ICS 35.020 CCS L 70 44 广东省 地方 标准 DB44/T 2650—2025 网络安全合规咨询服务规范 Specification for cyber security compliance consulting service 2025 - 04 - 11发布 2025 - 07 - 11实施 广东省市场监督管理局 发布 DB44/T 2650 —2025 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 党组织建设 ................................ ................................ ......... 2 5 法人治理 ................................ ................................ ........... 2 6 管理与服务 ................................ ................................ ......... 2 7 监督 ................................ ................................ ............... 8 8 评价 ................................ ................................ ............... 9 附录A （规范性） 数据安全合规咨询服务专业评价要求 ................................ ... 12 附录B （规范性） 个人信息保护合规咨询服务专业评价要求 ............................... 21 参考文献 ................................ ................................ ............. 30 DB44/T 2650 —2025 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由广东省科学技术厅提出并组织实施。 本文件由广东省网络空间安全标准化技术委员会归口。 本文件起草单位：广东省网络空间安全协会、公安部第三研究所、广东电网有限责任公司广州供电 局、网安联认证中心有限公司、广州华南检验检测中心有限公司、广州港数据科技有限公司、奇安信科 技集团股份有限公司、西交苏州信息安全法学所、北京网络空间安全协会、广东省科技基础条件平台中 心、联奕科技股份有限公司、云南联创网安科技有限公司、广州赛度检测服务有限公司、赛姆科技（广 东）有限公司、广东关键信息基础设施保护中心、国源天顺科技产业集团有限公司、广东新兴国家网络 安全与信息化发展研究院、广东中证声像资料司法鉴定所、广东计安信息网 络培训中心、广州网络空间 安全协会、揭阳网络空间安全协会、北京关键信息基础设施安全保护中心。 本文件主要起草人：黄道丽、林海、郝瑞、杨杰、王辉鹏、胡尧、黄春升、何天元、余飞、杨毅、 黄海祺、伍尚炽、高志健、袁峭、林小博、成珍苑、谭剑成、阮懿宗、何治乐、胡文华、梁思雨、胡柯 洋、王彩玉、李绍菊、何建忠、曾凌峰、李小孟、郭彦超、吴力挽、赵宇丹、郭龙军、张树霞、陈树鸿、 唐润华、覃仲宇、陈庆亮、凌财进、朱铁汉、张文金、李德芳、赵强、林蒽蒽、曹望、王辉、陈泽生、 常磊、谢永红、原浩、周锦棂、叶清华、余丽莎、马俊源、吴卓恒、刘思婷、程振帅、赵淑芳、黄丽玲、 林勇忠、许志鹏、姚祖发、肖祥春、杨海艳、张根海、方程、孙海申、 龙佳俊、任刚、舒畅、梁猛、漆 桃、黄小洪、曾幸钦、叶婷、曾灶烟、曾炽强、李树湖、周军强、李正戈、王作旺、王福、杜艳鑫、郝 旭、袁毅鸣、盖义、卢焕镇。 DB44/T 2650 —2025 III 引言 随着数字化、网络化、智能化加速推进，网络安全问题日益凸显。我国以《中华人民共和国网络安 全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》为核心的网络安全法律法规 体系逐步建立健全，为网络安全、数据安全及个人信息保护明确了监管要求，也对企事业单位加强合规 建设提出了更高要求。 《中华人民共和国网络安全法》明确规定国家要推进网络安全社会化服务体系建设，鼓励有关企业 开展网络安全认证、风险评估等安全服务。《中华人民共和国数据安全法》、《中华人民共和国个人信 息保护法》进一步明确国家对专业机构开展数据安全、个人信息保护评估、认证等服务的支持立场。在 此背景下， 强化对相关服务专业机构及服务行为的规范化管理， 对于推进网络安全社会化服务体系构建， 切实提升党政机关、企事业单位网络安全、数据安全及个人信息保护能力具有重要意义。 本文件针对数据安全合规咨询、个人信息保护合规咨询等网络安全合规咨询服务，明确了服务过程 要求、服务机构应具备的基本能力、专业能力和人员能力。 DB44/T 2650 —2025 1 网络安全合规咨询服务规范 1 范围 本文件规定了网络安全合规咨询服务机构 （以下简称 “咨询服务机构” ） 咨询服务类型、 等级划分、 通用评价要求、专业评价要求以及人员能力要求。 本文件适用于第三方认证机构对咨询服务机构进行资信和能力评价，可作为咨询服务机构开展自 我评价的依据，并为服务对象选择咨询服务机构提供参考。 本文件主要对数据安全、个人信息保护等咨询服务进行规范。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 37507 —2019 项目管理指南 3 术语和定义 GB/T 37507 —2019界定的以及下列术语和定义适用于本文件。 合规 compliance 组织及其员工的行为符合网络安全领域相关法律、法规、规章及其他规范性文件的要求。 咨询服务 consulting service 通过提供专业知识、经验和技能，帮助服务对象解决特定问题或实现特定目标的服务活动。 网络安全合规咨询服务 cyber security compliance consulting service 发现并确认组织在网络安全方面的合规风险，并提供相应的解决方案，使组织的管理和运营符合网 络安全相关法律、法规、规章及其他规范性文件要求的过程。 数据安全合规咨询服务 data security compliance consulting service 发现并确认组织在数据安全方面的合规风险，并提供相应的解决方案，使组织的管理和运营符合数 据安全相关法律、法规、规章及其他规范性文件要求的过程。 个人信息保护合规咨询服务 personal information protection compliance consulting service 发现并确认组织在个人信息保护方面的合规风险，并提供相应的解决方案，使组织的管理和运营符 合个人信息保护相关法律、法规、规章及其他规范性文件要求的过程。 咨询服务机构 consulting service organization DB44/T 2650 —2025 2 提供数据安全合规咨询服务、个人信息保护合规咨询服务等网络安全合规咨询服务的组织。 4 网络安全合规咨询服务类型 网络安全合规咨询服务类型包括：数据安全合规咨询服务、个人信息保护合规咨询服务等。 5 咨询服务机构等级划分 咨询服务机构能力评价包含通用评价要求和专业能力评价要求。通用评价要求包含基本要求、财务 资信、办公场所、人员能力、从业时间、经营业绩、管理制度、管理体系、制度更新机制和风险管理等。 专业能力评价要求包含基本要求、专业能力要求、服务过程规范等，具体要求见附录 A和附录B。人员能 力要求见第 8章。依据咨询服务机构的基本能力、通用评价要求中要求的能力、专业能力和服务过程能 力分为一级、二级、三级、四级，其中四级最高，一级最低。 6 通用评价要求 一级要求 6.1.1 基本要求 咨询服务机构的基本要求要求： a