TCCIASC 0028-2024 数据安全建设服务能力评定规范.docx

ICS35.240.99

CCSL67

CCIASC

中国计算机行业协会团体标准

T/CCIASC0028—2024

数据安全建设服务能力评定规范

SpecificationforCapabilityEvaluationofDataSecurityConstructionServices

2024-12-20发布 2024-12-27实施

中国计算机行业协会 ??发布

T/CCIASC0028

T/CCIASC0028—2024

PAGE\*ROMAN

PAGE\*ROMANIII

目 次

前 言 II

引 言 III

范围 1

规范性引用文件 1

术语和定义 1

评定原则 2

评定基本要求 2

评定指标框架 2

评价内容和要求 3

核心技术能力 4

人才基础 4

技术创新机制 4

知识产权情况 5

技术转化能力 5

持续经营能力 5

管理者能力 5

规模及资质 6

市场占有能力 6

盈利能力 6

项目管理能力 6

人员管理 6

方案管理 7

质量管理 7

风险管理 7

成果物管理 8

评价方法 8

专家评审法 8

资料收集法 9

评定程序 9

评定结果 10

参 考 文 献 12

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由由中国计算机行业协会提出。本文件由由中国计算机行业协会归口。

本文件起草单位：中国软件评测中心（工业和信息化部软件与集成电路促进中心）、中国电信股份有限公司安徽分公司、联通数字科技有限公司、亚信科技（成都）有限公司、重庆市软件评测中心有限公司、北京明朝万达科技股份有限公司、恒安嘉新（北京）科技股份公司、中科信息安全共性技术国家工程研究中心有限公司、北京市京都律师事务所、恒辉信达技术有限公司、上海斗象信息科技有限公司、中核核信信息技术（北京）有限公司、北京金源动力信息化测评技术有限公司、天津朗言安全技术服务有限公司、北京君云天下科技有限公司、上海胡桃网络科技有限公司。

本文件主要起草人：林海静、王露颖、王翔宇、张嘉欢、曹顺超、仇必青、王文鑫、徐灏、赵宁、戚清海、冀托、丁晓明、郑旭飞、喻波、刘新鹏、伊鹏达、曹国华、王菲、关涛、谢忱、张士莹、曹涛、赵亮、张靖、方新、李能言、周焕军。

引 言

数据安全建设服务有助于强化我国重要数据和核心数据的保护能力，保障数据持续处于有效保护、合法利用、有序流动的状态，提升各行业各领域数据安全水平，加速数据要素市场培育和价值释放。当前，很多单位正在开展数据安全建设业务，但数据安全建设服务能力参差不齐，不利于数据安全建设服务市场的健康发展和数据安全标准的有效落地。本文件通过强化对数据安全建设机构的基本要求和分类要求，从核心技术能力、持续经营能力、建设管理能力3个维度进行统一分级、判定，意在构建统一规范的数据安全建设服务能力评定体系，制定有效的数据安全建设服务能力评定规范及配套评定方法。

T/CCIASC0028

T/CCIASC0028—2024

PAGE

PAGE10

数据安全建设服务能力评定规范

范围

本文件规定了数据安全建设服务能力的评定规范，给出了数据安全建设服务能力评定的基本要求、指标框架、评定流程及评定方法。

本文件既适用于第三方能力评定机构，对其开展的数据安全建设服务能力评定工作提供指引，也适用于数据安全建设服务提供商开展服务能力自评定，为提升其数据安全建设服务能力提供参考。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22080-2016信息技术安全技术信息安全管理体系GB/T25069-2022信息安全技术术语

GB/T41479-2022信息安全技术网络数据处理安全要求JGJ/T67-2019 办公建筑设计标准

T/ZHTEA001高新技术企业创新能力评价

术语和定义

GB/T25069、GB/T41479、T/ZHTEA001中界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T25069、GB/T41479、T/ZHTEA001中的某些术语和定义。

数据安全datasecurity

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

注：GB/T41479