DB33_T 2488-2022公共數(shù)據(jù)安全體系評(píng)估規(guī)范(高清-可復(fù)制）

1、ICS35.240.01CCSL 6733 浙江省地方標(biāo)準(zhǔn)DB33/T 24882022公共數(shù)據(jù)安全體系評(píng)估規(guī)范Assessment specification for public data security systems2022 - 04 - 26 發(fā)布2022 - 05 - 26 實(shí)施浙江省市場(chǎng)監(jiān)督管理局發(fā) 布 DB33/T 24882022DB33/T 24882022目次 HYPERLINK l _bookmark0 前言II HYPERLINK l _bookmark1 引言III HYPERLINK l _bookmark2 1 范圍1 HYPERLINK l _bookmar

2、k3 2 規(guī)范性引用文件1 HYPERLINK l _bookmark4 3 術(shù)語和定義1 HYPERLINK l _bookmark5 4 縮 略語2 HYPERLINK l _bookmark6 5 總體要求2 HYPERLINK l _bookmark7 6 評(píng)估模型2 HYPERLINK l _bookmark8 7 制度規(guī)范子體系評(píng)估項(xiàng)5 HYPERLINK l _bookmark9 8 技術(shù)防護(hù)子體系評(píng)估項(xiàng)7 HYPERLINK l _bookmark10 9 運(yùn)行管理子體系評(píng)估項(xiàng)10 HYPERLINK l _bookmark11 10 評(píng)估流程12 HYPERLINK l _b

3、ookmark12 附錄 A（資料性） 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例14 HYPERLINK l _bookmark13 附錄 B（資料性） 常用評(píng)估方式示例21 HYPERLINK l _bookmark14 附錄 C（資料性） 計(jì)算方法示例22 HYPERLINK l _bookmark15 附錄 D（資料性） 公共數(shù)據(jù)安全體系評(píng)估案例24 HYPERLINK l _bookmark16 參考文獻(xiàn)29I 前言本標(biāo)準(zhǔn)按照GB/T 1.12020標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。 請(qǐng)注意本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本標(biāo)準(zhǔn)

4、由浙江省大數(shù)據(jù)發(fā)展管理局提出、歸口并組織實(shí)施。 本標(biāo)準(zhǔn)起草單位：浙江省大數(shù)據(jù)發(fā)展中心、數(shù)字浙江技術(shù)運(yùn)營有限公司、浙江省標(biāo)準(zhǔn)化研究院、聯(lián)通數(shù)字科技有限公司、浙江省數(shù)據(jù)安全服務(wù)有限公司、杭州市數(shù)據(jù)資源管理局、寧波市大數(shù)據(jù)發(fā)展管理局、溫州市大數(shù)據(jù)發(fā)展管理局、湖州市大數(shù)據(jù)發(fā)展管理局、嘉興市政務(wù)服務(wù)和數(shù)據(jù)資源管理辦公室、紹興市大數(shù)據(jù)發(fā)展管理局、金華市大數(shù)據(jù)發(fā)展管理局、衢州市大數(shù)據(jù)發(fā)展管理局、舟山市大數(shù)據(jù)發(fā)展管理局、臺(tái)州市大數(shù)據(jù)發(fā)展管理局、麗水市大數(shù)據(jù)發(fā)展管理局。 本標(biāo)準(zhǔn)主要起草人：金加和、王瑚、洪吉明、藍(lán)宇娜、孟一丁、黨錚錚、蔣納成、趙程遙、毛遠(yuǎn)慶、張斌、杜永華、池邦芬、笪猛霄、陳煥、包自毅、張新豐、顧

5、聞、徐振華、張曉瑋、杜戰(zhàn)、范東媛、費(fèi)嬡、葉春雷、孔俊、朱通、王沁怡、張偉偉、胡瑞玉、葉紅葉、施筱玲、徐峰、蔣迪、甄理、俞巍滔、杜輝、孫茂陽、胡瓊達(dá)、朱寶劍、葉茜茜、陳瑋萍、屠勇剛、韓建良、徐李銳、毛勇增、張?jiān)儡?、林國、王玲玲?II 本標(biāo)準(zhǔn)為首次發(fā)布。 引言為保障一體化智能化公共數(shù)據(jù)平臺(tái)和公共數(shù)據(jù)安全,建立健全數(shù)據(jù)安全防護(hù)能力評(píng)估指標(biāo),規(guī)范和指導(dǎo)各地各部門開展公共數(shù)據(jù)安全評(píng)估工作,推動(dòng)全省公共數(shù)據(jù)安全管理工作可量化、可追溯、可評(píng)估, 依據(jù)中華人民共和國數(shù)據(jù)安全法中華人民共和國個(gè)人信息保護(hù)法浙江省公共數(shù)據(jù)條例制定本標(biāo)準(zhǔn)。 本標(biāo)準(zhǔn)是公共數(shù)據(jù)安全體系相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)的相關(guān)標(biāo)準(zhǔn)還包括： 公共

6、數(shù)據(jù)安全體系建設(shè)指南（DB33/T 24872022）； 公共數(shù)據(jù)分類分級(jí)指南（DB33/T 23512021）。 III DB33/T 24882022DB33/T 24882022公共數(shù)據(jù)安全體系評(píng)估規(guī)范范圍本標(biāo)準(zhǔn)規(guī)范了公共數(shù)據(jù)安全體系評(píng)估總體要求、評(píng)估模型、評(píng)估項(xiàng)和評(píng)估流程等。 本標(biāo)準(zhǔn)適用于公共數(shù)據(jù)安全體系和能力評(píng)估，各級(jí)公共數(shù)據(jù)主管部門、公共管理和服務(wù)機(jī)構(gòu)可參考執(zhí)行。 規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本標(biāo)準(zhǔn)必不可少的條款。其中，注日期的引用文件， 僅該日期對(duì)應(yīng)的版本適用于本標(biāo)準(zhǔn)；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)準(zhǔn)。 GB/T 2506

7、9 信息安全技術(shù) 術(shù)語 GB/T 39477 信息安全技術(shù) 政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求 DB33/T 2350 數(shù)字化改革術(shù)語定義DB33/T 2487 公共數(shù)據(jù)安全體系建設(shè)指南 3 術(shù)語和定義GB/T 25069、GB/T 37973、GB/T 37988、GB/T 39477、DB33/T 2350和DB33/T 2487界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。 3.1評(píng)估項(xiàng) assessment item與公共數(shù)據(jù)安全三個(gè)子體系對(duì)應(yīng)，每一個(gè)子體系對(duì)應(yīng)一個(gè)評(píng)估項(xiàng)，包括制度規(guī)范子體系評(píng)估項(xiàng)、技術(shù)防護(hù)子體系評(píng)估項(xiàng)和運(yùn)行管理子體系評(píng)估項(xiàng)。 3.2評(píng)估子項(xiàng) assessment sub item

8、對(duì)應(yīng)公共數(shù)據(jù)安全子體系各部分的建設(shè)內(nèi)容，一個(gè)評(píng)估項(xiàng)包括若干個(gè)評(píng)估子項(xiàng)。 3.3評(píng)估指標(biāo) assessment index用以評(píng)估某一安全目標(biāo)實(shí)現(xiàn)程度的數(shù)據(jù)安全相關(guān)活動(dòng)和過程的最小單位，一個(gè)評(píng)估子項(xiàng)可基于評(píng)估內(nèi)容，確定評(píng)估權(quán)重并賦予分值，定義若干個(gè)評(píng)估指標(biāo)。 3.4評(píng)估對(duì)象 assessment object被評(píng)估的組織機(jī)構(gòu)或部門，主要涉及相關(guān)配套制度文檔、設(shè)備設(shè)施及人員等。 1 GB/T 37973 信息安全技術(shù) 大數(shù)據(jù)安全管理指南GB/T 37988 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型 縮略語下列縮略語適用于本標(biāo)準(zhǔn)。 AIT：評(píng)估項(xiàng)（Assessment Item） AS：評(píng)估子項(xiàng)（Ass

9、essment Sub Item） SUM：最終分值（Sum） 總體要求科學(xué)性評(píng)估項(xiàng)和評(píng)估方法的選取應(yīng)能夠體現(xiàn)公共數(shù)據(jù)安全體系的主要內(nèi)容，反映公共數(shù)據(jù)安全保障面臨的主要風(fēng)險(xiǎn)。 適宜性評(píng)估項(xiàng)和評(píng)估方法的選取應(yīng)結(jié)合本地區(qū)本部門實(shí)際情況，引導(dǎo)公共數(shù)據(jù)安全體系合理建設(shè)。 可度量性評(píng)估項(xiàng)應(yīng)具備可以獲取的證明依據(jù)，并可以度量。 代表性評(píng)估項(xiàng)應(yīng)能較為全面地反映公共數(shù)據(jù)安全體系建設(shè)的總體水平。 持續(xù)性應(yīng)充分應(yīng)用評(píng)估結(jié)果，促進(jìn)公共數(shù)據(jù)安全體系的持續(xù)優(yōu)化。 6 評(píng)估模型6.1 總體架構(gòu)公共數(shù)據(jù)安全體系評(píng)估模型包括公共數(shù)據(jù)安全體系評(píng)估項(xiàng)、公共數(shù)據(jù)安全體系評(píng)估維度、公共數(shù)據(jù)安全體系評(píng)估方法。公共數(shù)據(jù)安全體系評(píng)估模型詳

10、見圖1。 2 圖1 公共數(shù)據(jù)安全體系評(píng)估模型評(píng)估項(xiàng)制度規(guī)范子體系評(píng)估項(xiàng)制度規(guī)范子體系評(píng)估項(xiàng)可基于二級(jí)制度展開，主要包含的評(píng)估子項(xiàng)： 分類分級(jí)管理制度； 訪問權(quán)限管理制度； 數(shù)據(jù)脫敏管理制度； 數(shù)據(jù)共享和開放安全管理制度； 數(shù)據(jù)安全銷毀管理制度； 供應(yīng)方安全管理制度； 安全監(jiān)督檢查制度； 安全日志審計(jì)制度； 安全事件管理與應(yīng)急響應(yīng)制度等。 技術(shù)防護(hù)子體系評(píng)估項(xiàng)技術(shù)防護(hù)子體系評(píng)估項(xiàng)主要包含的評(píng)估子項(xiàng)： 數(shù)據(jù)源統(tǒng)一鑒別技術(shù)； 敏感數(shù)據(jù)識(shí)別技術(shù)； 數(shù)據(jù)分類分級(jí)標(biāo)識(shí)技術(shù)； 3 數(shù)據(jù)脫敏技術(shù)； 數(shù)據(jù)加密技術(shù)； 傳輸通道加密技術(shù)； 數(shù)據(jù)血緣關(guān)系技術(shù)； 數(shù)據(jù)備份和恢復(fù)技術(shù)； 數(shù)據(jù)防泄漏技術(shù)； 銷毀數(shù)據(jù)識(shí)別技術(shù)

11、； 數(shù)據(jù)銷毀技術(shù)； 訪問權(quán)限管理； 數(shù)據(jù)共享和開放； 安全監(jiān)測(cè)與預(yù)警等。 運(yùn)行管理子體系評(píng)估項(xiàng)運(yùn)行管理子體系評(píng)估項(xiàng)主要包含的評(píng)估子項(xiàng)： 數(shù)據(jù)安全團(tuán)隊(duì)； 數(shù)據(jù)分類分級(jí)運(yùn)行管理機(jī)制； 數(shù)據(jù)訪問權(quán)限運(yùn)行管理機(jī)制； 數(shù)據(jù)共享和開放安全運(yùn)行管理機(jī)制； 安全日志審計(jì)機(jī)制； 安全監(jiān)督檢查機(jī)制； 安全事件應(yīng)急響應(yīng)機(jī)制； 安全培訓(xùn)機(jī)制等。 評(píng)估維度公共數(shù)據(jù)安全體系評(píng)估維度可根據(jù)公共數(shù)據(jù)安全體系評(píng)估項(xiàng)的特點(diǎn)設(shè)置，共分為3大類，包括： 制度規(guī)范子體系評(píng)估維度，包括： 全面性：評(píng)估相關(guān)制度文件內(nèi)容是否全面，是否已經(jīng)包含了必要的組成要素； 可執(zhí)行性：評(píng)估相關(guān)制度文件內(nèi)容是否具備可落地執(zhí)行性； 動(dòng)態(tài)更新性：評(píng)估相關(guān)制度文

12、件內(nèi)容是否根據(jù)外部環(huán)境、政策變化、組織實(shí)際情況等進(jìn)行了相應(yīng)的調(diào)整。 技術(shù)防護(hù)子體系評(píng)估維度，包括： 功能性：評(píng)估相關(guān)技術(shù)產(chǎn)品是否覆蓋所有安全功能要求； 適用性：評(píng)估相關(guān)技術(shù)產(chǎn)品的安全功能和性能是否有效實(shí)現(xiàn)公共數(shù)據(jù)安全防護(hù)； 安全性：評(píng)估相關(guān)技術(shù)產(chǎn)品本身是否存在漏洞、配置錯(cuò)誤（基線檢查）、業(yè)務(wù)邏輯錯(cuò)誤等安全問題。 運(yùn)行管理子體系-數(shù)據(jù)安全團(tuán)隊(duì)評(píng)估子項(xiàng)評(píng)估維度，包括： 完備性：評(píng)估該組織是否已安全評(píng)價(jià)指標(biāo)配備團(tuán)隊(duì)人員； 專業(yè)性：評(píng)估相關(guān)人員是否有足夠能力勝任職責(zé)范圍內(nèi)的工作，評(píng)估相關(guān)人員是否定期接受數(shù)據(jù)安全防護(hù)技能及法規(guī)培訓(xùn)等； 可靠性：評(píng)估相關(guān)人員是否有良好的職業(yè)操守，無相關(guān)不良記錄情況。 運(yùn)行

13、管理子體系-分類分級(jí)等其他運(yùn)行管理機(jī)制的評(píng)估子項(xiàng)評(píng)估維度，包括： 4 完整性：評(píng)估該運(yùn)行管理機(jī)制是否包括完整的閉環(huán)運(yùn)行管理環(huán)節(jié)； 符合性：評(píng)估該運(yùn)行管理機(jī)制是否已在該組織落地實(shí)施； 有效性：評(píng)估該運(yùn)行管理機(jī)制在該組織落實(shí)后，是否有效的實(shí)現(xiàn)公共數(shù)據(jù)安全防護(hù)預(yù)期效果。 制度規(guī)范子體系評(píng)估項(xiàng)數(shù)據(jù)分類分級(jí)管理制度公共數(shù)據(jù)分類分級(jí)管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否包括分類分級(jí)原則、要求、維度、方法、操作指南、工作流程以及類別和級(jí)別變更場(chǎng)景、變更申請(qǐng)審批流程及工作要求等； 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施；

14、動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 數(shù)據(jù)訪問權(quán)限管理制度公共數(shù)據(jù)訪問權(quán)限管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否包括對(duì)公共數(shù)據(jù)載體和公共數(shù)據(jù)權(quán)限管理系統(tǒng)的賬號(hào)權(quán)限安全管理職責(zé)分工和工作要求，公共數(shù)據(jù)訪問賬號(hào)權(quán)限分配、開通、使用、變更、重置、鎖定、注銷等的申請(qǐng)審批流程，對(duì)具備超級(jí)管理員權(quán)限或數(shù)據(jù)批量復(fù)制、處理、導(dǎo)出和刪除等高風(fēng)險(xiǎn)操作權(quán)限的帳號(hào)的重點(diǎn)安全管理要求等； 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施； 動(dòng)態(tài)更新性

15、：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 數(shù)據(jù)脫敏管理制度公共數(shù)據(jù)安全脫敏管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否充分根據(jù)公共數(shù)據(jù)分類分級(jí)結(jié)果，是否包括公共數(shù)據(jù)脫敏規(guī)則、管理要求、技術(shù)要求和脫敏工作流程等； 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施； 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 數(shù)據(jù)共享和開放安全管理制度公共數(shù)據(jù)共享和開放安全管理

16、相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否充分根據(jù)公共數(shù)據(jù)分類分級(jí)結(jié)果；查驗(yàn)制度文件是否包括差異化的公共數(shù)據(jù)共享和開放安全管理、技術(shù)要求、應(yīng)用場(chǎng)景、工作流程和申請(qǐng)審批環(huán)節(jié)等； 5 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施； 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 數(shù)據(jù)安全銷毀管理制度公共數(shù)據(jù)安全銷毀管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否充分根據(jù)公共數(shù)據(jù)分類分級(jí)結(jié)果；查驗(yàn)制度文件是否包括公共數(shù)據(jù)銷毀對(duì)象、銷

17、毀場(chǎng)景、銷毀方式、銷毀流程、銷毀工作要求等； 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施； 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 供應(yīng)方安全管理制度供應(yīng)方安全管理相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否包括供應(yīng)方及供應(yīng)方人員的安全管理要求，涉及終端安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、保密管理等方面；查驗(yàn)制度文件是否包括供應(yīng)方及供應(yīng)方人員的崗位安全職責(zé)、安全考核要求和處罰措施；核查服務(wù)安全保護(hù)及保密協(xié)議是否明確了對(duì)供應(yīng)方及供應(yīng)方人員的數(shù)

18、據(jù)保密范圍、保密責(zé)任與義務(wù)、保密期限等； 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施； 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 安全監(jiān)督檢查制度公共數(shù)據(jù)監(jiān)督檢查相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否包括對(duì)公共數(shù)據(jù)安全體系建設(shè)現(xiàn)狀的監(jiān)督檢查內(nèi)容、方式、工作周期、工作流程等； 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施； 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化

19、、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 安全日志審計(jì)制度公共數(shù)據(jù)安全日志審計(jì)相關(guān)制度評(píng)估子項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否包括安全審計(jì)日志的采集內(nèi)容、采集方式、標(biāo)準(zhǔn)化要求、日志存儲(chǔ)要求、審計(jì)策略和規(guī)則、異常預(yù)警及處置工作流程等； 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施； 6 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 安全事件管理與應(yīng)急響應(yīng)制度公共數(shù)據(jù)安全事件管理與應(yīng)急響應(yīng)相關(guān)制度評(píng)估子

20、項(xiàng)內(nèi)容主要包括： 全面性：查驗(yàn)制度文件是否包括數(shù)據(jù)安全事件分類分級(jí)方法；核查制度文件是否充分結(jié)合數(shù)據(jù)安全事件分類分級(jí)結(jié)果；核查制度文件是否包括公共數(shù)據(jù)安全事件發(fā)現(xiàn)、上報(bào)、處置、溯 源、總結(jié)等工作流程；核查制度文件是否包括數(shù)據(jù)安全應(yīng)急預(yù)案編制及應(yīng)急演練工作要求等； 可執(zhí)行性：充分考慮政策背景、行業(yè)技術(shù)發(fā)展情況、單位實(shí)際情況等，推演判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施； 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等，至少每年評(píng)估并修訂相關(guān)制度文件，查驗(yàn)范圍包括調(diào)研記錄、修訂記錄等。 技術(shù)防護(hù)子體系評(píng)估項(xiàng)數(shù)據(jù)源統(tǒng)一鑒別技術(shù)數(shù)據(jù)源統(tǒng)一鑒別技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技

21、術(shù)產(chǎn)品是否具備數(shù)據(jù)源身份統(tǒng)一鑒別、記錄的功能，以及對(duì)數(shù)據(jù)真實(shí)性、有效性、規(guī)范性進(jìn)行檢驗(yàn)的功能； 適用性：核查該技術(shù)產(chǎn)品是否有效防止非法數(shù)據(jù)源接入，實(shí)現(xiàn)防止虛假數(shù)據(jù)注入；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 敏感數(shù)據(jù)識(shí)別技術(shù)敏感數(shù)據(jù)識(shí)別技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否具備敏感數(shù)據(jù)識(shí)別功能； 適用性：核查該技術(shù)產(chǎn)品是否可有效識(shí)別出敏感數(shù)據(jù)；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 數(shù)據(jù)分類分級(jí)標(biāo)識(shí)技術(shù)數(shù)據(jù)分類分

22、級(jí)標(biāo)識(shí)技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否具備根據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行智能化分類分級(jí)的功能；檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)分類分級(jí)標(biāo)識(shí)功能；檢查該技術(shù)產(chǎn)品是否具有數(shù)據(jù)分類分級(jí)結(jié)果的輸出接口， 用于分類分級(jí)結(jié)果的應(yīng)用； 適用性：核查該技術(shù)產(chǎn)品是否可有效標(biāo)識(shí)數(shù)據(jù)類別和級(jí)別；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 數(shù)據(jù)脫敏技術(shù)7 公共數(shù)據(jù)脫敏技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)敏感數(shù)據(jù)脫敏功能；檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)或使用脫敏功能（包含靜態(tài)和動(dòng)態(tài)脫敏）；檢查該技術(shù)產(chǎn)品是否可根據(jù)

23、不同場(chǎng)景配置不同的脫敏算法與規(guī)則等； 適用性：核查是否已有效對(duì)規(guī)定場(chǎng)景數(shù)據(jù)進(jìn)行靜態(tài)或動(dòng)態(tài)脫敏保護(hù)；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)敏感數(shù)據(jù)存儲(chǔ)和傳輸加密功能； 適用性：核查是否已有效對(duì)存儲(chǔ)和傳輸?shù)拿舾袛?shù)據(jù)實(shí)施加密保護(hù)；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 傳輸通道加密技術(shù)傳輸通道加密技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)

24、現(xiàn)數(shù)據(jù)傳輸通道加密； 適用性：核查是否已有效對(duì)數(shù)據(jù)傳輸通道實(shí)施加密保護(hù)；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 數(shù)據(jù)血緣關(guān)系技術(shù)數(shù)據(jù)血緣關(guān)系技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否具有追蹤記錄數(shù)據(jù)間的血緣關(guān)系的功能；檢查該技術(shù)產(chǎn)品是否可根據(jù)數(shù)據(jù)血緣關(guān)系建立數(shù)據(jù)資產(chǎn)全景視圖等； 適用性：核查該技術(shù)產(chǎn)品是否可有效監(jiān)控?cái)?shù)據(jù)流轉(zhuǎn)過程；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 數(shù)據(jù)備份和恢復(fù)技術(shù)數(shù)據(jù)備份和恢復(fù)技術(shù)評(píng)估子項(xiàng)內(nèi)容主

25、要包括： 功能性：檢查該技術(shù)產(chǎn)品是否具備自動(dòng)化數(shù)據(jù)備份的功能；檢查該技術(shù)產(chǎn)品是否具備自動(dòng)檢驗(yàn)備份數(shù)據(jù)完整性的功能；檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)恢復(fù)的功能等； 適用性：核查該技術(shù)產(chǎn)品在數(shù)據(jù)遭受破壞時(shí)，數(shù)據(jù)備份機(jī)制是否保存了恢復(fù)所需的數(shù)據(jù)，恢復(fù)機(jī)制是否能夠根據(jù)備份數(shù)據(jù)有效恢復(fù)，保證業(yè)務(wù)受影響程度在可接受的范圍內(nèi)；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 數(shù)據(jù)防泄漏技術(shù)數(shù)據(jù)防泄漏技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 8 功能性：檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)防泄漏功能，包括終端、網(wǎng)絡(luò)和應(yīng)用等； 適用性：核查該技術(shù)產(chǎn)品是否有效實(shí)現(xiàn)了數(shù)據(jù)

26、在終端、網(wǎng)絡(luò)和應(yīng)用等流轉(zhuǎn)過程的防泄漏；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 銷毀數(shù)據(jù)識(shí)別技術(shù)銷毀數(shù)據(jù)識(shí)別技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否具備符合銷毀場(chǎng)景數(shù)據(jù)的識(shí)別功能； 適用性：核查該技術(shù)產(chǎn)品是否可有效識(shí)別符合數(shù)據(jù)銷毀場(chǎng)景的數(shù)據(jù)；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 數(shù)據(jù)銷毀技術(shù)數(shù)據(jù)銷毀技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否具備多種數(shù)據(jù)銷毀策略和技術(shù)手段等； 適用性：核查該技術(shù)產(chǎn)品的銷毀

27、策略和手段是否可實(shí)現(xiàn)對(duì)數(shù)據(jù)的徹底銷毀；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 訪問權(quán)限管理技術(shù)公共數(shù)據(jù)訪問權(quán)限管理技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否具備公共數(shù)據(jù)訪問權(quán)限集中認(rèn)證、統(tǒng)一訪問入口等功能；檢查該技術(shù)產(chǎn)品是否具備庫、表、字段級(jí)別的訪問控制功能；檢查該技術(shù)產(chǎn)品是否與數(shù)據(jù)脫敏相關(guān)技術(shù)產(chǎn)品聯(lián)動(dòng)，實(shí)現(xiàn)動(dòng)態(tài)脫敏等； 適用性：核查該技術(shù)產(chǎn)品是否有效支撐該組織和角色職能需求，實(shí)現(xiàn)公共數(shù)據(jù)訪問權(quán)限的有效管控；核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏

28、洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 數(shù)據(jù)共享和開放安全技術(shù)公共數(shù)據(jù)共享和開放的安全技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 功能性：檢查該技術(shù)產(chǎn)品是否具備訪問控制功能；檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)脫敏功能； 核查該技術(shù)產(chǎn)品是否具備接口實(shí)時(shí)數(shù)據(jù)安全監(jiān)測(cè)與異常告警功能；檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)追蹤溯源功能，如數(shù)字水印標(biāo)識(shí)等； 適用性：核查該技術(shù)產(chǎn)品是否可有效支撐共享和開放數(shù)據(jù)的訪問控制功能；核查該技術(shù)產(chǎn)品的數(shù)據(jù)脫敏能力是否可有效對(duì)共享和開放的數(shù)據(jù)實(shí)施脫敏，包括脫敏算法的類型、數(shù)量等； 核查該技術(shù)產(chǎn)品是否可有效發(fā)現(xiàn)接口安全風(fēng)險(xiǎn)，并告警；核查該數(shù)據(jù)產(chǎn)品的溯源過程和結(jié)果 是否可信，例如采用區(qū)塊鏈技術(shù)等；核查該技術(shù)產(chǎn)品性能

29、是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 安全監(jiān)測(cè)與預(yù)警技術(shù)公共數(shù)據(jù)安全監(jiān)測(cè)與預(yù)警技術(shù)評(píng)估子項(xiàng)內(nèi)容主要包括： 9 功能性：檢查該技術(shù)產(chǎn)品是否具備可配置化的量化指標(biāo)的功能；檢查該技術(shù)產(chǎn)品是否接入了全量重要系統(tǒng)的日志數(shù)據(jù)，并具備支撐威脅發(fā)現(xiàn)、識(shí)別、理解分析、風(fēng)險(xiǎn)預(yù)警和提供處置建議的能力等； 適用性：核查該技術(shù)產(chǎn)品是否有效發(fā)現(xiàn)該組織數(shù)據(jù)安全風(fēng)險(xiǎn)，支撐數(shù)據(jù)安全體系建設(shè)規(guī)劃； 核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等； 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。 運(yùn)行管理子體系評(píng)估項(xiàng)數(shù)據(jù)安全管理團(tuán)隊(duì)公共數(shù)

30、據(jù)安全管理團(tuán)隊(duì)評(píng)估子項(xiàng)內(nèi)容主要包括： 完備性：檢查是否設(shè)置公共數(shù)據(jù)安全管理團(tuán)隊(duì)，包括公共數(shù)據(jù)安全決策方、公共數(shù)據(jù)安全管理方、公共數(shù)據(jù)安全執(zhí)行方、公共數(shù)據(jù)安全審計(jì)方等；檢查是否明確公共數(shù)據(jù)安全管理團(tuán)隊(duì)的各方的職責(zé)分工；檢查是否設(shè)置機(jī)構(gòu)主要負(fù)責(zé)人為公共數(shù)據(jù)安全管理第一責(zé)任人；檢查是否設(shè)置專職的公共數(shù)據(jù)安全管理負(fù)責(zé)人；檢查是否明確公共數(shù)據(jù)安全管理第一責(zé)任人和負(fù)責(zé)人的工作職責(zé)等； 專業(yè)性：查驗(yàn)公共數(shù)據(jù)安全管理負(fù)責(zé)人是否具備數(shù)據(jù)安全專業(yè)知識(shí)和履職能力，包括具備 CISP 等安全專業(yè)證書；查驗(yàn)公共數(shù)據(jù)安全管理負(fù)責(zé)人是否接受安全技能培訓(xùn)和考核；查驗(yàn)單位是否為公共數(shù)據(jù)安全管理負(fù)責(zé)人提供必備的人力支持和技術(shù)支持

31、。查驗(yàn)該團(tuán)隊(duì)成員專業(yè)人員安全技術(shù)能力及安全專業(yè)證書覆蓋程度，確保可勝任職責(zé)范圍的工作； 可靠性：查驗(yàn)該團(tuán)隊(duì)安全管理負(fù)責(zé)人和成員的背景、履歷等情況。 數(shù)據(jù)分類分級(jí)管理機(jī)制公共數(shù)據(jù)分類分級(jí)管理機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括： 完整性：查驗(yàn)該工作機(jī)制是否與數(shù)據(jù)資源目錄機(jī)制協(xié)同；查驗(yàn)該工作機(jī)制是否建立維護(hù)了數(shù)據(jù)資產(chǎn)全景視圖；查驗(yàn)該工作機(jī)制是否實(shí)現(xiàn)分類分級(jí)工作實(shí)施、工作結(jié)果反饋、分類分級(jí)機(jī)制優(yōu)化的閉環(huán)管理等； 符合性：查驗(yàn)分類分級(jí)工作實(shí)施、數(shù)據(jù)資源目錄同步、分級(jí)結(jié)果反饋、分類分級(jí)機(jī)制優(yōu)化等工作過程文件和記錄； 有效性：檢查分類分級(jí)工作實(shí)施、數(shù)據(jù)資源目錄同步、分級(jí)結(jié)果反饋、分類分級(jí)機(jī)制優(yōu)化等工作結(jié)果文件和記錄。

32、 數(shù)據(jù)訪問權(quán)限管理機(jī)制公共數(shù)據(jù)訪問權(quán)限管理機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括： 完整性：查驗(yàn)該工作機(jī)制是否包括公共數(shù)據(jù)訪問權(quán)限的分配、開通、使用、變更、重置、注銷等的申請(qǐng)審批、實(shí)施、以及定期核查等；查驗(yàn)該工作機(jī)制是否建立維護(hù)了統(tǒng)一的公共數(shù)據(jù)訪問權(quán)限清單； 符合性：查驗(yàn)公共數(shù)據(jù)訪問賬號(hào)權(quán)限分配、開通、使用、變更、重置、注銷等的申請(qǐng)審批、實(shí)施、定期核查等工作過程文件和記錄； 有效性：檢查公共數(shù)據(jù)訪問賬號(hào)權(quán)限分配、開通、使用、變更、重置、注銷等的申請(qǐng)審批、實(shí)施、定期核查等工作結(jié)果文件和記錄。 10 數(shù)據(jù)共享和開放安全管理機(jī)制公共數(shù)據(jù)共享和開放安全管理機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括： 完整性：查驗(yàn)該工作機(jī)制是否包括公

33、共數(shù)據(jù)共享和開放的申請(qǐng)審批，接口上線前和上線后的安全檢查、敏感數(shù)據(jù)實(shí)時(shí)監(jiān)測(cè)告警處置等； 符合性：查驗(yàn)公共數(shù)據(jù)共享和開放的申請(qǐng)審批，接口上線前和上線后的安全檢查、敏感數(shù)據(jù)實(shí)時(shí)監(jiān)測(cè)告警處置等工作過程文件和記錄； 有效性：檢查公共數(shù)據(jù)共享和開放的申請(qǐng)審批，共享和開放接口安全檢查及整改、敏感數(shù)據(jù)實(shí)時(shí)監(jiān)測(cè)告警處置及整改等工作結(jié)果文件和記錄。 安全日志審計(jì)機(jī)制公共數(shù)據(jù)安全日志審計(jì)機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括： 完整性：查驗(yàn)該工作機(jī)制是否包括違規(guī)行為告警的核實(shí)、分析、處置和整改等環(huán)節(jié)； 符合性：查驗(yàn)違規(guī)行為告警的核實(shí)、分析、處置和整改等工作過程文件和記錄； 有效性：檢查違規(guī)行為告警的核實(shí)、分析、處置和整改等工作

34、的結(jié)果文件。 安全監(jiān)督檢查機(jī)制公共數(shù)據(jù)安全監(jiān)督檢查機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括： 完整性：查驗(yàn)該工作機(jī)制是否包括安全監(jiān)督檢查工作實(shí)施、工作總結(jié)，問題整改、整改效果驗(yàn)證等環(huán)節(jié)； 符合性：查驗(yàn)安全監(jiān)督檢查工作實(shí)施、工作總結(jié)，問題整改、整改效果驗(yàn)證等工作過程文件和記錄； 有效性：檢查安全監(jiān)督檢查工作實(shí)施、工作總結(jié)，問題整改、整改效果驗(yàn)證等工作結(jié)果文件和記錄。 安全事件應(yīng)急響應(yīng)機(jī)制公共數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括： 完整性：查驗(yàn)該工作機(jī)制是否包括應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等環(huán)節(jié)； 符合性：查驗(yàn)應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等工作過

35、程文件和記錄； 有效性：檢查應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等工作結(jié)果文件和記錄；檢查安全事件發(fā)生時(shí)，應(yīng)急響應(yīng)工作記錄和結(jié)果文件。 安全培訓(xùn)機(jī)制公共數(shù)據(jù)安全培訓(xùn)機(jī)制評(píng)估子項(xiàng)內(nèi)容主要包括： 完整性：查驗(yàn)該工作機(jī)制是否包括培訓(xùn)計(jì)劃制定、工作實(shí)施、效果考核、計(jì)劃優(yōu)化調(diào)整等環(huán)節(jié)； 符合性：查驗(yàn)培訓(xùn)計(jì)劃制定、工作實(shí)施、效果考核、計(jì)劃優(yōu)化調(diào)整等工作過程文件和記錄； 有效性：檢查培訓(xùn)計(jì)劃制定、工作實(shí)施、效果考核、計(jì)劃優(yōu)化調(diào)整等工作結(jié)果文件和記錄。 11 評(píng)估流程基本流程公共數(shù)據(jù)安全體系評(píng)估流程應(yīng)依據(jù)評(píng)估對(duì)象及評(píng)估目標(biāo)，按照確定評(píng)估范圍、組建評(píng)估團(tuán)隊(duì)、制定評(píng)估方案、實(shí)施評(píng)估和報(bào)告編制

36、5個(gè)步驟實(shí)施，評(píng)估工作過程可參考圖2。 圖2 評(píng)估工作過程示意圖確定評(píng)估范圍首先應(yīng)明確評(píng)估范圍，包括被評(píng)估方涉及評(píng)估的系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)、終端以及相關(guān)部門和人員等。 組建評(píng)估團(tuán)隊(duì)評(píng)估團(tuán)隊(duì)?wèi)?yīng)由評(píng)估人員和被評(píng)估單位相關(guān)人員組成，可根據(jù)單位實(shí)際情況及評(píng)估范圍，聘請(qǐng)相關(guān)專業(yè)機(jī)構(gòu)或?qū)＜覅⑴c評(píng)估工作。被評(píng)估單位相關(guān)人員宜包括： 公共數(shù)據(jù)安全管理人員； 公共數(shù)據(jù)平臺(tái)運(yùn)維人員； 公共數(shù)據(jù)相關(guān)基礎(chǔ)設(shè)施（政務(wù)云、網(wǎng)絡(luò)、終端等）運(yùn)維人員； 公共數(shù)據(jù)重點(diǎn)應(yīng)用部門相關(guān)人員等。 制定評(píng)估方案應(yīng)制定評(píng)估方案。評(píng)估團(tuán)隊(duì)根據(jù)評(píng)估對(duì)象實(shí)際情況，確定評(píng)估場(chǎng)地、評(píng)估時(shí)間。依據(jù)評(píng)估范圍選取對(duì)應(yīng)的評(píng)估項(xiàng)（含子項(xiàng)）和評(píng)估維度，制定評(píng)估指標(biāo)（

37、取定評(píng)估權(quán)重和賦分規(guī)則可參考附錄B），通過資料查詢、人員訪談、問卷調(diào)查、功能演示和技術(shù)檢測(cè)等評(píng)估方式，形成書面評(píng)估方案。評(píng)估方案主要包括: 評(píng)估對(duì)象：被評(píng)估的組織機(jī)構(gòu)或部門； 評(píng)估范圍：被評(píng)估方涉及評(píng)估的系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)、終端以及相關(guān)部門和人員等； 評(píng)估團(tuán)隊(duì)：評(píng)估人員和被評(píng)估單位涉及到的人員； 評(píng)估場(chǎng)地：評(píng)估團(tuán)隊(duì)開展評(píng)估活動(dòng)的地點(diǎn)； 評(píng)估時(shí)間：評(píng)估起止時(shí)間； 評(píng)估指標(biāo)：評(píng)估子項(xiàng)內(nèi)容、評(píng)估權(quán)重、賦分（參見附錄 A）； 評(píng)估方式（參見附錄 B）：根據(jù)評(píng)估指標(biāo)，確定主要評(píng)估方式。 實(shí)施評(píng)估實(shí)施評(píng)估主要包括以下步驟： 評(píng)估團(tuán)隊(duì)按照評(píng)估方案實(shí)施評(píng)估，收集并整理相關(guān)證明材料，初步研判各評(píng)估指標(biāo)符合情況并記

38、錄評(píng)估過程信息； 12 評(píng)估團(tuán)隊(duì)根據(jù)評(píng)估過程記錄及證明材料，組織召開會(huì)議，與被評(píng)估單位確認(rèn)研判結(jié)果，形成各評(píng)估指標(biāo)得分； 根據(jù)評(píng)估指標(biāo)得分，計(jì)算評(píng)估子項(xiàng)分值。計(jì)算方法可參見附錄C。 報(bào)告編制評(píng)估結(jié)果以報(bào)告形式展現(xiàn)，評(píng)估報(bào)告內(nèi)容主要包括： 評(píng)估對(duì)象； 評(píng)估范圍； 評(píng)估團(tuán)隊(duì)； 評(píng)估場(chǎng)地； 評(píng)估時(shí)間； 評(píng)估方式； 評(píng)估指標(biāo)及分值； 評(píng)估過程記錄及關(guān)鍵證明材料； 安全風(fēng)險(xiǎn)； 評(píng)估結(jié)論； 整改建議、計(jì)劃及已整改情況等。評(píng)估工作案例可參見附錄D。13 AA 附 錄 A（資料性）公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例評(píng)估指標(biāo)由評(píng)估子項(xiàng)內(nèi)容、評(píng)估權(quán)重及賦分構(gòu)成。 根據(jù)評(píng)估子項(xiàng)在該組織數(shù)據(jù)安全體系中的重要性設(shè)置該評(píng)估

39、子項(xiàng)的權(quán)重值，權(quán)重值一般為 1-10 的整數(shù)。 所有高風(fēng)險(xiǎn)項(xiàng)應(yīng)全部滿足，出現(xiàn)一個(gè)及以上未滿足高風(fēng)險(xiǎn)項(xiàng)且不進(jìn)行整改的，公共數(shù)據(jù)安全體系評(píng)估結(jié)果暫緩出具。 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例見表 A.1。 表A.1 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例序號(hào) 評(píng)估項(xiàng)(AIT) 評(píng)估子項(xiàng)（AS） 評(píng)估權(quán)重 賦分規(guī)則 全面性：查驗(yàn)制度文件是否包括分類分級(jí)原則、要求、維1 度、方法、操作指南、工作流程以及類別和級(jí)別變更場(chǎng)景、數(shù)據(jù)分類分級(jí)管理制度（AIT1-AS1） 6 變更申請(qǐng)審批流程及工作要求等。（全部滿足得5分） 2 可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 3 動(dòng)態(tài)更新性：查驗(yàn)

40、是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 全面性：查驗(yàn)制度文件是否包括對(duì)公共數(shù)據(jù)載體和公共數(shù)4 據(jù)權(quán)限管理系統(tǒng)的賬號(hào)權(quán)限安全管理職責(zé)分工和工作要求數(shù)據(jù)訪問權(quán)限管理制度（AIT1-AS2） 7 等。（全部滿足得5分） 5 制度規(guī)范子體系評(píng)估項(xiàng)（AIT1） 可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 6 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 全面性：查驗(yàn)制度文件是否充分根據(jù)公共數(shù)據(jù)分類分級(jí)結(jié)7 果，是否包括公共數(shù)據(jù)脫敏規(guī)則、管理要求等。（全部滿足得5分） 8 數(shù)據(jù)脫敏管理制度（AIT1-AS3） 7

41、可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 9 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 全面性：查驗(yàn)制度文件是否充分根據(jù)公共數(shù)據(jù)分類分級(jí)結(jié)10 果，進(jìn)行差異化的公共數(shù)據(jù)共享和開放安全管理、技術(shù)要求、應(yīng)用場(chǎng)景、工作流程和申請(qǐng)審批環(huán)節(jié)等。（全部滿足得5分） 14 表A.1 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例（續(xù)）序號(hào) 評(píng)估項(xiàng)(AIT) 評(píng)估子項(xiàng)（AS） 評(píng)估權(quán)重 賦分規(guī)則 11 數(shù)據(jù)共享和開放安全管理制度（AIT1-AS4） 7 可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 12 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟

42、蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 全面性：查驗(yàn)制度文件是否充分根據(jù)公共數(shù)據(jù)分類分級(jí)結(jié)13 果，進(jìn)行公共數(shù)據(jù)銷毀對(duì)象、銷毀場(chǎng)景、銷毀方式、銷毀數(shù)據(jù)安全銷毀管理制度（AIT1-AS5） 5 流程、銷毀工作要求等。（全部滿足得5分） 14 可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 15 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 全面性：查驗(yàn)制度文件是否包括供應(yīng)方及其人員的安全管16 理要求、供應(yīng)方及其人員的崗位安全職責(zé)、安全考核要求和處罰措施、明確了對(duì)供應(yīng)方及其人員的數(shù)據(jù)保密范圍、供應(yīng)方安全管理制度（AIT

43、1-AS6） 8 保密責(zé)任與義務(wù)、保密期限等。（全部滿足得5分） 17 可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 18 制度規(guī)范子體系評(píng)估項(xiàng)（AIT1） 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 全面性：查驗(yàn)制度文件是否包括對(duì)公共數(shù)據(jù)安全管理現(xiàn)狀19 的監(jiān)督檢查內(nèi)容、方式、工作周期、工作流程等。（全部安全監(jiān)督檢查制度（AIT1-AS7） 5 滿足得5分） 20 可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 21 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 全面性

44、：查驗(yàn)制度文件是否包括安全審計(jì)日志的采集內(nèi)容、22 采集方式、標(biāo)準(zhǔn)化要求、日志存儲(chǔ)要求、審計(jì)策略和規(guī)則安全日志審計(jì)制度（AIT1-AS8） 7 異常預(yù)警及處置工作流程等。（全部滿足得5分） 23 可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 24 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 25 安全事件管理與應(yīng)急響應(yīng)制度8 全面性：查驗(yàn)制度文件是否包括數(shù)據(jù)安全事件分類分級(jí)方法、公共數(shù)據(jù)安全事件發(fā)現(xiàn)、上報(bào)、處置、溯源、總結(jié)等工作流程、數(shù)據(jù)安全應(yīng)急預(yù)案編制及應(yīng)急演練工作要求等。（AIT1-AS9） （全部滿足得5分） 15 表A.1

45、 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例（續(xù)）序號(hào) 評(píng)估項(xiàng)(AIT) 評(píng)估子項(xiàng)（AS） 評(píng)估權(quán)重 賦分規(guī)則 26 制度規(guī)范子體系評(píng)估項(xiàng)（AIT1） 安全事件管理與應(yīng)急響應(yīng)制度（AIT1-AS9） 8 可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實(shí)施。（全部滿足得3分） 27 動(dòng)態(tài)更新性：查驗(yàn)是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實(shí)際情況等。（全部滿足得2分） 功能性：檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)源身份統(tǒng)一鑒別、28 記錄的功能，以及對(duì)數(shù)據(jù)真實(shí)性、有效性、規(guī)范性進(jìn)行檢驗(yàn)的功能。（全部滿足得4分） 29 數(shù)據(jù)源統(tǒng)一鑒別技術(shù)(AIT2-AS10) 4 適用性：1.核查該技術(shù)產(chǎn)品是否有效。（全部滿足得2分）2.

46、核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 30 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 31 功能性：檢查該技術(shù)產(chǎn)品是否具備敏感數(shù)據(jù)識(shí)別功能。（全部滿足得4分） 32 敏感數(shù)據(jù)識(shí)別技術(shù)(AIT2-AS11) 8 適用性：1.核查該技術(shù)產(chǎn)品是否具備有效識(shí)別出敏感數(shù)據(jù)的功能。（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 33 技術(shù)防護(hù)子體系（AIT2） 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 34 功能性：檢查該技術(shù)產(chǎn)品是否具

47、備數(shù)據(jù)分類分級(jí)標(biāo)識(shí)功能，以及具備對(duì)外同步接口等。（全部滿足得4分） 35 數(shù)據(jù)分類分級(jí)標(biāo)識(shí)技術(shù)(AIT2-AS12) 8 適用性：1.核查該技術(shù)產(chǎn)品是否具備有效標(biāo)識(shí)數(shù)據(jù)類別和級(jí)別的功能。（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 36 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 功能性：檢查該技術(shù)產(chǎn)品是否具備實(shí)現(xiàn)敏感數(shù)據(jù)脫敏功能,37 是否可實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)或使用脫敏功能（包含靜態(tài)和動(dòng)態(tài)脫敏）。（全部滿足得4分） 38 數(shù)據(jù)脫敏技術(shù)（AIT2-AS13） 8 適用性：1.核查是否具備有效對(duì)存儲(chǔ)或使用的數(shù)據(jù)

48、進(jìn)行靜態(tài)或動(dòng)態(tài)脫敏保護(hù)的功能。（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 39 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 16 表A.1 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例（續(xù)）序號(hào) 評(píng)估項(xiàng)(AIT) 評(píng)估子項(xiàng)（AS） 評(píng)估權(quán)重 賦分規(guī)則 40 功能性：檢查該技術(shù)產(chǎn)品是否具備實(shí)現(xiàn)敏感數(shù)據(jù)存儲(chǔ)加密、傳輸加密等功能。（全部滿足得4分） 41 數(shù)據(jù)加密技術(shù)(AIT2-AS14) 5 適用性：1. 核查是否已有效對(duì)存儲(chǔ)和傳輸?shù)拿舾袛?shù)據(jù)實(shí)施加密保護(hù)。（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰

49、期需求等。（全部滿足得1分） 42 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 43 功能性：檢查該技術(shù)產(chǎn)品是否可實(shí)現(xiàn)數(shù)據(jù)傳輸通道加密。（全部滿足得4分） 44 傳輸通道加密技術(shù)(AIT2-AS15) 6 適用性：1.核查是否已有效對(duì)數(shù)據(jù)傳輸通道實(shí)施加密保護(hù)；（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 45 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 46 功能性：檢查該技術(shù)產(chǎn)品是否具有追蹤記錄數(shù)據(jù)間的血緣關(guān)系、建立數(shù)據(jù)資產(chǎn)全景視圖等功能。（全部滿足得4分

50、）適用性：1.核查是否已有效追蹤記錄數(shù)據(jù)間血緣關(guān)系，并47 技術(shù)防護(hù)子體系（AIT2） 數(shù)據(jù)血緣關(guān)系技術(shù)(AIT2-AS16) 3 準(zhǔn)確地進(jìn)行視圖展示。（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 48 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 49 功能性：檢查該技術(shù)產(chǎn)品是否具備自動(dòng)化數(shù)據(jù)備份、檢測(cè)備份數(shù)據(jù)完整性、數(shù)據(jù)恢復(fù)等功能。（全部滿足得4分） 適用性：1. 核查該技術(shù)產(chǎn)品在數(shù)據(jù)遭受破壞時(shí)，數(shù)據(jù)備份50 數(shù)據(jù)備份和恢復(fù)技術(shù)(AIT2-AS17) 6 和恢復(fù)機(jī)制是否有效恢復(fù)。（全部滿足得2分）2.

51、核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 51 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 52 數(shù)據(jù)防泄漏技術(shù)7 功能性：檢查該技術(shù)產(chǎn)品是否具備數(shù)據(jù)防泄漏功能。（全部滿足得4分） 適用性：1.核查該技術(shù)產(chǎn)品是否有效實(shí)現(xiàn)了數(shù)據(jù)流轉(zhuǎn)過程53 (AIT2-AS18)的防泄漏。（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 17 表A.1 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例（續(xù)）序號(hào) 評(píng)估項(xiàng)(AIT) 評(píng)估子項(xiàng)（AS） 評(píng)估權(quán)重 賦分規(guī)則 54 數(shù)據(jù)防泄漏技術(shù)(AIT2-AS18) 7

52、 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 55 功能性：檢查該技術(shù)產(chǎn)品是否具備符合多種銷毀場(chǎng)景的數(shù)據(jù)的識(shí)別等功能。（全部滿足得4分） 適用性：1. 核查該技術(shù)產(chǎn)品是否可有效識(shí)別并銷毀符合數(shù)56 銷毀數(shù)據(jù)識(shí)別技術(shù)(AIT2-AS19) 6 據(jù)銷毀場(chǎng)景的數(shù)據(jù)。（全部滿足得2分）2. 核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 57 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 58 功能性：檢查該技術(shù)產(chǎn)品是否具備符合多種銷毀場(chǎng)景的數(shù)據(jù)的識(shí)別等功能。（全部滿足得4分） 適用性：1.

53、 核查該技術(shù)產(chǎn)品是否可有效識(shí)別并銷毀符合數(shù)59 數(shù)據(jù)銷毀技術(shù)(AIT2-AS20) 6 據(jù)銷毀場(chǎng)景的數(shù)據(jù)。（全部滿足得2分）2. 核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 60 技術(shù)防護(hù)子體系安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） （AIT2） 功能性： 檢查該技術(shù)產(chǎn)品是否具備公共數(shù)據(jù)訪問權(quán)限集中61 認(rèn)證、統(tǒng)一訪問入口、細(xì)粒度的訪問控制等功能，與數(shù)據(jù)脫敏相關(guān)技術(shù)產(chǎn)品聯(lián)動(dòng)。（全部滿足得4分） 62 訪問權(quán)限管理技術(shù)(AIT2-AS21) 8 適用性：1. 核查該技術(shù)產(chǎn)品是否有效支撐該組織和角色職能需求，實(shí)現(xiàn)公共數(shù)據(jù)訪

54、問用戶的統(tǒng)一身份認(rèn)證和訪問控制。（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 63 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 功能性：檢查該技術(shù)產(chǎn)品是否具備訪問控制、數(shù)據(jù)脫敏、64 接口實(shí)時(shí)數(shù)據(jù)安全監(jiān)測(cè)與異常告警、據(jù)追蹤溯源等功能。（全部滿足得4分） 65 數(shù)據(jù)共享和開放安全技術(shù)(AIT2-AS22) 7 適用性：1.核查該技術(shù)產(chǎn)品是否可有效支撐數(shù)據(jù)共享和開放安全。（全部滿足得2分）2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。（全部滿足得1分） 66 安全性：核查該技術(shù)產(chǎn)品本身是否存在安全漏

55、洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 18 表A.1 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例（續(xù)）序號(hào) 評(píng)估項(xiàng)(AIT) 評(píng)估子項(xiàng)（AS） 評(píng)估權(quán)重 賦分規(guī)則 功能性：檢查該技術(shù)產(chǎn)品是否具備可配置的量化指標(biāo)，是67 否全量接入重要系統(tǒng)日志，并具備支撐威脅發(fā)現(xiàn)、識(shí)別、理解分析、風(fēng)險(xiǎn)預(yù)警和提供處置建議等功能。（全部滿足得4分） 68 技術(shù)防護(hù)子體系（AIT2） 安全監(jiān)測(cè)與預(yù)警技術(shù)(AIT2-AS23) 7 適用性：1.核查該技術(shù)產(chǎn)品是否有效發(fā)現(xiàn)該組織數(shù)據(jù)安全風(fēng)險(xiǎn)，支撐數(shù)據(jù)安全體系建設(shè)規(guī)劃。（全部滿足得2分）2. 核查該技術(shù)產(chǎn)品性能是否滿足該組織高峰期業(yè)務(wù)需求等。（全部滿足得1分） 69 安全

56、性：核查該技術(shù)產(chǎn)品本身是否存在安全漏洞、配置錯(cuò)誤、業(yè)務(wù)邏輯錯(cuò)誤等。（全部滿足得3分） 完備性：檢查是否設(shè)置了公共數(shù)據(jù)安全管理團(tuán)隊(duì)，并明確70 團(tuán)隊(duì)的各方的職責(zé)分工。檢查是否設(shè)置了機(jī)構(gòu)主要負(fù)責(zé)人為公共數(shù)據(jù)安全管理第一責(zé)任人、公共數(shù)據(jù)安全管理負(fù)責(zé)人及其工作職責(zé)。（全部滿足得4分） 專業(yè)性：查驗(yàn)公共數(shù)據(jù)安全管理負(fù)責(zé)人是否具備數(shù)據(jù)安全71 數(shù)據(jù)安全團(tuán)隊(duì)(AIT3-AS24) 6 專業(yè)知識(shí)和履職能力、是否接受安全技能培訓(xùn)和考核、是否具有必備的人力支持和技術(shù)支持；查驗(yàn)該團(tuán)隊(duì)成員專業(yè)人員安全技術(shù)能力及安全專業(yè)證書覆蓋程度，接受數(shù)據(jù)安全防護(hù)技能及法規(guī)培訓(xùn)記錄等，確?？蓜偃温氊?zé)范圍的工作。（全部滿足得3分） 可

57、靠性：查驗(yàn)安全管理負(fù)責(zé)人的個(gè)人自述、履歷等情況；72 查驗(yàn)該團(tuán)隊(duì)成員的個(gè)人自述、履歷等情況，確保有良好職業(yè)操守，無不良記錄。（全部滿足得3分） 運(yùn)行管理子體系完整性：查驗(yàn)該工作機(jī)制是否與數(shù)據(jù)資源目錄機(jī)制協(xié)同、73 （AIT3） 是否建立維護(hù)了數(shù)據(jù)資產(chǎn)全景視圖、是否實(shí)現(xiàn)分類分級(jí)閉環(huán)工作機(jī)制。（全部滿足得3分） 74 數(shù)據(jù)分類分級(jí)管理機(jī)制(AIT3-AS25) 6 符合性：查驗(yàn)分類分級(jí)工作實(shí)施、數(shù)據(jù)資源目錄同步、分級(jí)結(jié)果反饋、分類分級(jí)機(jī)制優(yōu)化等工作過程文件和記錄。（全部滿足得3分） 75 有效性：檢查分類分級(jí)工作結(jié)果文件和記錄。（全部滿足得4分） 完整性：查驗(yàn)該工作機(jī)制是否包括公共數(shù)據(jù)訪問權(quán)限的分

58、76 配、開通、使用、變更、重置、注銷等的申請(qǐng)審批、實(shí)施、數(shù)據(jù)訪問權(quán)限管理機(jī)制(AIT3-AS26) 8 定期核查、清單維護(hù)等。（全部滿足得3分） 77 符合性：查驗(yàn)公共數(shù)據(jù)訪問賬號(hào)權(quán)限管理工作過程文件和記錄。（全部滿足得3分） 78 有效性：檢查公共數(shù)據(jù)訪問賬號(hào)權(quán)限管理工作結(jié)果文件和記錄。（全部滿足得4分） 19 BB C A 20 表A.1 公共數(shù)據(jù)安全體系評(píng)估指標(biāo)定義示例（續(xù)）序號(hào) 評(píng)估項(xiàng)(AIT) 評(píng)估子項(xiàng)（AS） 評(píng)估權(quán)重 賦分規(guī)則 79 運(yùn)行管理子體系（AIT3） 數(shù)據(jù)共享和開放安全管理(AIT3-AS27) 7 完整性：查驗(yàn)該工作機(jī)制是否包括公共數(shù)據(jù)共享和開放的申請(qǐng)審批，接口上線

59、前和上線后的安全檢查、敏感數(shù)據(jù)實(shí)時(shí)監(jiān)測(cè)告警處置等。（全部滿足得3分） 80 符合性：查驗(yàn)公共數(shù)據(jù)共享和開放安全管理工作過程文件和記錄。（全部滿足得3分） 81 有效性：檢查公共數(shù)據(jù)共享和開放安全管理工作結(jié)果文件和記錄。（全部滿足得4分） 82 安全日志審計(jì)機(jī)制(AIT3-AS28) 7 完整性：查驗(yàn)該工作機(jī)制是否包括違規(guī)行為告警的核實(shí)、分析、處置和整改等環(huán)節(jié)。（全部滿足得3分，一項(xiàng)不足扣1分） 83 符合性：查驗(yàn)安全日志審計(jì)工作過程文件和記錄。（全部滿足得3分） 84 有效性：檢查安全日志審計(jì)工作的結(jié)果文件。（全部滿足得4分） 85 安全監(jiān)督檢查機(jī)制(AIT3-AS29) 7 完整性：查驗(yàn)該工

60、作機(jī)制是否包括安全監(jiān)督檢查工作實(shí)施、工作總結(jié)，問題整改、整改效果驗(yàn)證等環(huán)節(jié)。（全部滿足得3分）。 86 符合性：查驗(yàn)安全監(jiān)督檢查工作過程文件和記錄。（全部滿足得3分） 87 有效性：檢查安全監(jiān)督檢查工作結(jié)果文件和記錄。（全部滿足得4分） 88 安全事件應(yīng)急響應(yīng)機(jī)制(AIT3-AS30) 8 完整性：查驗(yàn)該工作機(jī)制是否包括應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等環(huán)節(jié)。 89 符合性：查驗(yàn)應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等工作過程文件和記錄。 90 有效性：檢查應(yīng)急演練規(guī)劃、實(shí)施、總結(jié)以及應(yīng)急演練報(bào)告編制、應(yīng)急預(yù)案優(yōu)化等工作結(jié)果文件和記錄；檢查安全事件