ICS35.040CCSL80

DB11北 京 市 地 方 標 準DB11/T2350—2024數據交易安全評估指南Guidelinesforassessingthesecurityofdatatransaction2024-12-25發布 2025-04-01實施北京市市場監督管理局 發布DB11/T2350—2024目 次前 言 II范圍 1規性用1術和1評范圍 1評內及標2評流程 10報編及果11參考12IDB11/T2350—2024前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》規定起草。本文件由北京市經濟和信息化局提出。本文件由北京市經濟和信息化局、北京市政務服務和數據管理局歸口并組織實施。（IIDB11/T2350—2024數據交易安全評估指南范圍本文件適用于指導數據交易參與方、第三方評估機構等主體開展數據交易安全評估。（GB/T22239信息安全技術網絡安全等級保護基本要求GB/T36073數據管理能力成熟度評估模型GB/T37932信息安全技術數據交易服務安全要求GB/T37988信息安全技術數據安全能力成熟度模型DB11/T2348 DB11/T2348界定的以及下列的術語和定義適用于本文件。3.1數據易全 securityofdatatransaction在數據交易過程中，數據交易供方、需方和數據交易場所通過采取必要措施，確保數據交易處于有效保護、合法、安全的狀態。1DB11/T2350—2024圖1數據交易安全評估范圍1表1數據供方安全評估指標體系表指標維度指標分值及建議權重范圍評分說明交易主體基礎項達標/不達標基礎項評估：對各指標維度進行達標與不達標判斷，如其中某項指標維度基礎項不滿足要求，則加分項評估無效，對應指標維度安全要求不達標。加分項評估：指標維度滿足基礎項要求的情況下，開展指標維度加分項評估。指標維度加分項權重可結合具體行業情況及數據交易應用場景，參考本標準建議權重范圍進行評估打分，權重加總為100%，加總后得出評分結果，滿分為100分。加分項評分0~100分，建議權重范圍15%~25%交易標的基礎項達標/不達標加分項評分0~100分，建議權重范圍20%~30%交易磋商締約基礎項達標/不達標加分項評分0~100分，建議權重范圍5%~15%交易標的交付和交易結算基礎項達標/不達標加分項評分0~100分，建議權重范圍25%~35%交易后期服務基礎項達標/不達標加分項評分0~100分，建議權重范圍10%~20%2DB11/T2350—2024基礎項基礎項包括：加分項加分項包括：GB/T36073GB/T37988GB/T22239少于年；GB/T22239基礎項基礎項包括：報告；達到在不借助額外信息的情況下無法識別特定自然人的要求；加分項加分項包括：基礎項基礎項包括：3DB11/T2350—2024和范圍，法律法規另有規定的除外；加分項數據真實、有效。基礎項基礎項包括：配合監管部門和數據交易場所開展數據交易標的交付和交易結算過程中的履約監管和交加分項加分項包括：基礎項基礎項包括：加分項具備完善的交易售后服務體系和臺賬式管理。2表2數據需方安全評估指標體系指標維度指標分值及建議權重范圍評分說明交易主體基礎項達標/不達標基礎項評估：對各指標維度進行達標與不達標判斷，如其中某項指標維度基礎項不滿足要求，則加分項評加分項評分0~100分，建議權重4DB11/T2350—2024表2數據需方安全評估指標體系（續）指標維度指標分值及建議權重范圍評分說明范圍40%~60%估無效，對應指標維度安全要求不達標。交易磋商締約基礎項達標/不達標加分項評估：指標維度滿足基礎項要求的情況下，開基礎項達標/不達標展指標維度加分項評估。指標維度加分項權重可結合交易標的交付和交易結算具體行業情況及數據交易應用場景，參考本標準建議權重范圍進行評估打分，權重加總為100%，加總后得加分項評分0~100分，建議權重范圍40%~60%交易后期服務基礎項達標/不達標出評分結果。滿分為100分。基礎項基礎項包括：在1在5加分項加分項包括：GB/T36073GB/T37988相關數據GB/T22239中網絡安全GB/T22239求。基礎項基礎項包括：基礎項基礎項包括：5DB11/T2350—2024加分項加分項包括：性進行驗證反饋；基礎項基礎項包括：在數據交易過程中，對數據交易場所進行安全評估建立可參考的指標體系，加分項和權重范圍根據不同行業及應用場景進行調整。具體內容如表3所示。表3數據交易場所安全評估指標維度、評估方法及建議權重范圍指標維度評分方法及建議權重范圍評分說明基礎項達標/不達標基礎項評估：對各指標維度進行達標與不達標判斷，如其中某項指標維度基礎項不滿足要求，則加分項評估無效，對應指標維度安全要求不達標。加分項評估：指標維度滿足基礎項要求指標維度加分項權重可結合具體行業情況及數據交易應用場景，參考本標準建100分。滿分為100分。數據交易場所主體加分項評分，建議權重范圍15%~25%基礎項達標/不達標數據交易平臺加分項評分，建議權重范圍15%~25%基礎項達標/不達標交易主體入駐加分項評分，建議權重范圍5%~15%基礎項達標/不達標交易過程交易標的登記加分項評分，建議權重范圍5%~15%基礎項達標/不達標交易磋商締約加分項評分，建議權重范圍5%~15%交易標的交付基礎項達標/不達標6DB11/T2350—2024表3數據交易場所安全評估指標維度、評估方法及建議權重范圍（續）指標維度評分方法及建議權重范圍評分說明和交易結算加分項評分，建議權重范圍15%~25%交易后期服務基礎項達標/不達標加分項評分，建議權重范圍5%~15%基礎項基礎項包括：組織和管理數據交易活動的組織機構；建立明確的數據交易規則，明確定義包括數據交易標的準入及審核、交易主體準入及審核、加分項加分項包括：建立數據交易合規巡檢機制，定期對交易主體、數據交易標的的安全性、合規性進行檢查；建立數據交易參與方的信用管理機制，對入駐各方服務內容、質量、交易行為等進行評估；度。基礎項基礎項包括：7DB11/T2350—2024GB/T22239i)用等；GB/T37932生成數據交易日志，保證交易日志、數據存證、數據來源合法性等文件不可篡改和可追溯；加分項加分項包括：交易參與方審核、交易數據和需求審核、交易暫停、交易撤銷、交易恢復；基礎項基礎項包括：加分項加分項包括：8DB11/T2350—2024性進行審核；基礎項基礎項包括：加分項加分項包括：基礎項審核交易需方的需求，確保數據使用目的合法、正當和必要。加分項加分項包括：價格和保密條款等內容進行協商和約定；基礎項基礎項包括：加分項9DB11/T2350—2024加分項包括：基礎項基礎項包括：加分項加分項包括：開展數據交易安全評估前，宜明確評估目標及評估對象、確定評估范圍、組建評估團隊、制定工作計劃并制定評估方案。評估步驟如下：評估；劃定、等級依據及評估結論，具體內容參考表4。表4數據交易安全評估等級評估等級等級依據評估結論1級基礎項全部達標，加分項評分85分以上基礎項指標全部滿足要求，評估對象具有較高的數據交易安全能力。2級基礎項全部達標，加分項評分60分及以上據加分項評估情況進行優化提升。3級基礎項全部達標，加分項評分60分以下據加分項評估情況進行整改及提升。4級基礎項評分不達標估對象需根據評估情況進行安全能力整改及提升。注1：表4等級依據作為參考，根據行業和應用場景不同，等級依據可進行適度調整。10DB11/T2350—2024根據評估情況，可形成數據交易安全評估報告，內容包括但不限于評估概述、評估工作情況、評估對象分析、評估過程、評估結果、問題清單和整改建議等；報告內容宜準確、客觀、清晰。11DB11/T2350—2024參 考 文 獻GB/T20984—2022GB/T22239—2019GB/T25070—