ICS35.240.99CCSL67CCIASCSpecificationforCapabilityEvaluationofDataSecurityAssessmentServicesIT/CCIASC0029—2024 2規范性引用文件 3術語和定義 4評定原則 5評定基本要求 6評定指標框架 7評定分類要求 7.1核心技術能力 7.1.1人才基礎 7.1.2知識產權情況 7.1.3技術轉化能力 7.1.4評估工具水平 7.2持續經營能力 7.2.1管理者能力 7.2.2規模及資質 7.2.3市場占有能力 7.2.4盈利能力 7.3評估管理能力 7.3.1人員管理 7.3.2方案管理 7.3.3質量管理 7.3.4風險管理 7.3.5評估工具使用管理 7.3.6成果物管理 8評定方法 8.1專家評審法 8.2資料收集法 9評定程序 10評定結果 T/CCIASC0029—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件由中國計算機行業協會提出。本文件由中國計算機行業協會歸口。本文件起草單位：中國軟件評測中心（工業和信息化部軟件與集成電路促進中心）、中國電信股份有限公司安徽分公司、聯通數字科技有限公司、聯通在線信息科技有限公司、亞信科技（成都）有限公司、北京卓識網安技術股份有限公司、重慶市軟件評測中心有限公司、恒安嘉新（北京）科技股份公司、北京明朝萬達科技股份有限公司、中科信息安全共性技術國家工程研究中心有限公司、上海斗象信息科技有限公司、北京市京都律師事務所、中核核信信息技術（北京）有限公司、北京金源動力信息化測評技術有限公司、天津郎言安全技術服務有限公司、北京君云天下科技有限公司、上海胡桃網絡科技有限公司、貴州企信科技有限公司、河北翎賀計算機信息技術有限公司。本文件主要起草人：王文鑫、林海靜、王露穎、曹順超、王翔宇、張嘉歡、仇必青、徐灝、林海、李冰、劉寧、張文、黃亞洲、陳杰、王學清、丁曉明、鄭旭飛、劉新鵬、喻波、伊鵬達、王慶賀、謝忱、王菲、張士瑩、曹濤、趙亮、張靖、方新、李能言、胡耀軍、王一、任寅。T/CCIASC0029—2024數據安全評估服務有助于強化我國重要數據和核心數據的保護能力，保障數據持續處于有效保護、合法利用、有序流動的狀態，提升各行業各領域數據安全水平，加速數據要素市場培育和價值釋放。當前，很多單位正在開展數據安全評估業務，但數據安全評估服務能力參差不齊，不利于數據安全評估服務市場的健康發展和數據安全標準的有效落地。本文件通過強化對數據安全評估機構的基本要求和分類要求，從核心技術能力、持續經營能力、評估管理能力3個維度進行統一分級、判定，意在構建統一規范的數據安全評估服務能力評定體系，制定有效的數據安全評估服務能力評定規范及配套評定方法。1T/CCIASC0029—2024數據安全評估服務能力評定規范本文件給出了數據安全評估服務能力評定的基本要求、指標框架、評定流程及評定方法。本文件既適用于第三方能力評定機構，對其開展的數據安全評估服務能力評定工作提供指引，也適用于數據安全評估服務提供商開展服務能力自評定，為提升其數據安全評估服務能力提供參考。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22080信息技術安全技術信息安全管理體系GB/T25069信息安全技術術語GB/T41479信息安全技術網絡數據處理安全要求JGJ/T67辦公建筑設計標準YD/T3956電信網和互聯網數據安全評估規范T/ZHTEA001高新技術企業創新能力評價3術語和定義GB/T25069、GB/T41479、T/ZHTEA001中界定的以及下列術語和定義適用于本文件。為了便于使用，以下重復列出了GB/T25069、GB/T41479、T/ZHTEA001中的某些術語和定義。3.1數據安全datasecurity通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。3.2風險管理riskmanagement指導和控制組織相關風險的協調活動。3.3服務工具servicetools為達成服務目標或提高服務質量和效率所需要的設備、軟件、模板、知識庫等。2T/CCIASC0029—2024發明專利（含國防專利）、植物新品種、國家級農作物品種、國家新藥、國家一級中藥保護品種、集成電路布圖設計專有權等。注：T/ZHTEA001—2023，定義3.13.5Ⅱ類知識產權ClassⅡIntellectualProperty實用新型專利、外觀設計專利、軟件著作權等。注：T/ZHTEA001—2023，定義3.24評定原則a）公正性：評定工作以數據安全評估服務商實際情況為基礎，通過系統、深入的分析得出客觀、公正的評定結論；b）透明性：評定過程公開透明，評定結論向社會公開。5評定基本要求數據安全評估服務提供商應具備的基本要求包括：a)在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業單位；b)產權關系明晰，注冊資金500萬元以上，獨立經營核算，無違法記錄；c)法定代表人、技術負責人、質量負責人、主要技術人員應為中華人民共和國境內的中國公民，且無犯罪記錄；d)未被列入失信被執行人、重大稅收違法案件當事人名單和政府采購嚴重違法失信行為記錄名單等，以及其他可能影響數據安全評估服務提供商能力和信譽的負面清單；e)應建立工作保密制度及相應組織監管體系，從事涉密的數據安全服務應滿足國家保密機關相關要求；f)應具備固定辦公地點，且滿足JGJ/T67-2019相關要求；g)電信和互聯網數據安全評估服務的實施應滿足YD/T3956-2021的第4-6章相關要求。6評定指標框架從核心技術能力、持續經營能力、評估管理能力3個維度分別對數據安全評估服務提出了2級能力要求，由高到低依次是二級、一級能力。其中，核心技術能力的評定指標包括人才基礎、知識產權情況、技術轉化能力、評估工具水平等；持續經營能力包括管理者能力、單位資質獎勵、市場占有能力、盈利能力等；評估管理能力包括人員管理、方案管理、質量管理、風險管理、評估工具使用管理、成果物管理等。3T/CCIASC0029—2024圖1數據安全評估服務能力評定指標框架圖持續經營能力、核心技術能力、評估管理能力分別從技術、經營、服務過程維度分析企業數據安全評估服務能力。持續經營能力保障了數據安全評估高技術、人才的引進和吸收，促進了核心能力的提升；核心技術能力的提升助力企業提升硬實力，保障企業在高技術產品、服務競爭中占得優勢，促進財務資源獲得，增強持續經營能力；持續經營能力和核心技術能力提升了服務過程的效能，帶動評估管理能力提升；評估管理能力保障市場資源獲得、指引研發和生產的方向，促進持續經營能力和核心技術能力提升。圖2數據安全評估服務分項能力間的關系圖7評定分類要求7.1核心技術能力4T/CCIASC0029—20247.1.1人才基礎7.1.1.1一級要求a)正式受聘人員應不少于15人，直接從事數據安全評估服務的人員不低于8人；b)直接從事數據安全評估服務的技術人員大學本科以上學歷不少于80%；c)至少2名正式受聘技術人員接受過數據安全防護技術和準則的系統培訓，或參與起草數據安全防護系列標準；d)至少2名正式受聘技術人員具有國家和相關機構認可的數據安全評估專業資質；e)制定技術人員崗前培訓計劃，相關人員經考核評定合格后方可上崗；f)正式受聘技術人員應具備數據安全相關基礎知識，熟悉數據安全相關法律法規、政策和標準；g)正式受聘技術人員應具備良好的溝通與協調能力，能理解服務需求方的業務流程和數據安全目標；h)正式受聘技術人員應具備強有力的執行能力，能夠落實數據安全相關制度、策略。7.1.1.2二級要求應滿足本文件7.1.1.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)正式受聘人員應不少于75人，直接從事數據安全評估服務的人員不低于20人；b)至少10名正式受聘技術人員具備3年以上的數據安全服務項目經驗，且具有成功的項目案例；c)至少4名正式受聘技術人員接受過數據安全防護技術和準則的系統培訓，或參與起草數據安全防護系列標準；d)至少4名正式受聘技術人員具有國家和相關機構認可的數據安全評估師資質，或其他數據安全評估相關專業資質；e)正式受聘技術人員應具備敏感數據發現、重要數據和核心數據分類分級評估、數據安全風險評估等能力，能對被測資產提出整改建議；f)正式受聘技術人員應具備密碼技術與應用等數據安全專業知識，熟悉數據安全產品開發、測試。7.1.2知識產權情況7.1.2.1一級要求a)具備跟蹤研究數據安全評估新技術新產品新服務的能力；b)熟悉知識產權申請流程，了解相關法律法規。7.1.2.2二級要求應滿足本文件7.1.2.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)擁有數據安全相關知識產權5項及以上(Ⅱ類）或1項及以上(Ⅰ類相關數據安全技術的先進程度較高，對主要數據安全產品（服務）在技術上發揮核心支持作用；b)建立知識產權創造、運用、保護、管理和服務全環節制度體系。7.1.3技術轉化能力7.1.3.1一級要求a)了解數據安全相關科技成果轉化的主要方式；5T/CCIASC0029—2024b)了解數據安全評估工具的開發方法。7.1.3.2二級要求應滿足本文件7.1.3.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)近3年內數據安全相關科技成果轉化的年平均數不少于4項；b)具備自研或聯合開發數據安全評估工具的能力；c)具備發現數據安全評估工具安全風險的能力。7.1.4評估工具水平7.1.4.1一級要求a)應具備數據安全評估服務工具（包括設備、平臺、軟件、模板、知識庫等）。7.1.4.2二級要求應滿足本文件7.1.4.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)具備數據分類分級評估、敏感資產識別發現、數據流動狀態分析評估、數據脆弱性評測、數據出境及異常分析評估等數據安全評估服務工具；b)數據安全評估服務工具應具有至少3個成功使用的案例。7.2持續經營能力7.2.1管理者能力7.2.1.1一級要求a)法人或負責人具備一定的戰略能力、組織能力；b)明確質量負責人，且具備2年以上的質量管理經驗；c)明確數據安全技術負責人，且具備2年以上的數據安全項目管理經驗。7.2.1.2二級要求應滿足本文件7.2.1.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)數據安全技術負責人具備中級及以上職稱；b)數據安全技術負責人具備本科及以上學歷；c)數據安全技術負責人具備5年以上數據安全管理經驗。7.2.2規模及資質7.2.2.1一級要求a)應具備1年以上的數據安全行業從業時間；b)具有信息安全管理相關的制度規范；c)具備至少1項信息安全服務資質，或至少1個信息安全服務項目獲獎。7.2.2.2二級要求應滿足本文件7.2.2.1節一級要求的所有條款，并在以下方面增強或者增加要求：6T/CCIASC0029—2024a)應具備5年以上的數據安全行業從業時間；b)按照GB/T22080建立信息安全管理體系；c)具備至少3項信息安全服務資質，或至少3個信息安全服務項目獲獎。7.2.3市場占有能力7.2.3.1一級要求a)至少承擔2個數據安全評估服務項目，單個合同金額不低于20萬元人民幣，項目合同總金額不低于100萬元人民幣；b)至少終驗通過2個數據安全評估服務項目；c)近2年沒有出現因各階段驗收未通過或企業自身原因而廢止的數據安全評估服務項目。7.2.3.2二級要求應滿足本文件7.2.3.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)至少獲得3個數據安全評估服務項目，單個合同金額不低于30萬元人民幣，項目合同總金額不低于180萬元人民幣；b)至少終驗通過4個數據安全評估服務項目。7.2.4盈利能力7.2.4.1一級要求a)近1年凈利潤、凈資產收益均為正；b)近1年收入增長率或凈利潤增長率為正。7.2.4.2二級要求a)近3年凈利潤、凈資產收益均為正；b)近3年收入增長率或凈利潤增長率為正。7.3評估管理能力7.3.1人員管理7.3.1.1一級要求a)設置與數據安全評估服務項目規模相適應人員團隊，并建立項目服務人員清單，明確項目服務人員職責；b)與項目服務人員簽訂保密協議，并定期進行保密教育、風險排查、自查檢查。7.3.1.2二級要求應滿足本文件7.3.1.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)建立數據安全評估服務人員檔案，包括服務人員的錄用、離崗或離職、資質證明、培訓/考核記錄、從業經歷、實際參與項目及分工等信息，檔案至少保存至技術人員離職后5年，有關法律法規、行業管理另有規定的除外；7T/CCIASC0029—2024b)根據項目特點制定數據安全評估服務人員行為規范，包括但不限于遵守需求方管理制度，遵守數據安全服務保密管理制度，規范使用測評專用設備和工具，規范管理成果物等。7.3.2方案管理7.3.2.1一級要求a)編制的方案應獲得需求方確認；b)編制的方案應具備可操作性，目標應具體、可行，操作計劃應詳細清晰。7.3.2.2二級要求應滿足本文件7.3.2.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)編制的方案應明確數據安全評估服務范圍、服務目標、評估依據、服務內容、服務成果等；b)編制的方案應明確項目服務人員（包括項目負責人、項目實施技術人員的職責等）、服務流程（包括計劃或進度等）、服務環境、服務方法、服務工具、服務保障（包括資源保障、質量管理、保密管理、風險控制等）等服務要素，對資金、人員、工具等資源的調配方案具備可操作7.3.3質量管理7.3.3.1一級要求a)嚴格按照相關標準開展評估工作，確保報告內容全面、準確、無缺項；b)實施過程符合需求方安全管理相關要求，對服務過程中的關鍵活動和原始數據進行記錄，實施的過程文檔記錄應準確、完整；c)具備客戶服務電話熱線號碼，并提供5×8小時電話熱線支持或同等響應級別的客戶服務；d)建立數據安全評估服務項目管理制度，明確項目管理責任部門、責任范圍、責任人、工作流程、及與其他部門的統籌協調等，明確數據安全評估服務項目計劃、質量要求及監督檢查工作。7.3.3.2二級要求應滿足本文件7.3.3.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)設置項目質量管理崗位，建立項目服務質量控制機制；b)根據方案組織項目實施，定期通過通知、例會、報告（如周、月報）等多種形式與需求方溝通反饋項目質量。7.3.4風險管理7.3.4.1一級要求a)在進行數據安全評估服務時，應獲得需求方授權，執行過程中發現數據安全事件，及時向需求方報告，并記錄事件相關內容；b)在進行數據安全評估服務過程中發現產品（含硬件、軟件）的安全問題時，及時向需求方報告；c)使用服務工具，有可能對服務需求方系統或平臺的功能、性能，數據的保密性、完整性、可用性等造成影響的，需向需求方進行風險提示，在采取風險規避措施并得到服務需求方同意后方可使用；8T/CCIASC0029—2024d)采取必要的監督、審計措施，確保服務人員對系統或數據的操作嚴格按照服務協議及需求方授權范圍進行；e)在開展數據安全評估工作前，應與需求方就數據安全保密責任義務進行認定與劃分，包括但不限于保密協議簽署等，應對評估中獲取的相關信息、評估過程文檔等嚴格保密，以保障需求方的數據安全。7.3.4.2二級要求應滿足本文件7.3.4.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)制定有效的風險應急預案，并確保其可行、易操作，定期開展風險應急預案演練并保存記錄；b)采取必要措施識別服務范圍、服務內容、服務流程、服務環境、服務資源等技術人員實施過程中可能產生的風險，并更新風險應急預案；c)建立項目風險溝通與應急處置機制，確定雙方接口人，及時處理服務實施過程中產生的投訴、爭議、突發事件等項目風險，并形成處置結論或解決方案。7.3.5評估工具使用管理7.3.5.1一級要求a)具備數據安全評估工具或軟件使用管理機制；b)項目相關人員能熟練使用數據分類分級評估、敏感資產識別發現、數據流動狀態分析評估、數據脆弱性評測、數據出境及異常分析評估等工具或軟件。7.3.5.2二級要求應滿足本文件7.3.5.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)根據實際定期更新數據安全評估工具或軟件使用管理機制；b)建立數據安全評估工具或軟件使用培訓機制；c)數據分類分級、敏感資產識別發現、數據流動狀態分析評估、數據脆弱性評測、數據出境及異常分析評估等數據安全評估服務工具的版本較新。7.3.6成果物管理7.3.6.1一級要求a)應建立數據安全評估服務報告編制管理機制；b)應具備報告編制能力，掌握數據安全評估報告的相關要求，熟悉報告編制流程。c)按服務協議中所規定的關鍵節點，提交成果物，如項目方案、過程文檔和記錄、項目報告（包括階段報告、總結報告、驗收報告等并得到需求方的確認；d)保證所有交付成果具備真實性、準確性和完整性；e)完成服務交付后，主動清理、交還相關數據、資料、賬號、設備工具等，并向需求方提供由項目負責人簽字的承諾或確認函。7.3.6.2二級要求應滿足本文件7.3.6.1節一級要求的所有條款，并在以下方面增強或者增加要求：a)應定期更新報告模板，定期對報告編制、審核等相關項目服務人員進行培訓；9T/CCIASC0029—2024b)建立、維護項目成果（包括但不限于項目方案、過程文檔和記錄、項目報告等）檔案，嚴格管理項目檔案的查詢、借閱行為，檔案至少保存5年。8評定方法8.1專家評審法借助專家意見進行評定。邀請相關領域專家，采用詢問、訪談、查閱資料、實地查看、調查統計等方式進行，一般不少于3位。8.2資料收集法通過內部文檔或第三方資料收集進行評定。9評定程序數據安全服務提供商申請能力評定等級為一級或二級的，應當將申報材料提交到評審機構，能力評