2024公共數(shù)據(jù)安全評估方法

公共數(shù)據(jù)安全評估方法IIIIII目??次范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 2通則 2評估原則 2評估體系 2安全能力 3評估手段 3評估適用情形 4評估指標(biāo)和評估對象說明 4評估流程 4通用管理安全評估 5總體數(shù)據(jù)安全策略 5數(shù)據(jù)安全管理機(jī)構(gòu)與人員 6數(shù)據(jù)安全管理制度體系 11通用技術(shù)安全評估 13數(shù)據(jù)分類分級保護(hù) 13數(shù)據(jù)安全評估 15數(shù)據(jù)安全風(fēng)險監(jiān)測 17數(shù)據(jù)安全管控 19數(shù)據(jù)安全應(yīng)急處置 23數(shù)據(jù)安全審計 25數(shù)據(jù)處理活動安全評估 27數(shù)據(jù)收集 27數(shù)據(jù)存儲 29數(shù)據(jù)傳輸 32數(shù)據(jù)使用 34數(shù)據(jù)加工 37數(shù)據(jù)開放共享 40數(shù)據(jù)交易 42數(shù)據(jù)出境 42數(shù)據(jù)銷毀與刪除 44整體評估 46整體評估要求 46評估子項(xiàng)間評估 46例外情況評估 47評估結(jié)論 47安全風(fēng)險分析和評價 47評估結(jié)論判定 47附錄A（規(guī)范性）公共數(shù)據(jù)安全評估評分細(xì)則 48公共數(shù)據(jù)安全評估評分表 48公共數(shù)據(jù)安全評估評分方法 70附錄B（資料性）高風(fēng)險項(xiàng)判例 72附錄C（資料性）常見威脅列表 75附錄D（資料性）公共數(shù)據(jù)安全評估報告模板 78公共數(shù)據(jù)安全評估報告封面 78公共數(shù)據(jù)安全評估基本信息表 79公共數(shù)據(jù)安全評估報告大綱 80附錄E（資料性）公共數(shù)據(jù)安全評估案例 81組建評估團(tuán)隊(duì) 81確定評估對象及評估范圍 81評估對象調(diào)研 81組織評估實(shí)施 81評估報告編制 86參考文獻(xiàn) 87PAGEPAGE1PAGEPAGE2公共數(shù)據(jù)安全評估方法范圍本文件不適用于涉及國家秘密的公共數(shù)據(jù)安全評估。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39477—2020信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求DB4403/T271—2022公共數(shù)據(jù)安全要求術(shù)語和定義GB/T35273—2020、GB/T37988—2019、DB4403/T271—2022界定的以及下列術(shù)語和定義適用于本文件。3.1公共數(shù)據(jù)commondata公共管理和服務(wù)機(jī)構(gòu)及處理大量個人信息的服務(wù)平臺在依法履行公共管理職責(zé)或者提供公共服務(wù)過程中產(chǎn)生、處理的數(shù)據(jù)。注：本文件提及的數(shù)據(jù)均指公共數(shù)據(jù)。3.2數(shù)據(jù)場景datascenario為了達(dá)到特定業(yè)務(wù)目的而對數(shù)據(jù)進(jìn)行處理和使用的場景，對場景下數(shù)據(jù)流向進(jìn)行全鏈路分析。注：單個數(shù)據(jù)場景可能涉及多個機(jī)構(gòu)及其業(yè)務(wù)系統(tǒng)。3.3主責(zé)機(jī)構(gòu)mainresponsibleorganization評估對象為數(shù)據(jù)場景時，場景涉及主要系統(tǒng)的責(zé)任部門。3.4關(guān)聯(lián)機(jī)構(gòu)relatedresponsibleorganization評估對象為數(shù)據(jù)場景時，涉及場景相關(guān)處理活動的其他機(jī)構(gòu)。注：如數(shù)據(jù)場景處理活動僅在主責(zé)機(jī)構(gòu)內(nèi)部，則不涉及關(guān)聯(lián)機(jī)構(gòu)?？s略語下列縮略語適用于本文件。SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）API：應(yīng)用程序接口（ApplicationProgrammingInterface）通則評估原則公正客觀原則：評估機(jī)構(gòu)對評估對象數(shù)據(jù)安全保障措施進(jìn)行公平客觀的判定，不受機(jī)構(gòu)性質(zhì)、評估對象、評估時間、評估人員、利益關(guān)系等任何因素影響而損害評估的公正及客觀性；最小影響原則：評估機(jī)構(gòu)對評估對象的網(wǎng)絡(luò)、業(yè)務(wù)、數(shù)據(jù)流轉(zhuǎn)等正常運(yùn)行造成的影響降低到最低，不因評估工作而導(dǎo)致業(yè)務(wù)連續(xù)性的中斷；可控性原則：評估機(jī)構(gòu)確保評估過程可管可控，使用的評估工具或技術(shù)手段，已經(jīng)過實(shí)踐驗(yàn)證，不存在安全隱患；全面性原則：評估機(jī)構(gòu)全面覆蓋評估要點(diǎn)，基于評估要點(diǎn)對評估對象涉及的資產(chǎn)（如制度類文檔、數(shù)據(jù)資產(chǎn)、軟硬件資產(chǎn)、人力資源等）、數(shù)據(jù)處理活動各環(huán)節(jié)進(jìn)行評估；書面授權(quán)原則：評估機(jī)構(gòu)開展評估工作得到被評估機(jī)構(gòu)的正式書面授權(quán)；保密性原則：評估機(jī)構(gòu)及評估人員與被評估機(jī)構(gòu)簽訂數(shù)據(jù)安全相關(guān)保密協(xié)議，明確保密責(zé)任、義務(wù)及爭議條款，除法律要求或獲得被評估機(jī)構(gòu)同意外，評估人員獲取的評估對象相關(guān)信息、過程文檔等嚴(yán)格保密，不對外透露。評估體系公共數(shù)據(jù)安全評估框架見圖1，公共數(shù)據(jù)安全評估體系包含安全要求、安全能力、安全等級三個維度，三個維度具體內(nèi)容如下：內(nèi)容涵蓋通用管理安全、通用技術(shù)安全及數(shù)據(jù)處理活動安全三方面安全要求；針對組織、制度、人員、技術(shù)四方面安全能力進(jìn)行評估；對于不同的安全等級選取相對應(yīng)的安全要求進(jìn)行評估，評估對象涉及不同安全等級的數(shù)據(jù)類DB4403/T271—2022中6.7規(guī)定的安全等級與安全要求的關(guān)系確定安全等級與對應(yīng)安全要求。圖1公共數(shù)據(jù)安全評估框架安全能力評估機(jī)構(gòu)對評估對象的數(shù)據(jù)安全能力進(jìn)行評估，安全能力應(yīng)分為以下四個維度：組織能力：主要考察數(shù)據(jù)安全組織架構(gòu)及人員的設(shè)立、職責(zé)分工及溝通協(xié)作；制度能力：主要考察數(shù)據(jù)安全制度及流程建設(shè)完備性、可執(zhí)行性、動態(tài)更新性；人員能力：主要考察人員數(shù)據(jù)安全建設(shè)專業(yè)能力、工作執(zhí)行落地情況；技術(shù)能力：主要考察采取技術(shù)手段或自動化技術(shù)工具落實(shí)數(shù)據(jù)安全要求的能力。評估手段公共數(shù)據(jù)安全評估宜采取如下評估手段開展評估工作：（（評估適用情形滿足如下情形之一，應(yīng)及時啟動評估工作：涉及公共數(shù)據(jù)的政務(wù)信息化建設(shè)項(xiàng)目合同終驗(yàn)前；行業(yè)主管部門要求或法律法規(guī)規(guī)定的其他情形。評估指標(biāo)和評估對象說明評估指標(biāo)68MTPA評估對象6章至第8章相對應(yīng)安全要求的評估指標(biāo)進(jìn)行評估，688注：主責(zé)機(jī)構(gòu)指數(shù)據(jù)場景主要系統(tǒng)的管理者，對該場景下處理的數(shù)據(jù)負(fù)主要責(zé)任。關(guān)聯(lián)機(jī)構(gòu)指與數(shù)據(jù)場景有關(guān)聯(lián)關(guān)系，涉及該場景下數(shù)據(jù)處理活動中單個或多個環(huán)節(jié)的機(jī)構(gòu)，對其涉及的環(huán)節(jié)負(fù)關(guān)聯(lián)責(zé)任。評估流程公共數(shù)據(jù)安全的評估流程按照以下步驟進(jìn)行：確定評估對象：按照5.6.2明確數(shù)據(jù)安全評估對象，針對選定的評估對象，根據(jù)評估對象的安全等級，確定評估指標(biāo)；。通用管理安全評估總體數(shù)據(jù)安全策略總體數(shù)據(jù)安全策略評估內(nèi)容描述見表1。表1總體數(shù)據(jù)安全策略評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：應(yīng)明確數(shù)據(jù)安全管理1.通過人員訪談，詢問被評估機(jī)構(gòu)是否組織專門的策略，包括管理目部門明確總體數(shù)據(jù)安全策略。標(biāo)、原則、要求等內(nèi)制度能力：全策略（M01）基本安全要求容，制定或修訂完善人員訪談文檔查閱2.通過文檔查閱，確認(rèn)總體數(shù)據(jù)安全策略是否包括管理目標(biāo)、原則、要求等內(nèi)容；或相關(guān)信息安全總體綱領(lǐng)文檔是否體現(xiàn)數(shù)據(jù)安全方面的總體作為重點(diǎn)內(nèi)容，納入方針政策。總體安全管理范疇。人員能力：（M01-BR01）3.通過人員訪談，詢問被評估機(jī)構(gòu)是否了解機(jī)構(gòu)制定的總體數(shù)據(jù)安全策略。組織能力：全策略（M01）三級增強(qiáng)要求應(yīng)定期對數(shù)據(jù)安全策略的合理性及適用性進(jìn)行論證和審定，動（M01-TR01）文檔查閱被評估機(jī)構(gòu)是否組織定期對數(shù)據(jù)安全策略的記錄。制度能力：略，查閱動態(tài)調(diào)整內(nèi)容。數(shù)據(jù)安全管理機(jī)構(gòu)與人員數(shù)據(jù)安全管理機(jī)構(gòu)與人員評估內(nèi)容描述見表2。表2數(shù)據(jù)安全管理機(jī)構(gòu)與人員評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容機(jī)構(gòu)管理：應(yīng)設(shè)立數(shù)據(jù)安全管理機(jī)構(gòu)，明確數(shù)據(jù)安全責(zé)任人，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)組織能力：任。數(shù)據(jù)安全責(zé)任人1．通過人員訪談，詢問被評估機(jī)構(gòu)是否明確數(shù)履行職責(zé)包括但不限據(jù)安全管理機(jī)構(gòu)及數(shù)據(jù)安全負(fù)責(zé)人，明確數(shù)據(jù)安于：全責(zé)任人的工作職責(zé)，查閱正式發(fā)文文檔。組織制定數(shù)據(jù)保護(hù)制度能力：基本安全要求計劃并落實(shí)；影響分析和風(fēng)險評人員訪談文檔查閱2．查閱數(shù)據(jù)安全負(fù)責(zé)人的職責(zé)內(nèi)容是否包括但不限于：1）組織制定數(shù)據(jù)保護(hù)計劃并落實(shí)；估，督促整改安全隱2）組織開展數(shù)據(jù)安全影響分析和風(fēng)險評估，督患；促整改安全隱患；組織按要求向有關(guān)3）組織按要求向有關(guān)部門報告數(shù)據(jù)安全保護(hù)和數(shù)據(jù)安全管部門報告數(shù)據(jù)安全保事件處置情況；理機(jī)構(gòu)與人護(hù)和事件處置情況；4）組織受理并處理數(shù)據(jù)安全投訴和舉報事項(xiàng)。員（M02）組織受理并處理數(shù)據(jù)安全投訴和舉報事項(xiàng)。（M02-BR01）基本安全要求制公共數(shù)據(jù)資源目護(hù)。（M02-BR02）人員訪談文檔查閱制度能力：1構(gòu)是否按照相關(guān)法律法規(guī)的要求編制公共數(shù)據(jù)資源目錄。2）PAGEPAGE72）PAGEPAGE10評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容機(jī)構(gòu)管理：數(shù)據(jù)安全組織能力：不應(yīng)由同一人兼任。制度能力：1）數(shù)據(jù)管理員負(fù)責(zé)數(shù)據(jù)存儲安全、數(shù)據(jù)權(quán)限分配、數(shù)據(jù)資產(chǎn)梳理等；數(shù)據(jù)安全管理員負(fù)責(zé)數(shù)據(jù)權(quán)限審批、數(shù)據(jù)分兼任；數(shù)據(jù)安全審計員負(fù)責(zé)數(shù)據(jù)安全審計等。管理機(jī)構(gòu)應(yīng)明確數(shù)據(jù)管理員、數(shù)據(jù)安全管理員、數(shù)據(jù)安全審計員等崗位職責(zé)，落實(shí)崗位人員，保障數(shù)據(jù)安全管理與審計工作開展。相關(guān)崗位職責(zé)應(yīng)包括：數(shù)據(jù)管理員負(fù)責(zé)數(shù)基本安全要求據(jù)存儲、數(shù)據(jù)權(quán)限分?jǐn)?shù)據(jù)安全管理員負(fù)人員訪談文檔查閱責(zé)數(shù)據(jù)權(quán)限審批、數(shù)據(jù)分類分級、數(shù)據(jù)安全風(fēng)險檢測與評估、數(shù)據(jù)安全事件應(yīng)急響數(shù)據(jù)安全管理機(jī)構(gòu)與人可由安全管理員兼員（M02）任；數(shù)據(jù)安全審計員負(fù)責(zé)數(shù)據(jù)安全審計等。（M02-BR03）機(jī)構(gòu)管理：處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的，應(yīng)指組織能力：定個人信息保護(hù)負(fù)責(zé)1.通過人員訪談，詢問被評估機(jī)構(gòu)是否屬于處理人，負(fù)責(zé)對個人信息個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的公共管處理活動以及采取的理和服務(wù)機(jī)構(gòu)，如是則是否明確指定個人信息保基本安全要保護(hù)措施等進(jìn)行監(jiān)人員訪談護(hù)負(fù)責(zé)人，負(fù)責(zé)對個人信息處理活動以及采取的求督，并公開個人信息文檔查閱保護(hù)措施等進(jìn)行監(jiān)督。保護(hù)負(fù)責(zé)人聯(lián)系方制度能力：式，將個人信息保護(hù)2.查驗(yàn)被評估機(jī)構(gòu)是否公開個人信息保護(hù)負(fù)責(zé)負(fù)責(zé)人的姓名、聯(lián)系人的姓名、聯(lián)系方式等，并已報送履行個人信息方式等報送履行個人保護(hù)職責(zé)的部門。信息保護(hù)職責(zé)部門。（M02-BR04）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管理機(jī)構(gòu)與人員（M02）基本安全要求行審批過程。（M02-BR05）文檔查閱制度能力：1數(shù)據(jù)操作及外部系統(tǒng)接入等事項(xiàng)的審批程序。2錄文件?；景踩蟀踩Ｃ茇?zé)任與義并組織動態(tài)合規(guī)評人員訪談文檔查閱組織能力：整性。制度能力：查驗(yàn)被評估機(jī)構(gòu)是否明確與數(shù)據(jù)合作方簽訂義務(wù)。三級增強(qiáng)要求機(jī)構(gòu)管理：應(yīng)針對重大數(shù)據(jù)處理活動建立逐級審批機(jī)制。（M02-TR01）人員訪談文檔查閱制度能力：1.查驗(yàn)被評估機(jī)構(gòu)是否建立重大數(shù)據(jù)處理活動制的合理性、有效性及可執(zhí)行性。三級增強(qiáng)要求機(jī)構(gòu)管理：應(yīng)定期審查審批事項(xiàng)，及時更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。（M02-TR02）人員訪談文檔查閱組織能力：制度能力：否具有對相關(guān)審批事項(xiàng)的定期審查記錄和授權(quán)更新記錄?；景踩笕藛T管理：應(yīng)加強(qiáng)人員管理，明確規(guī)定人員錄用、人員培訓(xùn)、（M02-BR07）人員訪談文檔查閱制度能力：1.通過人員訪談、文檔查閱方式，明確被評估機(jī)構(gòu)是否制定人員管理相關(guān)制度；查閱制度是否包含人員錄用、人員培訓(xùn)、人員考核、保密協(xié)議、離崗離職、外部人員管理等方面的管理要求，查閱制度執(zhí)行記錄。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管理機(jī)構(gòu)與人員（M02）基本安全要求人員管理：應(yīng)與內(nèi)部數(shù)據(jù)崗位人員、數(shù)據(jù)合作方人員簽訂保密協(xié)議，明確數(shù)據(jù)訪問范圍、操作權(quán)限、人員調(diào)離崗保密要求、保密期限、違約責(zé)任等，有效約束操作行為。（M02-BR08）人員訪談文檔查閱制度能力：構(gòu)是否與內(nèi)部數(shù)據(jù)崗位人員及數(shù)據(jù)合作方人員簽訂保密協(xié)議。求、保密期限、違約責(zé)任等?；景踩笕藛T管理：應(yīng)制定數(shù)據(jù)安全培訓(xùn)計劃，定期組織數(shù)據(jù)安全培訓(xùn)人員訪談文檔查閱組織能力：開展一次數(shù)據(jù)安全培訓(xùn)工作。制度能力：構(gòu)全員的培訓(xùn)內(nèi)容應(yīng)包括但不限于數(shù)據(jù)安全意識、法律法規(guī)。培訓(xùn)課件、培訓(xùn)評價表、培訓(xùn)考核記錄等。基本安全要求人員管理：宜組織數(shù)據(jù)崗位人員考取相關(guān)（M02-BR10）人員訪談文檔查閱組織能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)數(shù)據(jù)崗位人員是否均考取相關(guān)資質(zhì)證書，持證上崗，證書類型包括但不限于：CISP、CISSP、CDPSE、數(shù)據(jù)庫工程師、數(shù)據(jù)治理工程師。三級增強(qiáng)要求人員管理：應(yīng)配備專職安全管理員承擔(dān)數(shù)據(jù)安全管理員工作。（M02-TR03）人員訪談文檔查閱組織能力：1構(gòu)是否設(shè)立專職數(shù)據(jù)安全管理員或者配備專職作。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管理機(jī)構(gòu)與人員（M02）三級增強(qiáng)要求操作規(guī)程等進(jìn)行培訓(xùn)。（M02-TR04）人員訪談文檔查閱組織能力：1構(gòu)是否組織針對不同數(shù)據(jù)崗位制定不同的培訓(xùn)行培訓(xùn)。三級增強(qiáng)要求行技能考核。（M02-TR05）人員訪談文檔查閱組織能力：構(gòu)是否定期組織對不同數(shù)據(jù)崗位人員進(jìn)行技能考核，查閱技能考核記錄文件。人員能力：崗位技能。四級增強(qiáng)要求人員管理：關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。（M02-FR01）人員訪談組織能力：1.通過人員訪談方式，查驗(yàn)被評估機(jī)構(gòu)是否針對關(guān)鍵事務(wù)崗位設(shè)立多人共同管理。四級增強(qiáng)要求人員管理：應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵數(shù)據(jù)崗位的人員。（M02-FR02）人員訪談文檔查閱組織能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)的關(guān)鍵事務(wù)崗位是否從內(nèi)部人員中選拔產(chǎn)生，查閱選拔執(zhí)行記錄文檔。PAGEPAGE11PAGEPAGE12數(shù)據(jù)安全管理制度體系數(shù)據(jù)安全管理制度體系評估內(nèi)容描述見表3。表3數(shù)據(jù)安全管理制度體系評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管理制度體系（M03）基本安全要求制度的制定。（M03-BR01）人員訪談文檔查閱組織能力：1構(gòu)是否指定專門的部門或授權(quán)數(shù)據(jù)安全管理機(jī)指定或授權(quán)文件。基本安全要求應(yīng)建立健全數(shù)據(jù)安全保護(hù)制度體系，制度體系內(nèi)容包括但不限于數(shù)據(jù)安全政策、組織機(jī)構(gòu)與人員管理、數(shù)據(jù)分類分級、數(shù)據(jù)安全評估、數(shù)據(jù)安全風(fēng)險監(jiān)測、數(shù)據(jù)訪問權(quán)限管控、數(shù)據(jù)安全應(yīng)急與處置、數(shù)據(jù)安全審計、數(shù)據(jù)活動安全管理要求（包括數(shù)、數(shù)據(jù)安全教育培訓(xùn)、數(shù)據(jù)合作方管理、個人信息安全保護(hù)。（M03-BR02）文檔查閱制度能力：立數(shù)據(jù)安全保護(hù)制度體系。、基本安全要求提供重要互聯(lián)網(wǎng)平臺（M03-BR03）人員訪談文檔查閱組織能力：制度能力：合規(guī)制度體系文檔。3）3）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管理制度體系（M03）基本安全要求應(yīng)建立投訴、舉報受理處置制度，收到通過其平臺編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報，自接受投訴舉報起，受理時間不超過三天，受理后進(jìn)行調(diào)查取證，一經(jīng)查實(shí)，應(yīng)依法采取停止傳（M03-BR04）人員訪談文檔查閱制度能力：12.如屬于提供網(wǎng)絡(luò)信息內(nèi)容傳播服務(wù)的網(wǎng)絡(luò)信基本安全要求息及注銷賬號的請求，按照GB/T—20208.7要求響應(yīng)個人信息主體的請求，不應(yīng)對請求設(shè)置不合理?xiàng)l件。（M03-BR05）人員訪談文檔查閱系統(tǒng)核驗(yàn)制度能力：構(gòu)業(yè)務(wù)系統(tǒng)是否建立個人信息主體保護(hù)權(quán)利的渠道和機(jī)制。技術(shù)能力：GB/T35273—20208.7基本安全要求應(yīng)通過正式、有效的方式發(fā)布數(shù)據(jù)安全管理制度，并進(jìn)行版本控制。（M03-BR06）人員訪談文檔查閱制度能力：1已進(jìn)行版本控制?；景踩笥眯赃M(jìn)行論證和審度進(jìn)行修訂。（M03-BR07）人員訪談文檔查閱制度能力：1構(gòu)是否定期對數(shù)據(jù)安全管理制度的合理性和適制度進(jìn)行修訂，查閱修訂執(zhí)行記錄文檔。PAGEPAGE13PAGEPAGE14評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容應(yīng)形成由安全策略、制度能力：數(shù)據(jù)安全管理制度體系（M03）三級增強(qiáng)要求記錄表單等構(gòu)成的全面的數(shù)據(jù)安全管理制人員訪談文檔查閱（M03-TR01）錄表單等構(gòu)成，查閱制度體系文檔。通用技術(shù)安全評估數(shù)據(jù)分類分級保護(hù)數(shù)據(jù)分類分級保護(hù)評估內(nèi)容描述見表4。表4數(shù)據(jù)分類分級保護(hù)評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容應(yīng)結(jié)合數(shù)據(jù)資產(chǎn)識別技術(shù)能力：數(shù)據(jù)資產(chǎn)識別相關(guān)技術(shù)平臺。情況等。技術(shù)手段，梳理數(shù)據(jù)資產(chǎn)，并明確數(shù)據(jù)資基本安全要產(chǎn)類型、數(shù)據(jù)量、存人員訪談求儲位置、數(shù)據(jù)關(guān)聯(lián)系系統(tǒng)核驗(yàn)統(tǒng)、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等。（T01-BR01）數(shù)據(jù)分類分制度能力：級保護(hù)1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)（T01）DB4403/T271—2022A應(yīng)明確數(shù)據(jù)分類標(biāo)數(shù)據(jù)分類標(biāo)準(zhǔn)，被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)是否依據(jù)數(shù)準(zhǔn)，依據(jù)數(shù)據(jù)資源屬據(jù)資源屬性特征，將數(shù)據(jù)合理劃分類別?；景踩蕴卣鳎瑢?shù)據(jù)合理人員訪談人員能力：求劃分類別，形成數(shù)據(jù)文檔查閱2.通過人員訪談方式，查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)資源分類目錄。數(shù)據(jù)分類分級相關(guān)崗位人員是否具備數(shù)據(jù)分類（T01-BR02）識別能力，能獨(dú)立開展數(shù)據(jù)分類工作；如由數(shù)據(jù)合作方協(xié)助開展數(shù)據(jù)分類工作，則被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)數(shù)據(jù)分類分級相關(guān)崗位人員是否能對數(shù)據(jù)合作方的數(shù)據(jù)分類工作進(jìn)行管理。表表4）表表4）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容級保護(hù)（T01）基本安全要求應(yīng)明確數(shù)據(jù)對象安全等級，依據(jù)數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用時，對國家安全、社會秩序和公共利益或者個人信息主體、公共管理和服務(wù)機(jī)構(gòu)合法權(quán)益造成的侵害程度確定安全等級。（T01-BR03）人員訪談文檔查閱制度能力：DB4403/T271—20226等級。人員能力：數(shù)據(jù)分類分級相關(guān)崗位人員是否具備數(shù)據(jù)分級統(tǒng)數(shù)據(jù)分類分級相關(guān)崗位人員是否能對數(shù)據(jù)合作方的數(shù)據(jù)分級工作進(jìn)行管理?；景踩髴?yīng)在數(shù)據(jù)分類分級基礎(chǔ)上，形成數(shù)據(jù)資產(chǎn)清單，落實(shí)不同數(shù)據(jù)安全等級差異化防護(hù)措施要求。（T01-BR04）人員訪談文檔查閱制度能力：是否明確不同數(shù)據(jù)安全等級差異化防護(hù)措施要求。人員能力：構(gòu)業(yè)務(wù)系統(tǒng)數(shù)據(jù)分類分級相關(guān)崗位人員是否已要求?；景踩髴?yīng)定期評審數(shù)據(jù)對象的類別和級別，如需變更數(shù)據(jù)所屬類型或級別，應(yīng)依據(jù)變更審批流程執(zhí)行變更。（T01-BR05）人員訪談文檔查閱組織能力：查閱記錄文檔。制度能力：構(gòu)業(yè)務(wù)系統(tǒng)是否建立數(shù)據(jù)對象類別或級別變更流程，查閱變更審批記錄。三級增強(qiáng)要求應(yīng)采取數(shù)據(jù)安全防護(hù)措施，對重要數(shù)據(jù)和敏感個人信息進(jìn)行重（T01-TR01）人員訪談技術(shù)檢測系統(tǒng)核驗(yàn)技術(shù)能力：構(gòu)業(yè)務(wù)系統(tǒng)是否對重要數(shù)據(jù)及敏感個人信息進(jìn)數(shù)據(jù)處理活動全過程。施是否有效。PAGEPAGE15PAGEPAGE16評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容級保護(hù)（T01）四級增強(qiáng)要求應(yīng)建立數(shù)據(jù)資產(chǎn)識別技術(shù)能力，對數(shù)據(jù)對象進(jìn)行標(biāo)記與跟蹤，構(gòu)建數(shù)據(jù)血緣關(guān)系。（T01-FR01）系統(tǒng)核驗(yàn)技術(shù)能力：1對象進(jìn)行標(biāo)記與跟蹤，構(gòu)建數(shù)據(jù)血緣關(guān)系。數(shù)據(jù)安全評估數(shù)據(jù)安全評估評估內(nèi)容描述見表5。表5數(shù)據(jù)安全評估評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容應(yīng)結(jié)合自身數(shù)據(jù)安全制度能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)是否制定數(shù)據(jù)安全風(fēng)險評估制度；查閱制度是否包括風(fēng)險評估目的、范圍、依據(jù)、評估流程、評估頻率、實(shí)施評估、綜合評估分析等內(nèi)容。要求，制定數(shù)據(jù)安全風(fēng)險評估方法，明確基本安全要人員訪談求依據(jù)、評估流程、評文檔查閱估頻率、實(shí)施評估、綜合評估分析等內(nèi)容。（T02-BR01）數(shù)據(jù)安全評在出現(xiàn)法律法規(guī)重大組織能力：業(yè)務(wù)活動發(fā)生重大變化、數(shù)據(jù)資產(chǎn)發(fā)生重大變險評估報告。估（T02）更改或增刪、業(yè)務(wù)活動發(fā)生重大變化、數(shù)據(jù)資產(chǎn)發(fā)生重大變化、發(fā)生重大數(shù)據(jù)安基本安全要全事件、數(shù)據(jù)安全管人員訪談求理方針發(fā)生變化等重文檔查閱大情況變化時應(yīng)進(jìn)行局部或全面數(shù)據(jù)安全風(fēng)險評估，形成數(shù)據(jù)安全風(fēng)險評估報告。（T02-BR02）5）5）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全評估（T02）基本安全要求涉及國家、行業(yè)存在數(shù)據(jù)安全合規(guī)監(jiān)管要求的機(jī)構(gòu)，應(yīng)定期開展數(shù)據(jù)安全合規(guī)性評估，并向有關(guān)主管部門報送合規(guī)性評估報告。（T02-BR03）人員訪談文檔查閱組織能力：（會辦公室等閱相關(guān)文件通知。報送記錄?；景踩笊婕懊舾袀€人信息處理、個人信息自動化決策、委托處理、他人提供（含境外）、公開、其他對個人權(quán)益有重大影響的個人信息處理活動等，應(yīng)事先開展個人信息保護(hù)影響評估，評估記錄至少保存三年。（T02-BR04）人員訪談文檔查閱制度能力：含境外相關(guān)制度內(nèi)容。記錄。保護(hù)影響評估記錄是否至少保存三年?；景踩髴?yīng)按GB/T22239—2019（T02-BR05）人員訪談文檔查閱組織能力：122239—2019PAGEPAGE17PAGEPAGE18評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容基本安全要求涉及關(guān)鍵信息基礎(chǔ)設(shè)施信息系統(tǒng)安全要求應(yīng)遵照相關(guān)法律法規(guī)執(zhí)行。（T02-BR06）人員訪談文檔查閱組織能力：1構(gòu)業(yè)務(wù)系統(tǒng)是否遵照關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法統(tǒng)安全測評報告。應(yīng)定期開展數(shù)據(jù)安全制度能力：自評估工作，涉及處1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)理敏感個人信息及國構(gòu)是否制定相關(guān)要求，明確應(yīng)定期開展數(shù)據(jù)安全數(shù)據(jù)安全評家規(guī)定的重要數(shù)據(jù)的自評估工作。估（T02）機(jī)構(gòu)，應(yīng)按照有關(guān)規(guī)組織能力：定定期開展風(fēng)險評2.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)三級增強(qiáng)要求估，并向有關(guān)主管部門報送風(fēng)險評估報告，風(fēng)險評估報告應(yīng)人員訪談文檔查閱構(gòu)業(yè)務(wù)系統(tǒng)是否定期組織開展數(shù)據(jù)安全自評估數(shù)據(jù)時，是否按照有關(guān)規(guī)定定期開展風(fēng)險評估，包括處理的重要數(shù)據(jù)主動向有關(guān)主管部門報送風(fēng)險評估報告，查閱報種類、數(shù)量，開展數(shù)送記錄。據(jù)處理活動的情況，3.通過文檔查閱方式，查閱風(fēng)險評估報告是否包面臨的數(shù)據(jù)安全風(fēng)險括處理的重要數(shù)據(jù)種類、數(shù)量，開展數(shù)據(jù)處理活以及應(yīng)對措施等。動的情況，面臨的數(shù)據(jù)安全風(fēng)險以及應(yīng)對措施（T02-TR01）等。數(shù)據(jù)安全風(fēng)險監(jiān)測數(shù)據(jù)安全風(fēng)險監(jiān)測評估內(nèi)容描述見表6。表6數(shù)據(jù)安全風(fēng)險監(jiān)測評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容應(yīng)具備常態(tài)化數(shù)據(jù)安技術(shù)能力：1出境風(fēng)險、數(shù)據(jù)暴露面風(fēng)險等。全風(fēng)險監(jiān)測能力，持續(xù)監(jiān)測數(shù)據(jù)安全風(fēng)險監(jiān)測（T03）基本安全要求限風(fēng)險、異常操作行人員訪談系統(tǒng)核驗(yàn)為、數(shù)據(jù)出境風(fēng)險、數(shù)據(jù)暴露面風(fēng)險。（T03-BR01）表表6）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容險監(jiān)測（T03）基本安全要求應(yīng)加強(qiáng)數(shù)據(jù)安全風(fēng)險閉環(huán)管理，持續(xù)提升數(shù)據(jù)安全風(fēng)險處置能力。（T03-BR02）人員訪談文檔查閱人員能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)是否具備數(shù)據(jù)安全風(fēng)險閉環(huán)管理能力，查閱是否具備完備的數(shù)據(jù)安全風(fēng)險臺賬、整改跟蹤記錄、殘余風(fēng)險處置計劃等文檔。三級增強(qiáng)要求應(yīng)建立數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警機(jī)制，制定合理有效的風(fēng)險監(jiān)測指標(biāo)。（T03-TR01）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1構(gòu)數(shù)據(jù)安全風(fēng)險監(jiān)測技術(shù)能力是否已內(nèi)置合理等。三級增強(qiáng)要求應(yīng)對數(shù)據(jù)安全事件和可能引發(fā)數(shù)據(jù)安全事件的風(fēng)險隱患進(jìn)行收集、分析判斷和持續(xù)監(jiān)控預(yù)警，建立數(shù)據(jù)安全監(jiān)測預(yù)警流程，有效保障業(yè)務(wù)系統(tǒng)所承載數(shù)據(jù)資產(chǎn)的機(jī)密（T03-TR02）人員訪談文檔查閱人員能力：事件和可能引發(fā)數(shù)據(jù)安全事件的風(fēng)險隱患進(jìn)行收集、分析判斷和持續(xù)監(jiān)控預(yù)警。構(gòu)數(shù)據(jù)安全管理員是否依據(jù)數(shù)據(jù)安全監(jiān)測預(yù)警檔。三級增強(qiáng)要求應(yīng)配備專人負(fù)責(zé)數(shù)據(jù)安全風(fēng)險監(jiān)測工作，定期出具風(fēng)險監(jiān)測報告。（T03-TR03）人員訪談文檔查閱組織能力：1期出具風(fēng)險監(jiān)測報告。三級增強(qiáng)要求險監(jiān)測工作的有效驗(yàn)證。人員訪談文檔查閱組織能力：1構(gòu)是否定期組織對數(shù)據(jù)安全風(fēng)險監(jiān)測工作的有錄。PAGEPAGE19PAGEPAGE20數(shù)據(jù)安全管控數(shù)據(jù)安全管控評估內(nèi)容描述見表7。表7數(shù)據(jù)安全管控評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管控（T04）基本安全要求應(yīng)根據(jù)不同數(shù)據(jù)級審計類賬號權(quán)限開合作方人員。（T04-BR01）人員訪談文檔查閱制度能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)是否建立賬號安全管理制度，明確數(shù)據(jù)管理、審計類賬號權(quán)限開通、分配、使用、變更、注銷等要求，查閱相關(guān)制度文檔?；景踩髷?shù)據(jù)訪問權(quán)限管控：應(yīng)對賬號及對應(yīng)權(quán)限進(jìn)行記錄，并在賬號或權(quán)限發(fā)生變更時及時更新，重點(diǎn)關(guān)注離職人員賬號回收、管理權(quán)限變更、沉默賬號、復(fù)活賬號。（T04-BR02）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：基本安全要求應(yīng)嚴(yán)格控制賬號訪（T04-BR03）人員訪談文檔查閱制度能力：1查閱賬號審批記錄文檔?；景踩髷?shù)據(jù)訪問權(quán)限管控：應(yīng)對賬號進(jìn)行統(tǒng)一身份認(rèn)證、操作行為記錄。（T04-BR04）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：4A否可記錄數(shù)據(jù)賬號操作行為。7）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管控（T04）基本安全要求數(shù)據(jù)訪問權(quán)限管控：應(yīng)對業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)訪問采取身份鑒別、訪問控制、安全審計、資源控制等技（T04-BR05）人員訪談技術(shù)檢測技術(shù)能力：1場景是否采取身份鑒別、訪問控制等技術(shù)措施。2現(xiàn)異常數(shù)據(jù)操作行為，查閱審計記錄。3基本安全要求數(shù)據(jù)訪問權(quán)限管控：應(yīng)對數(shù)據(jù)批量下載、上傳、刪除、共享和銷毀等重大操作行為設(shè)置內(nèi)部審批流程，并記錄操作行為。（T04-BR06）人員訪談文檔查閱系統(tǒng)核驗(yàn)制度能力：（如重要數(shù)據(jù)內(nèi)部審批流程，查閱相關(guān)制度及執(zhí)行記錄文檔。技術(shù)能力：記錄。象、操作行為、操作結(jié)果等。三級增強(qiáng)要求數(shù)據(jù)訪問權(quán)限管控：應(yīng)對數(shù)據(jù)跨網(wǎng)絡(luò)區(qū)域傳輸采取安全管控措施，包括但不限于網(wǎng)絡(luò)及應(yīng)用層的訪問控制策略，控制粒度為（T04-TR01）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1（置的ACL級別。四級增強(qiáng)要求體為用戶級或進(jìn)程庫表級等。（T04-FR01）系統(tǒng)核驗(yàn)技術(shù)檢測技術(shù)能力：否基于數(shù)據(jù)分類分級結(jié)果配置主體對客體的訪問控制策略，演示訪問控制策略。業(yè)務(wù)系統(tǒng)的訪問控制粒度是否達(dá)到主體為用戶級表級等。表7數(shù)據(jù)安全管控評估內(nèi)容（續(xù)）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管控（T04）基本安全要求數(shù)據(jù)防泄露管控：應(yīng)在網(wǎng)絡(luò)層面對數(shù)據(jù)流轉(zhuǎn)、泄露和濫用情況進(jìn)行監(jiān)控，及時對異常數(shù)據(jù)操作行為進(jìn)行預(yù)警。（T04-BR07）系統(tǒng)核驗(yàn)技術(shù)能力：1為進(jìn)行預(yù)警。三級增強(qiáng)要求行為及時定位和阻斷。（T04-TR02）系統(tǒng)核驗(yàn)技術(shù)能力：（運(yùn)維終端控，及時對異常數(shù)據(jù)操作行為進(jìn)行預(yù)警。行為及時定位和阻斷。四級增強(qiáng)要求數(shù)據(jù)防泄露管控：應(yīng)在終端層面對異常數(shù)據(jù)操作行為及時定位（T04-FR02）系統(tǒng)核驗(yàn)技術(shù)能力：1.通過系統(tǒng)核驗(yàn)方式，查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)終端側(cè)數(shù)據(jù)防泄露能力，是否能對終端設(shè)備（如運(yùn)維終端）的異常數(shù)據(jù)操作行為及時定位和阻斷?；景踩髷?shù)據(jù)接口管控：應(yīng)在數(shù)據(jù)接口調(diào)用前進(jìn)行身份鑒別，通過技術(shù)手段限制非白名單接（T04-BR08）技術(shù)檢測系統(tǒng)核驗(yàn)技術(shù)能力：CookieSession、Token、Oauth構(gòu)業(yè)務(wù)系統(tǒng)是否從技術(shù)手段上限制非白名單的接口接入?；景踩髷?shù)據(jù)接口管控：應(yīng)對數(shù)據(jù)接口定期開展安全檢測，及時發(fā)現(xiàn)并處置數(shù)據(jù)安全風(fēng)險隱患。（T04-BR09）人員訪談文檔查閱組織能力：1構(gòu)業(yè)務(wù)系統(tǒng)是否定期組織針對數(shù)據(jù)接口的安全風(fēng)險檢測，查閱數(shù)據(jù)接口安全風(fēng)險檢測報告。2全風(fēng)險整改記錄。PAGEPAGE237）PAGEPAGE22評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全管控（T04）基本安全要求數(shù)據(jù)接口管控：應(yīng)對數(shù)據(jù)接口實(shí)施調(diào)用審批流程，對接口調(diào)用行為進(jìn)行日志記錄。（T04-BR10）人員訪談文檔查閱系統(tǒng)核驗(yàn)制度能力：驗(yàn)審批執(zhí)行記錄文檔。技術(shù)能力：型、調(diào)用頻次、調(diào)用結(jié)果等?；景踩蟪山涌谇鍐?。（T04-BR11）人員訪談文檔查閱系統(tǒng)核驗(yàn)人員能力：據(jù)接口清單，查閱數(shù)據(jù)接口清單。技術(shù)能力：據(jù)接口清單，演示相關(guān)功能。三級增強(qiáng)要求數(shù)據(jù)接口管控：應(yīng)對異常數(shù)據(jù)接口調(diào)用行為實(shí)現(xiàn)自動預(yù)警、攔（T04-TR03）系統(tǒng)核驗(yàn)技術(shù)能力：1.通過系統(tǒng)核驗(yàn)方式，查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)是否具備對異常數(shù)據(jù)接口調(diào)用行為實(shí)現(xiàn)自動預(yù)警、攔截的功能；演示相關(guān)功能效果。三級增強(qiáng)要求數(shù)據(jù)接口管控：應(yīng)對開放數(shù)據(jù)接口的平臺相關(guān)接口數(shù)據(jù)交互行為進(jìn)行監(jiān)測，對接口數(shù)據(jù)交互行為進(jìn)行日（T04-TR04）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1構(gòu)業(yè)務(wù)系統(tǒng)是否屬于對外開放數(shù)據(jù)接口的平臺（進(jìn)行日志記錄。三級增強(qiáng)要求數(shù)據(jù)接口管控：應(yīng)建立數(shù)據(jù)接口全生命周期管理機(jī)制，形成接口清單，動態(tài)更新接（T04-TR05）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1演示相關(guān)功能效果。數(shù)據(jù)安全應(yīng)急處置數(shù)據(jù)安全應(yīng)急處置評估內(nèi)容描述見表8。表8數(shù)據(jù)安全應(yīng)急處置評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容急處置（T05）基本安全要求應(yīng)建立數(shù)據(jù)安全應(yīng)急（T05-BR01）文檔查閱制度能力：數(shù)據(jù)安全事件應(yīng)急處置預(yù)案。關(guān)預(yù)案內(nèi)容?；景踩笕藛T訪談文檔查閱人員能力：構(gòu)數(shù)據(jù)安全事件應(yīng)急隊(duì)伍在發(fā)生數(shù)據(jù)泄露、毀案采取應(yīng)急處置措施。組織能力：基本安全要求應(yīng)分析事件發(fā)生原（T05-BR03）人員訪談文檔查閱人員能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)在發(fā)生數(shù)據(jù)安全事件后，是否及時開展事件調(diào)查及經(jīng)驗(yàn)總結(jié)，查閱事件調(diào)查記錄及總結(jié)報告。2.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)是否及時依據(jù)事件調(diào)查記錄及總結(jié)報告，調(diào)整數(shù)據(jù)安全事件應(yīng)急處置策略，查閱策略更新記錄文檔。PAGEPAGE25表表8）PAGEPAGE24評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容急處置（T05）基本安全要求發(fā)生個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件，或發(fā)生數(shù)據(jù)安全事件風(fēng)險明顯加大時，應(yīng)立即采取補(bǔ)（T05-BR04）人員訪談文檔查閱組織能力：息主體，查閱相關(guān)執(zhí)行記錄文檔。（部門報告，查閱相關(guān)執(zhí)行及報告記錄?；景踩髴?yīng)采取技術(shù)手段對數(shù)據(jù)安全事件的日志或流量關(guān)聯(lián)分析進(jìn)行溯源，造成嚴(yán)重事件的應(yīng)依法追究事件主體責(zé)任。（T05-BR05）人員訪談文檔查閱人員能力：印溯源等），查閱事件溯源執(zhí)行記錄文檔。組織能力：機(jī)關(guān)追究事件主體責(zé)任，查閱報送記錄文檔。基本安全要求應(yīng)根據(jù)應(yīng)急預(yù)案明確的數(shù)據(jù)安全事件場景定期開展應(yīng)急演練，檢驗(yàn)和完善應(yīng)急處置（T05-BR06）人員訪談文檔查閱組織能力：每年組織至少一次數(shù)據(jù)安全事件典型場景的應(yīng)急演練。構(gòu)業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全事件應(yīng)急演練是否包括數(shù)報告等記錄文檔。三級增強(qiáng)要求應(yīng)跟蹤和記錄數(shù)據(jù)收集、分析、加工、挖掘等過程，保證在發(fā)生事件時溯源數(shù)據(jù)能重現(xiàn)相應(yīng)過程。（T05-TR01）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1示相關(guān)功能效果。表8數(shù)據(jù)安全應(yīng)急處置評估內(nèi)容（續(xù)）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：關(guān)鍵信息基礎(chǔ)設(shè)施系1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)統(tǒng)數(shù)據(jù)在發(fā)生重要數(shù)構(gòu)業(yè)務(wù)系統(tǒng)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)，若三級增強(qiáng)要求時上報關(guān)鍵信息基礎(chǔ)人員訪談文檔查閱數(shù)據(jù)安全應(yīng)設(shè)施安全保護(hù)工作部主管部門、監(jiān)督管理部門，包括公安機(jī)關(guān)、省級急處置門。（T05-TR02）人民政府有關(guān)部門、電信主管部門及其他有關(guān)部（T05）門，查閱上報記錄。四級增強(qiáng)要求數(shù)據(jù)真實(shí)性和保密性。（T05-FR01）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1性，演示相關(guān)功能效果。數(shù)據(jù)安全審計數(shù)據(jù)安全審計評估內(nèi)容描述見表9。表9數(shù)據(jù)安全審計評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容應(yīng)制定數(shù)據(jù)安全審計制度，審計覆蓋面包括數(shù)據(jù)收集、數(shù)據(jù)存制度能力：儲、數(shù)據(jù)傳輸、數(shù)據(jù)1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)使用、數(shù)據(jù)加工、數(shù)構(gòu)是否制定數(shù)據(jù)安全審計制度。數(shù)據(jù)安全審計（T06）基本安全要求各環(huán)節(jié)，明確審計策人員訪談文檔查閱2略、審計對象、審計數(shù)據(jù)處理活動各環(huán)節(jié)，是否明確審計策略、審計內(nèi)容、審計周期、審對象、審計內(nèi)容、審計周期、審計結(jié)果、審計問計結(jié)果、審計問題跟題跟蹤等要求。蹤等要求。（T06-BR01）PAGEPAGE279）PAGEPAGE26評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)安全審計（T06）基本安全要求應(yīng)對數(shù)據(jù)處理活動環(huán)節(jié)實(shí)施日志留存管理，日志記錄至少包IP作賬號、操作內(nèi)容、操作結(jié)果等，在發(fā)生安全事件時可提供溯源取證能力，日志保存時間不少于180天。（T06-BR02）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：構(gòu)業(yè)務(wù)系統(tǒng)是否針對數(shù)據(jù)處理活動各環(huán)節(jié)進(jìn)行關(guān)功能效果。180180的日志記錄?；景踩笕珜徲媹蟾?。（T06-BR03）人員訪談文檔查閱組織能力：1構(gòu)業(yè)務(wù)系統(tǒng)是否每年至少一次對數(shù)據(jù)處理活動計報告。三級增強(qiáng)要求行安全審計。（T06-TR01）人員訪談文檔查閱人員能力：1的數(shù)據(jù)操作行為及接口調(diào)用情況進(jìn)行安全審計，查閱審計記錄。數(shù)據(jù)處理活動安全評估數(shù)據(jù)收集數(shù)據(jù)收集評估內(nèi)容描述見表10。表10數(shù)據(jù)收集評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)收集（P01）基本安全要求應(yīng)對數(shù)據(jù)收集來源進(jìn)行鑒別和記錄，確保數(shù)據(jù)收集來源的合法性、正當(dāng)性，明確數(shù)據(jù)類型及收集渠道、目的、用途、范圍、頻度、方式等。（P01-BR01）人員訪談文檔查閱技術(shù)檢測組織能力：構(gòu)業(yè)務(wù)系統(tǒng)是否對數(shù)據(jù)收集來源進(jìn)行鑒別和記錄。保數(shù)據(jù)采集的合法性和正當(dāng)性。審查報告?；景踩笫占獠繖C(jī)構(gòu)數(shù)據(jù)性進(jìn)行鑒別。（P01-BR02）人員訪談文檔查閱組織能力：1是否收集外部機(jī)構(gòu)數(shù)據(jù)，如有收集外部機(jī)構(gòu)數(shù)別記錄?；景踩髠€人信息收集應(yīng)遵循合法、正當(dāng)、必要和誠信原則，并獲得個人信息主體的明示同意，不應(yīng)通過誤導(dǎo)、欺詐、脅迫或者其他違背個人信息主體真實(shí)意愿的方式獲取其同意。（P01-BR03）人員訪談系統(tǒng)核驗(yàn)組織能力：構(gòu)業(yè)務(wù)系統(tǒng)在收集個人信息前是否獲得個人信權(quán)方式。方式獲取其同意的情況。10）PAGEPAGE2910）PAGEPAGE28評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)收集（P01）基本安全要求應(yīng)按照GB/T35273—20205.15.6息收集工作。（P01-BR04）人員訪談系統(tǒng)核驗(yàn)技術(shù)檢測組織能力：1.通過人員訪談、系統(tǒng)核驗(yàn)、技術(shù)檢測方式，查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)是否按照GB/T35273—20205.15.6集工作?；景踩筇峁┕卜?wù)的移動互聯(lián)網(wǎng)應(yīng)用程序或第三方應(yīng)用，應(yīng)遵循最小化收集原則，不應(yīng)因個人信息主體不同意收集非必要個人信息，而拒絕個人信息主體使用移動互聯(lián)網(wǎng)應(yīng)用程序或第三方應(yīng)用。（P01-BR05）人員訪談技術(shù)檢測組織能力：1是否有提供公共服務(wù)的移動互聯(lián)網(wǎng)應(yīng)用程序或收集非必要個人信息，而拒絕使用。三級增強(qiáng)要求收集外部機(jī)構(gòu)數(shù)據(jù)保收集數(shù)據(jù)的機(jī)密（P01-TR01）人員訪談文檔查閱組織能力：1查閱安全評估記錄。1級～4級新建系統(tǒng)宜具備數(shù)據(jù)字段級別的分類分級功能模塊，實(shí)現(xiàn)對收集的數(shù)據(jù)字段自動進(jìn)行分類分級標(biāo)識。（P01-DT01）人員訪談文檔查閱系統(tǒng)核驗(yàn)組織能力：DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：務(wù)系統(tǒng)本身是否具備數(shù)據(jù)字段級別分類分級的類分級標(biāo)識。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容通過APISDK儲數(shù)據(jù)收集日志記錄。（P01-DT02）人員訪談文檔查閱技術(shù)檢測系統(tǒng)核驗(yàn)組織能力：DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：使用的APISDK份鑒別。APISDK錄。數(shù)據(jù)收集（P01）2級～4級注：81～4見DB4403/T271—2022附錄B。數(shù)據(jù)存儲數(shù)據(jù)存儲評估內(nèi)容描述見表11。表11數(shù)據(jù)存儲評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容制度能力：應(yīng)明確數(shù)據(jù)存儲相關(guān)1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)基本安全要求安全管控措施，如加密、訪問控制、數(shù)字人員訪談文檔查閱是否制定數(shù)據(jù)存儲安全管理制度；查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)是否明確數(shù)據(jù)存儲安全管控措施。2.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)構(gòu)（P02-BR01）業(yè)務(wù)系統(tǒng)是否具備加密、訪問控制、數(shù)字水印、完整性校驗(yàn)等數(shù)據(jù)存儲安全管控措施內(nèi)容。數(shù)據(jù)存儲應(yīng)明確數(shù)據(jù)備份與恢制度能力：估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)是否明確數(shù)據(jù)備份與恢復(fù)安全策略。據(jù)備份周期、備份方式、備份地點(diǎn)。組織能力：的可用性與完整性，查閱數(shù)據(jù)恢復(fù)性測試報告。（P02）復(fù)安全策略，建立數(shù)據(jù)備份恢復(fù)操作規(guī)基本安全要求程，說明數(shù)據(jù)備份周人員訪談文檔查閱性驗(yàn)證機(jī)制，保障數(shù)據(jù)的可用性與完整性。（P02-BR02）11）PAGEPAGE3111）PAGEPAGE30評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)存儲（P02）基本安全要求至備用場地。（P02-BR03）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1式、地點(diǎn)等?；景踩髠€人生物識別信息應(yīng)與個人身份信息分開存儲，原則上不應(yīng)存儲原始個人生物識別信息（如樣本、圖像等），僅存儲個人生物識別信息的摘要信息。（P02-BR04）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：機(jī)構(gòu)業(yè)務(wù)系統(tǒng)個人生物識別信息是否與個人身份信息分開存儲。識別信息的摘要信息?；景踩髠€人信息存儲期限應(yīng)為實(shí)現(xiàn)個人信息主體授權(quán)使用目的所必需的最短時間，法律法規(guī)另有規(guī)定或者個人信息主體另行授權(quán)同意的除外，超出個人信息存儲期限后，應(yīng)對個人信息進(jìn)行刪除或匿名化處理。（P02-BR05）人員訪談文檔查閱組織能力：技術(shù)能力：業(yè)務(wù)系統(tǒng)中存儲的個人信息超出個人信息存儲期限后，是否進(jìn)行刪除或匿名化處理。三級增強(qiáng)要求應(yīng)提供異地實(shí)時備份功能，利用通信網(wǎng)絡(luò)將數(shù)據(jù)實(shí)時備份至備（P02-TR01）人員訪談文檔查閱技術(shù)能力：1網(wǎng)絡(luò)將數(shù)據(jù)實(shí)時備份至備份場地。三級增強(qiáng)要求應(yīng)具備勒索病毒事前預(yù)警、事中阻斷及事后恢復(fù)的保障能力。（P02-TR02）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1事后恢復(fù)的保障能力，演示相關(guān)功能效果。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)存儲（P02）三級增強(qiáng)要求應(yīng)提供數(shù)據(jù)處理環(huán)節(jié)關(guān)聯(lián)信息系統(tǒng)的熱冗余，保證數(shù)據(jù)的高可用性。（P02-TR03）人員訪談文檔查閱技術(shù)能力：1（閱系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D。四級增強(qiáng)要求應(yīng)建立異地災(zāi)難備份中心，提供數(shù)據(jù)的實(shí)（P02-FR01）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：1功能。2級～4級宜采用DBMS工具字段權(quán)限管理模塊，合理化配置數(shù)據(jù)字段訪問和使用權(quán)限，確保數(shù)據(jù)字段在合理范圍內(nèi)被查詢和使用。（P02-DT01）人員訪談文檔查閱系統(tǒng)核驗(yàn)組織能力：DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：使用。3級～4級應(yīng)采用密碼算法或哈希算法對數(shù)據(jù)字段進(jìn)行加密或哈希存儲，其中口令應(yīng)采用加鹽哈希存儲。（P02-DT02）人員訪談文檔查閱系統(tǒng)核驗(yàn)組織能力：DB4403/T271—2022B，對數(shù)據(jù)子類3級及以上安全級別。技術(shù)能力：數(shù)據(jù)庫管理系統(tǒng)中存儲的數(shù)據(jù)字段是否采用加密或哈希算法存儲。數(shù)據(jù)庫管理系統(tǒng)中存儲的口令字段是否采用加鹽哈希存儲。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)業(yè)務(wù)系統(tǒng)是否依據(jù)DB4403/T271—2022附錄B，對數(shù)據(jù)子類數(shù)據(jù)存儲（P02）4級應(yīng)僅存儲個人生物識別信息的摘要信息。（P02-DT03）人員訪談或字段開展數(shù)據(jù)分類分級工作，其中個人生物識別信息定為4級安全級別。技術(shù)能力：2.通過系統(tǒng)核驗(yàn)方式，查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)在數(shù)據(jù)庫管理系統(tǒng)中是否僅存儲個人生物識別信息的摘要信息，不存儲原始生物識別信息。數(shù)據(jù)傳輸數(shù)據(jù)傳輸評估內(nèi)容描述見表12。表12數(shù)據(jù)傳輸評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)傳輸（P03）基本安全要求應(yīng)明確數(shù)據(jù)傳輸相關(guān)安全管控措施，如傳輸通道加密、數(shù)據(jù)內(nèi)容加密、數(shù)據(jù)接口傳輸安全等。（P03-BR01）人員訪談文檔查閱制度能力：12基本安全要求應(yīng)對數(shù)據(jù)傳輸兩端進(jìn)行身份鑒別，確保數(shù)據(jù)傳輸雙方可信任。（P03-BR02）系統(tǒng)核驗(yàn)技術(shù)檢測技術(shù)能力：碼、生物信息鑒別等）。通過技術(shù)檢測方式，查驗(yàn)身份鑒別功能安全確保數(shù)據(jù)傳輸雙方可信任?；景踩髴?yīng)采用校驗(yàn)技術(shù)保證數(shù)據(jù)在傳輸過程中的（P03-BR03）文檔查閱技術(shù)檢測技術(shù)能力：文檔中具備數(shù)據(jù)傳輸完整性保障措施設(shè)計。（校驗(yàn)碼、消息認(rèn)證碼（MAC）、數(shù)字簽名等）保證數(shù)據(jù)傳輸完整性。12）PAGEPAGE3312）PAGEPAGE34評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)傳輸（P03）三級增強(qiáng)要求應(yīng)對關(guān)鍵網(wǎng)絡(luò)傳輸線路及核心設(shè)備實(shí)施冗余建設(shè)，確保數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)可用性。（P03-TR01）人員訪談文檔查閱技術(shù)測試制度能力：保數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)可用性。技術(shù)能力：致。三級增強(qiáng)要求重要數(shù)據(jù)不應(yīng)通過離線或即時通信方式傳輸。（P03-TR02）人員訪談系統(tǒng)核驗(yàn)技術(shù)能力：（傳輸?shù)膱鼍?。演示平臺具備阻斷重要數(shù)據(jù)下載或阻斷重要數(shù)據(jù)傳輸能力。四級增強(qiáng)要求在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴。（P03-FR01）人員訪談文檔查閱技術(shù)測試技術(shù)能力：設(shè)計文檔中是否具備數(shù)據(jù)傳輸抗抵賴性及密碼算法設(shè)計。務(wù)系統(tǒng)已采用數(shù)字簽名和時間戳等密碼學(xué)技術(shù)實(shí)現(xiàn)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴。2級～4級對離線或即時通信方式傳輸?shù)臄?shù)據(jù)字段采取加密、脫敏等安全措施，確保傳輸安全性。（P03-DT01）人員訪談文檔查閱技術(shù)檢測組織能力：DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：2級～4確保傳輸安全性。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)業(yè)務(wù)系統(tǒng)3級～4級對數(shù)據(jù)字段進(jìn)行傳輸。（P03-DT02）人員訪談文檔查閱技術(shù)檢測DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：2.通過技術(shù)檢測方式，查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)3～4數(shù)據(jù)傳輸行傳輸。（P03）組織能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)業(yè)務(wù)系統(tǒng)4級宜在通道加密基礎(chǔ)人員訪談文檔查閱技術(shù)檢測DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：2.通過人員訪談、技術(shù)檢測方式，查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)是否在通道加密基礎(chǔ)上，采用內(nèi)容加密方式，對4級數(shù)據(jù)字段進(jìn)行傳輸。數(shù)據(jù)使用數(shù)據(jù)使用評估內(nèi)容描述見表13。表13數(shù)據(jù)使用評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容應(yīng)明確數(shù)據(jù)使用業(yè)務(wù)制度能力：場景的目的、范圍、1.通過人員訪談、文檔查閱方式，查驗(yàn)被評估機(jī)審批流程（含權(quán)限授構(gòu)是否制定數(shù)據(jù)使用安全管理制度；查驗(yàn)被評估基本安全要、人員訪談機(jī)構(gòu)業(yè)務(wù)系統(tǒng)是否明確數(shù)據(jù)使用安全管控措施。求人員崗位職責(zé)等，鼓文檔查閱2.通過人員訪談、文檔查閱方式，查驗(yàn)數(shù)據(jù)使用勵在保障安全的情況安全管理措施內(nèi)容是否包含數(shù)據(jù)使用業(yè)務(wù)場景下，開展數(shù)據(jù)利用。的目的、范圍、審批流程（含權(quán)限授予、變更、數(shù)據(jù)使用（P04-BR01）撤銷等）、人員崗位職責(zé)等內(nèi)容。（P04）基本安全要求應(yīng)明確數(shù)據(jù)統(tǒng)計分求。（P04-BR02）人員訪談文檔查閱制度能力：113）PAGEPAGE3513）PAGEPAGE36評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)使用（P04）基本安全要求應(yīng)根據(jù)不同數(shù)據(jù)使用場景采用安全處理措施（如去標(biāo)識化、匿名化等），降低數(shù)據(jù)敏感度及暴露風(fēng)險。（P04-BR03）文檔查閱技術(shù)檢測系統(tǒng)核驗(yàn)制度能力：數(shù)據(jù)使用脫敏要求。技術(shù)能力：構(gòu)業(yè)務(wù)系統(tǒng)是否對不同數(shù)據(jù)使用場景采用技術(shù)（程的敏感度及暴露風(fēng)險?；景踩蟠嬖诶盟惴ㄍ扑]技術(shù)進(jìn)行自動化決策分析的情形，應(yīng)保證決策的透明度和結(jié)果公（P04-BR04）人員訪談文檔查閱技術(shù)檢測技術(shù)能力：的算法推薦技術(shù)。是否公平合理?；景踩髷?shù)據(jù)公開前應(yīng)開展數(shù)據(jù)安全風(fēng)險評估，明確公開數(shù)據(jù)的內(nèi)容與種類、公開方式、公開范圍、安全保障措施、可能的風(fēng)險與影響范圍等。涉及敏感個人信息、商業(yè)秘密信息的，以及可能對公共利益或者國家安全產(chǎn)生重大影響的，不應(yīng)公開，法律法規(guī)另有規(guī)定的除外。（P04-BR05）人員訪談文檔查閱人員能力：12基本安全要求利用所掌握的數(shù)據(jù)資源，公開市場預(yù)測、統(tǒng)計等信息時，不應(yīng)危害國家安全、公共安全、經(jīng)濟(jì)安全和社（P04-BR06）人員訪談文檔查閱人員能力：1構(gòu)業(yè)務(wù)系統(tǒng)在利用所掌握的數(shù)據(jù)資源進(jìn)行公開全和社會穩(wěn)定。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)使用（P04）三級增強(qiáng)要求露敏感信息。（P04-TR01）人員訪談文檔查閱技術(shù)檢測技術(shù)能力：術(shù)措施保證匯聚大量數(shù)據(jù)時不暴露敏感信息。（K化等）、數(shù)據(jù)防泄露監(jiān)控與審計等技術(shù)措施。三級增強(qiáng)要求宜對不同數(shù)據(jù)使用場景采取數(shù)字水印等技（P04-TR02）人員訪談文檔查閱系統(tǒng)核驗(yàn)技術(shù)能力：字水印技術(shù)使用。數(shù)字水印等技術(shù)能力。三級增強(qiáng)要求宜對接入或嵌入的第三方應(yīng)用加強(qiáng)數(shù)據(jù)安入的第三方應(yīng)用開展處理行為符合雙方約出雙方約定的行為及時停止接入。（P04-TR03）人員訪談文檔查閱系統(tǒng)核驗(yàn)人員能力：業(yè)務(wù)系統(tǒng)是否在接入或嵌入第三方應(yīng)用前開展技夠有效防范接入風(fēng)險。業(yè)務(wù)系統(tǒng)是否能對第三方接入應(yīng)用的數(shù)據(jù)處理活超出雙方約定的行為及時停止接入。2級～4級在各類數(shù)據(jù)使用場景（如生產(chǎn)數(shù)據(jù)應(yīng)用為供作為參賽數(shù)據(jù)等）的數(shù)據(jù)字段進(jìn)行脫敏具或動態(tài)脫敏工具。（P04-DT01）人員訪談文檔查閱系統(tǒng)核驗(yàn)組織能力：否依據(jù)DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：（如生產(chǎn)數(shù)據(jù)應(yīng)評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：數(shù)據(jù)使用（P04）3級～4級（如提供作為參賽數(shù)據(jù)（P04-DT02）人員訪談文檔查閱系統(tǒng)核驗(yàn)通過人員訪談、文檔查閱方式，查驗(yàn)業(yè)務(wù)系統(tǒng)DB4403/T271—2022B類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：通過人員訪談、系統(tǒng)核驗(yàn)方式，查驗(yàn)被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)在數(shù)據(jù)使用場景中，為實(shí)現(xiàn)數(shù)據(jù)可用聯(lián)邦學(xué)習(xí)等。數(shù)據(jù)加工數(shù)據(jù)加工評估內(nèi)容描述見表14。表14數(shù)據(jù)加工評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)加工（P05）基本安全要求動的主體進(jìn)行合法（P05-BR01）人員訪談文檔查閱組織能力：1構(gòu)業(yè)務(wù)系統(tǒng)在開展數(shù)據(jù)加工活動前是否對數(shù)據(jù)的組織機(jī)構(gòu)或個人，查閱評估報告。基本安全要求面明確數(shù)據(jù)加工目責(zé)任與義務(wù)。（P05-BR02）人員訪談文檔查閱制度文檔：1則及責(zé)任與義務(wù)?；景踩箝_展數(shù)據(jù)加工活動過程中，出現(xiàn)可能危害（P05-BR03）人員訪談文檔查閱技術(shù)能力：1構(gòu)業(yè)務(wù)系統(tǒng)是否對數(shù)據(jù)加工過程進(jìn)行監(jiān)督和檢穩(wěn)定的情形時，立即停止加工活動。14）PAGEPAGE3914）PAGEPAGE38評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)加工（P05）基本安全要求確雙方安全保護(hù)責(zé)（P05-BR04）人員訪談文檔查閱人員能力：閱合同內(nèi)容是否明確雙方安全保護(hù)責(zé)任。雙方的權(quán)利和義務(wù)等。對受托方涉及個人信息處理的加工活動的監(jiān)督超過已征得個人信息主體授權(quán)同意的范圍。三級增強(qiáng)要求應(yīng)對數(shù)據(jù)加工的過程進(jìn)行評估與監(jiān)控，對數(shù)據(jù)加工過程的數(shù)據(jù)操作行為進(jìn)行記錄、審計，對異常數(shù)據(jù)操作行為及時預(yù)警、處置。（P05-TR01）人員訪談文檔查閱系統(tǒng)核驗(yàn)人員能力：構(gòu)業(yè)務(wù)系統(tǒng)是否通過日志或流量方式對數(shù)據(jù)加認(rèn)符合數(shù)據(jù)加工安全要求。技術(shù)能力：置，演示相關(guān)功能效果。三級增強(qiáng)要求應(yīng)對數(shù)據(jù)加工結(jié)果進(jìn)行評估，如產(chǎn)生新數(shù)據(jù)，應(yīng)對新數(shù)據(jù)進(jìn)行安全審核，確保新數(shù)據(jù)不存在數(shù)據(jù)泄露風(fēng)險。（P05-TR02）人員訪談文檔查閱技術(shù)檢測人員能力：接口與數(shù)據(jù)訪問權(quán)限管控、個人信息隱私保護(hù)（差分隱私保護(hù)、K匿名、假名化等）、數(shù)據(jù)防泄露監(jiān)控與審計等技術(shù)措施。技術(shù)能力：具備有效性，確保新數(shù)據(jù)沒有數(shù)據(jù)泄露風(fēng)險。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)加工（P05）三級增強(qiáng)要求應(yīng)提供安全的數(shù)據(jù)加工環(huán)境，包括網(wǎng)絡(luò)環(huán)境、終端環(huán)境等，避免加工過程導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)破壞等安（P05-TR03）人員訪談文檔查閱組織能力：終端系統(tǒng)等技術(shù)能力：三級增強(qiáng)要求加工重要數(shù)據(jù)的，應(yīng)加強(qiáng)訪問控制，建立登記、審批機(jī)制并留（P05-TR04）人員訪談文檔查閱技術(shù)檢測制度能力：機(jī)制等。批記錄。技術(shù)檢測：構(gòu)在加工重要數(shù)據(jù)過程中，采用的訪問控制措施，驗(yàn)證訪問控制措施的有效性。2級～4級在數(shù)據(jù)加工場景中，采用動態(tài)或靜態(tài)脫敏技術(shù)，對非必要加工的數(shù)據(jù)字段進(jìn)行脫敏處理，脫敏方式包括變形、屏蔽、替換、隨機(jī)化等，涉及靜態(tài)脫敏工具或動態(tài)脫敏工具。（P05-DT01）人員訪談文檔查閱系統(tǒng)核驗(yàn)組織能力：DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：化等，涉及靜態(tài)脫敏工具或動態(tài)脫敏工具。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：數(shù)據(jù)加工（P05）3級～4級數(shù)據(jù)加工場景中，如需實(shí)現(xiàn)數(shù)據(jù)可用不可見，宜采用隱私計算（P05-DT02）人員訪談文檔查閱系統(tǒng)核驗(yàn)DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：聯(lián)邦學(xué)習(xí)等。數(shù)據(jù)開放共享數(shù)據(jù)開放共享評估內(nèi)容描述見表15。表15數(shù)據(jù)開放共享評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)開放共享（P06）基本安全要求公共數(shù)據(jù)提供部門應(yīng)與公共數(shù)據(jù)使用部門簽署相關(guān)協(xié)議，明確數(shù)據(jù)使用目的、供應(yīng)方式、保密約定、數(shù)據(jù)共享范圍、數(shù)據(jù)安全保護(hù)要求等內(nèi)容。（P06-BR01）人員訪談文檔查閱組織能力：否與公共數(shù)據(jù)使用部門簽署相關(guān)協(xié)議。制度能力：圍、數(shù)據(jù)安全保護(hù)要求等內(nèi)容?；景踩笮院屯暾浴＃≒06-BR02）人員訪談技術(shù)檢測技術(shù)能力：1則訪談被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)作為公共數(shù)據(jù)提供程的保密性和完整性。基本安全要求履行GB/T39477—20206享數(shù)據(jù)安全要求。（P06-BR03）人員訪談文檔查閱組織能力：1GB/T39477—2020第6章確定的共享數(shù)據(jù)安全要求。15）PAGEPAGE4115）PAGEPAGE42評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)開放共享（P06）三級增強(qiáng)要求公共數(shù)據(jù)提供部門應(yīng)建立內(nèi)部審批機(jī)制，明確數(shù)據(jù)對外共享目的、范圍、期限、頻次等內(nèi)容。（P06-TR01）人員訪談文檔查閱組織能力：立內(nèi)部審批機(jī)制。制度能力：三級增強(qiáng)要求公共數(shù)據(jù)提供部門宜對共享的數(shù)據(jù)采取數(shù)字水印等技術(shù)，確保共享數(shù)據(jù)可溯源。（P06-TR02）人員訪談文檔查閱技術(shù)能力：1確保共享數(shù)據(jù)可溯源，演示相關(guān)功能效果。三級增強(qiáng)要求宜采用多方安全計據(jù)共享的安全性。（P06-TR03）人員訪談文檔查閱系統(tǒng)核驗(yàn)組織能力：算技術(shù)實(shí)現(xiàn)數(shù)據(jù)共享的安全性。技術(shù)能力：效果。2級～4級在數(shù)據(jù)共享場景中，采用動態(tài)或靜態(tài)脫敏技術(shù)，對非必要共享的數(shù)據(jù)字段進(jìn)行脫敏處理，脫敏方式包括變形、屏蔽、替換、隨機(jī)化等，涉及靜態(tài)脫敏工具或動態(tài)脫敏工具。（P06-DT01）人員訪談文檔查閱系統(tǒng)核驗(yàn)組織能力：DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：化等，涉及靜態(tài)脫敏工具或動態(tài)脫敏工具。評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：數(shù)據(jù)開放共享（P06）3級～4級在數(shù)據(jù)共享場景中，如需實(shí)現(xiàn)數(shù)據(jù)可用不可見，宜采用隱私計算技術(shù)，例如多方計算、聯(lián)邦學(xué)習(xí)等。（P06-DT02）人員訪談文檔查閱系統(tǒng)核驗(yàn)DB4403/T271—2022B，對數(shù)據(jù)子類或字段開展數(shù)據(jù)分類分級工作。技術(shù)能力：聯(lián)邦學(xué)習(xí)等。數(shù)據(jù)交易數(shù)據(jù)交易評估內(nèi)容描述見表16。表16數(shù)據(jù)交易評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：1.通過人員訪談方式，詢問被評估機(jī)構(gòu)是否開展應(yīng)按照相關(guān)法律法規(guī)數(shù)據(jù)交易基本安全要的要求開展數(shù)據(jù)交人員訪談遵循相關(guān)法律法規(guī)的要求開展數(shù)據(jù)交易活動，并（P07）求易，加強(qiáng)交易過程的文檔查閱加強(qiáng)交易過程的數(shù)據(jù)安全保護(hù)。制度能力：（P07-BR01）2.通過文檔查閱方式，查閱被評估機(jī)構(gòu)及業(yè)務(wù)系統(tǒng)開展數(shù)據(jù)交易活動中留存的監(jiān)管、審核、交易記錄等文件是否合規(guī)和完備。數(shù)據(jù)出境數(shù)據(jù)出境評估內(nèi)容描述見表17。17PAGEPAGE43PAGEPAGE44評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)出境（P08）基本安全要求據(jù)出境安全監(jiān)管要行政法規(guī)規(guī)定情形為。（P08-BR01）人員訪談文檔查閱技術(shù)檢測組織能力：1訪談被評估機(jī)構(gòu)在數(shù)據(jù)出境前是否嚴(yán)格遵守國立標(biāo)準(zhǔn)合同等，不存在未授權(quán)數(shù)據(jù)出境行為。2構(gòu)業(yè)務(wù)系統(tǒng)是否向境外提供國家規(guī)定的重要數(shù)境安全評估申報材料。3構(gòu)是否為掌握超過國家相關(guān)規(guī)定用戶個人信息估機(jī)構(gòu)是否向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安的風(fēng)險?；景踩缶硟?nèi)用戶在境內(nèi)訪問境內(nèi)網(wǎng)絡(luò)的，其流量不應(yīng)路由至境外。（P08-BR02）人員訪談技術(shù)檢測技術(shù)能力：流量路由至境外的情形。由至境外的情形?；景踩髴?yīng)建立跨境數(shù)據(jù)的評估、審批及監(jiān)管控制流程，并依據(jù)流程實(shí)施相關(guān)控制并記錄過程。（P08-BR03）人員訪談文檔查閱組織能力：1錄過程，查閱相關(guān)流程文檔。數(shù)據(jù)銷毀與刪除數(shù)據(jù)銷毀與刪除評估內(nèi)容描述見表18。表18數(shù)據(jù)銷毀與刪除評估內(nèi)容評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)銷毀與刪除（P09）基本安全要求應(yīng)建立數(shù)據(jù)銷毀與刪除規(guī)程，明確數(shù)據(jù)銷毀與刪除場景、方式及審批機(jī)制，設(shè)置相關(guān)監(jiān)督角色，記錄數(shù)據(jù)銷毀與刪除操作過程。（P09-BR01）人員訪談文檔查閱組織能力：構(gòu)業(yè)務(wù)系統(tǒng)是否明確數(shù)據(jù)銷毀與刪除規(guī)程。監(jiān)督角色，記錄數(shù)據(jù)銷毀與刪除操作過程?；景踩蠓ㄒ?guī)另有規(guī)定的除外。（P09-BR02）人員訪談文檔查閱組織能力：1構(gòu)業(yè)務(wù)系統(tǒng)是否具備如因業(yè)務(wù)終止或組織解散制，法律法規(guī)另有規(guī)定的除外?；景踩箅p方另有約定的除外。（P09-BR03）人員訪談文檔查閱組織能力：是否存在委托數(shù)據(jù)合作方完成數(shù)據(jù)處理工作的場景，是否協(xié)商確定數(shù)據(jù)處理完成后的銷毀時間。技術(shù)能力：法規(guī)另有規(guī)定或者雙方另有約定的除外。18）PAGEPAGE45PAGEPAGE46評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容數(shù)據(jù)銷毀與刪除（P09）基本安全要求后無需保留源數(shù)據(jù)數(shù)據(jù)。人員訪談文檔查閱組織能力：據(jù)。技術(shù)能力：保留源數(shù)據(jù)的，及時刪除相關(guān)數(shù)據(jù)?；景踩髴?yīng)按照GB/T35273—20208.3求執(zhí)行個人信息刪除人員訪談文檔查閱技術(shù)檢測組織能力：GB/T35273—20208.3技術(shù)能力：刪除證明，核實(shí)個人信息刪除有效性。三級增強(qiáng)要求應(yīng)在中國境內(nèi)對介質(zhì)存儲的數(shù)據(jù)進(jìn)行銷毀（P09-TR01）人員訪談文檔查閱組織能力：1.通過人員訪談、文檔查閱方式，詢問被評估機(jī)構(gòu)業(yè)務(wù)系統(tǒng)是否在中國境內(nèi)對介質(zhì)存儲的數(shù)據(jù)進(jìn)行刪除或銷毀，查閱境內(nèi)數(shù)據(jù)銷毀或刪除證明。三級增強(qiáng)要求應(yīng)對存儲數(shù)據(jù)的介質(zhì)或物理設(shè)備采取無法恢復(fù)的方式進(jìn)行數(shù)據(jù)銷毀與刪除，如物理粉碎、消磁、多次擦寫等。（P09-TR02）人員訪談文檔查閱技術(shù)能力：1對存儲介質(zhì)或物理設(shè)備中的數(shù)據(jù)進(jìn)行銷毀或刪除。表18數(shù)據(jù)銷毀與刪除評估內(nèi)容（續(xù)）評估項(xiàng)級別要求評估子項(xiàng)評估手段評估內(nèi)容組織能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)業(yè)務(wù)系統(tǒng)是否依據(jù)DB4403/T271—2022附錄B，對數(shù)據(jù)刪除等方式對銷毀數(shù)人員訪談子類或字段開展數(shù)據(jù)分類分級工作。2級～3級據(jù)字段進(jìn)行擦除，確文檔查閱技術(shù)能力：保數(shù)據(jù)不能被恢復(fù)。系統(tǒng)核驗(yàn)2.通過人員訪談、系統(tǒng)核驗(yàn)方式，查驗(yàn)被評估機(jī)（P09-DT01）構(gòu)業(yè)務(wù)系統(tǒng)在數(shù)據(jù)銷毀或刪除場景中，是否采用多次重寫、覆蓋、刪除等方式對銷毀數(shù)據(jù)字段進(jìn)行擦除，確保數(shù)據(jù)不能被恢復(fù)。數(shù)據(jù)銷毀與刪除（P09）組織能力：1.通過人員訪談、文檔查閱方式，查驗(yàn)業(yè)務(wù)系統(tǒng)應(yīng)采用物理破壞的方是否依據(jù)DB4403/T271—2022附錄B，對數(shù)據(jù)式，對存儲的數(shù)據(jù)字人員訪談子類或字段開展數(shù)據(jù)分類分級工作。4級段進(jìn)行數(shù)據(jù)銷毀處文檔查閱技術(shù)能力：理，確保數(shù)據(jù)不能被系統(tǒng)核驗(yàn)2.通過人員訪談、系統(tǒng)核驗(yàn)方式，查驗(yàn)被評估機(jī)恢復(fù)。（P09-DT02）構(gòu)業(yè)務(wù)系統(tǒng)在數(shù)據(jù)銷毀或刪除場景中，是否對4級數(shù)據(jù)采用物理破壞的方式，對存儲的數(shù)據(jù)字段進(jìn)行數(shù)據(jù)銷毀處理，確保數(shù)據(jù)不能被恢復(fù)。整體評估整體評估要求評估對象整體評估應(yīng)從以下兩方面進(jìn)行評估：評估子項(xiàng)間評估在單個評估子項(xiàng)完成評估后，應(yīng)進(jìn)行評估子項(xiàng)間評估，含評估類內(nèi)及類間的評估子項(xiàng)，分析是否存在其他評估子項(xiàng)對該評估子項(xiàng)具有安全功能上的增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。達(dá)到更高的安全狀態(tài)。注2：安全功能上的削弱會使一個評估子項(xiàng)的狀態(tài)影響另一個評估子項(xiàng)的狀態(tài)或者給其帶來新的脆弱性。經(jīng)過評估子項(xiàng)間評估，確實(shí)存在安全功能上的增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用的，則對受影響評估子項(xiàng)的評估結(jié)果予以調(diào)整，如不符合調(diào)整為部分符合或符合。PAGEPAGE47PAGEPAGE48例外情況評估在評估子項(xiàng)間完成評估后，應(yīng)結(jié)合評估對象關(guān)聯(lián)的例外情況進(jìn)行整體評估，如從數(shù)據(jù)安全評估經(jīng)過例外情況評估，確實(shí)存在安全功能上的增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用的，則對受影響評估子項(xiàng)的評估結(jié)果予以調(diào)整，如不符合調(diào)整為部分符合或符合。評估結(jié)論安全風(fēng)險分析和評價評估結(jié)論判定表19評估結(jié)論判別表評估結(jié)論判別依據(jù)優(yōu)被評估對象總分值大于等于90分，且不存在高風(fēng)險項(xiàng)。良被評估對象總分值大于等于80分，且不存在高風(fēng)險項(xiàng)。中被評估對象總分值大于等于70分，且不存在高風(fēng)險項(xiàng)。差被評估對象總分值小于70分，或總分值雖然大于等于70分但存在高風(fēng)險項(xiàng)。注：高風(fēng)險項(xiàng)判定示例見附錄B。附錄A（規(guī)范性）公共數(shù)據(jù)安全評估評分細(xì)則公共數(shù)據(jù)安全評估評分表公共數(shù)據(jù)安全評估按照以下方式進(jìn)行評估，各評估子項(xiàng)結(jié)果判定細(xì)則和分值見表A.1：公共數(shù)據(jù)安全評估評分表中的結(jié)果判定依據(jù)第6章至第8章評估內(nèi)容執(zhí)行；根據(jù)重要性設(shè)置各評估子項(xiàng)的分值，一般為1～10的整數(shù)，針對不同安全等級對象，因該等級下的安全要求存在差異，故同一評估子項(xiàng)分值存在不同；數(shù)據(jù)處理活動安全評估中級別要求涉及1級～4表A.1公共數(shù)據(jù)安全評估評分表關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定一、二級分值三級分值四級分值制度文檔通用管理安全（M）總體數(shù)據(jù)安（M01）M01-BR011～312～31/2不符合：其他情況，得0分。864制度文檔M01-TR011～2121/2不符合：其他情況，得0分。—22表A.1公共數(shù)據(jù)安全評估評分表表A.1公共數(shù)據(jù)安全評估評分表（續(xù)）PAGEPAGE49表A.1公共數(shù)據(jù)安全評估評分表表A.1公共數(shù)據(jù)安全評估評分表（續(xù)）PAGEPAGE50關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值組織人員通用管理安全（M）數(shù)據(jù)安全管理機(jī)構(gòu)與人員（M02）M02-BR011～2121/2不符合：其他情況，得0分。101010制度文檔M02-BR0210444組織人員M02-BR031～21～21/2不符合：其他情況，得0分。644組織人員M02-BR041～211/2分值。0666審批機(jī)制M02-BR051～21～21/2不符合：其他情況，得0分。555數(shù)據(jù)合作方M02-BR061～2121/2不符合：其他情況，得0分。888審批機(jī)制M02-TR01符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分?！?2關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值審批機(jī)制通用管理安全（M）數(shù)據(jù)安全管理機(jī)構(gòu)與人員（M02）M02-TR021～2121/2不符合：其他情況，得0分?！?1制度文檔M02-BR07符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。433制度文檔M02-BR081～21～21/2不符合：其他情況，得0分。555組織人員M02-BR091～412～41/2不符合：其他情況，得0分。666組織人員M02-BR10符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。311組織人員M02-TR03符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。—22組織人員M02-TR04符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。—11關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值組織人員通用管理安全（M）數(shù)據(jù)安全管理機(jī)構(gòu)與人員（M02）M02-TR051～2121/2不符合：其他情況，得0分?！?1組織人員M02-FR0110——1組織人員M02-FR0210——1組織人員數(shù)據(jù)安全管理制度體系（M03）M03-BR0110533制度文檔M03-BR021～2121/2不符合：其他情況，得0分。888制度文檔M03-BR031～21～21/20處理者，得滿分。666制度文檔M03-BR041～2121/2不符合：其他情況，得0分。333制度文檔M03-BR051～21～21/2不符合：其他情況，得0分。777關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值制度文檔通用管理安全（M）數(shù)據(jù)安全管理制度體系（M03）M03-BR06符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。222制度文檔M03-BR07符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。422制度文檔M03-TR01符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分?！?2技術(shù)工具/平臺通用技術(shù)安全（T）數(shù)據(jù)分類分（T01）T01-BR011～2121/2不符合：其他情況，得0分。333制度文檔組織人員T01-BR021～21～21/2不符合：其他情況，得0分。222制度文檔組織人員T01-BR031～21～21/2不符合：其他情況，得0分。222制度文檔組織人員T01-BR041～21～21/2不符合：其他情況，得0分。322關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值制度文檔組織人員通用技術(shù)安全（T）數(shù)據(jù)分類分（T01）T01-BR051～21～21/2不符合：其他情況，得0分。211技術(shù)工具/平臺T01-TR011～21～21/2不符合：其他情況，得0分?！?1技術(shù)工具/平臺T01-FR0110——1制度文檔數(shù)據(jù)安全評估（T02）T02-BR01符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。422組織人員T02-BR021～2121/2不符合：其他情況，得0分。222組織人員T02-BR031～20222制度文檔T02-BR041～312～31/2不符合：其他情況，得0分。222關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值制度文檔通用技術(shù)安全（T）數(shù)據(jù)安全評估（T02）T02-BR0510222制度文檔T02-BR06符合：滿足第1項(xiàng)，得滿分。0222組織人員制度文檔T02-TR011～312～31/2不符合：其他情況，得0分?！?2技術(shù)工具/平臺數(shù)據(jù)安全風(fēng)（T03）T03-BR01符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。333技術(shù)工具/平臺T03-BR02符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。322技術(shù)工具/平臺T03-TR01符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分?！?1組織人員T03-TR021～21～21/2不符合：其他情況，得0分?！?1組織人員T03-TR0310—11關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值組織人員通用技術(shù)安全（T）數(shù)據(jù)安全風(fēng)（T03）T03-TR0410—11制度文檔數(shù)據(jù)安全管控（T04）T04-BR01符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。433技術(shù)工具/平臺T04-BR021～21～21/2不符合：其他情況，得0分。322審批機(jī)制T04-BR03符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。333技術(shù)工具/平臺T04-BR041～21～21/2不符合：其他情況，得0分。321技術(shù)工具/平臺T04-BR051～31～31/20系統(tǒng)數(shù)據(jù)交互場景，得滿分。211制度文檔技術(shù)工具/平臺T04-BR061～312～31/20大操作行為，得滿分。333關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值技術(shù)工具/平臺通用技術(shù)安全（T）數(shù)據(jù)安全管控（T04）T04-TR01符合：滿足第1項(xiàng)，得滿分。11/20網(wǎng)絡(luò)區(qū)域傳輸場景，得滿分?！?2技術(shù)工具/平臺T04-FR011～2121/2不符合：其他情況，得0分?！?技術(shù)工具/平臺T04-BR07符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。433技術(shù)工具/平臺T04-TR021～21～21/2不符合：其他情況，得0分?！?2技術(shù)工具/平臺T04-FR02符合：滿足第1項(xiàng)，得滿分。11/2不符合：其他情況，得0分。——2技術(shù)工具/平臺T04-BR081～21～21/20API口，得滿分。422關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值組織人員通用技術(shù)安全（T）數(shù)據(jù)安全管控（T04）T04-BR091～21～21/20API口，得滿分。422制度文檔技術(shù)工具/平臺T04-BR101～21～21/20API口，得滿分。432組織人員技術(shù)工具/平臺T04-BR11120API口，得滿分。321技術(shù)工具/平臺T04-TR03符合：滿足第1項(xiàng)，得滿分。0API口，得滿分。—21技術(shù)工具/平臺T04-TR04符合：滿足第1項(xiàng)，得滿分。11/20分。—11技術(shù)工具/平臺T04-TR05符合：滿足第1項(xiàng)，得滿分。11/20API口，得滿分?！?1關(guān)聯(lián)資產(chǎn)評估類評估項(xiàng)評估子項(xiàng)結(jié)果判定分值三級分值四級分值制度文檔通用技術(shù)安全（T）數(shù)據(jù)安全應(yīng)（T05）T05-BR011～2121/2不符合：其他情況，得0分。555組織人員T05-BR021～2滿分。1～21/2不符合：其他情況，得0分。333組