ICS35.030

CCSL80

團體標準

T/SZBAXXXX—XXXX

基于區塊鏈的數據資產評估實施指南

ImplementationGuidelinesforDataAssetEvaluationBasedonBlockchain

2023-6-1

XXXX-XX-XX發布

XXXX-XX-XX實施

深圳市信息服務業區塊鏈協會發布

T/SZBAXXXX—XXXX

基于區塊鏈的數據資產評估實施指南

1范圍

本文件規定了基于區塊鏈的數據資產的評估框架、評估過程以及評估內容和要求。

本文件適用于各類組織基于區塊鏈開展數據資產評估工作。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術術語

GB/T22239信息安全技術網絡安全等級保護基本要求

GB/T22240信息安全技術網絡安全等級保護定級指南

GB/T37932—2019信息安全技術數據交易服務安全要求

GB/T37964—2019信息安全技術個人信息去標識化指南

GB/T35273—2020信息安全技術個人信息安全規范

GB/T39335—2020信息安全技術個人信息安全影響評估指南

GB/T40685—2021信息技術服務數據資產管理要求

GB/T41391—2022信息安全技術移動互聯網應用程序（App）收集個人信息基本要求

GB/T41479—2022信息安全技術網絡數據處理安全要求

GB/T39204—2022信息安全技術關鍵信息基礎設施安全保護要求

20173824-T-469區塊鏈和分布式記賬技術參考架構

20213310-T-469區塊鏈和分布式記賬技術系統測試規范

20213307-T-469區塊鏈和分布式記賬技術應用程序接口中間件技術指南

20201615-T-469區塊鏈和分布式記賬技術智能合約生命周期管理技術規范正在批準

20201612-T-469區塊鏈和分布式記賬技術存證通用服務指南

20210929-T-469區塊鏈和分布式記賬技術術語

20210998-T-469信息安全技術區塊鏈技術安全框架

20210991-T-469信息安全技術區塊鏈信息服務安全規范

20221465-T-469信息技術區塊鏈和分布式記賬技術物流追蹤服務應用指南

3術語和定義

GB/T25069界定的以及下列術語和定義適用于本文件。

3.1

數據data

1

T/SZBAXXXX—XXXX

任何以電子或者其他方式對信息的記錄。

[GB/T41479—2022，3.1]

3.2

數據資產dataasset

特定主體合法擁有或者控制的、能進行貨幣計量的、且能帶來直接或者間接經濟利益的數據資源。

[GB/T40685—2021，3.1，有修改]

3.3

數據資產評估dataassetassessmuent

對組織內數據資產現狀以及質量、價值等進行定量和定性評價的活動。

[GB/T40685—2021，3.9]

3.4

數據交易datatransaction

數據供方和需方之間以數據商品作為交易對象，進行的以貨幣或貨幣等價物交換數據商品的行為。

注1:數據商品包括用于交易的原始數據或加工處理后的數據衍生產品。

注2:數據交易包括以大數據或其衍生品作為數據商品的數據交易，也包括以傳統數據或其衍生品作為數據商品的數

據交易。

[GB/T37932—2019，3.1]

3.5

匿名化anonymization

個人信息經過處理無法識別特定自然人且不能復原的過程。

注：個人信息經匿名化處理后所得的信息不屬于個人信息。

[GB/T41479—2022，3.13]

3.6

個人信息personalinformation

以電子或者其他方式記錄的與已識別或者可以識別自然人有關的各種信息。

注1：個人信息包括姓名、出生日期、公民身份證號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和

內容、賬號密碼、財產信息、征信信息、行蹤信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2：不包括匿名化處理后的信息。

[GB/T41479—2022，3.6]

3.7

重要數據importantdata

一旦泄露可能直接影響國家安全、公共安全、經濟安全和社會穩定的數據。

注：重要數據包括未公開的政府信息，數量達到一定規模的基因、地理、礦產信息等，原則上不包括個人信息、企

業內部經營管理信息等。

[GB/T41479—2022，3.9]

3.8

去標識化de-identification

2

T/SZBAXXXX—XXXX

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息所標識的自然人

的過程。

注：去除標識符與個人信息主體（個人信息所標識的自然人）之間關聯性。

[GB/T37964—2019，3.13，有修改]

3.9

小程序miniprogram

基于應用程序開放接口實現的，用戶無需安裝即可使用的移動互聯網應用程序。

注：應用程序通過公開其應用程序編程接口（API）或函數，使外部的程序可以增加該應用的功能或使用讓該應用程

序的資源，而不需要更改該應用程序的源代碼。

[GB/T41391—2022，3.3]

3.10

數據出境datacross-bordertransfer

中國境內的數據處理者通過網絡及其他方式（如物理攜帶），將在中國境內運營中收集和產生的個

人信息和重要數據，通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人

的一次活動或連續性活動。

注1：以下情形屬于數據出境：

a)向本國境內，但不屬于本國司法管轄或未在境內注冊的主體提供個人信息和重要數據；

b)數據未轉移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看的（公開信息除外）。

c)網絡運營者集團內部數據由境內轉移至境外，涉及其在境內運營中收集和產生的個人信息和重要數據的。

注2：非在境內運營中收集和產生的個人信息和重要數據經由本國出境，未經任何變動或加工處理的，不屬于數據出

境。

注3：非在境內運營中收集和產生的個人信息和重要數據在境內存儲、加工處理后出境，不涉及境內運營中收集和產

生的個人信息和重要數據的，不屬于數據出境。

注4：境內自然人因個人或者家庭事務向境外提供個人信息，不屬于數據出境。

3.11

關鍵信息基礎設施criticalinformationinfrastructure

公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業

和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共

利益的重要網絡設施、信息系統等。

注：負責關鍵基礎設施安全保護的工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及

時將認定結果通知運營者，并通報國務院公安部門。

4縮略語

下列縮略語適用于本文件。

API：應用程序編程接口（ApplicationProgrammingInterface）

SDK：軟件開發工具包（SoftwareDevelopmentKit）

CIIO：關鍵信息基礎設施運營者（CriticalInformationInfrastructureOperator）

5評估過程

5.1準備

5.1.1評估方案制定

3

T/SZBAXXXX—XXXX

評估準備階段應首先制訂評估方案，評估方案的制訂是一個不斷確認的過程，至少應完成以下工作

內容的確認：

a)評估團隊

應完成評估團隊的組建，包括評估實施機構與被評估機構的人員數量、專業組成以及溝通機制的確

認。評估組相關各方成員應具備可支撐評估開展的法律、技術、安全管理、業務規則等方面的相關專業

知識和技能，可承擔相關的評估和配合工作。

b)評估范圍

應根據評估目的和評估對象來確定評估范圍的邊界。在某些情況下，評估對象可能不是一個特定的

組織機構，而是某些數據、某個項目、某個業務、某筆交易或是某個信息系統或是一個數據處理的生命

周期等。例如，委托方為達到境外上市或投資收購等目的而進行的數據資產評估。可根據實際情況對評

估內容進行裁剪輯或補充。

a)注：數據處理生命周期可能跨越組織、業務、系統等。

b)注：評估范圍可包括組織范圍、物理地域范圍、項目范圍、業務流程和業務活動范圍、信息系統和技術工具

范圍、人員范圍、數據范圍、時間范圍等維度。

c)評估依據

應根據評估目的確定評估依據。包括適用的國家相關法律法規、監管規定、行業準則和國際條約、

規則，以及相關國際、國家及行業標準等。

d)評估工具

應明確評估過程中使用的工具。包括檢查表、基線檢查工具、安全掃描及測試工具、安全審計工具

等。

e)評估進度

應對評估進度進行預期規劃，包括準備、審核、分析階段的時間及里程碑安排。以便參與各方預留

時間和資源參與評估工作，保障評估活動的實施效率。

f)評估風險

應對評估活動可能引入的風險及其影響進行分析，如審查活動對信息泄密的風險、測試掃描活動對

業務運行和數據正確性的影響、評估工作自身的局限性及約束等，應采用最小影響原則并給出應對措施。

5.1.2以上內容應與評估活動管理單位充分溝通，制定成文檔化的評估方案并獲得批準和實施授權。

5.1.3評估對象調研

應對被評估的對象進行充分的調研，作為后續評估工作的基礎。調研應包括如下內容：

a)業務運營模式

評估對象涉及的業務范圍、內容、模式以及與外部組織機構合作的情況。

b)數據處理活動

評估對象處理數據的類型、流程、規模以及在處理過程中所處的角色和地位，評估數據收集、存

儲、使用、加工、傳輸、提供、公開、刪除等全生命周期處理活動的情況。

c)安全管理制度及落實

評估對象的數據安全管理組織架構、管理制度、技術措施、網絡安全等級保護、培訓教育等情況。

d)處罰及整改

評估對象及其所在組織涉及的數據資產的投訴、行政處罰、訴訟、仲裁，以及以往資產管理相關測

評和數據資產評估的整改和糾正措施情況。

宜通過發放調查單的形式來對評估對象進行調研。

4

T/SZBAXXXX—XXXX

5.1.4評估資料收集

應根據評估目的進行對評估對象相關的數字資產資料收集，包括但不僅限于如下內容：

a)業務介紹、分支機構及股權架構、所在組織的營業執照以及相關行業的經營許可。

b)與數據供應商和第三方公司簽訂的協議、合同和文件范本和實例以及對供應商的審查文件。

c)現有的網絡安全、數據安全、數據分級分類、個人信息保護等事項的管理文件。包括制度、規

范、程序文件、行業準則和承諾、指引文件、培訓考核和監督要求以及近三年執行相關活動形

成的技術和質量記錄等。

d)近三年的與數據資產或數據安全相關的訴訟、仲裁和被執法機關調查和處罰的相關文件，包括

約談、調查通知、處罰通知、判決書等。

e)近三年涉及的網絡安全審查報告、等級保護的備案證明以及相關信息系統的等級保護測評報

告、網絡信息安全及數據安全風險評估報告等。

f)已發生過的網絡安全攻擊、系統中斷、信息泄露等事件的情況分析及應急響應報告。

g)評估人員可通過對公開信息進行查詢的方式獲取評估對象的相關信息，以對收到的資料進行

印證和補充。查詢渠道可包括：

1)國家企業信用信息公示系統、信息產業主管部門網站、各地行業主管部門網站、國家及地

方網信部門網站以及執行和裁判信息公開網站等。

2)可利用公共或專用網絡搜索引擎對被評估對象散布在互聯網或專用網絡上的相關信息進

行查閱整理。

必要時，可根據實際評估情況，要求被評估方補充資料。

5.2審核

5.2.1文檔審查

評估人員應對在收集資料過程中收到的相關文件進行逐一審查，以評估相關制度、文件及落實情況

是否符合評估依據的相關要求。

5.2.2安全檢測

評估人員可對相關實際運行的網絡、信息系統和數據信息實施安全檢測，通過查看、分析被測系統

的響應和輸出結果，評估被測系統的安全技術保障措施是否有效。執行此項工作時，應注意測試數據和

評估工具可能對系統運行產生的影響，并盡可能減小這些影響。

5.2.3人員訪談

必要時，作為文檔審查和安全檢測結果的補充，可對被評估對象涉及的相關人員進行訪談，以核實

評估對象數據資產的實際情況。訪談可以采取交流、討論、詢問等形式，訪談對象可視情況包含如下人

員：

a)信息系統相關的研發人員、產品經理和業務設計人員。

b)組織內部的業務負責人、技術負責人、數據安全負責人以及法律合規負責人。

c)網絡、應用和數據運維人員以及信息安全管理人員。

5.3分析

5.3.1問題和風險

在審核過程的執行中，應對審核的實際情況進行及時記錄，并對發現的問題形成問題記錄，并對問

題可能產生的風險進行分析。問題記錄應包括如下內容：

5

T/SZBAXXXX—XXXX

a)問題事實的描述，包括所在業務、違規事實和發生場景等。

b)違反的內部制度名稱及條款。

c)違反的評估依據的名稱及條款。

d)問題可能引起的風險或處罰后果。

e)必要時，問題的嚴重性級別。

5.3.2整改計劃

必要時，評估人員可協助評估對象所在組織針對問題進行整改計劃的制定。整改計劃應包括：

a)問題的描述或識別信息。

b)工作建議與整改措施。

c)責任方或落實方。

d)整改有效性的驗證方。

e)計劃完成期限。

5.4評價

5.4.1評估報告

評估工作完成后，應形成數據資產評估報告，評估報告應包括如下內容：

a)評估背景：描述評估的目的。

b)評估聲明：評估結果的適用范圍、約束、假設以及免責聲明。

c)評估依據：評估所依賴的法律法規、相關標準或文件。

d)評估范圍：評估對象的組成和評估內容和指標的描述。

e)評估流程：評估實施活動的過程性描述。

f)評估結論：在充分審核的基礎上，對評估對象的數據資產情況進行客觀、公正的結論性總結，

可包括：

1)數據處理業務活動的評估總結。

2)安全管理措施及落實情況的評估總結。

3)技術保障措施及落實情況的評估總結。

4)發現問題及存在風險情況總結。

5)適用時，針對之前的數據資產、網絡和數據安全審查、測評、評估、行政調查中發現問題

的整改及落實情況的總結。

6)必要時，給予評估對象針對的問題整改及后續持續改進的意見和建議。

5.4.2專項意見

基于特定目的的數據安全評估，可按被評估對象所在組織的要求出具專項分析意見，如：

a)是否屬于關鍵信息基礎設施運營者的專項分析意見。

b)數據分級分類管理的專項意見。

c)是否需要進行網絡安全審查的專項意見。

d)關于數據出境的專項意見。

e)關于上市融資項目的專項意見。

等。

5.4.3備忘錄

6

T/SZBAXXXX—XXXX

基于特定目的的數據資產評估，如發現涉及重大問題，可能對特定目的的達成產生直接影響，可以

備忘錄的形式進行重大問題說明和風險揭示。以供評估對象所在組織快速了解問題并引起重視，更有針

對性的實施整改并提高效率。

6評估內容

6.1業務運營模式

6.1.1處理模式

應對評估對象或所在組織的業務模式、業務流程進行充分識別，包括：

a)組織與客戶、供應商和其它合作方的模式（提供方、接收方、共同處理等）。

b)組織在數據處理或是交易鏈中所處的角色（收集方、使用方、交易中介方等）。

c)組織是數據處理平臺的建設者還是運營者，或兩者兼有。

不同的業務模式及角色對于數據資產的要求不同，評估方應根據識別的結果來選取后續的評估內

容。

6.1.2系統平臺

應對評估對象數據處理所依附的信息系統和網絡資產進行識別，形成系統資產清單。包括各類應用

系統、網站、移動App、小程序、云平臺等及網絡系統，以決定安全檢測等評估所覆蓋的范圍。

6.2數據處理主體

6.2.1處理資質

應對評估對象所在組織的行政許可及相關證照的完備性、運營主體的一致性、授權范圍與實際數據

處理相關活動的匹配性以及質量管理體系的健全性進行審查。如營業執照、增值電信業務經營許可證、

在線數據與交易處理業務許可證、網絡文化經營許可證、網絡出版服務許可證、信息網絡傳播視聽節目

許可證、互聯網藥品信息服務資格證、質量管理體系認證等及相關的許可和認證范圍。

6.2.2委托處理

6.2.2.1委托方

評估對象委托外部機構處理數據時，應對如下內容進行審核：

a)建立基于區塊鏈的數據資產評估、個人信息安全影響評估以及內外部數據安全檢査與評估制

度的情況。

b)對受托方的資格審查的相關記錄。包括行政許可、授權范圍、質量管理體系等。

c)與受托方簽訂的數據處理合同或協議的效力及內容。包括依照評估依據要求和合同約定履行

數據安全要求、數據處理目的、處理期限、處理方式、信息種類、保護措施、處理地點、銷毀、

轉委托處理、分享以及雙方的權利和義務等。

d)對受托方數據處理過程的監督記錄。包括履行數據安全保護義務情況、處理方式及處理地點的

正確性、是否進行超出目的處理、處理后數據的刪除和銷毀情況等。

e)涉及處理個人信息的，委托前進行個人信息安全影響評估的實施記錄并保存情況，個人信息安

全影響評估活動應依據GB/T39335—2020開展。

6.2.2.2受托方

7

T/SZBAXXXX—XXXX

評估對象為數據處理的受托方時，應對如下內容進行審核：

a)必要時，對委托方的資格審查的相關記錄。包括行政許可、授權范圍、質量管理體系等。

b)委托合同或協議中委托方確保數據來源合法的承諾和違約賠償責任。

c)受托方依照評估依據要求和合同約定履行數據安全保護義務，不超出約定范圍處理方式和處

理目的承諾。

d)相關情況下（如合同無效、中止、處理完成后等）數據的返還、刪除、銷毀的相關實施和確認

記錄。

6.2.3共同處理

評估對象為數據的共同處理方時，應對如下內容進行審核：

a)自主決定數據處理目的及處理方式的主體資格。

b)共同處理數據各方的權利、義務的約定。

c)依法承擔相關法律責任的約定。

6.2.4主體變更轉移

評估對象在數據處理過程中發生合并、分立、解散、破產等變化導致數據處理的主體發生轉移時，

應對如下內容進行審核：

a)通知數據來源數據（可能為組織或個人），處理方發生變化的相關信息（名稱/姓名、聯系方

式等）。

b)涉及處理個人信息的，若處理目的和方式發生變化，重新取得個人同意的相關證據。

6.3數據處理活動

6.3.1數據資源合規

應對數據資源來源的合規情況進行評估，內容包括：

a)數據資源來源應符合合法、正當、必要、誠信原則。

b)數據資源應獲得用戶授權或依法無需獲得授權。

c)數據資源的授權應覆蓋擬進行的數據處理活動。

6.3.2分類分級

應對數據分級類情況進行評估，內容包括：

a)數據分類分級的依據對相關評估依據要求的符合性。如：

1)從對國家安全、公共利益或個人、組織合法權益的危害程度對數據進行分類分級；

2)根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在

的安全風險等因素，采取個人信息分類管理措施；

3)結合對個人權益影響分析的結果（宜參照GB/T39335—2020表D3）對個人信息數據進行

分類分級。

b)對不同分級的數據分別實施不同的管理和技術保護措施的合理性。

6.3.3注：在大多數情況，對不同分級的數據實施完全一致的管理和技術保護措施是不現實的。

6.3.4處理過程

6.3.4.1收集

應對收集數據的情況進行評估，內容包括：

8

T/SZBAXXXX—XXXX

a)收集信息的合法性基礎，相關資質、行政許可、授權等。是否收集與其提供的服務無關的個人

信息，是否違反評估依據要求和雙方的約定收集、使用個人信息。

b)收集個人信息的授權同意情況，宜參照GB/T35272—20205.4、GB/T41479—20225.2以及

評估依據要求開展。

c)收集信息行為的正當、必要性，宜參照GB/T35273—20225.1、5.2以及評估依據進行審核。

包括：

1)用戶授權（告知—同意）使用的展示時機、形式（顯著、醒目、非默認同意）和內容的規

范性。

2)收集內容應當與處理目的直接相關，采取對個人權益影響最小的方式，限于實現處理目的

的最小范圍，不過度收集個人信息。

3)應用系統實際收集內容與其宣稱的隱私政策、用戶協議等內容的一致性。

6.3.5注：對APP的個人信息收集行為進行評估，宜參照GB/T41391—2022開展。

6.3.5.1存儲

應對數據的存儲情況進行評估，內容包括：

a)對數據及其副本存儲所采取的安全措施，宜參照GB/T41479—20225.3以及評估依據要求進

行審核。審核項應包括：

1)技術保護措施的要求，如加密算法、訪問控制、安全審計、個人信息的匿名化等。

2)存儲期限，符合評估依據要求、合同和用戶約定的有效期限。

3)對重要系統和數據庫進行容災備份。

b)數據及其副本的存儲地點滿足數據本地化存儲和數據跨境的評估依據要求的情況。

c)必要時，可使用第三方機構提供的數據存證服務，保證數據的真實性和完整性。

6.3.5.2使用、加工

應對數據的使用和加工情況進行評估，內容包括：

a)數據的使用和加工獲得相關方的授權文件并符合評估依據要求的證明。

b)數據實際使用、加工的方式和范圍符合約定。

c)注：對于隱蔽的、嵌入式或第三方SDK提供的處理過程可采用安全檢測的手段予以確認。

c)未涉及相關規定禁止的數據使用和加工，如未獲得用戶授權、用戶已撤回同意、歧視性的營銷

策略、違反道德倫理等情況。

6.3.6注：宜結合GB/T41479—20225.4-5.5的要求開展。

6.3.6.1傳輸、提供

應對數據的傳輸和提供情況進行評估，內容包括：

a)數據提供和接收方的審核，應符合本標準7.2.1的要求。

b)數據傳輸和提供的安全措施和協議約定，宜參照GB/T41479—20225.6-5.7以及法律和相關

行業要求進行審核。

c)涉及第三方SDK或API的，應對SDK組件或API接口進行安全檢測，評估是否存在已知的安

全漏洞以及可能引起數據泄露或未授權的數據跨境的行為。

d)利用個人信息和個性化推送算法向用戶提供信息的，須對推送信息的真實性、準確性以及來源

合法性負責，并符合以下要求：

9

T/SZBAXXXX—XXXX

1）收集個人信息用于個性化推薦時，應取得個人單獨同意；

2）設置易于理解、便于訪問和操作的一鍵關閉個性化推薦選項，允許用戶拒絕接受定向推送

信息，允許用戶重置、修改、調整針對其個人特征的定向推送參數；

3）允許個人刪除定向推送信息服務收集產生的個人信息，法律、行政法規另有規定或者與用

戶另有約定的除外。

e）向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、

聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。

f）涉及數據交易活動時：

1）數據供方、數據需方、數據服務機構應符合GB/T37932—20195的相關要求；

2）交易的數據對象應符合GB/T37932—20196的相關要求；

3）交易的過程應符合GB/T37932—20197的相關要求；

4）應對數據交易中介服務的機構留存的交易雙方的審查、交易記錄進行審核。

6.3.6.2公開

應對評估對象的數據公開行為進行評估，包括：

a)公開前的影響評估情況。如是否對危害國家安全、公共安全、經濟安全和社會穩定造成影響。

b)必要時，數據公開行為和內容是否取得了相關單位的許可和授權。

c)處理已公開的個人信息，對個人權益有重大影響的，應按評估依據要求取得個人同意。

6.3.6.3刪除、匿名化

d)應對評估對象刪除數據和用戶注銷后的匿名化處理情況進行評估，內容包括：

a)對符合GB/T41479—20225.13、GB/T35273—20208.3、8.5和評估依據要求的數據進行刪

除或匿名化處理的處理記錄，評估方應從處理的內容、數據量、及時性等方面進行審查。

b)適用時，APP提供的用戶注銷用戶的方式，宜參照GB/T35273—20208.5的要求進行審核。

c)處理范圍包括數據本身及其全部副本。

d)處理后的數據無法或不再繼續參與數據處理與加工的證明。

e)適用時，拒絕刪除或注銷用戶給出反饋的情況，應包括：

1)通知的告知渠道，如APP通知、短信、郵件等。

2)拒絕理由，如依據的法律法規、行業監管要求等。

3)投訴渠道和途徑。

6.4管理措施及落實

6.4.1責任人與責任機構

應對評估對象所在組織的數據資產管理責任人和組織架構進行評估，內容包括：

a)責任人，包括背景審查、工作職責、績效考核、履行其對應的工作職能的相關工作記錄等。可

參照GB/T41479—20226.1、6.2的要求進行審核。個人信息處理者應公開個人信息保護負責

人的聯系方式，并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部

門。

e)注：履行個人信息保護職責的部門包括：國家網信部門和縣級以上地方人民政府有關部門。國家網信部門的

職責是統籌協調個人信息保護工作。

b)責任機構，包括機構的崗職位設置、運行經費、獨立性以及開展相關工作的運行記錄等。

10

T/SZBAXXXX—XXXX

6.4.2數據安全管理措施

應對評估對象所在組織的數據資產安全管理措施的完整性、一致性、可行性、依從性等方面進行評

估，評估內容可包括：

a)管理體系，包括總體要求、機構設置及職責、基本原則等。

b)處理流程管理，包括數據收集、使用、傳輸、提供、存儲、刪除等管理要求。

c)數據分類分級管理：

1)劃分數據類別、級別的原則及對應采取管理和技術措施的要求。

2)適用時，個人信息按敏感程度的分類及保護措施。

d)網絡及數據安全風險評估及報送機制，按相關要求定期開展風險評估并報送或公布結果的相

并規定。

e)數據安全風險管理機制，包括開展數據安全風險評估、報告、共享、預警檢測等機制。

f)網絡及數據安全應急預案，發現信息安全事件時，啟動應急預案、采取補救措施、向主管部門

報告、定期實施應急演練等措施。可參照GB/T41479—20226.3的要求進行審核。

g)投訴、舉報制度，接受網絡信息安全投訴、舉報并及時處理、反饋的機制。

h)數據出境管理，適用時，對數據出境條件、數據出境自評估及程序的要求。

i)網絡安全審查，適用時，制定并落實網絡安全審查相關的管理制度和程序。

j)個人信息管理，包括

1)對個人信息訪問和操作權的要求；

2)定期進行個人信息合規審計的要求；

3)適用時，對個人信息安全影響評估的要求；

4)適用時，對未成年人和兒童信息保護的管理要求；

5)員工個人信息保護，如對員工的簡歷、體檢信息、生物識別信息的以及雇傭外籍員工的信

息保護的規定。

6.4.3數據安全技術措施

應對評估對象的數據資產安全保護的技術措施落實情況進行評估，內容可包括：

a)定期的安全檢測，包括網絡、主機、應用等層面的安全掃描和安全配置的檢測。

b)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照評估依據要求留存相關的網

絡日志情況；

c)防御措施，防范計算機病毒、網絡攻擊等危害網絡安全行為的措施有效性檢測。

d)數據備份，包括備份的內容、范圍、形式（全備份、增量備份、差分備份等）、備份地點（本

地、異地）、備份及時性以及備份有效性驗證等。

e)加密，包括加密的內容、算法的強度、算法的使用（如必須使用國密算法的場景）、密鑰的管

理措施等。

f)去標識化，適用時，對個人信息去標識化的情況，宜參照GB/T37964—20195、6部分的要求

進行審核。

g)訪問控制，數據訪問和操作前對訪問者進行鑒別與授權的記錄和檢測。

h)監控和預警記錄，對網絡和應用運行狀態、操作的監控和預警記錄的完整性和保存期限的檢測。

i)應評估對象與合作伙伴之間的正式溝通所用的通信工具安全性，是否完全依賴第三方IM工具；

有多少業務需依賴SaaS；評估對象對于自身業務數據的控制能力；評估對象是否充分利用現

有的密碼等技術來充分保護自身的數據權益。

11

T/SZBAXXXX—XXXX

6.4.4人員管理及安全教育

應對評估對象的人員管理及安全教育落實情況進行評估，內容應包括：

a)人員簽保密協議的情況，如保密內容、保密范圍、保密期限、獎懲措施等。

b)人員上崗前的審查情況，如工作履歷、技術能力、人員資質、教育學習等。

c)人員在崗期間的安全意識、工作技能、管理制度的培訓及培訓有效性考核情況。

d)人員離崗后按照相關管理要求進行離崗交接、審計、脫密等措施執行的情況。

6.4.5網絡安全及關鍵信息基礎設施保護

應對評估對象實施網絡安全等級保護情況進行評估，內容應包括：

a)評估對象的定級和備案情況。須按GB/T22240的要求對定級結果進行復核。

b)對于確定為二級以上的網絡信息系統，須對等級保護備案情況、測評的頻率進行確認。

c)對于確定為三級及以上系統、面向社會服務的政務信息系統以及關鍵信息基礎設施按頻率開

展密碼評估工作的情況進行確認。

d)處理重要數據的系統應滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求，

處理核心數據的系統依照有關評估依據要求從嚴保護。

e)必要時，網絡信息系統安全保護措施和測評整改符合要求的情況，應按GB/T22239對應級別

的相關要