《基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)評(píng)估實(shí)施指南》

ICS35.030

CCSL80

團(tuán)體標(biāo)準(zhǔn)

T/SZBAXXXX—XXXX

基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)評(píng)估實(shí)施指南

ImplementationGuidelinesforDataAssetEvaluationBasedonBlockchain

2023-6-1

XXXX-XX-XX發(fā)布

XXXX-XX-XX實(shí)施

深圳市信息服務(wù)業(yè)區(qū)塊鏈協(xié)會(huì)發(fā)布

T/SZBAXXXX—XXXX

基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)評(píng)估實(shí)施指南

1范圍

本文件規(guī)定了基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)的評(píng)估框架、評(píng)估過(guò)程以及評(píng)估內(nèi)容和要求。

本文件適用于各類組織基于區(qū)塊鏈開(kāi)展數(shù)據(jù)資產(chǎn)評(píng)估工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

GB/T37932—2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求

GB/T37964—2019信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南

GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T39335—2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南

GB/T40685—2021信息技術(shù)服務(wù)數(shù)據(jù)資產(chǎn)管理要求

GB/T41391—2022信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本要求

GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求

GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求

20173824-T-469區(qū)塊鏈和分布式記賬技術(shù)參考架構(gòu)

20213310-T-469區(qū)塊鏈和分布式記賬技術(shù)系統(tǒng)測(cè)試規(guī)范

20213307-T-469區(qū)塊鏈和分布式記賬技術(shù)應(yīng)用程序接口中間件技術(shù)指南

20201615-T-469區(qū)塊鏈和分布式記賬技術(shù)智能合約生命周期管理技術(shù)規(guī)范正在批準(zhǔn)

20201612-T-469區(qū)塊鏈和分布式記賬技術(shù)存證通用服務(wù)指南

20210929-T-469區(qū)塊鏈和分布式記賬技術(shù)術(shù)語(yǔ)

20210998-T-469信息安全技術(shù)區(qū)塊鏈技術(shù)安全框架

20210991-T-469信息安全技術(shù)區(qū)塊鏈信息服務(wù)安全規(guī)范

20221465-T-469信息技術(shù)區(qū)塊鏈和分布式記賬技術(shù)物流追蹤服務(wù)應(yīng)用指南

3術(shù)語(yǔ)和定義

GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

數(shù)據(jù)data

1

T/SZBAXXXX—XXXX

任何以電子或者其他方式對(duì)信息的記錄。

[GB/T41479—2022，3.1]

3.2

數(shù)據(jù)資產(chǎn)dataasset

特定主體合法擁有或者控制的、能進(jìn)行貨幣計(jì)量的、且能帶來(lái)直接或者間接經(jīng)濟(jì)利益的數(shù)據(jù)資源。

[GB/T40685—2021，3.1，有修改]

3.3

數(shù)據(jù)資產(chǎn)評(píng)估dataassetassessmuent

對(duì)組織內(nèi)數(shù)據(jù)資產(chǎn)現(xiàn)狀以及質(zhì)量、價(jià)值等進(jìn)行定量和定性評(píng)價(jià)的活動(dòng)。

[GB/T40685—2021，3.9]

3.4

數(shù)據(jù)交易datatransaction

數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對(duì)象，進(jìn)行的以貨幣或貨幣等價(jià)物交換數(shù)據(jù)商品的行為。

注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產(chǎn)品。

注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)

據(jù)交易。

[GB/T37932—2019，3.1]

3.5

匿名化anonymization

個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程。

注：個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息。

[GB/T41479—2022，3.13]

3.6

個(gè)人信息personalinformation

以電子或者其他方式記錄的與已識(shí)別或者可以識(shí)別自然人有關(guān)的各種信息。

注1：個(gè)人信息包括姓名、出生日期、公民身份證號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和

內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2：不包括匿名化處理后的信息。

[GB/T41479—2022，3.6]

3.7

重要數(shù)據(jù)importantdata

一旦泄露可能直接影響國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的數(shù)據(jù)。

注：重要數(shù)據(jù)包括未公開(kāi)的政府信息，數(shù)量達(dá)到一定規(guī)模的基因、地理、礦產(chǎn)信息等，原則上不包括個(gè)人信息、企

業(yè)內(nèi)部經(jīng)營(yíng)管理信息等。

[GB/T41479—2022，3.9]

3.8

去標(biāo)識(shí)化de-identification

2

T/SZBAXXXX—XXXX

通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息所標(biāo)識(shí)的自然人

的過(guò)程。

注：去除標(biāo)識(shí)符與個(gè)人信息主體（個(gè)人信息所標(biāo)識(shí)的自然人）之間關(guān)聯(lián)性。

[GB/T37964—2019，3.13，有修改]

3.9

小程序miniprogram

基于應(yīng)用程序開(kāi)放接口實(shí)現(xiàn)的，用戶無(wú)需安裝即可使用的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序。

注：應(yīng)用程序通過(guò)公開(kāi)其應(yīng)用程序編程接口（API）或函數(shù)，使外部的程序可以增加該應(yīng)用的功能或使用讓該應(yīng)用程

序的資源，而不需要更改該應(yīng)用程序的源代碼。

[GB/T41391—2022，3.3]

3.10

數(shù)據(jù)出境datacross-bordertransfer

中國(guó)境內(nèi)的數(shù)據(jù)處理者通過(guò)網(wǎng)絡(luò)及其他方式（如物理攜帶），將在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)

人信息和重要數(shù)據(jù)，通過(guò)直接提供或開(kāi)展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外的機(jī)構(gòu)、組織或個(gè)人

的一次活動(dòng)或連續(xù)性活動(dòng)。

注1：以下情形屬于數(shù)據(jù)出境：

a)向本國(guó)境內(nèi)，但不屬于本國(guó)司法管轄或未在境內(nèi)注冊(cè)的主體提供個(gè)人信息和重要數(shù)據(jù)；

b)數(shù)據(jù)未轉(zhuǎn)移存儲(chǔ)至本國(guó)以外的地方，但被境外的機(jī)構(gòu)、組織、個(gè)人訪問(wèn)查看的（公開(kāi)信息除外）。

c)網(wǎng)絡(luò)運(yùn)營(yíng)者集團(tuán)內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外，涉及其在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的。

注2：非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)經(jīng)由本國(guó)出境，未經(jīng)任何變動(dòng)或加工處理的，不屬于數(shù)據(jù)出

境。

注3：非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)在境內(nèi)存儲(chǔ)、加工處理后出境，不涉及境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)

生的個(gè)人信息和重要數(shù)據(jù)的，不屬于數(shù)據(jù)出境。

注4：境內(nèi)自然人因個(gè)人或者家庭事務(wù)向境外提供個(gè)人信息，不屬于數(shù)據(jù)出境。

3.11

關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)

和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共

利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

注：負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)的工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及

時(shí)將認(rèn)定結(jié)果通知運(yùn)營(yíng)者，并通報(bào)國(guó)務(wù)院公安部門。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）

SDK：軟件開(kāi)發(fā)工具包（SoftwareDevelopmentKit）

CIIO：關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（CriticalInformationInfrastructureOperator）

5評(píng)估過(guò)程

5.1準(zhǔn)備

5.1.1評(píng)估方案制定

3

T/SZBAXXXX—XXXX

評(píng)估準(zhǔn)備階段應(yīng)首先制訂評(píng)估方案，評(píng)估方案的制訂是一個(gè)不斷確認(rèn)的過(guò)程，至少應(yīng)完成以下工作

內(nèi)容的確認(rèn)：

a)評(píng)估團(tuán)隊(duì)

應(yīng)完成評(píng)估團(tuán)隊(duì)的組建，包括評(píng)估實(shí)施機(jī)構(gòu)與被評(píng)估機(jī)構(gòu)的人員數(shù)量、專業(yè)組成以及溝通機(jī)制的確

認(rèn)。評(píng)估組相關(guān)各方成員應(yīng)具備可支撐評(píng)估開(kāi)展的法律、技術(shù)、安全管理、業(yè)務(wù)規(guī)則等方面的相關(guān)專業(yè)

知識(shí)和技能，可承擔(dān)相關(guān)的評(píng)估和配合工作。

b)評(píng)估范圍

應(yīng)根據(jù)評(píng)估目的和評(píng)估對(duì)象來(lái)確定評(píng)估范圍的邊界。在某些情況下，評(píng)估對(duì)象可能不是一個(gè)特定的

組織機(jī)構(gòu)，而是某些數(shù)據(jù)、某個(gè)項(xiàng)目、某個(gè)業(yè)務(wù)、某筆交易或是某個(gè)信息系統(tǒng)或是一個(gè)數(shù)據(jù)處理的生命

周期等。例如，委托方為達(dá)到境外上市或投資收購(gòu)等目的而進(jìn)行的數(shù)據(jù)資產(chǎn)評(píng)估?？筛鶕?jù)實(shí)際情況對(duì)評(píng)

估內(nèi)容進(jìn)行裁剪輯或補(bǔ)充。

a)注：數(shù)據(jù)處理生命周期可能跨越組織、業(yè)務(wù)、系統(tǒng)等。

b)注：評(píng)估范圍可包括組織范圍、物理地域范圍、項(xiàng)目范圍、業(yè)務(wù)流程和業(yè)務(wù)活動(dòng)范圍、信息系統(tǒng)和技術(shù)工具

范圍、人員范圍、數(shù)據(jù)范圍、時(shí)間范圍等維度。

c)評(píng)估依據(jù)

應(yīng)根據(jù)評(píng)估目的確定評(píng)估依據(jù)。包括適用的國(guó)家相關(guān)法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則和國(guó)際條約、

規(guī)則，以及相關(guān)國(guó)際、國(guó)家及行業(yè)標(biāo)準(zhǔn)等。

d)評(píng)估工具

應(yīng)明確評(píng)估過(guò)程中使用的工具。包括檢查表、基線檢查工具、安全掃描及測(cè)試工具、安全審計(jì)工具

等。

e)評(píng)估進(jìn)度

應(yīng)對(duì)評(píng)估進(jìn)度進(jìn)行預(yù)期規(guī)劃，包括準(zhǔn)備、審核、分析階段的時(shí)間及里程碑安排。以便參與各方預(yù)留

時(shí)間和資源參與評(píng)估工作，保障評(píng)估活動(dòng)的實(shí)施效率。

f)評(píng)估風(fēng)險(xiǎn)

應(yīng)對(duì)評(píng)估活動(dòng)可能引入的風(fēng)險(xiǎn)及其影響進(jìn)行分析，如審查活動(dòng)對(duì)信息泄密的風(fēng)險(xiǎn)、測(cè)試掃描活動(dòng)對(duì)

業(yè)務(wù)運(yùn)行和數(shù)據(jù)正確性的影響、評(píng)估工作自身的局限性及約束等，應(yīng)采用最小影響原則并給出應(yīng)對(duì)措施。

5.1.2以上內(nèi)容應(yīng)與評(píng)估活動(dòng)管理單位充分溝通，制定成文檔化的評(píng)估方案并獲得批準(zhǔn)和實(shí)施授權(quán)。

5.1.3評(píng)估對(duì)象調(diào)研

應(yīng)對(duì)被評(píng)估的對(duì)象進(jìn)行充分的調(diào)研，作為后續(xù)評(píng)估工作的基礎(chǔ)。調(diào)研應(yīng)包括如下內(nèi)容：

a)業(yè)務(wù)運(yùn)營(yíng)模式

評(píng)估對(duì)象涉及的業(yè)務(wù)范圍、內(nèi)容、模式以及與外部組織機(jī)構(gòu)合作的情況。

b)數(shù)據(jù)處理活動(dòng)

評(píng)估對(duì)象處理數(shù)據(jù)的類型、流程、規(guī)模以及在處理過(guò)程中所處的角色和地位，評(píng)估數(shù)據(jù)收集、存

儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等全生命周期處理活動(dòng)的情況。

c)安全管理制度及落實(shí)

評(píng)估對(duì)象的數(shù)據(jù)安全管理組織架構(gòu)、管理制度、技術(shù)措施、網(wǎng)絡(luò)安全等級(jí)保護(hù)、培訓(xùn)教育等情況。

d)處罰及整改

評(píng)估對(duì)象及其所在組織涉及的數(shù)據(jù)資產(chǎn)的投訴、行政處罰、訴訟、仲裁，以及以往資產(chǎn)管理相關(guān)測(cè)

評(píng)和數(shù)據(jù)資產(chǎn)評(píng)估的整改和糾正措施情況。

宜通過(guò)發(fā)放調(diào)查單的形式來(lái)對(duì)評(píng)估對(duì)象進(jìn)行調(diào)研。

4

T/SZBAXXXX—XXXX

5.1.4評(píng)估資料收集

應(yīng)根據(jù)評(píng)估目的進(jìn)行對(duì)評(píng)估對(duì)象相關(guān)的數(shù)字資產(chǎn)資料收集，包括但不僅限于如下內(nèi)容：

a)業(yè)務(wù)介紹、分支機(jī)構(gòu)及股權(quán)架構(gòu)、所在組織的營(yíng)業(yè)執(zhí)照以及相關(guān)行業(yè)的經(jīng)營(yíng)許可。

b)與數(shù)據(jù)供應(yīng)商和第三方公司簽訂的協(xié)議、合同和文件范本和實(shí)例以及對(duì)供應(yīng)商的審查文件。

c)現(xiàn)有的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、數(shù)據(jù)分級(jí)分類、個(gè)人信息保護(hù)等事項(xiàng)的管理文件。包括制度、規(guī)

范、程序文件、行業(yè)準(zhǔn)則和承諾、指引文件、培訓(xùn)考核和監(jiān)督要求以及近三年執(zhí)行相關(guān)活動(dòng)形

成的技術(shù)和質(zhì)量記錄等。

d)近三年的與數(shù)據(jù)資產(chǎn)或數(shù)據(jù)安全相關(guān)的訴訟、仲裁和被執(zhí)法機(jī)關(guān)調(diào)查和處罰的相關(guān)文件，包括

約談、調(diào)查通知、處罰通知、判決書(shū)等。

e)近三年涉及的網(wǎng)絡(luò)安全審查報(bào)告、等級(jí)保護(hù)的備案證明以及相關(guān)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)報(bào)

告、網(wǎng)絡(luò)信息安全及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告等。

f)已發(fā)生過(guò)的網(wǎng)絡(luò)安全攻擊、系統(tǒng)中斷、信息泄露等事件的情況分析及應(yīng)急響應(yīng)報(bào)告。

g)評(píng)估人員可通過(guò)對(duì)公開(kāi)信息進(jìn)行查詢的方式獲取評(píng)估對(duì)象的相關(guān)信息，以對(duì)收到的資料進(jìn)行

印證和補(bǔ)充。查詢渠道可包括：

1)國(guó)家企業(yè)信用信息公示系統(tǒng)、信息產(chǎn)業(yè)主管部門網(wǎng)站、各地行業(yè)主管部門網(wǎng)站、國(guó)家及地

方網(wǎng)信部門網(wǎng)站以及執(zhí)行和裁判信息公開(kāi)網(wǎng)站等。

2)可利用公共或?qū)Ｓ镁W(wǎng)絡(luò)搜索引擎對(duì)被評(píng)估對(duì)象散布在互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)上的相關(guān)信息進(jìn)

行查閱整理。

必要時(shí)，可根據(jù)實(shí)際評(píng)估情況，要求被評(píng)估方補(bǔ)充資料。

5.2審核

5.2.1文檔審查

評(píng)估人員應(yīng)對(duì)在收集資料過(guò)程中收到的相關(guān)文件進(jìn)行逐一審查，以評(píng)估相關(guān)制度、文件及落實(shí)情況

是否符合評(píng)估依據(jù)的相關(guān)要求。

5.2.2安全檢測(cè)

評(píng)估人員可對(duì)相關(guān)實(shí)際運(yùn)行的網(wǎng)絡(luò)、信息系統(tǒng)和數(shù)據(jù)信息實(shí)施安全檢測(cè)，通過(guò)查看、分析被測(cè)系統(tǒng)

的響應(yīng)和輸出結(jié)果，評(píng)估被測(cè)系統(tǒng)的安全技術(shù)保障措施是否有效。執(zhí)行此項(xiàng)工作時(shí)，應(yīng)注意測(cè)試數(shù)據(jù)和

評(píng)估工具可能對(duì)系統(tǒng)運(yùn)行產(chǎn)生的影響，并盡可能減小這些影響。

5.2.3人員訪談

必要時(shí)，作為文檔審查和安全檢測(cè)結(jié)果的補(bǔ)充，可對(duì)被評(píng)估對(duì)象涉及的相關(guān)人員進(jìn)行訪談，以核實(shí)

評(píng)估對(duì)象數(shù)據(jù)資產(chǎn)的實(shí)際情況。訪談可以采取交流、討論、詢問(wèn)等形式，訪談對(duì)象可視情況包含如下人

員：

a)信息系統(tǒng)相關(guān)的研發(fā)人員、產(chǎn)品經(jīng)理和業(yè)務(wù)設(shè)計(jì)人員。

b)組織內(nèi)部的業(yè)務(wù)負(fù)責(zé)人、技術(shù)負(fù)責(zé)人、數(shù)據(jù)安全負(fù)責(zé)人以及法律合規(guī)負(fù)責(zé)人。

c)網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)運(yùn)維人員以及信息安全管理人員。

5.3分析

5.3.1問(wèn)題和風(fēng)險(xiǎn)

在審核過(guò)程的執(zhí)行中，應(yīng)對(duì)審核的實(shí)際情況進(jìn)行及時(shí)記錄，并對(duì)發(fā)現(xiàn)的問(wèn)題形成問(wèn)題記錄，并對(duì)問(wèn)

題可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行分析。問(wèn)題記錄應(yīng)包括如下內(nèi)容：

5

T/SZBAXXXX—XXXX

a)問(wèn)題事實(shí)的描述，包括所在業(yè)務(wù)、違規(guī)事實(shí)和發(fā)生場(chǎng)景等。

b)違反的內(nèi)部制度名稱及條款。

c)違反的評(píng)估依據(jù)的名稱及條款。

d)問(wèn)題可能引起的風(fēng)險(xiǎn)或處罰后果。

e)必要時(shí)，問(wèn)題的嚴(yán)重性級(jí)別。

5.3.2整改計(jì)劃

必要時(shí)，評(píng)估人員可協(xié)助評(píng)估對(duì)象所在組織針對(duì)問(wèn)題進(jìn)行整改計(jì)劃的制定。整改計(jì)劃應(yīng)包括：

a)問(wèn)題的描述或識(shí)別信息。

b)工作建議與整改措施。

c)責(zé)任方或落實(shí)方。

d)整改有效性的驗(yàn)證方。

e)計(jì)劃完成期限。

5.4評(píng)價(jià)

5.4.1評(píng)估報(bào)告

評(píng)估工作完成后，應(yīng)形成數(shù)據(jù)資產(chǎn)評(píng)估報(bào)告，評(píng)估報(bào)告應(yīng)包括如下內(nèi)容：

a)評(píng)估背景：描述評(píng)估的目的。

b)評(píng)估聲明：評(píng)估結(jié)果的適用范圍、約束、假設(shè)以及免責(zé)聲明。

c)評(píng)估依據(jù)：評(píng)估所依賴的法律法規(guī)、相關(guān)標(biāo)準(zhǔn)或文件。

d)評(píng)估范圍：評(píng)估對(duì)象的組成和評(píng)估內(nèi)容和指標(biāo)的描述。

e)評(píng)估流程：評(píng)估實(shí)施活動(dòng)的過(guò)程性描述。

f)評(píng)估結(jié)論：在充分審核的基礎(chǔ)上，對(duì)評(píng)估對(duì)象的數(shù)據(jù)資產(chǎn)情況進(jìn)行客觀、公正的結(jié)論性總結(jié)，

可包括：

1)數(shù)據(jù)處理業(yè)務(wù)活動(dòng)的評(píng)估總結(jié)。

2)安全管理措施及落實(shí)情況的評(píng)估總結(jié)。

3)技術(shù)保障措施及落實(shí)情況的評(píng)估總結(jié)。

4)發(fā)現(xiàn)問(wèn)題及存在風(fēng)險(xiǎn)情況總結(jié)。

5)適用時(shí)，針對(duì)之前的數(shù)據(jù)資產(chǎn)、網(wǎng)絡(luò)和數(shù)據(jù)安全審查、測(cè)評(píng)、評(píng)估、行政調(diào)查中發(fā)現(xiàn)問(wèn)題

的整改及落實(shí)情況的總結(jié)。

6)必要時(shí)，給予評(píng)估對(duì)象針對(duì)的問(wèn)題整改及后續(xù)持續(xù)改進(jìn)的意見(jiàn)和建議。

5.4.2專項(xiàng)意見(jiàn)

基于特定目的的數(shù)據(jù)安全評(píng)估，可按被評(píng)估對(duì)象所在組織的要求出具專項(xiàng)分析意見(jiàn)，如：

a)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的專項(xiàng)分析意見(jiàn)。

b)數(shù)據(jù)分級(jí)分類管理的專項(xiàng)意見(jiàn)。

c)是否需要進(jìn)行網(wǎng)絡(luò)安全審查的專項(xiàng)意見(jiàn)。

d)關(guān)于數(shù)據(jù)出境的專項(xiàng)意見(jiàn)。

e)關(guān)于上市融資項(xiàng)目的專項(xiàng)意見(jiàn)。

等。

5.4.3備忘錄

6

T/SZBAXXXX—XXXX

基于特定目的的數(shù)據(jù)資產(chǎn)評(píng)估，如發(fā)現(xiàn)涉及重大問(wèn)題，可能對(duì)特定目的的達(dá)成產(chǎn)生直接影響，可以

備忘錄的形式進(jìn)行重大問(wèn)題說(shuō)明和風(fēng)險(xiǎn)揭示。以供評(píng)估對(duì)象所在組織快速了解問(wèn)題并引起重視，更有針

對(duì)性的實(shí)施整改并提高效率。

6評(píng)估內(nèi)容

6.1業(yè)務(wù)運(yùn)營(yíng)模式

6.1.1處理模式

應(yīng)對(duì)評(píng)估對(duì)象或所在組織的業(yè)務(wù)模式、業(yè)務(wù)流程進(jìn)行充分識(shí)別，包括：

a)組織與客戶、供應(yīng)商和其它合作方的模式（提供方、接收方、共同處理等）。

b)組織在數(shù)據(jù)處理或是交易鏈中所處的角色（收集方、使用方、交易中介方等）。

c)組織是數(shù)據(jù)處理平臺(tái)的建設(shè)者還是運(yùn)營(yíng)者，或兩者兼有。

不同的業(yè)務(wù)模式及角色對(duì)于數(shù)據(jù)資產(chǎn)的要求不同，評(píng)估方應(yīng)根據(jù)識(shí)別的結(jié)果來(lái)選取后續(xù)的評(píng)估內(nèi)

容。

6.1.2系統(tǒng)平臺(tái)

應(yīng)對(duì)評(píng)估對(duì)象數(shù)據(jù)處理所依附的信息系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)進(jìn)行識(shí)別，形成系統(tǒng)資產(chǎn)清單。包括各類應(yīng)用

系統(tǒng)、網(wǎng)站、移動(dòng)App、小程序、云平臺(tái)等及網(wǎng)絡(luò)系統(tǒng)，以決定安全檢測(cè)等評(píng)估所覆蓋的范圍。

6.2數(shù)據(jù)處理主體

6.2.1處理資質(zhì)

應(yīng)對(duì)評(píng)估對(duì)象所在組織的行政許可及相關(guān)證照的完備性、運(yùn)營(yíng)主體的一致性、授權(quán)范圍與實(shí)際數(shù)據(jù)

處理相關(guān)活動(dòng)的匹配性以及質(zhì)量管理體系的健全性進(jìn)行審查。如營(yíng)業(yè)執(zhí)照、增值電信業(yè)務(wù)經(jīng)營(yíng)許可證、

在線數(shù)據(jù)與交易處理業(yè)務(wù)許可證、網(wǎng)絡(luò)文化經(jīng)營(yíng)許可證、網(wǎng)絡(luò)出版服務(wù)許可證、信息網(wǎng)絡(luò)傳播視聽(tīng)節(jié)目

許可證、互聯(lián)網(wǎng)藥品信息服務(wù)資格證、質(zhì)量管理體系認(rèn)證等及相關(guān)的許可和認(rèn)證范圍。

6.2.2委托處理

6.2.2.1委托方

評(píng)估對(duì)象委托外部機(jī)構(gòu)處理數(shù)據(jù)時(shí)，應(yīng)對(duì)如下內(nèi)容進(jìn)行審核：

a)建立基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)評(píng)估、個(gè)人信息安全影響評(píng)估以及內(nèi)外部數(shù)據(jù)安全檢査與評(píng)估制

度的情況。

b)對(duì)受托方的資格審查的相關(guān)記錄。包括行政許可、授權(quán)范圍、質(zhì)量管理體系等。

c)與受托方簽訂的數(shù)據(jù)處理合同或協(xié)議的效力及內(nèi)容。包括依照評(píng)估依據(jù)要求和合同約定履行

數(shù)據(jù)安全要求、數(shù)據(jù)處理目的、處理期限、處理方式、信息種類、保護(hù)措施、處理地點(diǎn)、銷毀、

轉(zhuǎn)委托處理、分享以及雙方的權(quán)利和義務(wù)等。

d)對(duì)受托方數(shù)據(jù)處理過(guò)程的監(jiān)督記錄。包括履行數(shù)據(jù)安全保護(hù)義務(wù)情況、處理方式及處理地點(diǎn)的

正確性、是否進(jìn)行超出目的處理、處理后數(shù)據(jù)的刪除和銷毀情況等。

e)涉及處理個(gè)人信息的，委托前進(jìn)行個(gè)人信息安全影響評(píng)估的實(shí)施記錄并保存情況，個(gè)人信息安

全影響評(píng)估活動(dòng)應(yīng)依據(jù)GB/T39335—2020開(kāi)展。

6.2.2.2受托方

7

T/SZBAXXXX—XXXX

評(píng)估對(duì)象為數(shù)據(jù)處理的受托方時(shí)，應(yīng)對(duì)如下內(nèi)容進(jìn)行審核：

a)必要時(shí)，對(duì)委托方的資格審查的相關(guān)記錄。包括行政許可、授權(quán)范圍、質(zhì)量管理體系等。

b)委托合同或協(xié)議中委托方確保數(shù)據(jù)來(lái)源合法的承諾和違約賠償責(zé)任。

c)受托方依照評(píng)估依據(jù)要求和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，不超出約定范圍處理方式和處

理目的承諾。

d)相關(guān)情況下（如合同無(wú)效、中止、處理完成后等）數(shù)據(jù)的返還、刪除、銷毀的相關(guān)實(shí)施和確認(rèn)

記錄。

6.2.3共同處理

評(píng)估對(duì)象為數(shù)據(jù)的共同處理方時(shí)，應(yīng)對(duì)如下內(nèi)容進(jìn)行審核：

a)自主決定數(shù)據(jù)處理目的及處理方式的主體資格。

b)共同處理數(shù)據(jù)各方的權(quán)利、義務(wù)的約定。

c)依法承擔(dān)相關(guān)法律責(zé)任的約定。

6.2.4主體變更轉(zhuǎn)移

評(píng)估對(duì)象在數(shù)據(jù)處理過(guò)程中發(fā)生合并、分立、解散、破產(chǎn)等變化導(dǎo)致數(shù)據(jù)處理的主體發(fā)生轉(zhuǎn)移時(shí)，

應(yīng)對(duì)如下內(nèi)容進(jìn)行審核：

a)通知數(shù)據(jù)來(lái)源數(shù)據(jù)（可能為組織或個(gè)人），處理方發(fā)生變化的相關(guān)信息（名稱/姓名、聯(lián)系方

式等）。

b)涉及處理個(gè)人信息的，若處理目的和方式發(fā)生變化，重新取得個(gè)人同意的相關(guān)證據(jù)。

6.3數(shù)據(jù)處理活動(dòng)

6.3.1數(shù)據(jù)資源合規(guī)

應(yīng)對(duì)數(shù)據(jù)資源來(lái)源的合規(guī)情況進(jìn)行評(píng)估，內(nèi)容包括：

a)數(shù)據(jù)資源來(lái)源應(yīng)符合合法、正當(dāng)、必要、誠(chéng)信原則。

b)數(shù)據(jù)資源應(yīng)獲得用戶授權(quán)或依法無(wú)需獲得授權(quán)。

c)數(shù)據(jù)資源的授權(quán)應(yīng)覆蓋擬進(jìn)行的數(shù)據(jù)處理活動(dòng)。

6.3.2分類分級(jí)

應(yīng)對(duì)數(shù)據(jù)分級(jí)類情況進(jìn)行評(píng)估，內(nèi)容包括：

a)數(shù)據(jù)分類分級(jí)的依據(jù)對(duì)相關(guān)評(píng)估依據(jù)要求的符合性。如：

1)從對(duì)國(guó)家安全、公共利益或個(gè)人、組織合法權(quán)益的危害程度對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)；

2)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在

的安全風(fēng)險(xiǎn)等因素，采取個(gè)人信息分類管理措施；

3)結(jié)合對(duì)個(gè)人權(quán)益影響分析的結(jié)果（宜參照GB/T39335—2020表D3）對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行

分類分級(jí)。

b)對(duì)不同分級(jí)的數(shù)據(jù)分別實(shí)施不同的管理和技術(shù)保護(hù)措施的合理性。

6.3.3注：在大多數(shù)情況，對(duì)不同分級(jí)的數(shù)據(jù)實(shí)施完全一致的管理和技術(shù)保護(hù)措施是不現(xiàn)實(shí)的。

6.3.4處理過(guò)程

6.3.4.1收集

應(yīng)對(duì)收集數(shù)據(jù)的情況進(jìn)行評(píng)估，內(nèi)容包括：

8

T/SZBAXXXX—XXXX

a)收集信息的合法性基礎(chǔ)，相關(guān)資質(zhì)、行政許可、授權(quán)等。是否收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人

信息，是否違反評(píng)估依據(jù)要求和雙方的約定收集、使用個(gè)人信息。

b)收集個(gè)人信息的授權(quán)同意情況，宜參照GB/T35272—20205.4、GB/T41479—20225.2以及

評(píng)估依據(jù)要求開(kāi)展。

c)收集信息行為的正當(dāng)、必要性，宜參照GB/T35273—20225.1、5.2以及評(píng)估依據(jù)進(jìn)行審核。

包括：

1)用戶授權(quán)（告知—同意）使用的展示時(shí)機(jī)、形式（顯著、醒目、非默認(rèn)同意）和內(nèi)容的規(guī)

范性。

2)收集內(nèi)容應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的

的最小范圍，不過(guò)度收集個(gè)人信息。

3)應(yīng)用系統(tǒng)實(shí)際收集內(nèi)容與其宣稱的隱私政策、用戶協(xié)議等內(nèi)容的一致性。

6.3.5注：對(duì)APP的個(gè)人信息收集行為進(jìn)行評(píng)估，宜參照GB/T41391—2022開(kāi)展。

6.3.5.1存儲(chǔ)

應(yīng)對(duì)數(shù)據(jù)的存儲(chǔ)情況進(jìn)行評(píng)估，內(nèi)容包括：

a)對(duì)數(shù)據(jù)及其副本存儲(chǔ)所采取的安全措施，宜參照GB/T41479—20225.3以及評(píng)估依據(jù)要求進(jìn)

行審核。審核項(xiàng)應(yīng)包括：

1)技術(shù)保護(hù)措施的要求，如加密算法、訪問(wèn)控制、安全審計(jì)、個(gè)人信息的匿名化等。

2)存儲(chǔ)期限，符合評(píng)估依據(jù)要求、合同和用戶約定的有效期限。

3)對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份。

b)數(shù)據(jù)及其副本的存儲(chǔ)地點(diǎn)滿足數(shù)據(jù)本地化存儲(chǔ)和數(shù)據(jù)跨境的評(píng)估依據(jù)要求的情況。

c)必要時(shí)，可使用第三方機(jī)構(gòu)提供的數(shù)據(jù)存證服務(wù)，保證數(shù)據(jù)的真實(shí)性和完整性。

6.3.5.2使用、加工

應(yīng)對(duì)數(shù)據(jù)的使用和加工情況進(jìn)行評(píng)估，內(nèi)容包括：

a)數(shù)據(jù)的使用和加工獲得相關(guān)方的授權(quán)文件并符合評(píng)估依據(jù)要求的證明。

b)數(shù)據(jù)實(shí)際使用、加工的方式和范圍符合約定。

c)注：對(duì)于隱蔽的、嵌入式或第三方SDK提供的處理過(guò)程可采用安全檢測(cè)的手段予以確認(rèn)。

c)未涉及相關(guān)規(guī)定禁止的數(shù)據(jù)使用和加工，如未獲得用戶授權(quán)、用戶已撤回同意、歧視性的營(yíng)銷

策略、違反道德倫理等情況。

6.3.6注：宜結(jié)合GB/T41479—20225.4-5.5的要求開(kāi)展。

6.3.6.1傳輸、提供

應(yīng)對(duì)數(shù)據(jù)的傳輸和提供情況進(jìn)行評(píng)估，內(nèi)容包括：

a)數(shù)據(jù)提供和接收方的審核，應(yīng)符合本標(biāo)準(zhǔn)7.2.1的要求。

b)數(shù)據(jù)傳輸和提供的安全措施和協(xié)議約定，宜參照GB/T41479—20225.6-5.7以及法律和相關(guān)

行業(yè)要求進(jìn)行審核。

c)涉及第三方SDK或API的，應(yīng)對(duì)SDK組件或API接口進(jìn)行安全檢測(cè)，評(píng)估是否存在已知的安

全漏洞以及可能引起數(shù)據(jù)泄露或未授權(quán)的數(shù)據(jù)跨境的行為。

d)利用個(gè)人信息和個(gè)性化推送算法向用戶提供信息的，須對(duì)推送信息的真實(shí)性、準(zhǔn)確性以及來(lái)源

合法性負(fù)責(zé)，并符合以下要求：

9

T/SZBAXXXX—XXXX

1）收集個(gè)人信息用于個(gè)性化推薦時(shí)，應(yīng)取得個(gè)人單獨(dú)同意；

2）設(shè)置易于理解、便于訪問(wèn)和操作的一鍵關(guān)閉個(gè)性化推薦選項(xiàng)，允許用戶拒絕接受定向推送

信息，允許用戶重置、修改、調(diào)整針對(duì)其個(gè)人特征的定向推送參數(shù)；

3）允許個(gè)人刪除定向推送信息服務(wù)收集產(chǎn)生的個(gè)人信息，法律、行政法規(guī)另有規(guī)定或者與用

戶另有約定的除外。

e）向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、

聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。

f）涉及數(shù)據(jù)交易活動(dòng)時(shí)：

1）數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)服務(wù)機(jī)構(gòu)應(yīng)符合GB/T37932—20195的相關(guān)要求；

2）交易的數(shù)據(jù)對(duì)象應(yīng)符合GB/T37932—20196的相關(guān)要求；

3）交易的過(guò)程應(yīng)符合GB/T37932—20197的相關(guān)要求；

4）應(yīng)對(duì)數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)留存的交易雙方的審查、交易記錄進(jìn)行審核。

6.3.6.2公開(kāi)

應(yīng)對(duì)評(píng)估對(duì)象的數(shù)據(jù)公開(kāi)行為進(jìn)行評(píng)估，包括：

a)公開(kāi)前的影響評(píng)估情況。如是否對(duì)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定造成影響。

b)必要時(shí)，數(shù)據(jù)公開(kāi)行為和內(nèi)容是否取得了相關(guān)單位的許可和授權(quán)。

c)處理已公開(kāi)的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)按評(píng)估依據(jù)要求取得個(gè)人同意。

6.3.6.3刪除、匿名化

d)應(yīng)對(duì)評(píng)估對(duì)象刪除數(shù)據(jù)和用戶注銷后的匿名化處理情況進(jìn)行評(píng)估，內(nèi)容包括：

a)對(duì)符合GB/T41479—20225.13、GB/T35273—20208.3、8.5和評(píng)估依據(jù)要求的數(shù)據(jù)進(jìn)行刪

除或匿名化處理的處理記錄，評(píng)估方應(yīng)從處理的內(nèi)容、數(shù)據(jù)量、及時(shí)性等方面進(jìn)行審查。

b)適用時(shí)，APP提供的用戶注銷用戶的方式，宜參照GB/T35273—20208.5的要求進(jìn)行審核。

c)處理范圍包括數(shù)據(jù)本身及其全部副本。

d)處理后的數(shù)據(jù)無(wú)法或不再繼續(xù)參與數(shù)據(jù)處理與加工的證明。

e)適用時(shí)，拒絕刪除或注銷用戶給出反饋的情況，應(yīng)包括：

1)通知的告知渠道，如APP通知、短信、郵件等。

2)拒絕理由，如依據(jù)的法律法規(guī)、行業(yè)監(jiān)管要求等。

3)投訴渠道和途徑。

6.4管理措施及落實(shí)

6.4.1責(zé)任人與責(zé)任機(jī)構(gòu)

應(yīng)對(duì)評(píng)估對(duì)象所在組織的數(shù)據(jù)資產(chǎn)管理責(zé)任人和組織架構(gòu)進(jìn)行評(píng)估，內(nèi)容包括：

a)責(zé)任人，包括背景審查、工作職責(zé)、績(jī)效考核、履行其對(duì)應(yīng)的工作職能的相關(guān)工作記錄等?？?/p>

參照GB/T41479—20226.1、6.2的要求進(jìn)行審核。個(gè)人信息處理者應(yīng)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)

人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部

門。

e)注：履行個(gè)人信息保護(hù)職責(zé)的部門包括：國(guó)家網(wǎng)信部門和縣級(jí)以上地方人民政府有關(guān)部門。國(guó)家網(wǎng)信部門的

職責(zé)是統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作。

b)責(zé)任機(jī)構(gòu)，包括機(jī)構(gòu)的崗職位設(shè)置、運(yùn)行經(jīng)費(fèi)、獨(dú)立性以及開(kāi)展相關(guān)工作的運(yùn)行記錄等。

10

T/SZBAXXXX—XXXX

6.4.2數(shù)據(jù)安全管理措施

應(yīng)對(duì)評(píng)估對(duì)象所在組織的數(shù)據(jù)資產(chǎn)安全管理措施的完整性、一致性、可行性、依從性等方面進(jìn)行評(píng)

估，評(píng)估內(nèi)容可包括：

a)管理體系，包括總體要求、機(jī)構(gòu)設(shè)置及職責(zé)、基本原則等。

b)處理流程管理，包括數(shù)據(jù)收集、使用、傳輸、提供、存儲(chǔ)、刪除等管理要求。

c)數(shù)據(jù)分類分級(jí)管理：

1)劃分?jǐn)?shù)據(jù)類別、級(jí)別的原則及對(duì)應(yīng)采取管理和技術(shù)措施的要求。

2)適用時(shí)，個(gè)人信息按敏感程度的分類及保護(hù)措施。

d)網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估及報(bào)送機(jī)制，按相關(guān)要求定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并報(bào)送或公布結(jié)果的相

并規(guī)定。

e)數(shù)據(jù)安全風(fēng)險(xiǎn)管理機(jī)制，包括開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、共享、預(yù)警檢測(cè)等機(jī)制。

f)網(wǎng)絡(luò)及數(shù)據(jù)安全應(yīng)急預(yù)案，發(fā)現(xiàn)信息安全事件時(shí)，啟動(dòng)應(yīng)急預(yù)案、采取補(bǔ)救措施、向主管部門

報(bào)告、定期實(shí)施應(yīng)急演練等措施?？蓞⒄誈B/T41479—20226.3的要求進(jìn)行審核。

g)投訴、舉報(bào)制度，接受網(wǎng)絡(luò)信息安全投訴、舉報(bào)并及時(shí)處理、反饋的機(jī)制。

h)數(shù)據(jù)出境管理，適用時(shí)，對(duì)數(shù)據(jù)出境條件、數(shù)據(jù)出境自評(píng)估及程序的要求。

i)網(wǎng)絡(luò)安全審查，適用時(shí)，制定并落實(shí)網(wǎng)絡(luò)安全審查相關(guān)的管理制度和程序。

j)個(gè)人信息管理，包括

1)對(duì)個(gè)人信息訪問(wèn)和操作權(quán)的要求；

2)定期進(jìn)行個(gè)人信息合規(guī)審計(jì)的要求；

3)適用時(shí)，對(duì)個(gè)人信息安全影響評(píng)估的要求；

4)適用時(shí)，對(duì)未成年人和兒童信息保護(hù)的管理要求；

5)員工個(gè)人信息保護(hù)，如對(duì)員工的簡(jiǎn)歷、體檢信息、生物識(shí)別信息的以及雇傭外籍員工的信

息保護(hù)的規(guī)定。

6.4.3數(shù)據(jù)安全技術(shù)措施

應(yīng)對(duì)評(píng)估對(duì)象的數(shù)據(jù)資產(chǎn)安全保護(hù)的技術(shù)措施落實(shí)情況進(jìn)行評(píng)估，內(nèi)容可包括：

a)定期的安全檢測(cè)，包括網(wǎng)絡(luò)、主機(jī)、應(yīng)用等層面的安全掃描和安全配置的檢測(cè)。

b)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照評(píng)估依據(jù)要求留存相關(guān)的網(wǎng)

絡(luò)日志情況；

c)防御措施，防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等危害網(wǎng)絡(luò)安全行為的措施有效性檢測(cè)。

d)數(shù)據(jù)備份，包括備份的內(nèi)容、范圍、形式（全備份、增量備份、差分備份等）、備份地點(diǎn)（本

地、異地）、備份及時(shí)性以及備份有效性驗(yàn)證等。

e)加密，包括加密的內(nèi)容、算法的強(qiáng)度、算法的使用（如必須使用國(guó)密算法的場(chǎng)景）、密鑰的管

理措施等。

f)去標(biāo)識(shí)化，適用時(shí)，對(duì)個(gè)人信息去標(biāo)識(shí)化的情況，宜參照GB/T37964—20195、6部分的要求

進(jìn)行審核。

g)訪問(wèn)控制，數(shù)據(jù)訪問(wèn)和操作前對(duì)訪問(wèn)者進(jìn)行鑒別與授權(quán)的記錄和檢測(cè)。

h)監(jiān)控和預(yù)警記錄，對(duì)網(wǎng)絡(luò)和應(yīng)用運(yùn)行狀態(tài)、操作的監(jiān)控和預(yù)警記錄的完整性和保存期限的檢測(cè)。

i)應(yīng)評(píng)估對(duì)象與合作伙伴之間的正式溝通所用的通信工具安全性，是否完全依賴第三方IM工具；

有多少業(yè)務(wù)需依賴SaaS；評(píng)估對(duì)象對(duì)于自身業(yè)務(wù)數(shù)據(jù)的控制能力；評(píng)估對(duì)象是否充分利用現(xiàn)

有的密碼等技術(shù)來(lái)充分保護(hù)自身的數(shù)據(jù)權(quán)益。

11

T/SZBAXXXX—XXXX

6.4.4人員管理及安全教育

應(yīng)對(duì)評(píng)估對(duì)象的人員管理及安全教育落實(shí)情況進(jìn)行評(píng)估，內(nèi)容應(yīng)包括：

a)人員簽保密協(xié)議的情況，如保密內(nèi)容、保密范圍、保密期限、獎(jiǎng)懲措施等。

b)人員上崗前的審查情況，如工作履歷、技術(shù)能力、人員資質(zhì)、教育學(xué)習(xí)等。

c)人員在崗期間的安全意識(shí)、工作技能、管理制度的培訓(xùn)及培訓(xùn)有效性考核情況。

d)人員離崗后按照相關(guān)管理要求進(jìn)行離崗交接、審計(jì)、脫密等措施執(zhí)行的情況。

6.4.5網(wǎng)絡(luò)安全及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

應(yīng)對(duì)評(píng)估對(duì)象實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)情況進(jìn)行評(píng)估，內(nèi)容應(yīng)包括：

a)評(píng)估對(duì)象的定級(jí)和備案情況。須按GB/T22240的要求對(duì)定級(jí)結(jié)果進(jìn)行復(fù)核。

b)對(duì)于確定為二級(jí)以上的網(wǎng)絡(luò)信息系統(tǒng)，須對(duì)等級(jí)保護(hù)備案情況、測(cè)評(píng)的頻率進(jìn)行確認(rèn)。

c)對(duì)于確定為三級(jí)及以上系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)以及關(guān)鍵信息基礎(chǔ)設(shè)施按頻率開(kāi)

展密碼評(píng)估工作的情況進(jìn)行確認(rèn)。

d)處理重要數(shù)據(jù)的系統(tǒng)應(yīng)滿足三級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求，

處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)評(píng)估依據(jù)要求從嚴(yán)保護(hù)。

e)必要時(shí)，網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)措施和測(cè)評(píng)整改符合要求的情況，應(yīng)按GB/T22239對(duì)應(yīng)級(jí)別

的相關(guān)要