1、ICS 35.240.01CCS L 67DB4403深圳市地方标准DB4403/T 4392024公共数据安全评估方法Assessment methods of common data security深圳市市场监督管理局发 布2024-04-22 发布2024-05-01 实施DB4403/T 4392024I目次前言.III1范围.12规范性引用文件.13术语和定义.14缩略语.25通则.25.1评估原则.25.2评估体系.25.3安全能力.35.4评估手段.35.5评估适用情形.45.6评估指标和评估对象说明.45.7评估流程.46通用管理安全评估.56.1总体数据安全策略.56.2数
2、据安全管理机构与人员.66.3数据安全管理制度体系.117通用技术安全评估.137.1数据分类分级保护.137.2数据安全评估.157.3数据安全风险监测.177.4数据安全管控.197.5数据安全应急处置.237.6数据安全审计.258数据处理活动安全评估.278.1数据收集.278.2数据存储.298.3数据传输.328.4数据使用.348.5数据加工.378.6数据开放共享.408.7数据交易.428.8数据出境.428.9数据销毁与删除.44DB4403/T 4392024II9整体评估.469.1整体评估要求.469.2评估子项间评估.469.3例外情况评估.4710评估结论.471
3、0.1安全风险分析和评价.4710.2评估结论判定.47附录 A(规范性)公共数据安全评估评分细则.48A.1公共数据安全评估评分表.48A.2公共数据安全评估评分方法.70附录 B(资料性)高风险项判例.72附录 C(资料性)常见威胁列表.75附录 D(资料性)公共数据安全评估报告模板.78D.1公共数据安全评估报告封面.78D.2公共数据安全评估基本信息表.79D.3公共数据安全评估报告大纲.80附录 E(资料性)公共数据安全评估案例.81E.1组建评估团队.81E.2确定评估对象及评估范围.81E.3评估对象调研.81E.4组织评估实施.81E.5评估报告编制.86参考文献.87DB44
4、03/T 4392024III前言本文件按照 GB/T 1.12020标准化工作导则第 1 部分:标准化文件的结构和起草规则的规定起草。本文件由深圳市政务服务和数据管理局提出并归口。本文件起草单位:深圳市信息安全管理中心、全知科技(杭州)有限责任公司、鹏城实验室、中国电子标准化研究院、金砖国家未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、深圳国家金融科技测评中心有限公司、深圳赛西信息技术有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司。本文件主要起草人:董安波、李苏、罗菁春、林宇群、穆端端、赵剑、轩豪男、潘志斌、方兴、周顿科、魏凤玲、李佳雯、包亚鹏、陈崇滨、林生锐、束建钢、何
5、延哲、林桢、刘慧洋、王志、罗丰、吴祖顺、白晓媛、常新苗。DB4403/T 43920241公共数据安全评估方法1范围本文件规定了公共数据安全的通则、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论。本文件适用于各级公共数据主管部门、公共管理和服务机构开展公共数据安全评估,也适用于处理大量个人信息的服务平台数据安全能力的评估。本文件不适用于涉及国家秘密的公共数据安全评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适
6、用于本文件。GB/T 222392019信息安全技术网络安全等级保护基本要求GB/T 352732020信息安全技术个人信息安全规范GB/T 379882019信息安全技术数据安全能力成熟度模型GB/T 394772020信息安全技术政务信息共享数据安全技术要求DB4403/T 2712022公共数据安全要求3术语和定义GB/T 352732020、GB/T 379882019、DB4403/T 2712022界定的以及下列术语和定义适用于本文件。3.1公共数据common data公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。注:本文件提及的数据均指公共数据。3.2数据场景data scenario为了达到特定业务目的而对数据进行处理和使用的场景,对场景下数据流向进行全链路分析。注:单个数据场景可能涉及多个机构及其业务系统。3.3主责机构main responsible organization评估对象为数据场景时,场景涉及主要系统的责任部门。3.4关联机构related responsible organizationD
安全达人 