—2020、GB/T37988—2019、DB4403/T271-2022界定的以及下列術語和定義適用于本

文件。

3.1

評估機構evaluationorganization

提供公共數(shù)據(jù)安全評估服務的機構，可為公共管理和服務機構本身、第三方數(shù)據(jù)安全服務機構或數(shù)

據(jù)統(tǒng)籌監(jiān)管部門。

3.2

被評估機構evaluatedorganization

在公共數(shù)據(jù)安全評估過程中，作為被評估角色的機構，主要為公共管理和服務機構，也可為處理大

量個人信息的服務平臺。

3.3

數(shù)據(jù)場景datascenario

為了達到特定業(yè)務目的而對數(shù)據(jù)進行處理和使用的場景，對場景下數(shù)據(jù)流向進行全鏈路分析，單個

數(shù)據(jù)場景可能涉及多個機構及其業(yè)務系統(tǒng)。

3.4

主責機構mainresponsibleorganization

評估對象為數(shù)據(jù)場景時，主責機構指場景涉及主要系統(tǒng)的責任部門。

1

DB4403/TXXX—XXXX

3.5

關聯(lián)機構relatedresponsibleorganization

評估對象為數(shù)據(jù)場景時，關聯(lián)機構指涉及場景相關處理活動的其他機構，如數(shù)據(jù)場景處理活動僅在

主責機構內部，則不涉及關聯(lián)機構。

4縮略語

下列縮略語適用于本文件：

M：通用管理安全（GeneralManagementSecurity）

T：通用技術安全（GeneralTechnologySecurity）

P：數(shù)據(jù)處理活動安全（DataProcessingActivitySecurity）

BR：基本安全要求（BasicSecurityRequirements）

TR：三級增強要求（LevelThreeEnhancementRequirements）

FR：四級增強要求（LevelFourEnhancementRequirements）

DT：數(shù)據(jù)子類或字段（DataSubclassOrField）

SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）

API：應用程序接口（ApplicationProgrammingInterface）

5概述

5.1評估原則

為規(guī)范公共數(shù)據(jù)安全評估工作，全面有效發(fā)現(xiàn)公共數(shù)據(jù)可能面臨的各類安全風險，評估機構在評估

過程中，應遵循下列原則，具體包括：

a)公正客觀原則——評估機構在整體評估過程中，對評估對象數(shù)據(jù)安全保障措施進行公平客觀

的判定，不應受機構性質、評估對象、評估時間、評估人員、利益關系等任何因素影響而損

害評估的公正及客觀性；

b)最小影響原則——評估機構在評估過程中，對評估對象的網絡、業(yè)務、數(shù)據(jù)流轉等正常運行

造成的影響應降低到最低，不因評估工作而導致業(yè)務連續(xù)性的中斷；

c)可控性原則——在評估過程中，評估機構應確保評估過程可管可控，使用的評估工具或技術

手段，已經過實踐驗證，不存在安全隱患；

d)全面性原則——評估機構在評估過程應全面覆蓋評估要點，基于評估要點對評估對象涉及的

資產（如制度類文檔、數(shù)據(jù)資產、軟硬件資產、人力資源等）、數(shù)據(jù)處理活動各環(huán)節(jié)進行評

估；

e)書面授權原則——評估機構所開展的評估工作，包括評估對象、評估范圍、方法、時間等，

應得到被評估機構的正式書面授權，嚴禁未經授權的評估行為；

f)保密性原則——評估機構及評估人員在評估前應與被評估機構簽訂數(shù)據(jù)安全相關保密協(xié)議，

明確保密責任、義務及爭議條款，除法律要求或獲得被評估機構同意外，評估人員在評估過

程中獲取的評估對象相關信息、過程文檔等應嚴格保密，不得對外透露，以確保被評估機構

的數(shù)據(jù)安全。

5.2評估職責

2

DB4403/TXXX—XXXX

評估機構負責為被評估機構提供公共數(shù)據(jù)安全評估服務，在得到被評估機構書面授權及簽署數(shù)據(jù)安

全相關保密協(xié)議后，應遵循公正客觀原則開展評估工作，評估過程應不對被評估機構公共數(shù)據(jù)運營活動

造成影響；被評估機構應向評估機構提供公共數(shù)據(jù)安全評估過程所需資源，包括但不限于文檔、人員、

網絡等。

5.3安全能力評估維度

評估機構對評估對象的數(shù)據(jù)安全能力進行評估，安全能力應分為以下4個維度：

a)組織能力——主要考察數(shù)據(jù)安全組織架構及人員的設立、職責分工及溝通協(xié)作；

b)制度能力——主要考察數(shù)據(jù)安全制度及流程建設完備性、可執(zhí)行性、動態(tài)更新性；

c)人員能力——主要考察人員數(shù)據(jù)安全建設專業(yè)能力、工作執(zhí)行落地情況；

d)技術能力——主要考察采取技術手段或自動化技術工具落實數(shù)據(jù)安全要求的能力。

5.4評估體系

評估機構采用文檔查閱、人員訪談、技術檢測、系統(tǒng)核驗等評估方法，對評估對象涉及的資產、數(shù)

據(jù)處理活動各環(huán)節(jié)的數(shù)據(jù)安全保障措施合規(guī)情況進行評估。評估流程包括組建評估團隊、確定評估對象

及評估范圍、評估對象調研、組織評估實施及評估報告編制。評估涵蓋通用管理安全要求、通用技術安

全要求及數(shù)據(jù)處理活動安全要求三方面。針對不同的安全等級選取相對應的安全要求進行評估。框架結

構如圖1。

圖1公共數(shù)據(jù)安全評估框架

注：評估對象涉及不同安全等級的數(shù)據(jù)類型且無法拆分評估時，依據(jù)評定的最高數(shù)據(jù)安全等級的安全要求開展評估，

安全等級與安全要求的關系參見DB4403/T271-2022。

5.5評估方法

公共數(shù)據(jù)安全評估宜采取如下評估方法開展評估工作：

3

DB4403/TXXX—XXXX

a)文檔查閱——評估人員通過查看數(shù)據(jù)安全評估相關材料，如數(shù)據(jù)安全管理制度、業(yè)務安全保障

措施技術材料、制度落地執(zhí)行記錄表單等，輔助驗證是否符合相關安全要求；被評估機構應提

前準備相關文檔以供評估人員查閱；

b)人員訪談——評估人員與被評估機構相關人員進行交流、討論、詢問等，以初步驗證數(shù)據(jù)安全

要求的符合性，可結合其它評估方法，充分驗證數(shù)據(jù)安全保障措施的有效性；此評估方法通常

在評估前期調研、評估過程中使用，訪談人員范圍包含數(shù)據(jù)安全管理機構人員以及承載業(yè)務系

統(tǒng)運行的應用、系統(tǒng)、網絡相關人員等；

c)技術檢測——評估人員對業(yè)務系統(tǒng)不同應用形態(tài)（如web應用、移動應用程序、小程序、公眾

號等）、系統(tǒng)、網絡等進行技術測試，以驗證是否符合數(shù)據(jù)處理活動技術安全要求；通過由評

估人員事先準備測試工具（如流量監(jiān)測工具、掃描工具、滲透測試工具等）、業(yè)務注冊或使用

被評估機構準備的測試賬號等以完成技術測試；

d)系統(tǒng)核驗——由被評估機構人員根據(jù)評估人員的要求，上機核驗被評估機構相關安全能力平臺

或業(yè)務數(shù)據(jù)處理活動各環(huán)節(jié)、數(shù)據(jù)操作日志記錄等界面，此評估方法可直觀驗證數(shù)據(jù)安全保障

措施是否有效，被評估機構人員安排相關人員進行現(xiàn)場演示，評估人員根據(jù)演示結果判斷安全

要求的符合性。

5.6評估適用情形

滿足如下情形之一，應及時啟動評估工作：

a)承載公共數(shù)據(jù)的業(yè)務系統(tǒng)上線前；

b)業(yè)務運營階段，數(shù)據(jù)承載環(huán)境發(fā)生重大變更時，如數(shù)據(jù)處理技術模式變更、數(shù)據(jù)采集渠道變

更、數(shù)據(jù)種類發(fā)生重大變化、批量數(shù)據(jù)共享對象變更、業(yè)務重大版本迭代、網絡環(huán)境重大變

更、數(shù)據(jù)存儲系統(tǒng)升級改造、數(shù)據(jù)出境等；

c)行業(yè)主管部門要求時；

d)法律法規(guī)規(guī)定的其它情形。

5.7評估對象和評估指標說明

業(yè)務系統(tǒng)、數(shù)據(jù)場景均可作為評估對象。評估機構針對選取的評估對象，確定評估指標，開展評估

工作，并編制形成評估報告。不同的評估對象適用于不同的評估指標，選取原則如下：

a)業(yè)務系統(tǒng)；

1)對業(yè)務系統(tǒng)進行評估時，根據(jù)其安全等級選取本文件第6至8章節(jié)相對應安全要求的評估指標

進行評估，判別依據(jù)為被評估機構數(shù)據(jù)安全組織架構、人員配備、制度流程，技術能力及與該業(yè)務

系統(tǒng)相關的資產、已有安全保護措施等。

b)數(shù)據(jù)場景；

1)對數(shù)據(jù)場景進行評估時，單個數(shù)據(jù)場景可能涉及多個機構及其業(yè)務系統(tǒng)，應劃分主責機構和關

聯(lián)機構；

2)主責機構指數(shù)據(jù)場景主要系統(tǒng)的管理者，對該場景下處理的數(shù)據(jù)負主要責任，關聯(lián)機構指與數(shù)

據(jù)場景有關聯(lián)關系，涉及該場景下數(shù)據(jù)處理活動中單個或多個環(huán)節(jié)的機構，對其涉及到的環(huán)節(jié)負關

聯(lián)責任；

3)評估對象為數(shù)據(jù)場景時，主責機構和關聯(lián)機構均需納入評估范圍，針對主責機構，應選取本文

件第6至8章節(jié)的評估指標對其開展評估，針對關聯(lián)機構，一個關聯(lián)機構可能涉及該場景下單個或

多個數(shù)據(jù)處理活動環(huán)節(jié)，應選取本文件第8章節(jié)中與該關聯(lián)機構涉及數(shù)據(jù)處理活動環(huán)節(jié)所對應的評

估指標開展評估。

4

DB4403/TXXX—XXXX

5.8評估流程

公共數(shù)據(jù)安全的評估流程宜按照以下步驟進行：

a)組建評估團隊；

數(shù)據(jù)安全評估前，應組建數(shù)據(jù)安全評估團隊，評估團隊宜包含評估機構評估人員、被評估機構數(shù)據(jù)

安全管理機構人員，評估過程中涉及的人員包含評估對象相關的業(yè)務運營運維部門、業(yè)務開發(fā)測試部門、

數(shù)據(jù)合作方等人員，評估機構的評估人員應具備數(shù)據(jù)安全評估能力，確保評估結果的有效性。

b)確定評估對象；

參見本文件5.7明確數(shù)據(jù)安全評估對象，根據(jù)選定的評估對象，針對評估對象的安全等級，確定評

估指標。

c)評估對象調研；

數(shù)據(jù)安全評估團隊應對評估對象相關數(shù)據(jù)安全工作進行充分調研，包括業(yè)務簡介、網絡拓撲情況、

數(shù)據(jù)安全崗位人員、數(shù)據(jù)安全管理相關制度流程表單、數(shù)據(jù)安全設備部署情況、已有安全保護措施等；

在組織評估實施之前，應提供評估方案，并與被評估機構協(xié)商一致。

d)組織評估實施；

數(shù)據(jù)安全評估團隊組織遠程及現(xiàn)場評估，按DB4403/T271-2022描述的公共數(shù)據(jù)安全要求，采用文

檔查閱、人員訪談、技術檢測、系統(tǒng)核驗等評估方法對評估對象的管理及技術安全保障能力進行評估，

評估過程可配套使用相關數(shù)據(jù)安全技術測試工具加強評估風險驗證結果，評估團隊對評估過程進行記錄，

保存對應的評估佐證材料，得出公正客觀的評估結果，并逐一體現(xiàn)在評估報告中，評估案例見附錄E。

e)評估報告編制。

數(shù)據(jù)安全評估團隊在完成數(shù)據(jù)安全評估工作后，宜組織與被評估機構共同確認數(shù)據(jù)安全評估結果，

并編制數(shù)據(jù)安全評估報告（見附錄D）。

6通用管理安全評估

6.1總體數(shù)據(jù)安全策略

總體數(shù)據(jù)安全策略評估內容描述見表1。

表1總體數(shù)據(jù)安全策略評估內容

評估項級別要求評估子項評估方法評估內容

組織能力：

應明確數(shù)據(jù)安全管理1.通過人員訪談，詢問被評估機構是否組織專門

的策略，包括管理目部門明確總體數(shù)據(jù)安全策略。

標、原則、要求等內制度能力：

總體數(shù)據(jù)安容，制定或修訂完善2.通過文檔查閱，確認總體數(shù)據(jù)安全策略是否包

基本安全要人員訪談

全策略總體安全管理框架，括管理目標、原則、要求等內容；或相關信息安

求文檔查閱

（M01）公共數(shù)據(jù)安全管理應全總體綱領文檔是否體現(xiàn)數(shù)據(jù)安全方面的總體

作為重點內容，納入方針政策。

總體安全管理范疇。人員能力：

（M01-BR01）3.通過人員訪談，詢問被評估機構是否了解機構

制定的總體數(shù)據(jù)安全策略。

5

DB4403/TXXX—XXXX

表1總體數(shù)據(jù)安全策略評估內容（續(xù)）

評估項級別要求評估子項評估方法評估內容

組織能力：

1.被評估機構是否組織定期對數(shù)據(jù)安全策略的

應定期對數(shù)據(jù)安全策

總體數(shù)據(jù)安合理性及適用性進行論證和審定，查閱相關評審

三級增強要略的合理性及適用性

全策略文檔查閱記錄。

求進行論證和審定，動

（M01）制度能力：

態(tài)調整。（M01-TR01）

2.是否根據(jù)定期審定結果，動態(tài)調整數(shù)據(jù)安全策

略，查閱動態(tài)調整內容。

6.2數(shù)據(jù)安全管理機構與人員

數(shù)據(jù)安全管理機構與人員評估內容描述見表2。

表2數(shù)據(jù)安全管理機構與人員評估內容

評估項級別要求評估子項評估方法評估內容

應設立數(shù)據(jù)安全管理

機構，明確數(shù)據(jù)安全

責任人，落實數(shù)據(jù)安

組織能力：

全保護責任。數(shù)據(jù)安

1．通過人員訪談，詢問被評估機構是否明確數(shù)

全責任人履行職責包

據(jù)安全管理機構及數(shù)據(jù)安全負責人，明確數(shù)據(jù)安

括但不限于：

全責任人的工作職責，查閱正式發(fā)文文檔。

1）組織制定數(shù)據(jù)保護

制度能力：

計劃并落實；

2．查閱數(shù)據(jù)安全負責人的職責內容是否包括但

基本安全要2）組織開展數(shù)據(jù)安全人員訪談

不限于：

求影響分析和風險評文檔查閱

1）組織制定數(shù)據(jù)保護計劃并落實；

估，督促整改安全隱

數(shù)據(jù)安全管2）組織開展數(shù)據(jù)安全影響分析和風險評估，督

患；

理機構與人促整改安全隱患；

3）組織按要求向有關

員（M02）3）組織按要求向有關部門報告數(shù)據(jù)安全保護和

部門報告數(shù)據(jù)安全保

事件處置情況；

護和事件處置情況；

4）組織受理并處理數(shù)據(jù)安全投訴和舉報事項等。

4）組織受理并處理數(shù)

據(jù)安全投訴和舉報事

項等。（M02-BR01）

應按照相關法律、法

制度能力：

規(guī)、規(guī)章的要求編制

基本安全要人員訪談1.通過人員訪談、文檔查閱方式，查驗被評估機

公共數(shù)據(jù)資源目錄，

求文檔查閱構是否按照相關法律、法規(guī)、規(guī)章、規(guī)定的要求

加強數(shù)據(jù)安全保護。

編制公共數(shù)據(jù)資源目錄。

（M02-BR02）

6

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機構與人員評估內容（續(xù)）

評估項級別要求評估子項評估方法評估內容

數(shù)據(jù)安全管理機構應

明確數(shù)據(jù)管理員、數(shù)

據(jù)安全管理員、數(shù)據(jù)組織能力：

安全審計員等崗位職1.通過人員訪談，詢問被評估機構的數(shù)據(jù)安全管

責，落實崗位人員，理機構是否設立數(shù)據(jù)安全相關崗位人員，包括數(shù)

保障數(shù)據(jù)安全管理與據(jù)管理員、數(shù)據(jù)安全管理員、數(shù)據(jù)安全審計員等

審計工作開展。相關崗位，其中數(shù)據(jù)管理員和數(shù)據(jù)安全審計員不能由

崗位職責應包括：同一人兼任，數(shù)據(jù)安全管理員和數(shù)據(jù)安全審計員

1）數(shù)據(jù)管理員負責數(shù)不得由同一人兼任。

據(jù)存儲、數(shù)據(jù)權限分制度能力：

基本安全要配、數(shù)據(jù)資產梳理等；人員訪談2.通過文檔查閱方式，查看被評估機構是否明確

求2）數(shù)據(jù)安全管理員負文檔查閱不同數(shù)據(jù)安全相關崗位的職責明細，查看崗位職

責數(shù)據(jù)權限審批、數(shù)責內容是否全面、明確，是否包含如下職責內容：

據(jù)分類分級、數(shù)據(jù)安1）數(shù)據(jù)管理員負責數(shù)據(jù)存儲安全、數(shù)據(jù)權限分

全風險檢測與評估、配、數(shù)據(jù)資產梳理等；

數(shù)據(jù)安全事件應急響2）數(shù)據(jù)安全管理員負責數(shù)據(jù)權限審批、數(shù)據(jù)分

應處置、教育培訓等，類分級、數(shù)據(jù)安全風險檢測與評估、數(shù)據(jù)安全事

數(shù)據(jù)安全管可由安全管理員兼件應急響應處置、教育培訓等，可由安全管理員

理機構與人任；兼任；

員（M02）3）數(shù)據(jù)安全審計員負3）數(shù)據(jù)安全審計員負責數(shù)據(jù)安全審計等。

責數(shù)據(jù)安全審計等。

（M02-BR03）

處理個人信息達到國

家網信部門規(guī)定數(shù)量

組織能力：

的，應指定個人信息

1.通過人員訪談，詢問被評估機構是否屬于處理

保護負責人，負責對

個人信息達到國家網信部門規(guī)定數(shù)量的公共管

個人信息處理活動以

理和服務機構，如是則是否明確指定個人信息保

及采取的保護措施等

基本安全要人員訪談護負責人，負責對個人信息處理活動以及采取的

進行監(jiān)督，并公開個

求文檔查閱保護措施等進行監(jiān)督。

人信息保護負責人聯(lián)

制度能力：

系方式，將個人信息

2.查驗被評估機構是否公開個人信息保護負責

保護負責人的姓名、

人的姓名、聯(lián)系方式等，并已報送履行個人信息

聯(lián)系方式等報送履行

保護職責的部門。

個人信息保護職責部

門。（M02-BR04）

7

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機構與人員評估內容（續(xù)）

評估項級別要求評估子項評估方法評估內容

應針對數(shù)據(jù)類別級別

制度能力：

變更、數(shù)據(jù)權限變更、

1.通過文檔查閱方式，查看被評估機構是否已建

重大數(shù)據(jù)操作及外部

基本安全要立針對數(shù)據(jù)類別級別變更、數(shù)據(jù)權限變更、重大

系統(tǒng)接入等事項建立文檔查閱

求數(shù)據(jù)操作及外部系統(tǒng)接入等事項的審批程序；

審批程序，按照審批

2.通過文檔查閱方式，查看事項審批程序執(zhí)行記

程序執(zhí)行審批過程。

錄文件。

（M02-BR05）

組織能力：

涉及數(shù)據(jù)合作方的機

1.通過人員訪談方式，查驗被評估機構是否定期

構，應與數(shù)據(jù)合作方

組織審核數(shù)據(jù)合作方資質背景、數(shù)據(jù)安全保障能

簽訂合作協(xié)議及數(shù)據(jù)

力等，并組織合規(guī)評估，出具評估報告；通過文

安全保密協(xié)議，明確

檔查閱方式，查看數(shù)據(jù)合作方合規(guī)評估報告的完

基本安全要雙方數(shù)據(jù)安全保密責人員訪談

整性。

求任與義務，宜定期審文檔查閱

制度能力：

核數(shù)據(jù)合作方資質背

2.查驗被評估機構是否明確與數(shù)據(jù)合作方簽訂

景、數(shù)據(jù)安全保障能

合作協(xié)議及數(shù)據(jù)安全保密協(xié)議，通過文檔查閱方

力等，并組織動態(tài)合

式，查看協(xié)議是否明確雙方數(shù)據(jù)安全保密責任與

規(guī)評估。（M02-BR06）

義務。

數(shù)據(jù)安全管

制度能力：

理機構與人應針對重大數(shù)據(jù)處理

三級增強要人員訪談1.查驗被評估機構是否建立重大數(shù)據(jù)處理活動

員（M02）活動建立逐級審批機

求文檔查閱逐級審批機制，通過文檔查閱方式，查看審批機

制。（M02-TR01）

制的合理性、有效性及可執(zhí)行性。

組織能力：

1.查驗被評估機構是否組織定期審查審批事項。

應定期審查審批事

制度能力：

項，及時更新需授權

三級增強要人員訪談2.查驗被評估機構是否在審查后，動態(tài)更新授權

和審批的項目、審批

求文檔查閱和審批的項目、審批部門和審批人等信息，保持

部門和審批人等信

審批機制的合理性；通過文檔查閱方式，查驗是

息。（M02-TR02）

否具有對相關審批事項的定期審查記錄和授權

更新記錄。

應加強人員管理，明

制度能力：

確規(guī)定人員錄用、人

1.通過人員訪談、文檔查閱方式，明確被評估機

員培訓、人員考核、

基本安全要人員訪談構是否制定人員管理相關制度；查閱制度是否包

保密協(xié)議、離崗離職、

求文檔查閱含人員錄用、人員培訓、人員考核、保密協(xié)議、

外部人員管理等方面

離崗離職、外部人員管理等方面的管理要求，查

管理要求并嚴格落

閱制度執(zhí)行記錄。

實。（M02-BR07）

8

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機構與人員評估內容（續(xù)）

評估項級別要求評估子項評估方法評估內容

應與內部數(shù)據(jù)崗位人

員、數(shù)據(jù)合作方人員制度能力：

簽訂保密協(xié)議，明確1.通過人員訪談、文檔查閱方式，查驗被評估機

數(shù)據(jù)訪問范圍、操作構是否與內部數(shù)據(jù)崗位人員及數(shù)據(jù)合作方人員

基本安全要人員訪談

權限、人員調離崗保簽訂保密協(xié)議；

求文檔查閱

密要求、保密期限、2.通過文檔查閱方式，查驗保密協(xié)議內容是否包

違約責任等，有效約括數(shù)據(jù)訪問范圍、操作權限、人員調離崗保密要

束操作行為。求、保密期限、違約責任等。

（M02-BR08）

組織能力：

1.通過人員訪談、文檔查閱方式，查驗被評估機

應制定數(shù)據(jù)安全培訓

構是否制定了數(shù)據(jù)安全培訓計劃，每年至少組織

計劃，定期組織數(shù)據(jù)

開展一次數(shù)據(jù)安全培訓工作。

安全培訓工作，每年

制度能力：

至少一次。針對機構

2.通過人員訪談、文檔查閱方式，查驗被評估機

全員，培訓內容包括

構是否針對機構全員開展數(shù)據(jù)安全培訓，針對機

但不限于數(shù)據(jù)安全意

數(shù)據(jù)安全管基本安全要人員訪談構全員的培訓內容應包括但不限于數(shù)據(jù)安全意

識、法律法規(guī)等。針

理機構與人求文檔查閱識、法律法規(guī)等；

對數(shù)據(jù)崗位人員，培

員（M02）3.通過人員訪談、文檔查閱方式，查驗被評估機

訓內容包括但不限于

構是否針對相關數(shù)據(jù)崗位人員開展數(shù)據(jù)安全培

標準規(guī)范、技能培訓、

訓，針對數(shù)據(jù)崗位人員的培訓課件應包括但不限

應急響應、應急演練

于標準規(guī)范、技能培訓、應急響應、應急演練等；

等，留存培訓記錄

4.通過文檔查閱方式，查驗以往數(shù)據(jù)安全培訓記

（M02-BR09）

錄，是否包括培訓通知、培訓照片、培訓簽到表、

培訓課件、培訓評價表、培訓考核記錄等。

組織能力：

宜組織數(shù)據(jù)崗位人員

1.通過人員訪談、文檔查閱方式，查驗被評估機

基本安全要考取相關資質證書，人員訪談

構數(shù)據(jù)崗位人員是否均考取相關資質證書，持證

求持證上崗。文檔查閱

上崗，證書類型包括但不限于：CISP、CISSP、

（M02-BR10）

CDPSE、數(shù)據(jù)庫工程師、數(shù)據(jù)治理工程師等。

組織能力：

應配備專職安全管理1.通過人員訪談、文檔查閱方式，查驗被評估機

三級增強要人員訪談

員承擔數(shù)據(jù)安全管理構是否設立專職數(shù)據(jù)安全管理員或者配備專職

求文檔查閱

員工作。（M02-TR03）安全管理員，其職責范圍涉及數(shù)據(jù)安全管理員工

作。

9

DB4403/TXXX—XXXX

表2數(shù)據(jù)安全管理機構與人員評估內容（續(xù)）

評估項級別要求評估子項評估方法評估內容

應針對不同數(shù)據(jù)崗位

組織能力：

制定不同的培訓計

1.通過人員訪談、文檔查閱方式，查驗被評估機

三級增強要劃，對數(shù)據(jù)安全基礎人員訪談

構是否組織針對不同數(shù)據(jù)崗位制定不同的培訓

求知識、崗位操作規(guī)程文檔查閱

計劃，對數(shù)據(jù)安全基礎知識、崗位操作規(guī)程等進

等進行培訓。

行培訓。

（M02-TR04）

組織能力：

1.通過人員訪談、文檔查閱方式，查驗被評估機

構是否定期組織對不同數(shù)據(jù)崗位人員進行技能

應定期對不同數(shù)據(jù)崗

三級增強要人員訪談考核，查閱技能考核記錄文件。

位人員進行技能考

求文檔查閱人員能力：

核。（M02-TR05）

2.通過人員訪談方式，了解不同數(shù)據(jù)崗位人員技

數(shù)據(jù)安全管能掌握程度，不同數(shù)據(jù)崗位人員應熟練掌握對應

理機構與人崗位技能。

員（M02）

關鍵事務崗位應配備組織能力：

四級增強要

多人共同管理。人員訪談1.通過人員訪談方式，查驗被評估機構是否針對

求

（M02-FR01）關鍵事務崗位設立多人共同管理。

組織能力：

應從內部人員中選拔

四級增強要人員訪談1.通過人員訪談、文檔查閱方式，查驗被評估機

從事關鍵數(shù)據(jù)崗位的

求文檔查閱構的關鍵事務崗位是否從內部人員中選拔產生，

人員。（M02-FR02）

查閱選拔執(zhí)行記錄文檔。

10

DB4403/TXXX—XXXX

6.3數(shù)據(jù)安全管理制度體系

數(shù)據(jù)安全管理制度體系評估內容描述見表3。

表3數(shù)據(jù)安全管理制度體系評估內容

評估項級別要求評估子項評估方法評估內容

應指定專門的部門或組織能力：

授權數(shù)據(jù)安全管理機1.通過人員訪談、文檔查閱方式，查驗被評估機

基本安全要人員訪談

構負責數(shù)據(jù)安全管理構是否指定專門的部門或授權數(shù)據(jù)安全管理機

求文檔查閱

制度的制定。構負責數(shù)據(jù)安全管理制度的制定工作，查閱相關

（M03-BR01）指定或授權文件。

應建立健全數(shù)據(jù)安全

保護制度體系，制度

體系內容包括但不限

于數(shù)據(jù)安全政策、組

制度能力：

織機構與人員管理、

1.通過文檔查閱方式，查驗被評估機構是否已建

數(shù)據(jù)分類分級、數(shù)據(jù)

立數(shù)據(jù)安全保護制度體系；

安全評估、數(shù)據(jù)安全

2.通過文檔查閱方式，查驗被評估機構制定的數(shù)

風險監(jiān)測、數(shù)據(jù)訪問

據(jù)安全保護制度體系是否包括但不限于數(shù)據(jù)安

權限管控、數(shù)據(jù)安全

基本安全要全政策、組織機構與人員管理、數(shù)據(jù)分類分級、

應急與處置、數(shù)據(jù)安文檔查閱

求數(shù)據(jù)安全評估、數(shù)據(jù)安全風險監(jiān)測、數(shù)據(jù)訪問權

全審計、數(shù)據(jù)活動安

限管控、數(shù)據(jù)安全應急與處置、數(shù)據(jù)安全審計、

數(shù)據(jù)安全管全管理要求（包括數(shù)

數(shù)據(jù)活動安全管理要求（包括數(shù)據(jù)收集、存儲、

理制度體系據(jù)收集、存儲、傳輸、

傳輸、使用、加工、開放共享、交易、出境、銷

（M03）使用、加工、開放共

毀等）、數(shù)據(jù)安全教育培訓、數(shù)據(jù)合作方管理、

享、交易、出境、銷

個人信息安全保護等。

毀等）、數(shù)據(jù)安全教

育培訓、數(shù)據(jù)合作方

管理、個人信息安全

保護等。（M03-BR02）

提供重要互聯(lián)網平臺

組織能力：