DB4403_T 439-2024 公共数据安全评估方法.docx

ICS35.240.01CCSL67

DB4403

深圳市地方标准

DB4403/T439—2024

公共数据安全评估方法Assessmentmethodsofcommondatasecurity

2024-04-22发布2024-05-01实施

深圳市市场监督管理局发布

I

DB4403/T439—2024

目次

前言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5通则 2

5.1评估原则 2

5.2评估体系 2

5.3安全能力 3

5.4评估手段 3

5.5评估适用情形 4

5.6评估指标和评估对象说明 4

5.7评估流程 4

6通用管理安全评估 5

6.1总体数据安全策略 5

6.2数据安全管理机构与人员 6

6.3数据安全管理制度体系 11

7通用技术安全评估 13

7.1数据分类分级保护 13

7.2数据安全评估 15

7.3数据安全风险监测 17

7.4数据安全管控 19

7.5数据安全应急处置 23

7.6数据安全审计 25

8数据处理活动安全评估 27

8.1数据收集 27

8.2数据存储 29

8.3数据传输 32

8.4数据使用 34

8.5数据加工 37

8.6数据开放共享 40

8.7数据交易 42

8.8数据出境 42

8.9数据销毁与删除 44

II

DB4403/T439—2024

9整体评估 46

9.1整体评估要求 46

9.2评估子项间评估 46

9.3例外情况评估 47

10评估结论 47

10.1安全风险分析和评价 47

10.2评估结论判定 47

附录A（规范性）公共数据安全评估评分细则 48

A.1公共数据安全评估评分表 48

A.2公共数据安全评估评分方法 70

附录B（资料性）高风险项判例 72

附录C（资料性）常见威胁列表 75

附录D（资料性）公共数据安全评估报告模板 78

D.1公共数据安全评估报告封面 78

D.2公共数据安全评估基本信息表 79

D.3公共数据安全评估报告大纲 80

附录E（资料性）公共数据安全评估案例 81

E.1组建评估团队 81

E.2确定评估对象及评估范围 81

E.3评估对象调研 81

E.4组织评估实施 81

E.5评估报告编制 86

参考文献 87

III

DB4403/T439—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由深圳市政务服务和数据管理局提出并归口。

本文件起草单位：深圳市信息安全管理中心、全知科技（杭州）有限责任公司、鹏城实验室、中国电子标准化研究院、金砖国家未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、深圳国家金融科技测评中心有限公司、深圳赛西信息技术有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司。

本文件主要起草人：董安波、李苏、罗菁春、林宇群、穆端端、赵剑、轩豪男、潘志斌、方兴、周顿科、魏凤玲、李佳雯、包亚鹏、陈崇滨、林生锐、束建钢、何延哲、林桢、刘慧洋、王志、罗丰、吴祖顺、白晓媛、常新苗。

1

DB4403/T439—2024

公共数据安全评估方法

1范围

本文件规定了公共数据安全的通则、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论。

本文件适用于各级公共数据主管部门、公共管理和服务机构开展公共数据安全评估，也适用于处理大量个人信息的服务平台数据安全能力的评估。

本文件不适用于涉及国家秘密的公共数据安全评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日