T-CCIASC 0028-2024 數(shù)據(jù)安全建設(shè)服務(wù)能力評(píng)定規(guī)范

ICS35.240.99CCSL67CCIASCSpecificationforCapabilityEvaluationofDataSecurityConstructionServIT/CCIASC0028—2024 2規(guī)范性引用文件 3術(shù)語和定義 4評(píng)定原則 5評(píng)定基本要求 6評(píng)定指標(biāo)框架 7評(píng)價(jià)內(nèi)容和要求 7.1核心技術(shù)能力 7.1.1人才基礎(chǔ) 7.1.2技術(shù)創(chuàng)新機(jī)制 7.1.3知識(shí)產(chǎn)權(quán)情況 7.1.4技術(shù)轉(zhuǎn)化能力 7.2持續(xù)經(jīng)營(yíng)能力 7.2.1管理者能力 7.2.2規(guī)模及資質(zhì) 7.2.3市場(chǎng)占有能力 7.2.4盈利能力 7.3項(xiàng)目管理能力 7.3.1人員管理 7.3.2方案管理 7.3.3質(zhì)量管理 7.3.4風(fēng)險(xiǎn)管理 7.3.5成果物管理 8評(píng)價(jià)方法 8.1專家評(píng)審法 8.2資料收集法 9評(píng)定程序 10評(píng)定結(jié)果 T/CCIASC0028—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由由中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)提出。本文件由由中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)歸口。本文件起草單位：中國(guó)軟件評(píng)測(cè)中心（工業(yè)和信息化部軟件與集成電路促進(jìn)中心）、中國(guó)電信股份有限公司安徽分公司、聯(lián)通數(shù)字科技有限公司、亞信科技（成都）有限公司、重慶市軟件評(píng)測(cè)中心有限公司、北京明朝萬達(dá)科技股份有限公司、恒安嘉新（北京）科技股份公司、中科信息安全共性技術(shù)國(guó)家工程研究中心有限公司、北京市京都律師事務(wù)所、恒輝信達(dá)技術(shù)有限公司、上海斗象信息科技有限公司、中核核信信息技術(shù)（北京）有限公司、北京金源動(dòng)力信息化測(cè)評(píng)技術(shù)有限公司、天津朗言安全技術(shù)服務(wù)有限公司、北京君云天下科技有限公司、上海胡桃網(wǎng)絡(luò)科技有限公司。本文件主要起草人：林海靜、王露穎、王翔宇、張嘉歡、曹順超、仇必青、王文鑫、徐灝、趙寧、戚清海、冀托、丁曉明、鄭旭飛、喻波、劉新鵬、伊鵬達(dá)、曹國(guó)華、王菲、關(guān)濤、謝忱、張士瑩、曹濤、趙亮、張靖、方新、李能言、周煥軍。T/CCIASC0028—2024數(shù)據(jù)安全建設(shè)服務(wù)有助于強(qiáng)化我國(guó)重要數(shù)據(jù)和核心數(shù)據(jù)的保護(hù)能力，保障數(shù)據(jù)持續(xù)處于有效保護(hù)、合法利用、有序流動(dòng)的狀態(tài)，提升各行業(yè)各領(lǐng)域數(shù)據(jù)安全水平，加速數(shù)據(jù)要素市場(chǎng)培育和價(jià)值釋放。當(dāng)前，很多單位正在開展數(shù)據(jù)安全建設(shè)業(yè)務(wù)，但數(shù)據(jù)安全建設(shè)服務(wù)能力參差不齊，不利于數(shù)據(jù)安全建設(shè)服務(wù)市場(chǎng)的健康發(fā)展和數(shù)據(jù)安全標(biāo)準(zhǔn)的有效落地。本文件通過強(qiáng)化對(duì)數(shù)據(jù)安全建設(shè)機(jī)構(gòu)的基本要求和分類要求，從核心技術(shù)能力、持續(xù)經(jīng)營(yíng)能力、建設(shè)管理能力3個(gè)維度進(jìn)行統(tǒng)一分級(jí)、判定，意在構(gòu)建統(tǒng)一規(guī)范的數(shù)據(jù)安全建設(shè)服務(wù)能力評(píng)定體系，制定有效的數(shù)據(jù)安全建設(shè)服務(wù)能力評(píng)定規(guī)范及配套評(píng)定方法。1T/CCIASC0028—2024數(shù)據(jù)安全建設(shè)服務(wù)能力評(píng)定規(guī)范本文件規(guī)定了數(shù)據(jù)安全建設(shè)服務(wù)能力的評(píng)定規(guī)范，給出了數(shù)據(jù)安全建設(shè)服務(wù)能力評(píng)定的基本要求、指標(biāo)框架、評(píng)定流程及評(píng)定方法。本文件既適用于第三方能力評(píng)定機(jī)構(gòu)，對(duì)其開展的數(shù)據(jù)安全建設(shè)服務(wù)能力評(píng)定工作提供指引，也適用于數(shù)據(jù)安全建設(shè)服務(wù)提供商開展服務(wù)能力自評(píng)定，為提升其數(shù)據(jù)安全建設(shè)服務(wù)能力提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系GB/T25069-2022信息安全技術(shù)術(shù)語GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求JGJ/T67-2019辦公建筑設(shè)計(jì)標(biāo)準(zhǔn)T/ZHTEA001高新技術(shù)企業(yè)創(chuàng)新能力評(píng)價(jià)3術(shù)語和定義GB/T25069、GB/T41479、T/ZHTEA001中界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T25069、GB/T41479、T/ZHTEA001中的某些術(shù)語和定義。3.1數(shù)據(jù)安全datasecurity通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。注：GB/T41479—2022，定義3.43.2風(fēng)險(xiǎn)管理riskmanagement指導(dǎo)和控制組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。注：GB/T25069—2022，定義3.1683.3服務(wù)工具servicetools為達(dá)成服務(wù)目標(biāo)或提高服務(wù)質(zhì)量和效率所需要的設(shè)備、軟件、模板、知識(shí)庫等。注：GB/T25069—2022，定義3.184發(fā)明專利（含國(guó)防專利）、植物新品種、國(guó)家級(jí)農(nóng)作物品種、國(guó)家新藥、國(guó)家一級(jí)中藥保護(hù)品種、集成電路布圖設(shè)計(jì)專有權(quán)等。注：T/ZHTEA001—2023，定義3.13.5Ⅱ類知識(shí)產(chǎn)權(quán)ClassⅡIntellectualProperty2T/CCIASC0028—2024實(shí)用新型專利、外觀設(shè)計(jì)專利、軟件著作權(quán)等。注：T/ZHTEA001—2023，定義3.24評(píng)定原則a）公正性：評(píng)定工作以數(shù)據(jù)安全建設(shè)服務(wù)商實(shí)際情況為基礎(chǔ)，通過系統(tǒng)、深入的分析得出客觀、公正的評(píng)定結(jié)論；b）透明性：評(píng)定過程公開透明，評(píng)定結(jié)論向社會(huì)公開。5評(píng)定基本要求數(shù)據(jù)安全建設(shè)服務(wù)提供商應(yīng)具備的基本要求包括：a)在中華人民共和國(guó)境內(nèi)注冊(cè)成立，由中國(guó)公民、法人投資或者國(guó)家投資的企事業(yè)單位；b)產(chǎn)權(quán)關(guān)系明晰，獨(dú)立經(jīng)營(yíng)核算，無違法記錄；c)法定代表人、主要負(fù)責(zé)人、主要技術(shù)人員應(yīng)為中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無犯罪記錄；d)未被列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單和政府采購嚴(yán)重違法失信行為記錄名單等，以及其他可能影響數(shù)據(jù)安全建設(shè)單位或服務(wù)提供商能力和信譽(yù)的負(fù)面清單；e)應(yīng)建立工作保密制度及相應(yīng)組織監(jiān)管體系，從事涉密的數(shù)據(jù)安全服務(wù)應(yīng)滿足國(guó)家保密機(jī)關(guān)相關(guān)要求；f)應(yīng)具備固定辦公地點(diǎn)，且滿足JGJ/T67-2019相關(guān)要求。6評(píng)定指標(biāo)框架從核心技術(shù)能力、持續(xù)經(jīng)營(yíng)能力、建設(shè)管理能力3個(gè)維度分別對(duì)數(shù)據(jù)安全建設(shè)服務(wù)提出了兩級(jí)能力要求，由高到低依次是二級(jí)、一級(jí)能力。其中，核心技術(shù)能力的評(píng)定指標(biāo)包括人才基礎(chǔ)、技術(shù)創(chuàng)新機(jī)制、知識(shí)產(chǎn)權(quán)情況、技術(shù)轉(zhuǎn)化能力等；持續(xù)經(jīng)營(yíng)能力包括管理者能力、規(guī)模及資質(zhì)、市場(chǎng)占有能力、盈利能力等；建設(shè)管理能力包括人員管理、方案管理、質(zhì)量管理、風(fēng)險(xiǎn)管理、成果物管理等。3T/CCIASC0028—2024圖1數(shù)據(jù)安全建設(shè)服務(wù)能力評(píng)定指標(biāo)框架圖核心技術(shù)能力、持續(xù)經(jīng)營(yíng)能力、建設(shè)管理能力分別從技術(shù)、經(jīng)營(yíng)、服務(wù)過程維度分析企業(yè)數(shù)據(jù)安全建設(shè)服務(wù)能力。持續(xù)經(jīng)營(yíng)能力保障了數(shù)據(jù)安全建設(shè)高技術(shù)、人才的引進(jìn)和吸收，促進(jìn)了核心能力的提升；核心技術(shù)能力的提升助力企業(yè)提升硬實(shí)力，保障企業(yè)在高技術(shù)產(chǎn)品、服務(wù)競(jìng)爭(zhēng)中占得優(yōu)勢(shì)，促進(jìn)財(cái)務(wù)資源獲得，增強(qiáng)持續(xù)經(jīng)營(yíng)能力；持續(xù)經(jīng)營(yíng)能力和核心技術(shù)能力提升了服務(wù)過程的效能，帶動(dòng)建設(shè)管理能力提升；建設(shè)管理能力保障市場(chǎng)資源獲得、指引研發(fā)和生產(chǎn)的方向，促進(jìn)持續(xù)經(jīng)營(yíng)能力和核心技術(shù)能力提升。圖2數(shù)據(jù)安全建設(shè)服務(wù)分項(xiàng)能力間的關(guān)系圖7評(píng)價(jià)內(nèi)容和要求數(shù)據(jù)安全建設(shè)服務(wù)提供商應(yīng)具備的基本要求包括：a)在中華人民共和國(guó)境內(nèi)注冊(cè)成立，由中國(guó)公民、法人投資或者國(guó)家投資的企事業(yè)單位；4T/CCIASC0028—2024b)產(chǎn)權(quán)關(guān)系明晰，獨(dú)立經(jīng)營(yíng)核算，無違法記錄；c)法定代表人、主要負(fù)責(zé)人、主要技術(shù)人員應(yīng)為中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無犯罪記錄；d)未被列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單和政府采購嚴(yán)重違法失信行為記錄名單等，以及其他可能影響數(shù)據(jù)安全建設(shè)單位或服務(wù)提供商能力和信譽(yù)的負(fù)面清單；e)應(yīng)建立工作保密制度及相應(yīng)組織監(jiān)管體系，從事涉密的數(shù)據(jù)安全服務(wù)應(yīng)滿足國(guó)家保密機(jī)關(guān)相關(guān)要求；f)應(yīng)具備固定辦公地點(diǎn)，且滿足JGJ/T67-2019相關(guān)要求7.1核心技術(shù)能力7.1.1人才基礎(chǔ)7.1.1.1一級(jí)要求a)正式受聘人員不少于20人，直接從事數(shù)據(jù)安全建設(shè)服務(wù)的技術(shù)人員不低于10人；b)直接從事數(shù)據(jù)安全建設(shè)服務(wù)的技術(shù)人員大學(xué)本科以上學(xué)歷不少于80%；c)至少2名技術(shù)人員接受過數(shù)據(jù)安全防護(hù)技術(shù)和準(zhǔn)則的系統(tǒng)培訓(xùn)，或參與起草數(shù)據(jù)安全防護(hù)系列標(biāo)準(zhǔn)；d)至少2名技術(shù)人員具有國(guó)家和相關(guān)機(jī)構(gòu)認(rèn)可的數(shù)據(jù)安全建設(shè)專業(yè)資質(zhì)；e)制定技術(shù)人員崗前培訓(xùn)計(jì)劃，相關(guān)人員經(jīng)考核評(píng)定合格后方可上崗；f)技術(shù)人員應(yīng)具備數(shù)據(jù)安全理論基礎(chǔ)知識(shí)，熟悉數(shù)據(jù)安全相關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)；g)技術(shù)人員應(yīng)具備良好的溝通與協(xié)調(diào)能力，能夠準(zhǔn)確理解服務(wù)需求方的業(yè)務(wù)流程和數(shù)據(jù)安全目標(biāo)；h)技術(shù)人員應(yīng)具備強(qiáng)有力的執(zhí)行能力，能夠落實(shí)數(shù)據(jù)安全相關(guān)制度、策略。7.1.1.2二級(jí)要求應(yīng)滿足本文件7.1.1.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)正式受聘人員不少于100人，直接從事數(shù)據(jù)安全建設(shè)服務(wù)的人員不低于35人；b)至少10名技術(shù)人員具備3年以上的數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目經(jīng)驗(yàn)，且具有成功的項(xiàng)目案例；c)至少4名技術(shù)人員接受過數(shù)據(jù)安全防護(hù)技術(shù)和準(zhǔn)則的系統(tǒng)培訓(xùn)，或參與起草數(shù)據(jù)安全防護(hù)系列標(biāo)準(zhǔn)；d)至少4名技術(shù)人員具有國(guó)家和相關(guān)機(jī)構(gòu)認(rèn)可的數(shù)據(jù)安全工程師資質(zhì)，或其他數(shù)據(jù)安全建設(shè)相關(guān)專業(yè)資質(zhì)；e)技術(shù)人員應(yīng)具備密碼技術(shù)與應(yīng)用等數(shù)據(jù)安全專業(yè)知識(shí)。7.1.2技術(shù)創(chuàng)新機(jī)制7.1.2.1一級(jí)要求a)具備人才引進(jìn)、知識(shí)產(chǎn)權(quán)申請(qǐng)、科技成果轉(zhuǎn)化等相關(guān)能力提升激勵(lì)機(jī)制。7.1.2.2二級(jí)要求應(yīng)滿足本文件7.1.2.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)具備數(shù)據(jù)安全研究、開發(fā)相關(guān)的組織管理制度；5T/CCIASC0028—2024b)設(shè)立內(nèi)部數(shù)據(jù)安全技術(shù)研究開發(fā)機(jī)構(gòu)并具備相應(yīng)的科研條件，與國(guó)內(nèi)外數(shù)據(jù)安全研究開發(fā)機(jī)構(gòu)開展多種形式產(chǎn)學(xué)研合作；c)具備數(shù)據(jù)安全技術(shù)人員的技能培訓(xùn)、培養(yǎng)進(jìn)修以及研發(fā)考核等制度。7.1.3知識(shí)產(chǎn)權(quán)情況7.1.3.1一級(jí)要求a)具備跟蹤研究數(shù)據(jù)安全建設(shè)新技術(shù)新產(chǎn)品新服務(wù)的能力；b)熟悉知識(shí)產(chǎn)權(quán)申請(qǐng)流程，了解相關(guān)法律法規(guī)。7.1.3.2二級(jí)要求應(yīng)滿足本文件7.1.3.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)擁有數(shù)據(jù)安全相關(guān)知識(shí)產(chǎn)權(quán)5項(xiàng)及以上(Ⅱ類）或1項(xiàng)及以上(Ⅰ類相關(guān)數(shù)據(jù)安全技術(shù)的先進(jìn)程度較高，對(duì)主要數(shù)據(jù)安全產(chǎn)品（服務(wù)）在技術(shù)上發(fā)揮核心支持作用；b)建立知識(shí)產(chǎn)權(quán)創(chuàng)造、運(yùn)用、保護(hù)、管理和服務(wù)全環(huán)節(jié)制度體系。7.1.4技術(shù)轉(zhuǎn)化能力7.1.4.1一級(jí)要求a)了解數(shù)據(jù)安全相關(guān)科技成果轉(zhuǎn)化的主要方式；b)具備數(shù)據(jù)安全產(chǎn)品的集成部署能力，包括但不限于數(shù)據(jù)分類分級(jí)、防泄漏、脫敏、加密、加固等產(chǎn)品。7.1.4.2二級(jí)要求應(yīng)滿足本文件7.1.4.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)近3年內(nèi)數(shù)據(jù)安全相關(guān)科技成果轉(zhuǎn)化的年平均數(shù)不少于4項(xiàng)；b)具備數(shù)據(jù)安全產(chǎn)品的開發(fā)、測(cè)試能力，包括但不限于數(shù)據(jù)分類分級(jí)、防泄漏、脫敏、加密、加固等產(chǎn)品；c)應(yīng)提供定制化服務(wù)，保證解決方案的靈活性，適應(yīng)多變的業(yè)務(wù)場(chǎng)景；d)能夠研究、應(yīng)用前沿技術(shù)，實(shí)現(xiàn)數(shù)據(jù)安全產(chǎn)品的迭代升級(jí)。7.2持續(xù)經(jīng)營(yíng)能力7.2.1管理者能力7.2.1.1一級(jí)要求a)單位法人或負(fù)責(zé)人具備一定的戰(zhàn)略能力、組織能力；b)明確質(zhì)量負(fù)責(zé)人，且具備2年以上的質(zhì)量管理經(jīng)驗(yàn)；c)明確數(shù)據(jù)安全技術(shù)負(fù)責(zé)人，且具備2年以上的數(shù)據(jù)安全項(xiàng)目管理經(jīng)驗(yàn)。7.2.1.2二級(jí)要求應(yīng)滿足本文件7.2.1.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)數(shù)據(jù)安全技術(shù)負(fù)責(zé)人具備中級(jí)及以上職稱；6T/CCIASC0028—2024b)數(shù)據(jù)安全技術(shù)負(fù)責(zé)人具備本科及以上學(xué)歷；c)數(shù)據(jù)安全技術(shù)負(fù)責(zé)人具備5年以上數(shù)據(jù)安全管理經(jīng)驗(yàn)。7.2.2規(guī)模及資質(zhì)7.2.2.1一級(jí)要求a)應(yīng)具備1年以上的數(shù)據(jù)安全行業(yè)從業(yè)時(shí)間；b)產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金（或開辦資金）不少于500萬元人民幣；c)具有信息安全管理相關(guān)的制度規(guī)范；d)具備至少1項(xiàng)信息安全服務(wù)資質(zhì)，或至少1個(gè)信息安全服務(wù)項(xiàng)目獲獎(jiǎng)。7.2.2.2二級(jí)要求應(yīng)滿足本文件7.2.2.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)應(yīng)具備3年以上的數(shù)據(jù)安全行業(yè)從業(yè)時(shí)間；b)產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金（或開辦資金）不少于1000萬元人民幣；c)具備至少3項(xiàng)信息安全服務(wù)資質(zhì)，或至少3個(gè)信息安全服務(wù)項(xiàng)目獲獎(jiǎng)。7.2.3市場(chǎng)占有能力7.2.3.1一級(jí)要求a)至少承擔(dān)2個(gè)數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目，單個(gè)項(xiàng)目合同金額不低于50萬元人民幣，項(xiàng)目合同總金額不低于150萬元人民幣；b)至少終驗(yàn)通過2個(gè)數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目；c)近1年沒有出現(xiàn)因各階段驗(yàn)收未通過或企業(yè)自身原因而廢止的數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目。7.2.3.2二級(jí)要求應(yīng)滿足本文件7.2.3.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)至少承擔(dān)3個(gè)數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目，單個(gè)項(xiàng)目合同金額不低于80萬元人民幣，項(xiàng)目合同總金額不低于250萬元人民幣；b)至少終驗(yàn)通過3個(gè)數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目。7.2.4盈利能力7.2.4.1一級(jí)要求a)近1年凈利潤(rùn)、凈資產(chǎn)收益均為正；b)近1年收入增長(zhǎng)率或凈利潤(rùn)增長(zhǎng)率為正。7.2.4.2二級(jí)要求a)近3年凈利潤(rùn)、凈資產(chǎn)收益均為正；b)近3年收入增長(zhǎng)率或凈利潤(rùn)增長(zhǎng)率為正。7.3項(xiàng)目管理能力7.3.1人員管理7T/CCIASC0028—20247.3.1.1一級(jí)要求a)設(shè)置與數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目規(guī)模相適應(yīng)人員團(tuán)隊(duì)，并建立項(xiàng)目人員清單，明確項(xiàng)目人員職責(zé)；b)與項(xiàng)目服務(wù)人員簽訂保密協(xié)議，并定期進(jìn)行保密教育、風(fēng)險(xiǎn)排查、自查檢查。7.3.1.2二級(jí)要求應(yīng)滿足本文件7.3.1.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)建立項(xiàng)目服務(wù)人員檔案，包括服務(wù)人員的錄用、離崗或離職、資質(zhì)證明、培訓(xùn)/考核記錄、從業(yè)經(jīng)歷、實(shí)際參與項(xiàng)目及分工等信息，檔案至少保存至項(xiàng)目服務(wù)人員離職后5年，有關(guān)法律法規(guī)、行業(yè)管理另有規(guī)定的除外；b)根據(jù)項(xiàng)目特點(diǎn)制定項(xiàng)目服務(wù)人員行為規(guī)范，包括但不限于遵守需求方管理制度，遵守?cái)?shù)據(jù)安全服務(wù)保密管理制度，規(guī)范使用測(cè)評(píng)專用設(shè)備和工具，規(guī)范管理成果物等。7.3.2方案管理7.3.2.1一級(jí)要求a)編制的方案應(yīng)獲得需求方確認(rèn)；b)編制的方案應(yīng)具備可操作性，目標(biāo)應(yīng)具體、可行，操作計(jì)劃應(yīng)詳細(xì)清晰。7.3.2.2二級(jí)要求應(yīng)滿足本文件7.3.2.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)編制的方案應(yīng)明確數(shù)據(jù)安全建設(shè)服務(wù)范圍、服務(wù)目標(biāo)、服務(wù)依據(jù)、服務(wù)內(nèi)容、服務(wù)成果等；b)編制的方案應(yīng)明確項(xiàng)目人員（包括項(xiàng)目負(fù)責(zé)人、項(xiàng)目實(shí)施技術(shù)人員的職責(zé)等）、服務(wù)流程（包括計(jì)劃或進(jìn)度等）、服務(wù)環(huán)境、服務(wù)方法、服務(wù)工具、服務(wù)保障（包括資源保障、質(zhì)量管理、保密管理、風(fēng)險(xiǎn)控制等）等服務(wù)要素，對(duì)資金、人員、工具等資源的調(diào)配方案具備可操作性。7.3.3質(zhì)量管理7.3.3.1一級(jí)要求a)建立數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目質(zhì)量管理制度，明確項(xiàng)目管理責(zé)任部門、責(zé)任范圍、責(zé)任人、工作流程、及與其他部門的統(tǒng)籌協(xié)調(diào)等，明確數(shù)據(jù)安全建設(shè)服務(wù)項(xiàng)目計(jì)劃、質(zhì)量要求及監(jiān)督檢查工作；b)實(shí)施過程符合需求方安全管理相關(guān)要求，對(duì)服務(wù)過程中的關(guān)鍵活動(dòng)和原始數(shù)據(jù)進(jìn)行記錄，實(shí)施的過程文檔記錄應(yīng)準(zhǔn)確、完整；c)具備客戶服務(wù)電話熱線號(hào)碼，并提供5×8小時(shí)電話熱線支持或同等響應(yīng)級(jí)別的客戶服務(wù)。7.3.3.2二級(jí)要求應(yīng)滿足本文件7.3.3.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)設(shè)置項(xiàng)目質(zhì)量管理崗位，建立項(xiàng)目服務(wù)質(zhì)量控制機(jī)制；b)根據(jù)方案組織項(xiàng)目實(shí)施，定期通過通知、例會(huì)、報(bào)告（如周、月報(bào)）等多種形式與需求方溝通反饋項(xiàng)目質(zhì)量。7.3.4風(fēng)險(xiǎn)管理8T/CCIASC0028—20247.3.4.1一級(jí)要求a)在進(jìn)行數(shù)據(jù)安全建設(shè)服務(wù)時(shí)，應(yīng)獲得需求方授權(quán)，執(zhí)行過程中發(fā)現(xiàn)數(shù)據(jù)安全事件，及時(shí)向需求方報(bào)告，并記錄事件相關(guān)內(nèi)容；b)在進(jìn)行數(shù)據(jù)安全建設(shè)服務(wù)過程中發(fā)現(xiàn)產(chǎn)品（含硬件、軟件）的安全問題時(shí)，及時(shí)向需求方報(bào)告；c)使用服務(wù)工具，有可能對(duì)服務(wù)需求方系統(tǒng)或平臺(tái)的功能、性能，數(shù)據(jù)的保密性、完整性、可用性等造成影響的，需向需求方進(jìn)行風(fēng)險(xiǎn)提示，在采取風(fēng)險(xiǎn)規(guī)避措施并得到服務(wù)需求方同意后方可使用；d)采取必要的監(jiān)督、審計(jì)措施，確保項(xiàng)目服務(wù)人員對(duì)系統(tǒng)或數(shù)據(jù)的操作嚴(yán)格按照服務(wù)協(xié)議及需求方授權(quán)范圍進(jìn)行；e)編制和簽訂滿足需求方項(xiàng)目保密事項(xiàng)的協(xié)議文件，確保需求方建設(shè)服務(wù)的數(shù)據(jù)安全。7.3.4.2二級(jí)要求應(yīng)滿足本文件7.3.4.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)制定有效的風(fēng)險(xiǎn)應(yīng)急預(yù)案，并確保其可行、易操作，定期開展應(yīng)急預(yù)案演練并保存記錄；b)采取必要措施識(shí)別服務(wù)范圍、服務(wù)內(nèi)容、服務(wù)流程、服務(wù)環(huán)境、服務(wù)資源等實(shí)施過程中可能產(chǎn)生的風(fēng)險(xiǎn)，并更新風(fēng)險(xiǎn)應(yīng)急預(yù)案；c)建立項(xiàng)目風(fēng)險(xiǎn)溝通與應(yīng)急處置機(jī)制，確定雙方接口人，及時(shí)處理服務(wù)實(shí)施過程中產(chǎn)生的爭(zhēng)議、投訴、突發(fā)事件等項(xiàng)目風(fēng)險(xiǎn)，并形成處置結(jié)論或解決方案。7.3.5成果物管理7.3.5.1一級(jí)要求a)應(yīng)建立數(shù)據(jù)安全建設(shè)服務(wù)報(bào)告編制管理機(jī)制；b)應(yīng)具備報(bào)告編制能力，掌握數(shù)據(jù)安全建設(shè)報(bào)告的相關(guān)要求，熟悉報(bào)告編制流程；c)按服務(wù)協(xié)議中所規(guī)定的關(guān)鍵節(jié)點(diǎn)，提交成果物，如項(xiàng)目方案、過程文檔和記錄、項(xiàng)目報(bào)告（包括階段報(bào)告、總結(jié)報(bào)告、驗(yàn)收?qǐng)?bào)告等），并獲得需求方確認(rèn)；d)確保所有交付成果具備真實(shí)性、準(zhǔn)確性和完整性；e)完成服務(wù)交付后，主動(dòng)清理、交還相關(guān)數(shù)據(jù)、資料、賬號(hào)、設(shè)備工具等，并向需求方提供由項(xiàng)目負(fù)責(zé)人簽字的承諾或確認(rèn)函。7.3.5.2二級(jí)要求應(yīng)滿足本文件7.3.5.1節(jié)一級(jí)要求的所有條款，并在以下方面增強(qiáng)或者增加要求：a)應(yīng)定期更新報(bào)告模板，定期對(duì)報(bào)告編制、審核等相關(guān)項(xiàng)目服務(wù)人員進(jìn)行培訓(xùn)；b)建立、維護(hù)項(xiàng)目成果（包括但不限于項(xiàng)目方案、過程文檔和記錄、項(xiàng)目報(bào)告等）檔案管理規(guī)定，嚴(yán)格管理項(xiàng)目檔案的查詢、借閱行為，檔案至少保存5年，有關(guān)法律法規(guī)、行業(yè)管理另有規(guī)定的除外。8評(píng)價(jià)方法8.1專家評(píng)審法9T/CCIASC0028—2024借助專家意見進(jìn)行評(píng)定。邀請(qǐng)相關(guān)領(lǐng)域?qū)＜?，采用詢問、訪談、查閱資料、實(shí)地查看、調(diào)查統(tǒng)計(jì)等方式進(jìn)行，一般不少于3位。8.2資料收集法通過內(nèi)部文檔或第三方資料收集進(jìn)行評(píng)定。9評(píng)定程序數(shù)據(jù)安全服務(wù)提供商申請(qǐng)能力評(píng)定等級(jí)為一級(jí)或二級(jí)的，應(yīng)當(dāng)將申報(bào)材料提交到評(píng)審機(jī)構(gòu)，能力評(píng)定按下列程序