ICS 35.240.01 CCS L 67 33 浙 江 省 地 方 标 准 DB33/T 2488—2022 公共数据安全体系评估规范 Assessment specification for public data security systems 2022 - 04 - 26 发布 2022 - 05 - 26 实施 浙江省市场监督管理局 发 布 DB33/T 2488—2022 目 次 前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 2 5 总体要求 ........................................................................... 2 6 评估模型 ........................................................................... 2 7 制度规范子体系评估项 ............................................................... 5 8 技术防护子体系评估项 ............................................................... 7 9 运行管理子体系评估项 .............................................................. 10 10 评估流程 ......................................................................... 12 附录 A（资料性） 公共数据安全体系评估指标定义示例 .................................... 14 附录 B（资料性） 常用评估方式示例 .................................................... 21 附录 C（资料性） 计算方法示例 ........................................................ 22 附录 D（资料性） 公共数据安全体系评估案例 ............................................ 24 参考文献 ............................................................................. 29 I DB33/T 2488—2022 前 言 本标准按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。 本标准由浙江省大数据发展管理局提出、归口并组织实施。 本标准起草单位：浙江省大数据发展中心、数字浙江技术运营有限公司、浙江省标准化研究院、联 通数字科技有限公司、浙江省数据安全服务有限公司、杭州市数据资源管理局、宁波市大数据发展管理 局、温州市大数据发展管理局、湖州市大数据发展管理局、嘉兴市政务服务和数据资源管理办公室、绍 兴市大数据发展管理局、金华市大数据发展管理局、衢州市大数据发展管理局、舟山市大数据发展管理 局、台州市大数据发展管理局、丽水市大数据发展管理局。 本标准主要起草人：金加和、王瑚、洪吉明、蓝宇娜、孟一丁、党铮铮、蒋纳成、赵程遥、毛远庆、 张斌、杜永华、池邦芬、笪猛霄、陈焕、包自毅、张新丰、顾闻、徐振华、张晓玮、杜战、范东媛、费 嫒、叶春雷、孔俊、朱通、王沁怡、张伟伟、胡瑞玉、叶红叶、施筱玲、徐峰、蒋迪、甄理、俞巍滔、 杜辉、孙茂阳、胡琼达、朱宝剑、叶茜茜、陈玮萍、屠勇刚、韩建良、徐李锐、毛勇增、张岳军、林国、 王玲玲。 本标准为首次发布。 II DB33/T 2488—2022 引 言 为保障一体化智能化公共数据平台和公共数据安全,建立健全数据安全防护能力评估指标,规范和 指导各地各部门开展公共数据安全评估工作,推动全省公共数据安全管理工作可量化、可追溯、可评估, 依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据条例》制定 本标准。 本标准是公共数据安全体系相关系列标准之一。 与本标准的相关标准还包括： ——公共数据安全体系建设指南（DB33/T 2487—2022）； ——公共数据分类分级指南（DB33/T 2351—2021）。 III DB33/T 2488—2022 公共数据安全体系评估规范 1 范围 本标准规范了公共数据安全体系评估总体要求、评估模型、评估项和评估流程等。 本标准适用于公共数据安全体系和能力评估，各级公共数据主管部门、公共管理和服务机构可参考 执行。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 标准。 GB/T 25069 信息安全技术 术语 GB/T 37973 信息安全技术 大数据安全管理指南 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 39477 信息安全技术 政务信息共享 数据安全技术要求 DB33/T 2350 数字化改革术语定义 DB33/T 2487 公共数据安全体系建设指南 3 术语和定义 GB/T 25069、GB/T 37973、GB/T 37988、GB/T 39477、DB33/T 2350和DB33/T 2487界定的以及下列 术语和定义适用于本标准。 3.1 评估项 assessment item 与公共数据安全三个子体系对应，每一个子体系对应一个评估项，包括制度规范子体系评估项、技 术防护子体系评估项和运行管理子体系评估项。 3.2 评估子项 assessment sub item 对应公共数据安全子体系各部分的建设内容，一个评估项包括若干个评估子项。 3.3 评估指标 assessment index 用以评估某一安全目标实现程度的数据安全相关活动和过程的最小单位，一个评估子项可基于评估 内容，确定评估权重并赋予分值，定义若干个评估指标。 3.4 评估对象 assessment object 被评估的组织机构或部门，主要涉及相关配套制度文档、设备设施及人员等。 1 DB33/T 2488—2022 4 缩略语 下列缩略语适用于本标准。 AIT：评估项（Assessment Item） AS：评估子项（Assessment Sub Item） SUM：最终分值（Sum） 5 总体要求 5.1 科学性 评估项和评估方法的选取应能够体现公共数据安全体系的主要内容，反映公共数据安全保障面临的 主要风险。 5.2 适宜性 评估项和评估方法的选取应结合本地区本部门实际情况，引导公共数据安全体系合理建设。 5.3 可度量性 评估项应具备可以获取的证明依据，并可以度量。 5.4 代表性 评估项应能较为全面地反映公共数据安全体系建设的总体水平。 5.5 持续性 应充分应用评估结果，促进公共数据安全体系的持续优化。 6 评估模型 6.1 总体架构 公共数据安全体系评估模型包括公共数据安全体系评估项、公共数据安全体系评估维度、公共数据 安全体系评估方法。公共数据安全体系评估模型详见图1。 2 DB33/T 2488—2022 图1 公共数据安全体系评估模型 6.2 评估项 6.2.1 制度规范子体系评估项 制度规范子体系评估项可基于二级制度展开，主要包含的评估子项： a) 分类分级管理制度； b) 访问权限管理制度； c) 数据脱敏管理制度； d) 数据共享和开放安全管理制度； e) 数据安全销毁管理制度； f) 供应方安全管理制度； g) 安全监督检查制度； h) 安全日志审计制度； i) 安全事件管理与应急响应制度等。 6.2.2 技术防护子体系评估项 技术防护子体系评估项主要包含的评估子项： a) 数据源统一鉴别技术； b) 敏感数据识别技术； c) 数据分类分级标识技术； 3 DB33/T 2488—2022 d) e) f) g) h) i) j) k) l) m) n) 数据脱敏技术； 数据加密技术； 传输通道加密技术； 数据血缘关系技术； 数据备份和恢复技术； 数据防泄漏技术； 销毁数据识别技术； 数据销毁技术； 访问权限管理； 数据共享和开放； 安全监测与预警等。 6.2.3 运行管理子体系评估项 运行管理子体系评估项主要包含的评估子项： a) 数据安全团队； b) 数据分类分级运行管理机制； c) 数据访问权限运行管理机制； d) 数据共享和开放安全运行管理机制； e) 安全日志审计机制； f) 安全监督检查机制； g) 安全事件应急响应机制； h) 安全培训机制等。 6.3 评估维度 公共数据安全体系评估维度可根据公共数据安全体系评估项的特点设置，共分为3大类，包括： a) 制度规范子体系评估维度，包括： 1) 全面性：评估相关制度文件内容是否全面，是否已经包含了必要的组成要素； 2) 可执行性：评估相关制度文件内容是否具备可落地执行性； 3) 动态更新性：评估相关制度文件内容是否根据外部环境、政策变化、组织实际情况等进 行了相应的调整。 b) 技术防护子体系评估维度，包括： 1) 功能性：评估相关技术产品是否覆盖所有