《公共數(shù)據(jù)安全評估規(guī)范》編制說明

《公共數(shù)據(jù)安全評估規(guī)范》（送審稿）

編制說明

一、項(xiàng)目背景

2021年6月10日，全國人大常委會第二十九次會議通過了我國首部數(shù)據(jù)保護(hù)

領(lǐng)域?qū)ｍ?xiàng)法律《中華人民共和國數(shù)據(jù)安全法》，以國家法律的形式對我國數(shù)據(jù)安

全保護(hù)工作提出要求，并明確說明我國促進(jìn)并支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等服

務(wù)發(fā)展和活動開展。2021年10月，中共中央、國務(wù)院印發(fā)《國家標(biāo)準(zhǔn)化發(fā)展綱要》，

也明確提出要強(qiáng)化數(shù)據(jù)安全領(lǐng)域標(biāo)準(zhǔn)的制定與實(shí)施。

公共數(shù)據(jù)構(gòu)成復(fù)雜、涉及范圍廣、處理環(huán)節(jié)多樣、數(shù)據(jù)流動頻繁，過程中潛

藏了諸多安全風(fēng)險(xiǎn)問題，公共數(shù)據(jù)安全防護(hù)面臨巨大挑戰(zhàn)。當(dāng)前各公共管理和服

務(wù)機(jī)構(gòu)數(shù)據(jù)安全能力尚處于參差不齊的狀態(tài)，整體數(shù)據(jù)安全保護(hù)仍有待進(jìn)一步統(tǒng)

籌協(xié)調(diào)，逐步實(shí)現(xiàn)規(guī)范化和標(biāo)準(zhǔn)化。

為加強(qiáng)公共數(shù)據(jù)安全風(fēng)險(xiǎn)防控，統(tǒng)一指導(dǎo)并有序推進(jìn)公共管理和服務(wù)機(jī)構(gòu)數(shù)

據(jù)安全管理工作，有必要對深圳市公共數(shù)據(jù)安全評估工作進(jìn)行規(guī)范化和標(biāo)準(zhǔn)化要

求。因此，基于我國現(xiàn)有法律法規(guī)、《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》、目前已發(fā)布的

DB4403/T271—2022《公共數(shù)據(jù)安全要求》等所明確的數(shù)據(jù)安全要求，結(jié)合實(shí)際

情況，組織開展本文件的研制工作。

本文件的制定和實(shí)施，一方面能夠推動公共管理和服務(wù)機(jī)構(gòu)落實(shí)公共數(shù)據(jù)安

全要求，提升數(shù)據(jù)安全保護(hù)工作的規(guī)范化和標(biāo)準(zhǔn)化程度，另一方面有助于公共管

理和服務(wù)機(jī)構(gòu)及時(shí)全面掌握本機(jī)構(gòu)數(shù)據(jù)安全管理水平，有效防控?cái)?shù)據(jù)安全事件風(fēng)

險(xiǎn)和危害，為數(shù)據(jù)的應(yīng)用和流動提供有力保障。

二、工作簡況

1、任務(wù)來源

2021年我國相繼發(fā)布《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個(gè)

人信息保護(hù)法》，其中數(shù)據(jù)安全法第十八條、二十二條、三十條均提及數(shù)據(jù)安全

風(fēng)險(xiǎn)評估法規(guī)要求。我市《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》第八十七條、八十九條明確

1

需建立健全數(shù)據(jù)安全監(jiān)督機(jī)制，組織數(shù)據(jù)安全監(jiān)督檢查，以及需對數(shù)據(jù)處理者開

展數(shù)據(jù)安全管理認(rèn)證以及數(shù)據(jù)安全評估工作，并對其進(jìn)行安全等級評定。

地市層面，為提升深圳市公共數(shù)據(jù)安全建設(shè)能力，維護(hù)數(shù)據(jù)安全，切實(shí)保護(hù)

公共數(shù)據(jù)的敏感信息，保護(hù)社會公眾的合法權(quán)益，推動我市《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)

條例》貫徹實(shí)施，落實(shí)公共數(shù)據(jù)保護(hù)責(zé)任與義務(wù)，指導(dǎo)公共管理和服務(wù)機(jī)構(gòu)的公

共數(shù)據(jù)安全管理與建設(shè)工作，2021年由深圳市信息安全管理中心牽頭編制了《公

共數(shù)據(jù)安全要求》地方標(biāo)準(zhǔn)，于2022年11月已正式發(fā)布。但《公共數(shù)據(jù)安全要求》

僅對我市公共管理和服務(wù)機(jī)構(gòu)提出數(shù)據(jù)安全建設(shè)要求，未有公共數(shù)據(jù)安全評估細(xì)

則。因此亟需制定《公共數(shù)據(jù)安全評估規(guī)范》，用于指導(dǎo)公共管理和服務(wù)機(jī)構(gòu)開

展安全自評估工作。《公共數(shù)據(jù)安全評估規(guī)范》屬于公共數(shù)據(jù)安全建設(shè)相關(guān)系列

標(biāo)準(zhǔn)之一，是《公共數(shù)據(jù)安全要求》的配套標(biāo)準(zhǔn)，依托于《公共數(shù)據(jù)安全要求》

中具體安全要求條款，提出可操作的評估操作方法。

2、主要起草過程

1）2022年3月，深圳市信息安全管理中心提交《深圳市地方標(biāo)準(zhǔn)制修訂計(jì)

劃項(xiàng)目建議書》，2022年4月28日深圳市市場監(jiān)督管理局批準(zhǔn)立項(xiàng)。

2）2022年5月至2022年10月，深圳市信息安全管理中心組織內(nèi)部專家及

其它參與起草單位，對相關(guān)技術(shù)要求、政策標(biāo)準(zhǔn)及行業(yè)實(shí)踐等情況進(jìn)行多輪次的

研討和交流，形成了標(biāo)準(zhǔn)草案。

3）2022年11月，深圳市信息安全管理中心組織外部專家針對標(biāo)準(zhǔn)草案召

開專家研討會。

4）2022年12月至2023年2月，深圳市信息安全管理中心及其他參與起草

單位對標(biāo)準(zhǔn)草案進(jìn)行了進(jìn)一步修改，形成征求意見稿。

5）2023年2月27日至3月3日，深圳市政務(wù)服務(wù)數(shù)據(jù)管理局發(fā)函征求79

個(gè)單位意見，共收到反饋意見85條，其中采納10條，部分采納4條，不采納1

條，無意見70條。

6）2023年3月至8月，根據(jù)收到的反饋意見進(jìn)行修改，形成送審稿。

三、標(biāo)準(zhǔn)主要內(nèi)容依據(jù)

1、同類標(biāo)準(zhǔn)編制情況

國家標(biāo)準(zhǔn)層面目前暫無數(shù)據(jù)安全評估相關(guān)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會

2

2023年5月發(fā)布了技術(shù)文件《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估

實(shí)施指引》。

行業(yè)標(biāo)準(zhǔn)層面，涉及數(shù)據(jù)安全評估相關(guān)的包括金融行業(yè)的《金融數(shù)據(jù)安全數(shù)

據(jù)安全評估規(guī)范》（征求意見稿）、通信行業(yè)的《電信領(lǐng)域數(shù)據(jù)安全評估規(guī)范》

（報(bào)批稿）、YD/T3801—2020《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施方法》

等。

地方標(biāo)準(zhǔn)層面，2022年4月26日，浙江省市場監(jiān)督管理局批準(zhǔn)發(fā)布了DB33/T

2488—2022《公共數(shù)據(jù)安全體系評估規(guī)范》。

目前國家及行業(yè)層面暫無公共數(shù)據(jù)安全領(lǐng)域的評估標(biāo)準(zhǔn)，我市亦無數(shù)據(jù)安全

評估相關(guān)地方標(biāo)準(zhǔn)。

2、標(biāo)準(zhǔn)主要依據(jù)

本文件制定的主要依據(jù)為：

1）第1至4章節(jié)主要依據(jù)《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》第1章節(jié)，結(jié)合DB4403/T

271—2022《公共數(shù)據(jù)安全要求》編寫；

2）第5章節(jié)主要依據(jù)GB/T28448—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保

護(hù)測評要求》第5章節(jié)、YD/T3956—2021《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》

第4章節(jié)編寫；

3）第6至8章節(jié)主要依據(jù)GB/T28448—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等

級保護(hù)測評要求》第6至9章節(jié)、GB/T37988—2019《信息安全技術(shù)數(shù)據(jù)安全

能力成熟度模型》的第6至12章節(jié)、YD/T3956—2021《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安

全評估規(guī)范》的第5至6章節(jié)，并結(jié)合DB4403/T271—2022《公共數(shù)據(jù)安全要

求》的第7至9章節(jié)內(nèi)容編寫；

4）第9章節(jié)主要依據(jù)GB/T28448—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保

護(hù)測評要求》第11章節(jié)編寫；

5）第10章節(jié)主要依據(jù)GB/T28448—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保

護(hù)測評要求》第12章節(jié)，并結(jié)合GB/T20984—2022《信息安全技術(shù)信息安全

風(fēng)險(xiǎn)評估規(guī)范》第5章節(jié)編寫。

3

四、主要條款說明、技術(shù)指標(biāo)參數(shù)及試驗(yàn)驗(yàn)證

1、編制原則

由于公共數(shù)據(jù)復(fù)雜多樣、影響面廣，在標(biāo)準(zhǔn)編制過程中，標(biāo)準(zhǔn)編制組以“兼

顧管理”為基本編制思路，充分考慮當(dāng)前公共數(shù)據(jù)數(shù)據(jù)安全管理現(xiàn)狀，同時(shí)兼顧

國家相關(guān)政策和行業(yè)發(fā)展趨勢，遵循以下幾個(gè)原則：

1）行業(yè)適用性——本文件在編制過程中始終堅(jiān)持公共數(shù)據(jù)安全評估內(nèi)容體

系在公共數(shù)據(jù)管理領(lǐng)域的普遍適用性，同時(shí)重點(diǎn)關(guān)注數(shù)據(jù)安全評估策略及方法在

各公共管理和服務(wù)機(jī)構(gòu)的可落地性；

2）安全合規(guī)性——本文件在編制過程中始終遵循與我國現(xiàn)有的法律法規(guī)、

標(biāo)準(zhǔn)規(guī)范等規(guī)定相一致的原則，同時(shí)也兼顧行業(yè)主管及監(jiān)管部門對公共數(shù)據(jù)進(jìn)行

安全管理的實(shí)際監(jiān)管要求。

2、主要條款說明、技術(shù)指標(biāo)參數(shù)

《公共數(shù)據(jù)安全評估規(guī)范》屬于公共數(shù)據(jù)安全建設(shè)相關(guān)系列標(biāo)準(zhǔn)之一，是《公

共數(shù)據(jù)安全要求》的配套標(biāo)準(zhǔn)，依托于《公共數(shù)據(jù)安全要求》中具體安全要求條

款，提出可操作的評估操作方法。本文件主要內(nèi)容包括：

1）范圍；

本文件規(guī)定了公共數(shù)據(jù)安全的評估規(guī)范，主要包括總體概述、通用管理安全

評估要求、通用技術(shù)安全評估要求、數(shù)據(jù)處理活動安全評估要求、整體評估與評

估結(jié)論。

本文件適用于公共管理和服務(wù)機(jī)構(gòu)數(shù)據(jù)安全能力的評估，也適用于處理大量

個(gè)人信息的服務(wù)平臺數(shù)據(jù)安全能力的評估，各級公共數(shù)據(jù)主管部門、公共管理和

服務(wù)機(jī)構(gòu)可參照執(zhí)行。

2）規(guī)范性引用文件；

對本文件規(guī)范引用進(jìn)行說明。

3）術(shù)語和定義；

對評估機(jī)構(gòu)、被評估機(jī)構(gòu)、數(shù)據(jù)場景、主責(zé)機(jī)構(gòu)及關(guān)聯(lián)機(jī)構(gòu)進(jìn)行了界定和說

明。

4）縮略語；

對縮略語進(jìn)行界定。

4

5）概述；

本文件明確了評估機(jī)構(gòu)在評估過程中應(yīng)遵循的原則，包括公正客觀、最小影

響、可控性、全面性、書面授權(quán)、保密性等原則；本文件明確了評估過程中評估

機(jī)構(gòu)和被評估機(jī)構(gòu)應(yīng)承擔(dān)的責(zé)任和義務(wù)；本文件提出評論能力維度可劃分為組織

能力、制度能力、人員能力、技術(shù)能力四個(gè)方面。本文件提出的評估方法包括文

檔查閱、人員訪談、技術(shù)檢測、系統(tǒng)核驗(yàn)；本文件提出了評估適用情形和評估流

程；并對評估對象進(jìn)行了說明。

本文件提出了如下圖所示的評估框架：

圖1公共數(shù)據(jù)安全評估框架

6）通用管理安全評估；

給出包含總體數(shù)據(jù)安全策略、數(shù)據(jù)安全管理機(jī)構(gòu)和人員、數(shù)據(jù)安全管理制度

體系三個(gè)評估項(xiàng)的具體評估細(xì)則，包括級別要求、評估子項(xiàng)、評估方法、評估內(nèi)

容。

7）通用技術(shù)安全評估；

給出包含數(shù)據(jù)分類分級保護(hù)、數(shù)據(jù)安全評估、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測、數(shù)據(jù)安全

管控、數(shù)據(jù)安全應(yīng)急處置、數(shù)據(jù)安全審計(jì)六個(gè)評估項(xiàng)的具體評估細(xì)則，包括級別

要求、評估子項(xiàng)、評估方法、評估內(nèi)容。

8）數(shù)據(jù)處理活動安全評估；

給出包含數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)加工、數(shù)據(jù)開放

共享、數(shù)據(jù)交易、數(shù)據(jù)出境、數(shù)據(jù)銷毀與刪除九個(gè)評估項(xiàng)的具體評估細(xì)則，包括

5

級別要求、評估子項(xiàng)、評估方法、評估內(nèi)容。

9）整體評估；

給出評估子項(xiàng)間評估、例外情況評估的定義。

10）評估結(jié)論；

提出采用風(fēng)險(xiǎn)分析的方法對單個(gè)評估子項(xiàng)評估結(jié)果中存在的不符合或部分

符合項(xiàng)，分析所產(chǎn)生的安全問題被威脅利用的可能性，判斷其被威脅利用后對公

共數(shù)據(jù)安全造成影響的程度，綜合評價(jià)這些不符合項(xiàng)或部分符合項(xiàng)對評估對象造

成的安全風(fēng)險(xiǎn)，公共數(shù)據(jù)安全評估報(bào)告應(yīng)給出評估對象的評估結(jié)論，確認(rèn)評估對

象達(dá)到相應(yīng)數(shù)據(jù)安全等級保護(hù)要求的程度。評估結(jié)論分為優(yōu)、良、中、差。

11）附錄。

給出了公共數(shù)據(jù)安全評估評分細(xì)則、高風(fēng)險(xiǎn)項(xiàng)判例、常見威脅列表、公共數(shù)

據(jù)安全評估報(bào)告模版、公共數(shù)據(jù)安全評估案例等資料性附錄。

3、主要試驗(yàn)情況分析

1）標(biāo)準(zhǔn)編制組成員對數(shù)據(jù)安全領(lǐng)域相關(guān)法律法規(guī)、上位標(biāo)準(zhǔn)的內(nèi)容和框架

進(jìn)行充分研究，并廣泛查閱相關(guān)文獻(xiàn)完善技術(shù)細(xì)節(jié)。

2）自2020年起，為摸清深圳市黨政機(jī)關(guān)數(shù)據(jù)安全管理工作現(xiàn)狀，識別數(shù)據(jù)

安全短板，評估其與數(shù)據(jù)安全相關(guān)政策法規(guī)、標(biāo)準(zhǔn)規(guī)范差距點(diǎn)，深圳市信息安全

管理中心已連續(xù)三年對重點(diǎn)單位開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估?！豆矓?shù)據(jù)安全評估規(guī)

范》的編制也充分吸納了評估工作的實(shí)踐經(jīng)驗(yàn)，未來也會結(jié)合每年度的數(shù)據(jù)安全

風(fēng)險(xiǎn)評估活動進(jìn)行該標(biāo)準(zhǔn)的推廣和貫標(biāo)。

3）本文件在編制過程中已選取某單位系統(tǒng)作為試點(diǎn)，對評估細(xì)則的合理性

和可操作性進(jìn)行論證，并提供評估案例作為資料性附錄。

五、知識產(chǎn)權(quán)情況說明

本文件不涉及專利及知識產(chǎn)權(quán)問題。

六、重大意見分歧的處理依據(jù)和結(jié)果

無。