ICS35.240.99
CCSL67
CCIASC
中国计算机行业协会团体标准
T/CCIASC0029—2024
数据安全评估服务能力评定规范
SpecificationforCapabilityEvaluationofDataSecurityAssessmentServices
2024-12-20发布 2024-12-27实施
中国计算机行业协会 ??发布
T/CCIASC0029
T/CCIASC0029—2024
PAGE\*ROMAN
PAGE\*ROMANIII
目 次
前 言 II
引 言 III
范围 1
规范性引用文件 1
术语和定义 1
评定原则 2
评定基本要求 2
评定指标框架 2
评定分类要求 3
核心技术能力 3
人才基础 4
知识产权情况 4
技术转化能力 4
评估工具水平 5
持续经营能力 5
管理者能力 5
规模及资质 5
市场占有能力 6
盈利能力 6
评估管理能力 6
人员管理 6
方案管理 7
质量管理 7
风险管理 7
评估工具使用管理 8
成果物管理 8
评定方法 9
专家评审法 9
资料收集法 9
评定程序 9
评定结果 10
参 考 文 献 12
前 言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件由中国计算机行业协会提出。本文件由中国计算机行业协会归口。
本文件起草单位:中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国电信股份有限公司安徽分公司、联通数字科技有限公司、联通在线信息科技有限公司、亚信科技(成都)有限公司、北京卓识网安技术股份有限公司、重庆市软件评测中心有限公司、恒安嘉新(北京)科技股份公司、北京明朝万达科技股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、上海斗象信息科技有限公司、北京市京都律师事务所、中核核信信息技术(北京)有限公司、北京金源动力信息化测评技术有限公司、天津郎言安全技术服务有限公司、北京君云天下科技有限公司、上海胡桃网络科技有限公司、贵州企信科技有限公司、河北翎贺计算机信息技术有限公司。
本文件主要起草人:王文鑫、林海静、王露颖、曹顺超、王翔宇、张嘉欢、仇必青、徐灏、林海、李冰、刘宁、张文、黄亚洲、陈杰、王学清、丁晓明、郑旭飞、刘新鹏、喻波、伊鹏达、王庆贺、谢忱、王菲、张士莹、曹涛、赵亮、张靖、方新、李能言、胡耀军、王一、任寅。
引 言
数据安全评估服务有助于强化我国重要数据和核心数据的保护能力,保障数据持续处于有效保护、合法利用、有序流动的状态,提升各行业各领域数据安全水平,加速数据要素市场培育和价值释放。当前,很多单位正在开展数据安全评估业务,但数据安全评估服务能力参差不齐,不利于数据安全评估服务市场的健康发展和数据安全标准的有效落地。本文件通过强化对数据安全评估机构的基本要求和分类要求,从核心技术能力、持续经营能力、评估管理能力3个维度进行统一分级、判定,意在构建统一规范的数据安全评估服务能力评定体系,制定有效的数据安全评估服务能力评定规范及配套评定方法。
T/CCIASC0029
T/CCIASC0029—2024
PAGE
PAGE10
数据安全评估服务能力评定规范
范围
本文件给出了数据安全评估服务能力评定的基本要求、指标框架、评定流程及评定方法。
本文件既适用于第三方能力评定机构,对其开展的数据安全评估服务能力评定工作提供指引,也适用于数据安全评估服务提供商开展服务能力自评定,为提升其数据安全评估服务能力提供参考。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22080信息技术安全技术信息安全管理体系GB/T25069信息安全技术术语
GB/T41479信息安全技术网络数据处理安全要求JGJ/T67 办公建筑设计标准
YD/T3956电信网和互联网数据安全评估规范
T/ZHTEA001高新技术企业创新能力评价
术语和定义
GB/T25069、GB/T41479、T/ZHTEA001中界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T25069、GB/T41479、T/ZHTEA001中的某些术语和定义。
数据安全datasecurity
通过采取