公共数据安全体系评估规范.pdfVIP

DB33/T XXXX—2022 公共数据安全体系评估规范 1 范围 本标准规范了公共数据安全体系评估总体要求、评估模型、评估项和评估流程等。 本标准适用于公共数据安全体系和能力评估，各级公共数据主管部门、公共管理和服务机构可参考 执行。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 标准。 GB/T 25069 信息安全技术 术语 GB/T 37973 信息安全技术 大数据安全管理指南 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 39477 信息安全技术 政务信息共享 数据安全技术要求 DB33/T 2350 数字化改革术语定义 DB33/T ×××× 公共数据安全体系建设指南 3 术语和定义 GB/T 25069、GB/T 37973、GB/T 37988、GB/T 39477、DB33/T 2350和DB33/T XXXX界定的以及下列 术语和定义适用于本标准。 3.1 评估项 assessment item 与公共数据安全三个子体系对应，每一个子体系对应一个评估项，包括制度规范子体系评估项、技 术防护子体系评估项和运行管理子体系评估项。 3.2 评估子项 assessment sub item 对应公共数据安全子体系各部分的建设内容，一个评估项包括若干个评估子项。 3.3 评估指标 assessment index 用以评估某一安全目标实现程度的数据安全相关活动和过程的最小单位，一个评估子项可基于评估 内容，确定评估权重并赋予分值，定义若干个评估指标。 3.4 评估对象 assessment object 被评估的组织机构或部门，主要涉及相关配套制度文档、设备设施及人员等。 1 DB33/T XXXX—2022 4 缩略语 下列缩略语适用于本标准。 AIT：评估项（Assessment Item） AS：评估子项（Assessment Sub Item） SUM：最终分值（Sum） 5 总体要求 5.1 科学性 评估项和评估方法的选取应能够体现公共数据安全体系的主要内容，反映公共数据安全保障面临的 主要风险。 5.2 适宜性 评估项和评估方法的选取应结合本地区本部门实际情况，引导公共数据安全体系合理建设。 5.3 可度量性 评估项应具备可以获取的证明依据，并可以度量。 5.4 代表性 评估项应能较为全面地反映公共数据安全体系建设的总体水平。 5.5 持续性 应充分应用评估结果，促进公共数据安全体系的持续优化。 6 评估模型 6.1 总体架构 公共数据安全体系评估模型包括公共数据安全体系评估项、公共数据安全体系评估维度、公共数据 安全体系评估方法。公共数据安全体系评估模型详见图1。 2 DB33/T XXXX—2022 图1 公共数据安全体系评估模型 6.2 评估项 6.2.1 制度规范子体系评估项 制度规范子体系评估项可基于二级制度展开，主要包含的评估子项： a) 分类分级管理制度； b) 访问权限管理制度； c) 数据脱敏管理制度； d) 数据共享和开放安全管理制度； e) 数据安全销毁管理制度； f) 供应方安全管理制度； g) 安全监督检查制度； h) 安全日志审计制度； i) 安全事件管理与应急响应制度等。 6.2.2 技术防护子体系评估项 技术防护子体系评估项主要包含的评估子项： a) 数据源统一鉴别技术； b) 敏感数据识别技术； c) 数据分类分级标识技术；