2023公共數(shù)據(jù)安全體系評(píng)估規(guī)范

公共數(shù)據(jù)安全體系評(píng)估規(guī)范目 次前言 II引言 III112范引文件 13語(yǔ)定義 14略語(yǔ) 25體求 26估型 27度范體評(píng)項(xiàng) 58術(shù)護(hù)體評(píng)項(xiàng) 79行理體評(píng)項(xiàng) 1010估程 12附錄A（料）公數(shù)據(jù)全系估標(biāo)義示例 14附錄B（料）常評(píng)估式例 21附錄C（料）計(jì)方法例 22附錄D（料）公數(shù)據(jù)全系估例 24參考獻(xiàn) 29I公共數(shù)據(jù)安全體系評(píng)估規(guī)范范圍本標(biāo)準(zhǔn)規(guī)范了公共數(shù)據(jù)安全體系評(píng)估總體要求、評(píng)估模型、評(píng)估項(xiàng)和評(píng)估流程等。（GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T37973信息安全技術(shù)大數(shù)據(jù)安全管理指南GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39477信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求DB33/T2350數(shù)字化改革術(shù)語(yǔ)定義DB33/T2487公共數(shù)據(jù)安全體系建設(shè)指南GB/T25069、GB/T37973、GB/T37988、GB/T39477、DB33/T2350和DB33/T24873.1評(píng)估項(xiàng) assessmentitem3.2評(píng)估項(xiàng) assessmentsubitem對(duì)應(yīng)公共數(shù)據(jù)安全子體系各部分的建設(shè)內(nèi)容，一個(gè)評(píng)估項(xiàng)包括若干個(gè)評(píng)估子項(xiàng)。3.3評(píng)估標(biāo) assessmentindex用以評(píng)估某一安全目標(biāo)實(shí)現(xiàn)程度的數(shù)據(jù)安全相關(guān)活動(dòng)和過(guò)程的最小單位，一個(gè)評(píng)估子項(xiàng)可基于評(píng)估內(nèi)容，確定評(píng)估權(quán)重并賦予分值，定義若干個(gè)評(píng)估指標(biāo)。3.4評(píng)估象 assessmentobject被評(píng)估的組織機(jī)構(gòu)或部門(mén)，主要涉及相關(guān)配套制度文檔、設(shè)備設(shè)施及人員等。1縮略語(yǔ)（AssessmentItem）AS：評(píng)估子項(xiàng)（AssessmentSubItem）SUM：最終分值（Sum）科學(xué)性適宜性評(píng)估項(xiàng)和評(píng)估方法的選取應(yīng)結(jié)合本地區(qū)本部門(mén)實(shí)際情況，引導(dǎo)公共數(shù)據(jù)安全體系合理建設(shè)。評(píng)估項(xiàng)應(yīng)具備可以獲取的證明依據(jù)，并可以度量。代表性評(píng)估項(xiàng)應(yīng)能較為全面地反映公共數(shù)據(jù)安全體系建設(shè)的總體水平。持續(xù)性應(yīng)充分應(yīng)用評(píng)估結(jié)果，促進(jìn)公共數(shù)據(jù)安全體系的持續(xù)優(yōu)化。。2圖1 公共據(jù)全系估型評(píng)估項(xiàng)制度規(guī)范子體系評(píng)估項(xiàng)可基于二級(jí)制度展開(kāi)，主要包含的評(píng)估子項(xiàng)：技術(shù)防護(hù)子體系評(píng)估項(xiàng)主要包含的評(píng)估子項(xiàng)：3運(yùn)行管理子體系評(píng)估項(xiàng)主要包含的評(píng)估子項(xiàng)：公共數(shù)據(jù)安全體系評(píng)估維度可根據(jù)公共數(shù)據(jù)安全體系評(píng)估項(xiàng)的特點(diǎn)設(shè)置，共分為3大類(lèi)，包括：安全性：評(píng)估相關(guān)技術(shù)產(chǎn)品本身是否存在漏洞、配置錯(cuò)誤（基線(xiàn)檢查）4公共數(shù)據(jù)分類(lèi)分級(jí)管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)安全脫敏管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)共享和開(kāi)放安全管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：5公共數(shù)據(jù)安全銷(xiāo)毀管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：供應(yīng)方安全管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)監(jiān)督檢查相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)安全日志審計(jì)相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：6公共數(shù)據(jù)安全事件管理與應(yīng)急響應(yīng)相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括：數(shù)據(jù)源統(tǒng)一鑒別技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。敏感數(shù)據(jù)識(shí)別技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——功能性：檢查該技術(shù)產(chǎn)品是否具備敏感數(shù)據(jù)識(shí)別功能；——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。數(shù)據(jù)分類(lèi)分級(jí)標(biāo)識(shí)技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。7公共數(shù)據(jù)脫敏技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：）——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。數(shù)據(jù)加密技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)敏感數(shù)據(jù)存儲(chǔ)和傳輸加密功能；——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。傳輸通道加密技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)數(shù)據(jù)傳輸通道加密；——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。數(shù)據(jù)血緣關(guān)系技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。數(shù)據(jù)備份和恢復(fù)技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。數(shù)據(jù)防泄漏技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：8——功能性：檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)防泄漏功能，包括終端、網(wǎng)絡(luò)和應(yīng)用等；——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。銷(xiāo)毀數(shù)據(jù)識(shí)別技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——功能性：檢查該技術(shù)產(chǎn)品是否具備符合銷(xiāo)毀場(chǎng)景數(shù)據(jù)的識(shí)別功能；——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。數(shù)據(jù)銷(xiāo)毀技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——功能性：檢查該技術(shù)產(chǎn)品是否具備多種數(shù)據(jù)銷(xiāo)毀策略和技術(shù)手段等；——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。公共數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。公共數(shù)據(jù)共享和開(kāi)放的安全技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。公共數(shù)據(jù)安全監(jiān)測(cè)與預(yù)警技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括：9——安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。公共數(shù)據(jù)安全管理團(tuán)隊(duì)評(píng)估子項(xiàng)內(nèi)容主要包括：CISP——可靠性：查驗(yàn)該團(tuán)隊(duì)安全管理負(fù)責(zé)人和成員的背景、履歷等情況。公共數(shù)據(jù)分類(lèi)分級(jí)管理機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括：10公共數(shù)據(jù)共享和開(kāi)放安全管理機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)安全日志審計(jì)機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括：——完整性：查驗(yàn)該工作機(jī)制是否包括違規(guī)行為告警的核實(shí)、分析、處置和整改等環(huán)節(jié)；——符合性：查驗(yàn)違規(guī)行為告警的核實(shí)、分析、處置和整改等工作過(guò)程文件和記錄；——有效性：檢查違規(guī)行為告警的核實(shí)、分析、處置和整改等工作的結(jié)果文件。公共數(shù)據(jù)安全監(jiān)督檢查機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括：公共數(shù)據(jù)安全培訓(xùn)機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括：5圖2 評(píng)估作程意圖首先應(yīng)明確評(píng)估范圍，包括被評(píng)估方涉及評(píng)估的系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)、終端以及相關(guān)部門(mén)和人員等?！矓?shù)據(jù)相關(guān)基礎(chǔ)設(shè)施（政務(wù)云、網(wǎng)絡(luò)、終端等）運(yùn)維人員；——公共數(shù)據(jù)重點(diǎn)應(yīng)用部門(mén)相關(guān)人員等。（（B），A）；B）實(shí)施評(píng)估主要包括以下步驟：12C評(píng)估結(jié)果以報(bào)告形式展現(xiàn)，評(píng)估報(bào)告內(nèi)容主要包括：。13附錄A（資料性）公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例根據(jù)評(píng)估子項(xiàng)在該組織數(shù)據(jù)安全體系中的重要性設(shè)置該評(píng)估子項(xiàng)的權(quán)重值，權(quán)重值一般為A.1序號(hào)序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則全面性：1度、方法、操作指南、工作流程以及類(lèi)別和級(jí)別變更場(chǎng)景數(shù)據(jù)分類(lèi)分級(jí)管理制度（AIT1-AS1）6變更申請(qǐng)審批流程及工作要求等。（全部滿(mǎn)足得5分）2可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）3動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）全面性：4據(jù)權(quán)限管理系統(tǒng)的賬號(hào)權(quán)限安全管理職責(zé)分工和工作要求數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理制度（AIT1-AS2）7等。（全部滿(mǎn)足得5分）5制度規(guī)范子體系評(píng)估項(xiàng)（AIT1）可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）6動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）全面性：7果，是否包括公共數(shù)據(jù)脫敏規(guī)則、管理要求等。（全部滿(mǎn)足得5分）8數(shù)據(jù)脫敏管理制度（AIT1-AS3）7可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）9動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）全面性：10果，進(jìn)行差異化的公共數(shù)據(jù)共享和開(kāi)放安全管理、技術(shù)要求、應(yīng)用場(chǎng)景、工作流程和申請(qǐng)審批環(huán)節(jié)等。（全部滿(mǎn)足得5分）、14序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則11制度規(guī)范子體系評(píng)估項(xiàng)（AIT1）數(shù)據(jù)共享和開(kāi)放安全管理制度（AIT1-AS序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則11制度規(guī)范子體系評(píng)估項(xiàng)（AIT1）數(shù)據(jù)共享和開(kāi)放安全管理制度（AIT1-AS4）7可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）12動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）13數(shù)據(jù)安全銷(xiāo)毀管理制度（AIT1-AS5）5全面性：果，進(jìn)行公共數(shù)據(jù)銷(xiāo)毀對(duì)象、銷(xiāo)毀場(chǎng)景、銷(xiāo)毀方式、銷(xiāo)毀流程、銷(xiāo)毀工作要求等。（全部滿(mǎn)足得5分）14可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）15動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）16供應(yīng)方安全管理制度（AIT1-AS6）8全面性：查驗(yàn)制度文件是否包括供應(yīng)方及其人員的安全管理要求、供應(yīng)方及其人員的崗位安全職責(zé)、安全考核要求和處罰措施、明確了對(duì)供應(yīng)方及其人員的數(shù)據(jù)保密范圍、保密責(zé)任與義務(wù)、保密期限等。（全部滿(mǎn)足得5分）17可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）18動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）19安全監(jiān)督檢查制度（AIT1-AS7）5全面性：滿(mǎn)足得5分）20可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）21動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）22安全日志審計(jì)制度（AIT1-AS8）7異常預(yù)警及處置工作流程等。（全部滿(mǎn)足得5分）23可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）24動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）25安全事件管理與應(yīng)急響應(yīng)制度（AIT1-AS9）8全面性：查驗(yàn)制度文件是否包括數(shù)據(jù)安全事件分類(lèi)分級(jí)方法、公共數(shù)據(jù)安全事件發(fā)現(xiàn)、上報(bào)、處置、溯源、總結(jié)等工作流程、數(shù)據(jù)安全應(yīng)急預(yù)案編制及應(yīng)急演練工作要求等（全部滿(mǎn)足得5分）、。15序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則26制度規(guī)范子體系評(píng)估項(xiàng)（AIT1）安全事件管理與應(yīng)急響應(yīng)制度（AIT1-AS序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則26制度規(guī)范子體系評(píng)估項(xiàng)（AIT1）安全事件管理與應(yīng)急響應(yīng)制度（AIT1-AS9）8可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿(mǎn)足得3分）27動(dòng)態(tài)更新性：織實(shí)際情況等。（全部滿(mǎn)足得2分）28技術(shù)防護(hù)子體系（AIT2）數(shù)據(jù)源統(tǒng)一鑒別技術(shù)(AIT2-AS10)4功能性：記錄的功能，以及對(duì)數(shù)據(jù)真實(shí)性、有效性、規(guī)范性進(jìn)行檢驗(yàn)的功能。（全部滿(mǎn)足得4分）29適用性：1（全部滿(mǎn)足得2分2.等。（全部滿(mǎn)足得1分）30安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）31敏感數(shù)據(jù)識(shí)別技術(shù)(AIT2-AS11)8（部滿(mǎn)足得4分）32適用性：1（全部滿(mǎn)足得2分足該組織業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）33安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）34數(shù)據(jù)分類(lèi)分級(jí)標(biāo)識(shí)技術(shù)(AIT2-AS12)8以及具備對(duì)外同步接口等。（全部滿(mǎn)足得4分）35適用性：1（全部滿(mǎn)足得2否滿(mǎn)足該組織業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）36安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）37數(shù)據(jù)脫敏技術(shù)（AIT2-AS13）8是否可實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)或使用脫敏功能（包含靜態(tài)和動(dòng)態(tài)脫敏）。（全部滿(mǎn)足得4分）38適用性：1（全部滿(mǎn)足得2分術(shù)產(chǎn)品性能是否滿(mǎn)足該組織業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）39安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分），16序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則40技術(shù)防護(hù)子體系（AIT2）數(shù)據(jù)加密技術(shù)(AIT2-AS序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則40技術(shù)防護(hù)子體系（AIT2）數(shù)據(jù)加密技術(shù)(AIT2-AS14)5傳輸加密等功能。（全部滿(mǎn)足得4分）41（全部滿(mǎn)足得2分滿(mǎn)足該組織業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）42安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）43傳輸通道加密技術(shù)(AIT2-AS15)6功能性：（全部滿(mǎn)足得4分）44（全部滿(mǎn)足得2分2.業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）45安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）46數(shù)據(jù)血緣關(guān)系技術(shù)(AIT2-AS16)3功能性：關(guān)系、建立數(shù)據(jù)資產(chǎn)全景視圖等功能。（全部滿(mǎn)足得4分47適用性：1（全部滿(mǎn)足得2分（全部滿(mǎn)足得分）48安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）49數(shù)據(jù)備份和恢復(fù)技術(shù)(AIT2-AS17)6功能性：備份數(shù)據(jù)完整性、數(shù)據(jù)恢復(fù)等功能。（全部滿(mǎn)足得4分）50（全部滿(mǎn)足得2分術(shù)產(chǎn)品性能是否滿(mǎn)足該組織業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）51安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）52數(shù)據(jù)防泄漏技術(shù)(AIT2-AS18)7功能性：（全部滿(mǎn)足得4分）53適用性：1（全部滿(mǎn)足得2分滿(mǎn)足該組織業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）、；17表A.1 共據(jù)全評(píng)估標(biāo)義例續(xù)）序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則54技術(shù)防護(hù)子體系（AIT2）數(shù)據(jù)防泄漏技術(shù)(AIT2-AS18)7安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）55銷(xiāo)毀數(shù)據(jù)識(shí)別技術(shù)(AIT2-AS19)6功能性：據(jù)的識(shí)別等功能。（全部滿(mǎn)足得4分）56據(jù)銷(xiāo)毀場(chǎng)景的數(shù)據(jù)。（全部滿(mǎn)足得2分）2.核查該技術(shù)產(chǎn)（全部滿(mǎn)足得分）57安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）58數(shù)據(jù)銷(xiāo)毀技術(shù)(AIT2-AS20)6功能性：59據(jù)銷(xiāo)毀場(chǎng)景的數(shù)據(jù)。（全部滿(mǎn)足得2分）2.核查該技術(shù)產(chǎn)（全部滿(mǎn)足得分）60安全性：61訪(fǎng)問(wèn)權(quán)限管理技術(shù)(AIT2-AS21)8認(rèn)證、統(tǒng)一訪(fǎng)問(wèn)入口、細(xì)粒度的訪(fǎng)問(wèn)控制等功能，與數(shù)據(jù)脫敏相關(guān)技術(shù)產(chǎn)品聯(lián)動(dòng)。（全部滿(mǎn)足得4分）62能需求，實(shí)現(xiàn)公共數(shù)據(jù)訪(fǎng)問(wèn)用戶(hù)的統(tǒng)一身份認(rèn)證和訪(fǎng)問(wèn)控（全部滿(mǎn)足得2分組織業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）63安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）64數(shù)據(jù)共享和開(kāi)放安全技術(shù)(AIT2-AS22)7功能性：（全部滿(mǎn)足得4分）65適用性：1（全部滿(mǎn)足得2分足該組織業(yè)務(wù)高峰期需求等。（全部滿(mǎn)足得1分）66安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）18序號(hào)序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則67技術(shù)防護(hù)子體系（AIT2）安全監(jiān)測(cè)與預(yù)警技術(shù)(AIT2-AS23)7功能性：檢查該技術(shù)產(chǎn)品是否具備可配置的量化指標(biāo)，是否全量接入重要系統(tǒng)日志，并具備支撐威脅發(fā)現(xiàn)、識(shí)別、理解分析、風(fēng)險(xiǎn)預(yù)警和提供處置建議等功能。（全部滿(mǎn)足得4分）68適用性：1（全部滿(mǎn)足得2核查該技術(shù)產(chǎn)品性能是否滿(mǎn)足該組織高峰期業(yè)務(wù)需求等。（全部滿(mǎn)足得1分）69安全性：誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿(mǎn)足得3分）70運(yùn)行管理子體系（AIT3）數(shù)據(jù)安全團(tuán)隊(duì)(AIT3-AS24)6完備性：檢查是否設(shè)置了公共數(shù)據(jù)安全管理團(tuán)隊(duì)，并明確團(tuán)隊(duì)的各方的職責(zé)分工。檢查是否設(shè)置了機(jī)構(gòu)主要負(fù)責(zé)人為公共數(shù)據(jù)安全管理第一責(zé)任人、公共數(shù)據(jù)安全管理負(fù)責(zé)人及其工作職責(zé)。（全部滿(mǎn)足得4分）71專(zhuān)業(yè)性：查驗(yàn)公共數(shù)據(jù)安全管理負(fù)責(zé)人是否具備數(shù)據(jù)安全專(zhuān)業(yè)知識(shí)和履職能力、是否接受安全技能培訓(xùn)和考核、是否具有必備的人力支持和技術(shù)支持；查驗(yàn)該團(tuán)隊(duì)成員專(zhuān)業(yè)人員安全技術(shù)能力及安全專(zhuān)業(yè)證書(shū)覆蓋程度，接受數(shù)據(jù)安全防護(hù)技能及法規(guī)培訓(xùn)記錄等，確?？蓜偃温氊?zé)范圍的工作。（全部滿(mǎn)足得3分）72可靠性：業(yè)操守，無(wú)不良記錄。（全部滿(mǎn)足得3分）73數(shù)據(jù)分類(lèi)分級(jí)管理機(jī)制(AIT3-AS25)6完整性環(huán)工作機(jī)制。（全部滿(mǎn)足得3分）74符合性：（全部滿(mǎn)足得3分）75有效性：（全部滿(mǎn)足得4分）76數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理機(jī)制(AIT3-AS26)8完整性：定期核查、清單維護(hù)等。（全部滿(mǎn)足得3分）77符合性：記錄。（全部滿(mǎn)足得3分）78有效性：記錄。（全部滿(mǎn)足得4分）表A.1 共據(jù)全評(píng)估標(biāo)義例續(xù)）、19序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則79運(yùn)行管理子體系（AIT3）數(shù)據(jù)共享和開(kāi)放安全管理(AIT3-AS序號(hào)評(píng)估項(xiàng)(AIT)評(píng)估子項(xiàng)（AS）評(píng)估權(quán)重賦分規(guī)則79運(yùn)行管理子體系（AIT3）數(shù)據(jù)共享和開(kāi)放安全管理(AIT3-AS27)7完整性：申請(qǐng)審批，接口上線(xiàn)前和上線(xiàn)后的安全檢查、敏感數(shù)據(jù)實(shí)時(shí)監(jiān)測(cè)告警處置等。（全部滿(mǎn)足得3分）80符合性：和記錄。（全部滿(mǎn)足得3分）81有效性：和記錄。（全部滿(mǎn)足得4分）82安全日志審計(jì)機(jī)制(AIT3-AS28)7完整性：全部滿(mǎn)足得31分）83符合性：（全部滿(mǎn)足得3分）84有效性：（全部滿(mǎn)足得4分）85安全監(jiān)督檢查機(jī)制(AIT3-AS29)7工作總結(jié)，問(wèn)題整改、整改效果驗(yàn)證等環(huán)節(jié)。（全部滿(mǎn)足得3分）。86符合性：（全部滿(mǎn)足得3分）87有效性：（全部滿(mǎn)足得4分）88安全事件應(yīng)急響應(yīng)機(jī)制(AIT3-AS30)8完整性：總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等環(huán)節(jié)。89符合性：告編制、應(yīng)急預(yù)案優(yōu)化等工作過(guò)程文件和記錄。90有效性：告編制、應(yīng)急預(yù)案優(yōu)化等工作結(jié)果文件和記錄；檢查安全事件發(fā)生時(shí)，應(yīng)急響應(yīng)工作記錄和結(jié)果文件。91安全培訓(xùn)機(jī)制(AIT3-AS31)5完整性：施、效果考核、計(jì)劃優(yōu)化調(diào)整等環(huán)節(jié)。（全部滿(mǎn)足得4分92符合性：優(yōu)化調(diào)整等工作過(guò)程文件和記錄。（全部滿(mǎn)足得3分）93有效性：優(yōu)化調(diào)整等工作結(jié)果文件和記錄。（全部滿(mǎn)足得3分）、20附錄B（）評(píng)估團(tuán)隊(duì)可根據(jù)評(píng)估對(duì)象及評(píng)估項(xiàng)的實(shí)際情況，選取合適的評(píng)估方式。21附錄C（）A ??????=++(C.1)式中的變量符號(hào)說(shuō)明見(jiàn)表C.1：表C.1 量號(hào)明表ASnn取值范圍XnYnZn評(píng)估子項(xiàng)分值[1,9]全面性指標(biāo)得分可執(zhí)行性指標(biāo)得分動(dòng)態(tài)更新性指標(biāo)得分[10,23]功能性指標(biāo)得分適用性指標(biāo)得分安全性指標(biāo)得分24完備性指標(biāo)得分專(zhuān)業(yè)性指標(biāo)得分可靠性指標(biāo)得分[25,31]完整性指標(biāo)得分符合性指標(biāo)(COMP)得分有效性指標(biāo)(E)得分??????1=

?????????AS??∑??=9????full

?100 (C.2)式中：AIT1——制度規(guī)范子體系評(píng)估項(xiàng)分值；ASn——評(píng)估子項(xiàng)分值;RAS——n——n

?? ??∑??=10?????????AS????????2=

??=23∑??=10????full???AS

?100 (C.3)式中：AIT2——技術(shù)防護(hù)子體系評(píng)估項(xiàng)分值；ASn——評(píng)估子項(xiàng)分值;RAS——n——n

?? ??∑??=24?????????AS????????3=

??=31∑??=24????full???AS

?100 (C.4)??=31 ?? ??22式中：AIT3——運(yùn)行管理子體系評(píng)估項(xiàng)分值；ASn——評(píng)估子項(xiàng)分值;RAS——n——n ??????=++(C.5)式中：SUM——最終總分值；AIT1——制度規(guī)范子體系評(píng)估項(xiàng)分值；AIT2——技術(shù)防護(hù)子體系評(píng)估項(xiàng)分值；AIT3——運(yùn)行管理子體系評(píng)估項(xiàng)分值。23附錄D（資料性）公共數(shù)據(jù)安全體系評(píng)估案例（）B表D.1 估標(biāo)分表評(píng)估項(xiàng)評(píng)估子項(xiàng)評(píng)估方式評(píng)估維度打分結(jié)果制度規(guī)范子體系評(píng)估項(xiàng)（AIT1）數(shù)據(jù)分類(lèi)分級(jí)管理制度（AIT1-AS1）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性3動(dòng)態(tài)更新性2數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理制度（AIT1-AS2）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性3動(dòng)態(tài)更新性2數(shù)據(jù)脫敏管理制度（AIT1-AS3）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性2動(dòng)態(tài)更新性2數(shù)據(jù)共享和開(kāi)放安全管理制度（AIT1-AS4）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性3動(dòng)態(tài)更新性1數(shù)據(jù)安全銷(xiāo)毀管理制度（AIT1-AS5）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性2動(dòng)態(tài)更新性124表D.1 估標(biāo)分續(xù)）評(píng)估項(xiàng)評(píng)估子項(xiàng)評(píng)估方式評(píng)估維度打分結(jié)果制度規(guī)范子體系評(píng)估項(xiàng)（AIT1）供應(yīng)方安全管理（AIT1-AS6）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性3動(dòng)態(tài)更新性2安全監(jiān)督檢查制度（AIT1-AS7）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性3動(dòng)態(tài)更新性2安全日志審計(jì)制度（AIT1-AS8）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性3動(dòng)態(tài)更新性2安全事件管理與應(yīng)急響應(yīng)制度（AIT1-AS9）資料查閱人員訪(fǎng)談全面性5可執(zhí)行性3動(dòng)態(tài)更新性2技術(shù)防護(hù)子體系（AIT2）數(shù)據(jù)源統(tǒng)一鑒別技術(shù)(AIT2-AS10)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性2安全性2敏感數(shù)據(jù)識(shí)別技術(shù)(AIT2-AS11)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性3適用性3安全性3數(shù)據(jù)分類(lèi)分級(jí)標(biāo)識(shí)技術(shù)(AIT2-AS12)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性3安全性3數(shù)據(jù)脫敏技術(shù)（AIT2-AS13）功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性3安全性3AIT2-AS14)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性2安全性3傳輸通道加密技術(shù)(AIT2-AS15)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性3安全性3數(shù)據(jù)血緣關(guān)系技術(shù)(AIT2-AS16)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性3適用性3安全性3數(shù)據(jù)備份和恢復(fù)技術(shù)(AIT2-AS17)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性2安全性125表D.1 估標(biāo)分續(xù)）評(píng)估項(xiàng)評(píng)估子項(xiàng)評(píng)估方式評(píng)估維度打分結(jié)果技術(shù)防護(hù)子體系（AIT2）數(shù)據(jù)防泄漏技術(shù)(AIT2-AS18)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性3安全性3銷(xiāo)毀數(shù)據(jù)識(shí)別技術(shù)(AIT2-AS19)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性3適用性2安全性3數(shù)據(jù)銷(xiāo)毀技術(shù)(AIT2-AS20)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性2安全性3訪(fǎng)問(wèn)權(quán)限管理技術(shù)(AIT2-AS21)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性3適用性3安全性3數(shù)據(jù)共享和開(kāi)放安全技術(shù)(AIT2-AS22)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性2安全性1安全監(jiān)測(cè)與預(yù)警技術(shù)(AIT2-AS23)功能演示技術(shù)檢測(cè)人員訪(fǎng)談功能性4適用性3安全性3運(yùn)行管理子體系（AIT3）數(shù)據(jù)安全團(tuán)隊(duì)(AIT3-AS24)資料查閱人員訪(fǎng)談問(wèn)卷調(diào)查完備性3專(zhuān)業(yè)性3可靠性3數(shù)據(jù)分類(lèi)分級(jí)管理機(jī)制(AIT3-AS25)資料查閱功能演示人員訪(fǎng)談完整性3符合性3有效性4數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理機(jī)制(AIT3-AS26)資料查閱功能演示人員訪(fǎng)談完整性2符合性3有效性2數(shù)據(jù)共享和開(kāi)放安全管理(AIT3-AS27)資料查閱功能演示人員訪(fǎng)談完整性2符合性3有效性3安全日志審計(jì)機(jī)制(AIT3-AS28)資料查閱功能演示人員訪(fǎng)談完整性3符合性3有效性3安全監(jiān)督檢查機(jī)制(AIT3-AS29)資料查閱功能演示人員訪(fǎng)談完整性3符合性3有效性426表D.1 估標(biāo)分續(xù)）評(píng)估項(xiàng)評(píng)估子項(xiàng)評(píng)估方式評(píng)估維度打分結(jié)果運(yùn)行管理子體系（AIT3）安全事件應(yīng)急響應(yīng)機(jī)制(AIT3-AS30)資料查閱功能演示人員訪(fǎng)談