数据安全评估机构能力要求
编制说明
标准起草工作组
2025年4月
目录
1必要性1
2工作简述1
2.1任务来源1
2.2起草单位1
2.3起草过程1
3标准编制原则和主要内容1
3.1编制原则1
3.2主要内容2
4技术论证与效果2
5对标情况2
6标准实施建议3
7需要说明的主要问题3
8其他说明事项3
1必要性
该标准规定了数据安全评估机构的能力要求。适用于数据安全评估机构自身能力建设,
也适用于主管和监管部门对数据安全评估机构开展的能力评定活动,同时,还可为数据处理
者选择数据安全评估机构提供参考。
2工作简述
2.1任务来源
本标准根据四川省网络空间安全协会数据安全团体标准制修订计划立项,由四川省网络
空间安全协会归口,由四川省网络空间安全协会、成都创信华通信息技术有限公司牵头组织
编制。
2.2起草单位
本标准牵头起草单位:四川省网络空间安全协会、成都创信华通信息技术有限公司;
本标准参加起草单位:成都市信息系统与软件评测中心、豪符密码检测技术(成都)有
限责任公司、成都卓越华安信息技术服务有限公司、成都安美勤信息技术股份有限公司、成
都久信信息技术股份有限公司、成都理工大学、全域数据信息安全重点联合实验室西南实验
室。
2.3起草过程
2024年7月10日,四川省网络空间安全协会、成都创信华通信息技术有限公司提交《数
据安全评估机构能力要求》团体标准项目建议书;
2024年7月24日,召开《数据安全评估机构能力要求》团体标准启动会议,会议讨论和
确定了标准起草的总体框架、主要内容、人员分工等,确定了初步草案稿;
2024年12月,由四川省网络空间安全协会邀请专家对《数据安全评估机构能力要求》立
项评审,标准立项,成立标准起草工作组。
2025年2月,完成了团体标准《数据安全评估机构能力要求》草案稿修改;
2025年4月,专家对意见修改稿进行了评审,团体标准《数据安全评估机构能力要求》
文本质量达到征求意见稿发布要求。
3标准编制原则和主要内容
3.1编制原则
本标准的制定工作遵循合规性、需求导向、协商一致、科学严谨、公开透明、可操作性、
持续改进、知识产权保护和促进应用的原则。
a)合规性原则:在标准制订过程中,严格遵循国家已颁布的相关法律法规,如《网络
安全法》、《数据安全法》、《个人信息保护法》和《网络数据安全管理条例》等,
并与相关国家标准GB/T37988、GB/T41479和相关行业标准等保持一致。
b)需求导向原则:
1)符合产业导向:该标准立足实际问题:标准制定以解决行业痛点、满足市场需
求的导向,并将服务于数据安全战略和数据安全产业发展的需求,符合产业政策、
技术趋势及市场规律;
—1—
2)注重实用性:该标准内容贴近实际应用场景,确保标准能为企业、用户及相关
方提供明确指导。
c)协商一致原则:
1)广泛参与:起草小组有协会、CNCERT-四川中心、相关安全测评机构和网络安全
厂家等共同参与标准制定,确保多方意见的充分表达;
2)公平透明:通过线上线下的公开讨论、技术论证等方式达成共识,避免了垄断
性条款或倾向性内容。
d)科学严谨原则:标准在起草中,遵循逻辑清晰的原则,保持标准文本结构严谨、术
语规范、表述准确,避免歧义或模糊性描述。
e)公开透明原则:
1)程序规范:标准立项、起草、征求意见、审查、发布等环节都是公开透明,接
受广大业者的监督;
2)信息公开:协会微信公众号和标准起草讨论线上群组都能及时公开标准制定进
展、技术内容及编制说明,保障相关方的知情权。