投融资活动数据合规评估指南.pdfVIP

GB/T XXXXX—XXXX 投融资活动数据安全合规评估指南 1 范围 本指南给出了投融资活动中针对各类组织数据处理活动和数据安全保障等合规性进行评估的指引， 包括评估内容、实施流程、评估要点等。 本指南适用于投融资各方为开展数据合规尽职调查、确认数据合规义务的履行、提升数据安全防护 能力、评估数据资产价值、降低交易风险等目的而开展的数据合规风险评估工作，同时也可为行业主管 部门、监管部门对投融资各方开展数据合规风险评估活动进行指导、监督提供参考。 2 规范性引用文件 本文件引述下列文件中的部分内容。下列文件中，注日期的引用文件，仅该日期对应的版本适用于 本指南；不注日期的引用文件，其最新版本适用于本指南。 GB/T 39335-2020 《信息安全技术 个人信息安全影响评估指南》 GB/T 35273-2020 《信息安全技术 个人信息安全规范》 GB/T 37932-2019 《信息安全技术 数据交易服务安全要求》 GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》 GB/T 25069-2010 《信息安全技术 术语》 《云计算服务安全评估办法》（国家网信办、发改委、工信部、科技部 2019.07.02） GB/T 36637-2018 《信息安全技术 ICT供应链安全风险管理指南》 GB/T 32926-2016 《信息安全技术 政府部门信息技术服务外包信息安全管理规范》 “ITU-T X.1401：Security threats of distributed ledger technology” “Blockchain and distributed ledger technologies -- Security risks and vulnerabilities” （ISO/NP TR 23245） “Blockchain and distributed ledger technologies — Privacy and personally identifiable information protection considerations”区块链和分布式账本技术——隐私和个人身份信息 保护注意事项 （ISO/TR 23244:2020） “ISO/IEC 27036-4：2016 Information technology — Security techniques — Information security for supplier relationships — Part 4：Guidelines for security of cloud services”(信息技术-安全技术-供应商关系的信息安全-第4部分：云服务安全指南) “ISO/IEC 27036-3：Information technology - Security techniques - Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security”（信息技术.安全技术.供应商关系的信息安全.第3部分: 信息和通信技术供应链安全指南） 3 术语和定义 3.1 数据合规 data compliance 是指组织在业务运营、提供产品或服务中，在个人信息保护、数据安全、网络安全等方面对法律、 1 T/CSAC XXXXX—XXXX 法规、标准、管理制度、商业习惯及其他行业伦理要求等强制性和/或非强制性要求的遵守。 3.2 评估标准 assessment standard 是指被评估方应当遵守和履行的数据合规义务，包括数据合规要求和数据合规承诺，具体内容包括 但不限于： 法律、行政法规，例如，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民 共和国个人信息保护法》《关键信息基础设施安全保护条例》等； 部门规章、行业规定、地方立法及其他具有强执行力的规范性文件，例如，《网络安全审查办法》 《汽车数据安全管理若干规定 （试行）》等； 推荐性国家标准、行业标准、团体标准，例如，《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019