公共數據安全體系評估規范(報批稿) I前言 12規范性引用文件 13術語和定義 14縮略語 25總體要求 26評估模型 27制度規范子體系評估項 58技術防護子體系評估項 79運行管理子體系評估項 10評估流程 附錄A(資料性)公共數據安全體系評估指標定義示例 附錄B(資料性)常用評估方式示例 21附錄C(資料性)計算方法示例 22附錄D(資料性)公共數據安全體系評估案例 24參考文獻 291信息安全技術術語信息安全技術大數據安全管理指南信息安全技術政務信息共享數據安全技術要求24縮略語AIT:評估項(AssessmentAS:評估子項(Assessment5.1科學性評估項和評估方法的選取應能夠體現公共數據安全體系的主要內容，反映公共主要風險。5.2適宜性評估項和評估方法的選取應結合本地區本部門實際情況，引導公共數據安全體系合理建設。5.3可度量性評估項應具備可以獲取的證明依據，并可以度量。5.4代表性評估項應能較為全面地反映公共數據安全體系建設的總體水平。應充分應用評估結果，促進公共數據安全體系的持續優化。6評估模型公共數據安全體系評估模型包括公共數據安全體系評估項、公共安全體系評估方法。公共數據安全體系評估模型詳見圖1。3功能性(有效性)制度規范可執行性技術防護評圍全面性c)數據分類分級標識技術；43)安全性：評估相關技術產品本身是否存在漏洞、配置錯誤(基線檢查)、業務邏輯錯誤2)專業性：評估相關人員是否有足夠能力勝任職責范圍內的工作，評估相關人員是否定期53)有效性：評估該運行管理機制在該組織落實后，是否有678儲或使用脫敏功能(包含靜態和動態脫敏);檢查該技術產品是否可根9組建評估團隊制定評估方案實施評估組建評估團隊制定評估方案實施評估編制對應的評估項(含子項)和評估維度，制定評估指標(取定評估權重和賦分規則可參考附錄B),通過評估項(AIT)評估子項(AS)1估項(AIT?)制度(AIT?-AS?)62(全部滿足得3分)3織實際情況等。(全部滿足得2分)4制度(AIT?-AS?)7等。(全部滿足得5分)5(全部滿足得3分)6織實際情況等。(全部滿足得2分)77足得5分)8(全部滿足得3分)9織實際情況等。(全部滿足得2分)得5分)評估項(AIT)評估子項(AS)估項(AIT?)7(全部滿足得3分)織實際情況等。(全部滿足得2分)制度(AIT?-AS?)5流程、銷毀工作要求等。(全部滿足得5分)(全部滿足得3分)織實際情況等。(全部滿足得2分)供應方安全管理制度(AIT?-AS?)8(全部滿足得3分)織實際情況等。(全部滿足得2分)安全監督檢查制度5滿足得5分)(全部滿足得3分)織實際情況等。(全部滿足得2分)安全日志審計制度7(全部滿足得3分)織實際情況等。(全部滿足得2分)急響應制度8(全部滿足得5分)評估項(AIT)評估子項(AS)估項(AIT?)急響應制度8(全部滿足得3分)織實際情況等。(全部滿足得2分)技術防護子體系術(AIT?-AS??)4驗的功能。(全部滿足得4分)適用性：1.核查該技術產品是否有效。(全部滿足得2分)等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)8部滿足得4分)的功能。(全部滿足得2分)2.核查該技術產品性能是否滿足該組織業務高峰期需求等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)技術(AIT?-AS12)8否滿足該組織業務高峰期需求等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)8敏)。(全部滿足得4分)態或動態脫敏保護的功能。(全部滿足得2術產品性能是否滿足該組織業務高峰期需求等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)評估項(AIT)評估子項(AS)技術防護子體系5加密保護。(全部滿足得2分)2.核查該滿足該組織業務高峰期需求等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)6(全部滿足得4分)誤、業務邏輯錯誤等。(全部滿足得3分)3關系、建立數據資產全景視圖等功能。(全部滿足得4分)品性能是否滿足該組織業務高峰期需求等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)術(AIT?-AS??)6備份數據完整性、數據恢復等功能。(全部滿足得4分)術產品性能是否滿足該組織業務高峰期需求等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)7部滿足得4分)的防泄漏。(全部滿足得2分)2.核查該技術產品性能是否滿足該組織業務高峰期需求等。(全部滿足得1分)評估項(AIT)評估子項(AS)技術防護子體系7誤、業務邏輯錯誤等。(全部滿足得3分)6據的識別等功能。(全部滿足得4分)適用性：1.核查該技術產品是否可有效識別并據銷毀場景的數據。(全部滿足得2分)2.品性能是否滿足該組織業務高峰期需求等。(全部滿足得誤、業務邏輯錯誤等。(全部滿足得3分)6據的識別等功能。(全部滿足得4分)適用性：1.核查該技術產品是否可有效識別并據銷毀場景的數據。(全部滿足得2分)2.品性能是否滿足該組織業務高峰期需求等。(全部滿足得誤、業務邏輯錯誤等。(全部滿足得3分)8脫敏相關技術產品聯動。(全部滿足得4分)問控制。(全部滿足得2分)2.核查該技術產品性能是否滿足該組織業務高峰期需求等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)全技術(AIT?-AS?2)7(全部滿足得4分)放安全。(全部滿足得2分)2.核查該技足該組織業務高峰期需求等。(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)評估項(AIT)評估子項(AS)技術防護子體系術(AIT?-AS23)7否全量接入重要系統日志，并具備支撐威脅發現、識別、得4分)風險，支撐數據安全體系建設規劃。(全部滿足得2分)2.核查該技術產品性能是否滿足該組織高峰期(全部滿足得1分)誤、業務邏輯錯誤等。(全部滿足得3分)運行管理子體系6團隊的各方的職責分工。檢查是否設置了機構主要負責人人及其工作職責。(全部滿足得4分)作。(全部滿足得3分)業操守，無不良記錄。(全部滿足得3分)機制(AIT?-AS25)6環工作機制。(全部滿足得3分)級結果反饋、分類分級機制優化等工作過程(全部滿足得3分)得4分)機制(AIT?-AS26)8記錄。(全部滿足得3分)記錄。(全部滿足得4分)評估項(AIT)評估子項(AS)運行管理子體系全管理(AIT?-AS?7)7申請審批，接口上線前和上線后的安全檢查、敏感數據實時監測告警處置等。(全部滿足得3分)和記錄。(全部滿足得3分)和記錄。(全部滿足得4分)安全日志審計機制71分)符合性：查驗安全日志審計工作過程文件和滿足得3分)得4分)安全監督檢查機制7符合性：查驗安全監督檢查工作過程文件和滿足得3分)滿足得4分)機制(AIT?-AS?o)8事件發生時，應急響應工作記錄和結果文件。安全培訓機制5施、效果考核、計劃優化調整等環節。(全部滿足得4分)優化調整等工作過程文件和記錄。(全部滿足得3分)優化調整等工作結果文件和記錄。(全部滿足得3分)DB33/TXXXX—2022(資料性)YZRs——評估子項權重值；資料查閱532資料查閱532資料查閱522理制度(AIT?-AS?)資料查閱531資料查閱521表D.1評估指標計分表(續)供應方安全管理(AIT?-資料查閱532安全監督檢查制度資料查閱532安全日志審計制度資料查閱532安全事件管理與應急響應制度(AIT?-AS?)資料查閱532技術防護子體系技術檢測422技術檢測333技術檢測433數據脫敏技術(AIT?-技術檢測433數據加密技術(AIT?-技術檢測423技術檢測433技術檢測333技術檢測421表D.1評估指標計分表(續)技術防護子體系數據防泄漏技術(AIT?-技術檢測433技術檢測323數據銷毀技術(AIT?-技術檢測423技術檢測333術(AIT?-AS2?)技術檢測421技術檢測433運行管理子體系數據安全團隊(AIT?-資料查閱問卷調查333數據分類分級管理機制資料查閱334數據訪問權限管理機制(AIT?-AS?后)資料查閱232理(AIT?-AS?)資料查閱233安全日志審計機制資料查閱333安全監督檢查機制資料查閱334表D.1評估指標計分表(續)運行管理子體系安全事件應急響應機制資料查閱232安全培訓機制(AIT?-資料查閱233評估團隊召開復評會議，根據評估過程記錄及評估證明材料，最終研判核準各評估子項分值(復評)數據分類分級管理制度(AIT?-AS?)68數據訪問權限管理制度(AIT?-AS?)7數據脫敏管理制度(AIT?-AS?)78數據共享和開放安全管理制度(AIT?-AS?)79數據安全銷毀管理制度(AIT?-AS?)58供應方安全管理(AIT?-AS?)8安全監督檢查制度(AIT?-AS?)5安全日志審計制度(AIT?-AS?)78安全事件管理與應急響應制度(AIT?-AS?)8數據源統一鑒別技術(AIT?-AS??)48敏感數據識別技術(AIT?-AS?)88數據分類分級標識技術(AIT?-AS1?)89數據脫敏技術(AIT?-AS??)88數據加密技術(AIT?-AS??)58傳輸通道加密技術(AIT?-AS??)69數據血緣關系技術(AIT?-AS?6)38數據備份和恢復技術(AIT?-AS??)67數據防泄漏技術(AIT?-ASi?)78銷毀數據識別技術(AIT?-AS?9)68數據銷毀技術(AIT?-AS?0)69訪問權限管理技術(AIT?-AS?)89數據共享和開放安全技術(AIT?-AS)77安全監測與預警技術(AIT?-AS?)79評估子項分值(復評)數據安全團隊(AIT?-ASs)69數據分類分級管理機制(AIT?-AS?6)69數據訪