PAGE\*ROMAN
PAGE\*ROMANIII
ICS35.240.01I6440
团 体 标 准
T/WHCSA006—2024
数据要素场内流通安全评估规范
Specificationforsecurityassessmentofdataelementcirculation
2024-11-26发布 2025-1-1实施
武汉市网络安全协会 发布
目 次
前 言 III
范围 4
规范性引用文件 4
术语和定义 4
安全评估概述 4
安全评估体系框架 4
安全评估规范要求 5
安全评估工作流程规范 5
前期准备阶段 5
确定安全评估目标 5
确定安全评估范围 5
组建安全评估团队 5
安全评估初步调研 5
确定评估依据和方法 6
制定安全评估方案 6
安全评估阶段 6
按照评估方案实施评估 6
输出各指标评估结果 6
报告编制阶段 6
流通主体安全评估规范 7
流通主体安全评估 7
数据提供方安全能力评估 7
数据使用方安全能力评估 7
数据流通机构安全能力评估 7
第三方服务机构安全评估 7
数据经纪商安全能力评估 7
技术服务商安全能力评估 7
合规服务商安全能力评估 7
流通数据安全评估规范 7
禁止流通交易数据评估 8
流通交易数据合规性评估 8
一般性数据合规性评估 8
流通交易个人信息合规性评估 8
流通过程安全评估规范 8
流通前安全评估 8
流通中安全评估 8
流通后安全评估 9
数据使用合规性评估 9
合同履约与纠纷评估 9
前 言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件由武汉安恒信息科技有限公司提出。本文件由武汉市网络安全协会归口。
本文件起草单位(排名不分先后):武汉安恒信息科技有限公司、武汉市网络安全协会、汉阳区大数据中心、长江水利委员会水文局、武汉大学国家网络安全学院、中国长江电力股份有限公司、湖北数据集团有限公司、武汉数据集团有限公司、武汉市房产和工程建设智能发展中心、武汉网络安全技术有限公司、武汉趣链数字科技有限公司、武当云谷大数据科技有限公司、国网湖北省电力有限公司信息通信公司、湖北华中电力科技开发有限责任公司等;
本文件主要起草人(排名不分先后):彭建军、邓浩、任子骙、贾高彦、郭珍珍、刘悦恒、乔奇、张玉萍、严媛、黄颖倩、杨健平、邹冰玉、张辉、张立强、古伟、徐斌、刘剑锋、孙进、谢逸俊、徐波、张勇、郭峰、邱爽、冯浩、焦翰琳、徐挺、陈剑、牛犁青、李娜、沈沉等
PAGE
PAGE4
数据要素场内流通安全评估规范
范围
本文件规定了场内流通过程中,针对流通主体、流通数据和流通行为进行安全评估的基本要求。本文件可供场内流通各方确保场内流通活动安全进行自评估或者委托第三方专业机构进行数据交
易安全评估使用,亦可为相关监管部门、行业主管部门用于评价数据流通交易活动的安全保障义务履行情况提供参考。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069 信息安全技术术语
GB/T22239-2019 信息安全技术网络安全等级保护基本要求GB/T35273-2020 信息安全技术个人信息安全规范
GB/T37932-2019 信息安全技术数据交易服务安全要求GB/T40685-2021 信息技术服务数据资产管理要求GB/T41479-2022 信息安全技术网络数据处理安全要求GB/T43697-2024 数据安全技术数据分类分级规则
术语和定义
下列术语和定义适用于本文件。
数据流通安全
在数据要素流通交易过程中的安全,包括主体安全、数据安全、过程安全。
数据流通主体
从事数据流通的主要参与方,包括数据提供方、数据流通机构、数据使用方等。
第三方服务机构
以第三方的角色为数据流通交易主体独立提供专业性服务的机构,包括数据经纪商、技术服务商、合规服务商等。其中:
数据经纪商:匹配数据要素供应方和需求方的企业,如促进数据流通交易的经纪商和中介。
技术服务商:为数据流通服务提供基于技术方面的服务机构,包括数据集成、隐私计算、数据托管、数据保险、风险评估等
合规服务商:为数据流通服务提供基于合规方面的服务机构,包括合规认证、安全审计、数据公证、争议仲裁等。
安全评估概述
安全评