信息安全技術(shù) 數(shù)據(jù)安全評估機(jī)構(gòu)能力要求

ICS35.030

CCSL80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

信息安全技術(shù)數(shù)據(jù)安全評估機(jī)構(gòu)能力要求

Informationsecuritytechnology—Capabilityrequirementsforassessment

organizationofdatasecurity

(點擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識)

（征求意見稿）

（本草案完成時間：2023年4月19日）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

本文件起草單位：國家信息技術(shù)安全研究中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急

技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國信息安全測評中心、中國網(wǎng)絡(luò)空間研究院、

公安部第三研究所、中國信息通信研究院、中國軟件測評中心、國家工業(yè)信息安全發(fā)展研究中心、中國

電子科技集團(tuán)公司第十五研究所、中國科學(xué)技術(shù)大學(xué)、中國科學(xué)院軟件研究所、工業(yè)和信息化部電子第

五研究所、中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所、國家廣播電視總局監(jiān)管中心、中國民用航空局

信息中心、教育部教育管理信息中心、北京銀聯(lián)金卡科技有限公司、北京時代新威信息技術(shù)有限公司等。

本文件主要起草人：俞克群、楊韜、陳琳、胡影、張宇光、林星辰、王暉、左曉棟、劉曦澤、劉楠

等。

II

GB/TXXXXX—XXXX

信息安全技術(shù)數(shù)據(jù)安全評估機(jī)構(gòu)能力要求

1范圍

本文件規(guī)定了數(shù)據(jù)安全評估機(jī)構(gòu)的能力要求。

本文件適用于數(shù)據(jù)安全評估機(jī)構(gòu)自身能力建設(shè)，也適用于主管監(jiān)管部門對數(shù)據(jù)安全評估機(jī)構(gòu)開展

的評定活動，還可為數(shù)據(jù)處理者選擇數(shù)據(jù)安全評估機(jī)構(gòu)提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T19001—2016質(zhì)量管理體系要求

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T39335—2020信息安全技術(shù)個人信息安全影響評估指南

GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求

GB/T32914-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求

GB/TAAAA-XXXX信息安全技術(shù)數(shù)據(jù)安全風(fēng)險評估方法

3術(shù)語和定義

GB/T25069—2022和GB/T41479—2022中界定的以及下列術(shù)語和定義適用于本文件。

數(shù)據(jù)處理活動dataprocessingactivities

數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。

數(shù)據(jù)安全評估datasecurityassessment

對數(shù)據(jù)處理活動存在的安全問題、面臨的安全風(fēng)險、采取的安全措施等開展的技術(shù)檢測、評價等活

動。

注：包括不限于數(shù)據(jù)安全風(fēng)險評估、個人信息保護(hù)影響評估、數(shù)據(jù)出境安全評估等。

數(shù)據(jù)安全風(fēng)險datasecurityrisk

由于開展數(shù)據(jù)處理活動不合理、缺少有效的數(shù)據(jù)安全措施等，導(dǎo)致數(shù)據(jù)安全事件的發(fā)生及其對國家

安全、公共利益或者組織、個人合法權(quán)益造成的可能性和影響程度。

數(shù)據(jù)安全風(fēng)險評估datasecurityriskassessment

對數(shù)據(jù)和數(shù)據(jù)處理活動安全進(jìn)行風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的整個過程。

數(shù)據(jù)安全評估機(jī)構(gòu)assessmentorganizationofdatasecurity

3

GB/TXXXXX—XXXX

從事數(shù)據(jù)安全評估活動的機(jī)構(gòu)。

數(shù)據(jù)處理者dataprocessor

在數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人和組織。

安全措施securitymeasure

保護(hù)數(shù)據(jù)和數(shù)據(jù)處理活動、抵御數(shù)據(jù)安全風(fēng)險而實施的各種安全管理和技術(shù)實踐、規(guī)程和機(jī)制。

風(fēng)險源risksource

可能導(dǎo)致數(shù)據(jù)和數(shù)據(jù)處理活動的保密性、完整性、可用性和合理性受到危害的原因、條件、情形或

行為。

注：風(fēng)險源，既包括安全威脅利用脆弱性可能導(dǎo)致數(shù)據(jù)安全事件的風(fēng)險源（簡稱為“數(shù)據(jù)安全風(fēng)險源”），也包括

數(shù)據(jù)處理活動不合理操作可能造成違法違規(guī)處理事件的風(fēng)險源（簡稱為“不合理數(shù)據(jù)處理風(fēng)險源”）。

合理性rationality

開展數(shù)據(jù)處理活動遵守法律、法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實守信，

不危害國家安全、公共利益，不損害個人、組織的合法權(quán)益。

4概述

數(shù)據(jù)安全評估機(jī)構(gòu)能力要求由機(jī)構(gòu)基本要求、評估管理能力、評估技術(shù)能力、評估人員能力、評估

資源要求5部分組成，框架見圖1。表1給出了數(shù)據(jù)安全評估類型與能力要求對應(yīng)關(guān)系，附錄A給出了數(shù)據(jù)

安全評估機(jī)構(gòu)能力證明方法。

能力要求

評估管理能力評估技術(shù)能力

實施管理

數(shù)據(jù)安全風(fēng)險評估技術(shù)能力

安全保密與人員管理

規(guī)范性管理個人信息保護(hù)影響評估技術(shù)能力

風(fēng)險控制

評估業(yè)務(wù)持續(xù)性保障管理數(shù)據(jù)出境安全評估技術(shù)能力

評估人員能力評估資源要求

評估團(tuán)隊組成場所和環(huán)境

人員能力設(shè)備和設(shè)施

機(jī)構(gòu)基本要求

基本條件評估工作基礎(chǔ)公正與獨立性

圖1數(shù)據(jù)安全評估機(jī)構(gòu)能力要求框架圖

4

GB/TXXXXX—XXXX

表1數(shù)據(jù)安全評估類型與能力要求對應(yīng)關(guān)系

數(shù)據(jù)安全評估活動

序號評估活動應(yīng)滿足的能力要求

類型

5.1.1基本條件、5.1.2評估工作基礎(chǔ)、5.1.3公正與獨立

5.1機(jī)構(gòu)基本要求

性章節(jié)全部條款內(nèi)容。

5.2.1實施管理、5.2.2安全保密與人員管理、5.2.3規(guī)范

5.2評估管理能力性管理、5.2.4風(fēng)險控制、5.2.5評估業(yè)務(wù)持續(xù)性保障管

1

數(shù)據(jù)安全風(fēng)險評估理章節(jié)全部條款內(nèi)容。

5.4評估人員能力5.4.1評估團(tuán)隊組成、5.4.2人員能力章節(jié)全部條款內(nèi)容。

5.5評估資源要求5.5.1場所和環(huán)境、5.5.2設(shè)備和設(shè)施章節(jié)全部條款內(nèi)容。

5.3.2數(shù)據(jù)安全風(fēng)險評估技術(shù)能力章節(jié)全部條款內(nèi)容。

5.1.1基本條件、5.1.2評估工作基礎(chǔ)、5.1.3公正與獨立

5.1機(jī)構(gòu)基本要求

性章節(jié)全部條款內(nèi)容。

5.2.1實施管理、5.2.2安全保密與人員管理、5.2.3規(guī)范

個人信息保護(hù)影響5.2評估管理能力性管理、5.2.4風(fēng)險控制、5.2.5評估業(yè)務(wù)持續(xù)性保障管

2

理章節(jié)全部條款內(nèi)容。

評估

5.4評估人員能力5.4.1評估團(tuán)隊組成、5.4.2人員能力章節(jié)全部條款內(nèi)容。

5.5評估資源要求5.5.1場所和環(huán)境、5.5.2設(shè)備和設(shè)施章節(jié)全部條款內(nèi)容。

5.3.3個人信息保護(hù)影響評估技術(shù)能力章節(jié)全部條款內(nèi)容。

5.1.1基本條件、5.1.2評估工作基礎(chǔ)、5.1.3公正與獨立

5.1機(jī)構(gòu)基本要求

性章節(jié)全部條款內(nèi)容。

5.2.1實施管理、5.2.2安全保密與人員管理、5.2.3規(guī)范

5.2評估管理能力性管理、5.2.4風(fēng)險控制、5.2.5評估業(yè)務(wù)持續(xù)性保障管

理章節(jié)全部條款內(nèi)容。

3數(shù)據(jù)出境安全評估5.4評估人員能力5.4.1評估團(tuán)隊組成、5.4.2人員能力章節(jié)全部條款內(nèi)容。

5.5評估資源要求5.5.1場所和環(huán)境、5.5.2設(shè)備和設(shè)施章節(jié)全部條款內(nèi)容。

5.3.2數(shù)據(jù)安全風(fēng)險評估技術(shù)能力章節(jié)全部條款內(nèi)容。

5.3.4數(shù)據(jù)出境安全評估技術(shù)能力章節(jié)全部條款內(nèi)容。

涉及個人信息出境的安全評估場景，還應(yīng)滿足5.3.3個人信息保護(hù)影響評估技術(shù)能力

章節(jié)全部條款內(nèi)容。

5.1.1基本條件、5.1.2評估工作基礎(chǔ)、5.1.3公正與獨立

5.1機(jī)構(gòu)基本要求

性章節(jié)全部條款內(nèi)容。

5.2.1實施管理、5.2.2安全保密與人員管理、5.2.3規(guī)范

5.2評估管理能力性管理、5.2.4風(fēng)險控制、5.2.5評估業(yè)務(wù)持續(xù)性保障管

4其他

理章節(jié)全部條款內(nèi)容。

5.4評估人員能力5.4.1評估團(tuán)隊組成、5.4.2人員能力章節(jié)全部條款內(nèi)容。

5.5評估資源要求5.5.1場所和環(huán)境、5.5.2設(shè)備和設(shè)施章節(jié)全部條款內(nèi)容。

法律法規(guī)規(guī)定或主管監(jiān)管部門要求的其他有關(guān)能力。

5

GB/TXXXXX—XXXX

5能力要求

機(jī)構(gòu)基本要求

5.1.1基本條件

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)具備以下基本條件：

a)在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資或者國家投資的企事業(yè)單位；

b)產(chǎn)權(quán)關(guān)系明晰，注冊資金1000萬元以上,獨立經(jīng)營核算，無違法違規(guī)記錄；

c)法定代表人、主要負(fù)責(zé)人、評估技術(shù)人員應(yīng)為中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；

d)未被列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單和政府采購嚴(yán)重違法失信行為記錄名

單等，以及其他可能影響數(shù)據(jù)安全評估機(jī)構(gòu)能力和信譽(yù)的負(fù)面清單。

5.1.2評估工作基礎(chǔ)

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)具備以下工作基礎(chǔ)：

a)從事數(shù)據(jù)安全評估或相關(guān)服務(wù)3年以上，且無重大服務(wù)投訴、處罰事件；

b)近3年完成過數(shù)據(jù)安全相關(guān)檢查、檢測、評估項目或任務(wù)2項以上，主要包括：網(wǎng)絡(luò)或數(shù)據(jù)安

全監(jiān)管部門、行業(yè)主管部門組織的數(shù)據(jù)安全檢查、檢測或評估工作；向數(shù)據(jù)處理者提供的數(shù)據(jù)

安全評估相關(guān)服務(wù)項目；

c)具有合格評定國家認(rèn)可機(jī)構(gòu)實驗室頒發(fā)的認(rèn)可證書或檢驗機(jī)構(gòu)認(rèn)可證書，且證書處于有效狀

態(tài)，證書認(rèn)可的能力范圍含信息安全或網(wǎng)絡(luò)安全檢驗檢測相關(guān)內(nèi)容。

5.1.3公正與獨立性

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)符合從事數(shù)據(jù)安全評估工作所需要的公正性和獨立性等要求，包括但不限于：

a)嚴(yán)格執(zhí)行有關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，開展客觀、公正的評估活動；

b)對其評估活動的公正性負(fù)責(zé)，應(yīng)不受可能來自商業(yè)、財務(wù)或其他方面的壓力影響公正性；

c)不從事面向公眾、被評估對象開展的網(wǎng)絡(luò)數(shù)據(jù)處理活動，有國家機(jī)關(guān)授權(quán)或評估機(jī)構(gòu)內(nèi)部獨立

開展的數(shù)據(jù)處理活動除外；

d)不涉及數(shù)據(jù)安全產(chǎn)品開發(fā)、銷售、集成以及運營等活動，不從事信息技術(shù)產(chǎn)品開發(fā)、銷售和信

息系統(tǒng)集成實施等活動，自用評估工具除外；

e)不向評估對象推薦、指定產(chǎn)品或工具；

f)不介入評估對象之間的市場競爭。

評估管理能力

5.2.1實施管理

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)建立、執(zhí)行數(shù)據(jù)安全評估專用實施管理制度和措施，包括但不限于：

a)評估項目實施前編制評估計劃或方案，明確評估目標(biāo)、范圍、評估方式、投入資源、時間進(jìn)度

等，并得到被評估方的認(rèn)可；

b)建立并執(zhí)行評估方案管理制度，采用專家評審或?qū)徍朔绞?，重點審核明確被評估對象的數(shù)據(jù)處

理活動范圍，及擬投入的相關(guān)資源、評估實施周期等內(nèi)容是否適當(dāng)?shù)龋?/p>

c)建立評估機(jī)構(gòu)管理責(zé)任制度，明確責(zé)任部門、責(zé)任范圍、責(zé)任人、工作流程、及與其他部門的

統(tǒng)籌協(xié)調(diào)等，做好日常保密、宣傳教育、風(fēng)險排查、自查檢查等各項任務(wù)；

6

GB/TXXXXX—XXXX

d)結(jié)合GB/T19001-2016中7.1.5)有關(guān)要求，建立執(zhí)行評估實施日常監(jiān)督制度，記錄并監(jiān)督評估

現(xiàn)場工作情況，包括進(jìn)出評估現(xiàn)場的設(shè)備使用及材料調(diào)閱情況、事前告知情況以及其他評估實

施情況；

e)建立執(zhí)行評估報告審查制度，采用專家評審或內(nèi)部審核方式，重點審核評估報告的科學(xué)性、完

整性，評估過程證明材料的充分性、真實性，以及評估結(jié)論的客觀性、準(zhǔn)確性，通過審核的評

估報告才可提供給被評估方；

f)采取管理措施，限定數(shù)據(jù)安全評估活動僅于本機(jī)構(gòu)內(nèi)部開展，原則上不允許委托本機(jī)構(gòu)外其他

機(jī)構(gòu)實施，國家監(jiān)管部門或行業(yè)主管部門有規(guī)定或要求的除外；

g)建立執(zhí)行評估活動定期自查機(jī)制，對評估項目、人員、設(shè)備場所及安全保密管理等進(jìn)行自查，

自查周期不低于每年一次，發(fā)現(xiàn)問題隱患及時整改，并留存相關(guān)記錄，自查內(nèi)容包括但不限于：

評估項目完成情況、評估報告完成、存放及管理情況、評估人員背景及行為規(guī)范情況、評估設(shè)

備管理和使用情況、評估場所環(huán)境安全情況、評估實施安全管理情況等；

h)建立變更管理制度，變更前與被評估方就具體事項主動溝通，經(jīng)被評估方同意后，確保變更以

受控的方式得到評估、批準(zhǔn)和實施；變更后對評估目標(biāo)、質(zhì)量和效率、被評估方信息系統(tǒng)和業(yè)

務(wù)造成影響的，應(yīng)進(jìn)行針對性的改進(jìn)、補(bǔ)救或恢復(fù)；

i)建立項目溝通與應(yīng)急處置機(jī)制，應(yīng)符合GB/T32914-XXXX中5.3.3c)中有關(guān)要求；

j)建立上報制度，評估過程或評估機(jī)構(gòu)內(nèi)部管理中發(fā)現(xiàn)網(wǎng)絡(luò)安全事件、安全漏洞時，應(yīng)按合同或

協(xié)議要求及時向被評估方報告，并記錄事件相關(guān)內(nèi)容，根據(jù)相關(guān)國家規(guī)定、標(biāo)準(zhǔn)要求進(jìn)行報告

和協(xié)助處置。

5.2.2安全保密與人員管理

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)充分考慮數(shù)據(jù)安全評估的特點，結(jié)合安全保密要求，建立并執(zhí)行以下安全管理

制度：

a)評估人員應(yīng)為與數(shù)據(jù)安全評估機(jī)構(gòu)簽訂正式合同的員工；

b)應(yīng)建立數(shù)據(jù)安全評估人員管理制度，包括但不限于：

1)建立并保存評估人員的人員檔案，檔案至少保存至評估人員離職后5年，有關(guān)法律法規(guī)、

行業(yè)管理另有規(guī)定的除外，并與評估人員單獨簽訂安全保密協(xié)議；

2)應(yīng)定期對評估人員開展崗位忠誠度心理測試、普法宣傳、警示教育、安全保密教育培訓(xùn)、

職業(yè)技能培訓(xùn)等，確保人員安全，提高評估人員安全保密意識；

3)評估人員應(yīng)在確認(rèn)評估過程材料已完成歸檔且評估報告已發(fā)布的前提下，清除評估過程

材料。

c)評估任務(wù)開始前，應(yīng)給出面向被評估方的保密承諾條款；

d)應(yīng)建立數(shù)據(jù)安全評估報告管理機(jī)制，機(jī)構(gòu)內(nèi)部指定統(tǒng)一歸檔部門，其它任何部門、個人不得留

存評估報告和數(shù)據(jù)安全評估有關(guān)原始材料；

e)應(yīng)統(tǒng)一歸檔評估報告和過程材料，過程材料包括但不限于接收數(shù)據(jù)、資料的記錄，關(guān)鍵人員溝

通訪談的記錄，漏洞、安全事件有關(guān)的原始數(shù)據(jù)等，并建立加密、訪問控制、審計相關(guān)機(jī)制和

技術(shù)措施；

f)評估任務(wù)結(jié)束后，應(yīng)按被評估方或合同、協(xié)議等的要求，進(jìn)行數(shù)據(jù)的脫敏、移交、清理、銷毀

等處置；被評估方對處理情況提出核驗或?qū)徲嫷?，?yīng)予以充分配合；

g)不得自行公開評估報告及評估過程材料，不得向評估授權(quán)方以外的任何組織和個人提供評估

報告及評估過程材料，國家法律法規(guī)規(guī)定的除外；

注：一般情況下，評估授權(quán)方指被評估的數(shù)據(jù)處理者；主管監(jiān)管部門組織的數(shù)據(jù)安全評估，評估授權(quán)方指主管監(jiān)管

部門。

7

GB/TXXXXX—XXXX

h)其他用于防范評估過程數(shù)據(jù)泄露的安全管理制度和技術(shù)措施。

5.2.3規(guī)范性管理

5.2.3.1評估過程

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)確保評估過程的規(guī)范性，包括但不限于：

a)應(yīng)能對評估依據(jù)的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范進(jìn)行公示；

b)應(yīng)確保評估結(jié)論可追溯、復(fù)現(xiàn)；

c)應(yīng)留存評估結(jié)論相關(guān)證明材料以及對應(yīng)的數(shù)據(jù)處理活動狀態(tài)和時間記錄5年以上，用于復(fù)核

驗證。

5.2.3.2評估機(jī)構(gòu)行為

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)制定評估活動行為準(zhǔn)則，不得從事的活動內(nèi)容包括但不限于：

a)影響被評估對象正常運行，存在危害信息安全、數(shù)據(jù)安全等的行為，危害被評估對象安全；

b)未與被評估對象對評估工作期間的保密工作進(jìn)行充分協(xié)商，未制定切實方案，造成泄露知悉的

被評估對象及被評估對象的國家秘密、商業(yè)秘密、工作秘密；

c)故意隱瞞評估過程中發(fā)現(xiàn)的安全問題，或者在評估過程中弄虛作假，未如實出具數(shù)據(jù)安全評估

報告；

d)非授權(quán)占有、使用數(shù)據(jù)安全評估相關(guān)資料及數(shù)據(jù)文件；

e)限定被評估對象購買、使用其指定的相關(guān)產(chǎn)品或服務(wù)；

f)對系統(tǒng)或數(shù)據(jù)的操作超出合同、協(xié)議及被評估方等約定的范圍；

g)其他危害國家安全、社會秩序、公共利益以及損害個人、組織合法權(quán)益的活動。

5.2.4風(fēng)險控制

5.2.4.1評估活動風(fēng)險分析

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)在評估實施前分析評估活動的潛在風(fēng)險，制定應(yīng)對措施并確認(rèn)其有效性，對可

能產(chǎn)生的風(fēng)險、應(yīng)對措施向被評估方進(jìn)行風(fēng)險提示，經(jīng)其同意后采取影響最小的方式實施，潛在風(fēng)險包

括但不限于：

a)評估機(jī)構(gòu)因不可抗力導(dǎo)致的任務(wù)逾期、被評估方提供的材料不全導(dǎo)致評估結(jié)果不準(zhǔn)確等方面

的風(fēng)險；

b)評估活動可能對數(shù)據(jù)處理活動正常運行造成影響的風(fēng)險，以及評估設(shè)備或工具接入可能對被

評估系統(tǒng)正常運行造成影響的風(fēng)險；

c)其他可能危害被評估的數(shù)據(jù)處理者、被評估的數(shù)據(jù)處理活動相關(guān)數(shù)據(jù)主體的風(fēng)險。

5.2.4.2評估活動風(fēng)險控制

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)針對評估活動可能存在的風(fēng)險實施對應(yīng)的管理和技術(shù)措施加以控制：

a)管理措施包括但不限于安全操作和意識培訓(xùn)、完善和宣貫安全操作規(guī)程等；

b)技術(shù)措施包括但不限于對評估報告及有關(guān)證據(jù)性的訪問日志審計、評估報告及有關(guān)證據(jù)性材

料的加密措施等。

5.2.5評估業(yè)務(wù)持續(xù)性保障管理

5.2.5.1技術(shù)培訓(xùn)

8

GB/TXXXXX—XXXX

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)持續(xù)開展對評估人員的培訓(xùn)，培訓(xùn)內(nèi)容應(yīng)包括但不限于政策法規(guī)及標(biāo)準(zhǔn)規(guī)范、

實踐經(jīng)驗、評估案例、工具使用等內(nèi)容，培訓(xùn)方式可采用內(nèi)訓(xùn)、外訓(xùn)相結(jié)合的方式，數(shù)據(jù)安全評估人員

每年培訓(xùn)時間應(yīng)不少于20學(xué)時。

5.2.5.2投訴處理

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)制定投訴及爭議處理制度，嚴(yán)格遵守申訴、投訴及爭議處理制度，并應(yīng)記錄采

取的措施。

5.2.5.3持續(xù)優(yōu)化

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)建立持續(xù)優(yōu)化機(jī)制，確定改進(jìn)措施和計劃，持續(xù)改進(jìn)管理體系的適宜性、充分

性和有效性。持續(xù)完善數(shù)據(jù)安全評估活動有關(guān)管理機(jī)制、操作手冊、技術(shù)方法，總結(jié)形成技術(shù)指導(dǎo)書，

持續(xù)跟蹤國內(nèi)外數(shù)據(jù)處理及數(shù)據(jù)安全評估相關(guān)技術(shù)發(fā)展，持續(xù)優(yōu)化提升評估機(jī)構(gòu)自身管理措施和技術(shù)

能力。

評估技術(shù)能力

5.3.1技術(shù)能力類型

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)根據(jù)實際需要開展技術(shù)能力建設(shè)，包括不限于：

a)數(shù)據(jù)安全風(fēng)險評估技術(shù)能力；

b)個人信息保護(hù)影響評估技術(shù)能力；

c)數(shù)據(jù)出境安全評估技術(shù)能力；

5.3.2數(shù)據(jù)安全風(fēng)險評估技術(shù)能力

5.3.2.1數(shù)據(jù)處理活動與數(shù)據(jù)資產(chǎn)識別分析

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)具備數(shù)據(jù)處理活動與數(shù)據(jù)資產(chǎn)識別分析能力，包括但不限于：

a)數(shù)據(jù)處理活動范圍識別，在數(shù)據(jù)處理活動對應(yīng)的數(shù)據(jù)處理者支持下，確定數(shù)據(jù)安全評估的對象、

范圍和邊界，明確評估涉及的數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動、業(yè)務(wù)、信息系統(tǒng)、人員和內(nèi)外部組織

等；

b)數(shù)據(jù)資產(chǎn)識別驗證，根據(jù)數(shù)據(jù)處理者提供的數(shù)據(jù)分類分級規(guī)則和數(shù)據(jù)目錄，驗證數(shù)據(jù)分類分級

情況、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)屬性，數(shù)據(jù)屬性包括數(shù)據(jù)類別和級別、數(shù)據(jù)范圍、數(shù)據(jù)規(guī)模、數(shù)據(jù)形態(tài)、

元數(shù)據(jù)內(nèi)容等；

c)驗證或繪制數(shù)據(jù)處理活動數(shù)據(jù)流圖，數(shù)據(jù)流圖應(yīng)包括數(shù)據(jù)流轉(zhuǎn)各環(huán)節(jié)經(jīng)過的相關(guān)方、信息系統(tǒng)，

以及每一個流動環(huán)節(jié)涉及的數(shù)據(jù)類型；

d)數(shù)據(jù)處理活動各環(huán)節(jié)識別分析，識別數(shù)據(jù)處理活動目的，以及數(shù)據(jù)收集、存儲、使用、加工、

傳輸、提供、公開、刪除活動環(huán)節(jié)的方式、范圍等；

e)數(shù)據(jù)處理活動相關(guān)方識別分析，識別數(shù)據(jù)處理者與相關(guān)方的關(guān)系，以及數(shù)據(jù)處理者與相關(guān)方的

授權(quán)、協(xié)議、合同等約定事項，其中數(shù)據(jù)處理活動相關(guān)方包括但不限于個人、數(shù)據(jù)處理委托方、

數(shù)據(jù)接收方等；

f)數(shù)據(jù)處理活動保護(hù)措施識別分析和效果驗證，識別已采用的網(wǎng)絡(luò)安全防護(hù)措施，以及數(shù)據(jù)安全

管理、技術(shù)方面相關(guān)保護(hù)措施術(shù)，包括不限于存儲、傳輸數(shù)據(jù)的安全保護(hù)，并能夠?qū)Π踩Ｗo(hù)

效果進(jìn)行驗證；

g)具備數(shù)據(jù)處理活動及數(shù)據(jù)處理者對應(yīng)的行業(yè)領(lǐng)域和地區(qū)的數(shù)據(jù)安全相關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范

的基本知識。

9

GB/TXXXXX—XXXX

5.3.2.2數(shù)據(jù)處理活動風(fēng)險源識別

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)具備數(shù)據(jù)處理活動可能存在的風(fēng)險源識別發(fā)現(xiàn)能力，包括但不限于：

a)數(shù)據(jù)處理活動合理性判斷，根據(jù)法律法規(guī)明確的合法、正當(dāng)、必要等原則，參照有關(guān)標(biāo)準(zhǔn)規(guī)范，

識別數(shù)據(jù)處理活動中存在的合理性方面風(fēng)險問題，風(fēng)險源包括但不限于未嚴(yán)格執(zhí)行相關(guān)法律

法規(guī)可能引發(fā)的法律風(fēng)險和系統(tǒng)性風(fēng)險、超范圍收集、超限度提供、未與數(shù)據(jù)接收方約定數(shù)據(jù)

處理方式和范圍、非必要的監(jiān)控畫像、未授權(quán)個人生物識別信息收集、未取得授權(quán)的數(shù)據(jù)挖掘

及衍生數(shù)據(jù)利用、存儲期限不適當(dāng)、刪除不徹底、數(shù)據(jù)脫敏或去標(biāo)識化不充分等；

b)數(shù)據(jù)及信息系統(tǒng)保密性、完整性、可用性判斷，識別因信息系統(tǒng)脆弱性以及數(shù)據(jù)保護(hù)措施不適

當(dāng)可能導(dǎo)致的風(fēng)險問題，風(fēng)險源包括但不限于存在安全漏洞、漏洞利用攻擊防御手段不足、加

密措施不適當(dāng)、訪問控制措施不適當(dāng)、信息系統(tǒng)殘留惡意代碼、信息系統(tǒng)配置錯誤、傳輸方式

不安全、審計監(jiān)控措施不適當(dāng)?shù)取?/p>

5.3.2.3數(shù)據(jù)處理活動風(fēng)險分析與評價

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)具備數(shù)據(jù)處理活動風(fēng)險的分析與綜合評價能力，包括但不限于：

a)數(shù)據(jù)安全事件危害程度分析，針對識別出的風(fēng)險源，結(jié)合數(shù)據(jù)處理活動分析風(fēng)險源涉及的數(shù)據(jù)

價值，以及事件對個人、組織、公眾、國家?guī)淼膿p害程度，綜合分析風(fēng)險源導(dǎo)致的數(shù)據(jù)安全

事件發(fā)生時可能造成的危害程度級別；

b)數(shù)據(jù)安全事件發(fā)生可能性分析，結(jié)合數(shù)據(jù)處理活動分析數(shù)據(jù)處理活動安全措施有效性、完備性，

判斷安全措施在控制風(fēng)險問題中發(fā)揮的作用，結(jié)合數(shù)據(jù)安全事件的發(fā)生條件、歷史事件等因素，

綜合分析風(fēng)險問題導(dǎo)致的數(shù)據(jù)安全事件發(fā)生的可能性；

c)風(fēng)險綜合評價，按照GB/TAAAA-XXXX中第9章風(fēng)險評價有關(guān)要求，評價風(fēng)險問題所處的

風(fēng)險區(qū)間。

5.3.2.4數(shù)據(jù)處理活動風(fēng)險控制建議

數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)具備提出風(fēng)險處置措施建議能力，包括但不限于：

a)根據(jù)評估過程中發(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險提出處置建議，包括但不限于停止收集、縮小處理范圍、

補(bǔ)充簽署協(xié)議、增加保護(hù)措施、完善策略配置、上報有關(guān)主管監(jiān)管部門等；

b)結(jié)合法律法規(guī)要求和數(shù)據(jù)處理活動實際情況，充分考慮5.3.4-a)中風(fēng)險處置措施的應(yīng)用條件、

應(yīng)用場景、實施難易程度等因素，支撐風(fēng)險處置措施建議的針對性、可操作性；

c)對風(fēng)險處置措施預(yù)期效果分析，判斷風(fēng)險處置措施發(fā)揮的作用，預(yù)估采取風(fēng)險處置措施后的殘

余風(fēng)險水平；

d)對評估對象可能存在的法律法規(guī)風(fēng)險進(jìn)行提示，并對評估對象遵守國內(nèi)相關(guān)法律法規(guī)，優(yōu)化、

完善內(nèi)部管理措施提供建議。

5.3.3個人信息保護(hù)影響評估技術(shù)能力

數(shù)據(jù)安全評估機(jī)構(gòu)的評估活動涉及個人信息保護(hù)影響評估時，數(shù)據(jù)安全評估機(jī)構(gòu)應(yīng)具備的技術(shù)能

力包括但不限于：

a)個人信息處理活動涉及的敏感個人信息識別；

b)個人信息保護(hù)政策分析；

c)個人信息收集處理告知同意原則的分析，包括但不限于處理目的是否涉及強(qiáng)制要求或誤導(dǎo)用

戶、是否由個人在充分知情的前提下自愿作出同意等；

10

GB/TXXXXX—XXXX

d)遵循有關(guān)法律法規(guī)，結(jié)合個人信息處理活動的核心業(yè)務(wù)功能，判斷分析個人信息處理活動收集

使用個人信息最小必要范圍；

e)對可能存在的自動化決策情況進(jìn)行必要性分析、算法分析；

f)個人信息處理活動對個人權(quán)益支持事項的查驗分析，包括但不限于查詢、更正、刪除、撤回同

意等；

g)按照GB/T39335-2020中5.4規(guī)定的風(fēng)險源識別及GB/T39335-2020中5.5規(guī)定的個人權(quán)益影

響分析，進(jìn)行個人信息安全風(fēng)險分析。

5.3.4數(shù)據(jù)出境安全評估技術(shù)能力

數(shù)據(jù)安全評估機(jī)構(gòu)的評估活動涉及數(shù)據(jù)出境安全評估時，數(shù)據(jù)安全評估機(jī)構(gòu)還應(yīng)具備的技術(shù)能力

包括但不限于：

a)數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性分析；

b)境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策和網(wǎng)絡(luò)環(huán)境對出境數(shù)據(jù)安全的影響分析；

c)境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中華人民共和國法律、行政法規(guī)的規(guī)定和強(qiáng)制性國家標(biāo)

準(zhǔn)的要求分析；

d)出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度識別；

e)數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者非法獲取、非法利用等風(fēng)險分析；

f)數(shù)據(jù)安全是否能夠得到充分有效保障的分析；

g)數(shù)據(jù)處理和境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護(hù)保護(hù)責(zé)任分析能力。

評估人員能力

5.4.1評估團(tuán)隊組成

數(shù)據(jù)安全評估隊伍構(gòu)成要求如下：

a)評估機(jī)構(gòu)從事安全檢測、評估相關(guān)工作人員不少于15名；

b)評估機(jī)構(gòu)從事5.1.2-b)中數(shù)據(jù)安全相關(guān)檢查、檢測、評估項目或任務(wù)的人員不少于10名；

c)評估團(tuán)隊?wèi)?yīng)不少于10人獲得數(shù)據(jù)安全、信息安全相關(guān)的資格證書，包括但不限于：信息安全

保障人員認(rèn)證（CISAW）、注冊信息安全專業(yè)人員（CISP）、計算機(jī)技術(shù)與軟件專業(yè)技術(shù)資

格（水平）高級證書等信息安全相關(guān)專業(yè)培訓(xùn)或資格認(rèn)證。從事特定行業(yè)、領(lǐng)域等的評估活動，

應(yīng)具備相應(yīng)的專業(yè)技術(shù)能力；

d)單項評估活動組建的評估團(tuán)隊根據(jù)評估領(lǐng)域配備專業(yè)人員，且職責(zé)分工合理；

e)單項評估活動組建的評估團(tuán)隊?wèi)?yīng)至少包含1名項目負(fù)責(zé)人、1名技術(shù)負(fù)責(zé)人、以及不少于3名

評估人員；

f)單項評估活動應(yīng)具有穩(wěn)定的評估團(tuán)隊。

5.4.2人員能力

數(shù)據(jù)安全評估人員能力要求包括：

a)應(yīng)熟悉數(shù)據(jù)安全、個人信息保護(hù)相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范；

b)應(yīng)熟練掌握數(shù)據(jù)安全風(fēng)險評估方法，包括但不限于：

1)根據(jù)數(shù)據(jù)處理者提供的信息，識別、驗證數(shù)據(jù)處理活動，核查數(shù)據(jù)資產(chǎn)；

2)根據(jù)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范在實際評估過程中判斷數(shù)據(jù)合法利用相關(guān)問題，能夠發(fā)現(xiàn)數(shù)據(jù)處

理活動相關(guān)信息系統(tǒng)可能存在的管理和技術(shù)方面問題；

11

GB/TXXXXX—XXXX

3)熟悉數(shù)據(jù)分類分級有關(guān)標(biāo)準(zhǔn)中關(guān)于數(shù)據(jù)級別、類別的規(guī)范及對應(yīng)的可能危害影響，能夠根

據(jù)實際評估場景中的問題對應(yīng)的數(shù)據(jù)屬性進(jìn)行判斷；

4)了解數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動的保護(hù)措施，能夠根

據(jù)實際評估場景判斷對應(yīng)活動環(huán)節(jié)保護(hù)措施的有效性、適當(dāng)程度；

5)依據(jù)數(shù)據(jù)安全風(fēng)險評估方法，從風(fēng)險發(fā)生的危害影響和可能性方面客觀判斷數(shù)據(jù)處理活

動相關(guān)環(huán)節(jié)的風(fēng)險區(qū)間。

c)應(yīng)具有網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)應(yīng)用實踐經(jīng)驗或具有數(shù)據(jù)安全相關(guān)項目研究或應(yīng)用經(jīng)驗，能夠

根據(jù)評估結(jié)果做出專業(yè)判斷并出具評估報告；

d)應(yīng)掌握訪談、驗證、技術(shù)檢測等測評方法，對于專門實施技術(shù)查驗和測試的人員還應(yīng)具備熟練

使用網(wǎng)絡(luò)安全測試、數(shù)據(jù)安全評估等工具的能力；

e)應(yīng)經(jīng)過數(shù)據(jù)安全評估相關(guān)專門培訓(xùn)，并取得相關(guān)資質(zhì)。

評估資源要求

5.5.1場所和環(huán)境

數(shù)據(jù)安全評估機(jī)構(gòu)自身場所和環(huán)境應(yīng)具備以下能力要求：

a)具有固定的辦公場所，評估工作場地環(huán)境安全、功能布局等應(yīng)符合質(zhì)量管理的相關(guān)規(guī)定，并配

有必要的防污染、防火、控制進(jìn)入等安全措施；

b)各評估實驗室的不同評估區(qū)域開展項目時應(yīng)當(dāng)互不影響；

c)對評估方法或評估設(shè)備有要求的，環(huán)境條件應(yīng)滿足業(yè)務(wù)開展，不應(yīng)對結(jié)果有效性產(chǎn)生不利影響。

5.5.2設(shè)備和設(shè)施

數(shù)據(jù)安全評估機(jī)構(gòu)開展數(shù)據(jù)安全評估的設(shè)備、設(shè)施、工具應(yīng)具備以下能力要求：

a)具備符合相關(guān)要求的機(jī)房以及必要的軟、硬件設(shè)備，滿足技術(shù)培訓(xùn)、評估驗證和模擬測試的需

要；

b)配備滿足數(shù)據(jù)安全評估工作需要的評估設(shè)備和工具，評估設(shè)備和工具類型見附錄C；

c)用于數(shù)據(jù)安全評估的設(shè)備和工具應(yīng)滿足以下基本條件：

1)建設(shè)、研制單位在中華人民共和國境內(nèi)具有獨立的法人資格，由中國公民、法人投資或者

國家投資或者控股的；

2)設(shè)備和工具的功能應(yīng)僅限于其聲明的功能，不得包含后門、隱蔽通道及其他惡意功能，由

建設(shè)、研制單位出具證明；

3)應(yīng)配備未被有關(guān)部門通報存在問題的，經(jīng)安全認(rèn)證合格或安全檢測符合要求的設(shè)備和工

具，設(shè)備和工具應(yīng)通過權(quán)威機(jī)構(gòu)的檢測并可提供檢測報告。

d)評估設(shè)備和工具需要定期核查、持續(xù)更新，確保工具的合法版權(quán)且授權(quán)在有效期內(nèi)，運行狀態(tài)

良好，關(guān)注工具及其組件的安全漏洞公告和相關(guān)信息，及時更新維護(hù)；

e)在評估活動結(jié)束、完成歸檔后，應(yīng)對評估設(shè)備和工具產(chǎn)生的數(shù)據(jù)安全評估活動相關(guān)的日志、記

錄進(jìn)行清除；

f)具有完備的設(shè)備和工具管理制度。對設(shè)備檔案和標(biāo)識管理，以及故障設(shè)備和工具管理有明確要

求。對評估設(shè)備和工具統(tǒng)一登記、統(tǒng)一標(biāo)識，標(biāo)識完整、擺放合理，具有配套防護(hù)措施，對于

有故障的設(shè)備和工具應(yīng)通過加蓋明顯標(biāo)識進(jìn)行區(qū)分，并采取有效措施防止繼續(xù)使用；

g)設(shè)備具有完整的工作維護(hù)規(guī)程、設(shè)備使用說明書、校準(zhǔn)或確認(rèn)報告使用記錄、定期維修核查制

度和記錄，存放地點及保管人等信息規(guī)范完整；

12

GB/TXXXXX—XXXX

h)對人員、工具等資源進(jìn)行調(diào)配，根據(jù)被評估方需要以書面承諾等方式向被評估方說明資源配置、

保障情況。

13

GB/TXXXXX—XXXX

附錄A

（資料性）

數(shù)據(jù)安全評估機(jī)構(gòu)能力證明方法

表A.1給出了數(shù)據(jù)安全評估機(jī)構(gòu)能力證明方法，包括能力類別、能力項、證明或評定方式等內(nèi)容。

表A.1能力證明方法

序號能力類別能力項證明或評定方式

1基本條件機(jī)構(gòu)背景方面材料審核

2機(jī)構(gòu)基本條件評估工作基礎(chǔ)實踐案例方面材料審核

3公正與獨立性機(jī)構(gòu)背景方面材料審核、承諾函

4實施管理管理制度、作業(yè)指導(dǎo)書方面材料審核

管理制度、安全保密制度方面材料審核，技

5安全保密與人員管理

術(shù)措施現(xiàn)場查驗

6規(guī)范性管理管理制度方面材料審核

評估管理能力

風(fēng)險管理制度方面材料審核

7風(fēng)險控制

風(fēng)險控制技術(shù)措施現(xiàn)場查驗

培訓(xùn)記錄、投訴處理制度、更新機(jī)制、研究

8評估業(yè)務(wù)持續(xù)性保障管理

成果等相關(guān)材料審核，歷史投訴情況審核

7數(shù)據(jù)處理活動與資產(chǎn)識別分析

8數(shù)據(jù)處理活動風(fēng)險源識別

9數(shù)據(jù)處理活動風(fēng)險分析與評價

10數(shù)據(jù)處理活動風(fēng)險控制建議

評估技術(shù)能力實踐案例證明或模擬案例分析考核

個人信息保護(hù)影響評估技術(shù)能力

11

（如涉及）

數(shù)據(jù)出境安全評估技術(shù)能力

12

（如涉及）

13評估團(tuán)隊組成人員方面材料審核

評估人員能力

14人員能力現(xiàn)有相關(guān)資質(zhì)材料審核、技能考核或考試

15場所和環(huán)境現(xiàn)場查驗

評估資源需求

16設(shè)備和設(shè)施設(shè)備設(shè)施相關(guān)材料審核、現(xiàn)場查驗

14

GB/TXXXXX—XXXX

A

B

附錄B

（資料性）

設(shè)備和工具類型

數(shù)據(jù)安全評估設(shè)備和工具是數(shù)據(jù)安全評估的輔助手段，根據(jù)數(shù)據(jù)安全評估過程中任務(wù)場景、作用原

理的不同，評估設(shè)備和工具包括但不限于檢測類、監(jiān)測類、分析類、掃描類、測試類等。表B.1給出了

數(shù)據(jù)安全評估工作中可能需要的評估設(shè)備和工具類型示例。

表B.1設(shè)備和工具類型

序號類型示例

1檢測類如APP安全檢測分析工具、數(shù)據(jù)資產(chǎn)識別工具、惡意代碼檢測工具等。

2監(jiān)測類如API風(fēng)險監(jiān)測工具、數(shù)據(jù)審計工具等。

3分析類如符合性分析工具、元數(shù)據(jù)分析工具、算法評估分析工具、網(wǎng)絡(luò)協(xié)議分析工具、網(wǎng)

絡(luò)流量分析工具等

4掃描類如漏洞掃描工具、內(nèi)存惡意代碼殘留掃描工具等。

5測試類如滲透測試工具等。

15

GB/TXXXXX—XXXX

C

D

參考文獻(xiàn)

[1]GB/T32921—2016信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則

[2]GB/T35280—2017信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測機(jī)構(gòu)條件和行為準(zhǔn)則

[3]GB/T36959—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)能力要求和評估規(guī)范

[4]GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

[6]RB/T220—2018檢驗檢測機(jī)構(gòu)資質(zhì)認(rèn)定能力評價信息安全檢驗檢測機(jī)構(gòu)要求

[7]YD/T0152—2020電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估服務(wù)機(jī)構(gòu)能力認(rèn)定準(zhǔn)則

16

GB/TXXXXX—XXXX

目次

前言.................................................................................II

1范圍...............................................................................3

2規(guī)范性引用文件.....................................................................3

3術(shù)語和定義.........................................................................3

4概述...............................................................................4

5能力要求...........................................................................6

機(jī)構(gòu)基本要求...................................................................6

5.1.1基本條件...................................................................6

5.1.2評估工作基礎(chǔ)...............................................................6

5.1.3公正與獨立性...............................................................6

評估管理能力...................................................................6

5.2.1實施管理...................................................................6

5.2.2安全保密與人員管理.........................................................7

5.2.3規(guī)范性管理.................................................................8

5.2.4風(fēng)險控制...................................................................8

5.2.5評估業(yè)務(wù)持續(xù)性保障管理.....................................................8

評估技術(shù)能力...................................................................9

5.3.1技術(shù)能力類型...............................................................9

5.3.2數(shù)據(jù)安全風(fēng)險評估技術(shù)能力...................................................9

5.3.3個人信息保護(hù)影響評估技術(shù)能力..............................................10

5.3.4數(shù)據(jù)出境安全評估技術(shù)能力..................................................11

評估人員能力..................................................................11

5.4.1評估團(tuán)隊組成..............................................................11

5.4.2人員能力..................................................................11

評估資源要求..................................................................12

5.5.1場所和環(huán)境................................................................12

5.5.2設(shè)備和設(shè)施................................................................12

附錄A（資料性）數(shù)據(jù)安全評估機(jī)構(gòu)能力證明方法........................................14

附錄B（資料性）設(shè)備和工具類型......................................................15

參考文獻(xiàn).............................................................................16

I

GB/TXXXXX—XXXX

信息安全技術(shù)數(shù)據(jù)安全評估機(jī)構(gòu)能力要求

1范圍

本文件規(guī)定了數(shù)據(jù)安全評估機(jī)構(gòu)的能力要求。

本文件適用于數(shù)據(jù)安全評估機(jī)構(gòu)自身能力建設(shè)，也適用于主管監(jiān)管部門對數(shù)據(jù)安全評估機(jī)構(gòu)開展

的評定活動，還可為數(shù)據(jù)處理者選擇數(shù)據(jù)安全評估機(jī)構(gòu)提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T19001—2016質(zhì)量管理體系要求

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T39335—2020信息安全技術(shù)個人信息安全影響評估指南

GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求

GB/T32914-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求

GB/TAAAA-XXXX信息安全技術(shù)數(shù)據(jù)安全風(fēng)險評估方法

3術(shù)語和定義

GB/T25069—2022和GB/T41479—2022中界定的以及下列術(shù)語和定義適用于本文件。

數(shù)據(jù)處理活動dataprocessingactivities

數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。

數(shù)據(jù)安全評估datasecurityassessment

對數(shù)據(jù)處理活動存在的安全問題、面臨的安全風(fēng)險、采取的安全措施等開展的技術(shù)檢測、評價等活

動。

注：包括不限于數(shù)據(jù)安全風(fēng)險評估、個人信息保護(hù)影響評估、數(shù)據(jù)出境安全評估等。

數(shù)據(jù)安全風(fēng)險datasecurityrisk

由于開展數(shù)據(jù)處理活動不合理、缺少有效的數(shù)據(jù)安全措施等，導(dǎo)致數(shù)據(jù)安全事件的發(fā)生及其對國家

安全、公共利益或者組織、個人合法權(quán)益造成的可能性和影響程度。

數(shù)據(jù)安全風(fēng)險評估datasecurityriskassessment

對數(shù)據(jù)和數(shù)據(jù)處理活動安全進(jìn)行風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的整個過程。

數(shù)據(jù)安全評估機(jī)構(gòu)assessmentorganizationofdatasecurity

3

GB/TXXXXX—XXXX

從事數(shù)據(jù)安全評估活動的機(jī)構(gòu)。

數(shù)據(jù)處理者dataprocessor

在數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人和組織。

安全措施securitymeasure

保護(hù)