| 标准编号 | GB/T 45389-2025 (GB/T45389-2025) | | 中文名称 | 数据安全技术 数据安全评估机构能力要求 | | 英文名称 | Data security technology - Capability requirements for assessment organization of data security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 18,124 | | 发布日期 | 2025-03-28 | | 实施日期 | 10/1/2025 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 45389-2025
Data security technology - Capability requirements for assessment organization of data security
数据安全技术 数据安全评估机构
能力要求
Data security technology-Capability requirements for assessment
ICS 35.030
CCS L 80
中华人民共和国国家标准
2025-03-28发布
2025-10-01实施
国家市场监督管理总局
国家标准化管理委员会 发 布
目次
前言 ··· Ⅲ
1 范围 ···· 1
2 规范性引用文件 ···· 1
3 术语和定义 ···· 1
4 概述 ···· 2
5 能力要求 ··· 3
5.1 基础条件 ···· 3
5.2 管理能力 ···· 4
5.3 技术能力 ···· 6
5.4 人力资源能力 ···· 8
5.5 场所与设备资源能力 ··· 9
附录 A (资料性) 数据安全评估机构能力证实方法 ····· 11
附录 B (资料性) 设备和工具类型 ··· 12
参考文献 ··· 13
前言
本文件按照 GB/T 1.1-2020《标准化工作导则 第 1部分:标准化文件的结构和起草规则》的规
定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC 260)提出并归口。
本文件起草单位:国家信息技术安全研究中心、中国电子技术标准化研究院、国家计算机网络应急
技术处理协调中心、中国网络安全审查认证和市场监管大数据中心、中国信息安全测评中心、中国网络
空间研究院、公安部第三研究所、中国信息通信研究院、中国软件评测中心、国家工业信息安全发展研
究中心、中国电子科技集团公司第十五研究所、中国科学技术大学、中国科学院软件研究所、工业和信
息化部电子第五研究所、中国电子信息产业集团有限公司第六研究所、国家广播电视总局监管中心、
中国民用航空局信息中心、教育部教育管理信息中心、北京银联金卡科技有限公司、北京时代新威信息
技术有限公司、广电计量检测集团股份有限公司、广州竞远安全技术股份有限公司、南京大数据检测技
术有限公司、陕西省信息化工程研究院、交通运输信息安全中心有限公司、国家应用软件产品质量检验
检测中心等。
本文件主要起草人:俞克群、杨韬、陈琳、胡影、张宇光、任英杰、朱雪峰、林星晨、王晖、左晓栋、
张晓梅、许静慧、张晓菲、高松、姜伟、王普、汝梦媛、王惠、王一宇、程瑜琦、唐刚、张德馨、孙军、
赵冉、张媛媛、霍珊珊、刘健、晏敏、杨晨、单博深、卢列文、赵云龙、李炎、张威、杨伟平、陈聪、
王新杰、俞政臣、戴明、杜渐、唐迪、何刚、陈志军、赵晓荣、郭剑虹、曹岳、陈静、宋宏涛。
数据安全技术 数据安全评估机构
能力要求
1 范围
本文件规定了数据安全评估机构的能力要求,包括基础条件、管理能力、技术能力、人力资源能
力、场所与设备资源能力。
本文件适用于数据安全评估机构自身能力建设,以及对数据安全评估机构的能力评价,也可为数据
处理者选择第三方数据安全评估机构提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用
于本文件。
GB/T 19001-2016 质量管理体系 要求
GB/T 25069-2022 信息安全技术 术语
GB/T 32914-2023 信息安全技术 网络安全服务能力要求
GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南
GB/T 41479-2022 信息安全技术 网络数据处理安全要求
3 术语和定义
GB/T 25069-2022和 GB/T 41479-2022界定的以及下列术语和定义适用于本文件。
3.1
数据处理活动 data processing activities
数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
3.2
数据安全评估 data security assessment
对数据、数据处理活动、数据处理者可能存在的安全问题和风险开展技术检测、评价、验证等
活动。
注:包括但不限于数据安全风险评估、个人信息保护影响评估、数据出境安全评估等。
3.3
数据安全风险 data security risk
数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的损害。
3.4
数据安全风险评估 data security risk assessment
对数据和数据处理活动安全进行风险识别、风险分析和风险评价的整个过程。
3.5
数据安全评估机构 assessment organization of data security
从事数据安全评估活动的机构。
3.6
数据处理者 data processor
在数据处理活动中自主决定处理目的和处理方式的个人和组织。
3.7
安全措施 security measure
保护数据和数据处理活动、抵御数据安全风险而实施的各种安全管理和技术实践、规程和机制。
3.8
数据安全风险源 data security risk source
可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐
患等,也称“风险隐患”。
注:风险隐患,既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患,也包括数据处理活动不合理操作可
能造成违法违规处理事件的风险隐患。
3.9
合理性 rationality
数据处理活动遵守法律、行政法规要求,符合网络安全和数据安全常识道理,不应损害国家安全、
公共利益和个人、组织的合法权益。
4 概述
数据安全评估机构能力要求框架由基础条件、管理能力、技术能力、人力资源能力、场所与设备资
源能力 5部分组成,如图 1所示。表 1给出了数据安全评估类型与能力要求对应关系,附录 A给出了数
据安全评估机构能力证实方法。数据处理者自建评估机构可参考第 5章相关条款。
图 1 数据安全评估机构能力要求框架图
表 1 数据安全评估类型与能力要求对应关系
序号
数据安全评估
活动类型
评估活动应满足的能力要求
数据安全风险
评估
5.1基础条件
5.1.1基本条件、5.1.2评估工作公正性与独立性要求章条
全部条款内容
表 1 数据安全评估类型与能力要求对应关系(续)
序号
数据安全评估
活动类型
评估活动应满足的能力要求
数据安全风险
评估
5.2管理能力
5.2.1制度措施、5.2.2人员管理与安全保密、5.2.3评估过
程与行为管理、5.2.4风险控制、5.2.5评估业务持续性保
障管理章条全部条款内容
5.4人力资源能力 5.4.1评估团队组成、5.4.2人员能力章条全部条款内容
5.5场所与设备资源能力 5.5.1场所和环境、5.5.2设备和设施章条全部条款内容
5.3.1数据安全风险评估的技术能力章条全部条款内容
个人信息保护
影响评估
5.1基础条件
5.1.1基本条件、5.1.2评估工作公正性与独立性要求章条
全部条款内容
5.2管理能力
5.2.1制度措施、5.2.2人员管理与安全保密、5.2.3评估过
程与行为管理、5.2.4风险控制、5.2.5评估业务持续性保
障管理章条全部条款内容
5.4人力资源能力 5.4.1评估团队组成、5.4.2人员能力章条全部条款内容
5.5场所与设备资源能力 5.5.1场所和环境、5.5.2设备和设施章条全部条款内容
5.3.1数据安全风险评估的技术能力章条全部条款内容
5.3.2个人信息保护影响评估的技术能力章条全部条款内容
数据出境安全
评估
5.1基础条件
5.1.1基本条件、5.1.2评估工作公正性与独立性要求章条
全部条款内容
5.2管理能力
5.2.1制度措施、5.2.2人员管理与安全保密、5.2.3评估过
程与行为管理、5.2.4风险控制、5.2.5评估业务持续性保
障管理章条全部条款内容
5.4人力资源能力 5.4.1评估团队组成、5.4.2人员能力章条全部条款内容
5.5场所与设备资源能力 5.5.1场所和环境、5.5.2设备和设施章条全部条款内容
5.3.1数据安全风险评估的技术能力章条全部条款内容
5.3.3数据出境安全评估的技术能力章条全部条款内容
涉及个人信息出境的安全评估场景,还应满足5.3.2个人信息保护影响评估的技术能力章条全部条款内
4 其他 满足5.1、5.2、5.4、5.5章条要求基础上,完善有关技术能力要求
5 能力要求
5.1 基础条件
5.1.1 基本条件
数据安全评估机构具备的基本条件如下:
在中华人民共和国境内注册;a)
法定代表人、主要负责人为中华人民共和国境内的中国公民,且无犯罪记录;b)
未被列入失信被执行人、重大税收违法案件当事人名单和政府采购严重违法失信行为记录名单
等,以及其他可能影响数据安全评估机构能力和信誉的负面清单;
c)
应具有中国合格评定国家认可委员会颁发的实验室认可证书或检验机构认可证书,且证书处于
有效状态,证书认可的能力范围含信息安全、网络安全、数据安全等检验检测相关内容;
d)
应满足GB/T 32914-2023第5章相关要求;e)
宜具备数据安全相关检查、检测、评估的服务项目或任务实施经验。f)
5.1.2 评估工作公正性与独立性要求
数据安全评估机构应符合从事数据安全评估工作所需要的公正性和独立性等要求,包括但不限于:
严格执行有关法律法规、标准规范,开展客观、公正的评估活动;a)
对其评估活动的公正性负责,不受可能来自商业、财务或其他方面的压力而影响公正性;b)
不从事面向公众、被评估对象开展的网络数据处理活动,由国家机关授权或评估机构内部独立
开展的数据处理活动除外;
c)
不涉及数据安全产品开发、销售、集成以及运营等活动,不从事信息技术产品开发、销售和信
息系统集成实施等活动,自用评估工具除外;
d)
不向评估对象推荐、指定产品或服务。e)
5.2 管理能力
5.2.1 制度措施
数据安全评估机构应建立、执行数据安全评估制度和措施,包括但不限于以下方面。
评估项目实施前组建评估团队、编制评估计划或方案,明确评估目标、范围、评估方式、投入
资源、时间进度等,并得到被评估方的认可。
a)
建立并执行评估方案管理制度,采用专家评审或审核方式,重点审核评估方案是否明确被评估
对象的数据处理活动范围,以及拟投入的相关资源、评估实施周期等内容是否适当等。
b)
建立评估机构管理责任制度,明确责任部门、责任范围、责任人、工作流程,及与其他部门的
统筹协调等,做好日常保密、宣传教育、风险排查、自查检查等各项任务。
c)
结合GB/T 19001-2016中相关要求,建立执行评估实施日常监督制度,记录并监督评估现场
工作情况,包括进出评估现场的设备使用及材料调阅情况、事前告知情况以及其他评估实施情
况等。
d)
建立执行评估报告审查制度,采用专家评审或内部审核方式,重点审核评估报告的科学性、完
整性,评估过程证明材料的充分性、真实性,以及评估结论的客观性、准确性,通过审核的评
估报告才可提供给被评估方。
e)
采取管理措施,限定数据安全评估活动仅在本机构内部开展,原则上不准许委托本机构外其他
机构实施。
f)
建立执行评估活动定期自查机制,对评估项目、人员、设备场所及安全保密管理等进行自查,
自查周期不低于每年一次,发现问题隐患及时整改,并留存相关记录,自查内容包括:评估项
目完成情况、评估报告完成、存放及管理情况、评估人员背景及行为规范情况、评估设备管理
和使用情况、评估场所环境安全情况、评估实施安全管理情况等。
g)
建立变更管理制度,变更前与被评估方就具体事项主动沟通,经被评估方同意后,确保变更以
受控的方式得到评估、批准和实施;变更后对评估目标、质量和效率、被评估方信息系统和业
务造成影响的,进行针对性的改进、补救或恢复。
h)
建立项目沟通与应急处置机制。i)
建立报告制度,评估过程或评估机构内部管理中发现网络安全事件、安全漏洞时,应按合同或
协议要求及时向被评估方报告,并记录事件相关内容,根据相关国家规定、标准要求进行报告
和协助处置。
j)
5.2.2 人员管理与安全保密
数据安全评估机构应充分考虑数据安全评估的特点,结合安全保密要求,建立并执行以下安全管理
制度。
评估人员为与数据安全评估机构签订正式合同的员工。a)
建立数据安全评估人员管理制度,包括但不限于:b)
建立并保存评估人员的人员档案,档案至少保存至评估人员离职后6年,有关法律法规、行
业管理另有规定的除外,并与评估人员单独签订安全保密协议;
1)
定期对评估人员开展岗位心理测试、普法宣传、警示教育、安全保密教育培训、职业技能
培训等,确保人员安全,提高评估人员安全保密意识;
2)
评估人员在确认评估过程材料已完成归档且评估报告已发布的前提下,清除评估过程
材料。
3)
评估任务开始前,给出面向被评估方的保密承诺条款。c)
建立数据安全评估报告管理机制,机构内部指定统一归档部门,其他任何部门、个人不应留存
评估报告和数据安全评估有关原始材料。
d)
统一归档评估报告和过程材料,过程材料包括接收数据、资料的记录,关键人员沟通访谈的记
录,漏洞、安全事件有关的原始数据等,并建立加密、访问控制、审计相关机制和技术措施。
e)
评估任务结束后,按被评估方或合同、协议等的要求,进行数据的脱敏、移交、清理、销毁等
处置;被评估方对处理情况提出核验或审计的,予以充分配合。
f)
不应自行公开评估报告及评估过程材料,不应向评估授权方以外的任何组织和个人提供评估报
告及评估过程材料,国家法律法规规定的除外。
g)
注:一般情况下,评估授权方指被评估的数据处理者;主管监管部门组织的数据安全评估,评估授权方指主管监管
部门。
其他用于防范评估过程数据泄露的安全管理制度和技术措施。h)
5.2.3 评估过程与行为管理
5.2.3.1 评估过程
数据安全评估机构应确保评估过程的规范性,包括但不限于:
告知开展评估的依据;a)
确保评估结论可追溯、过程可复现;b)
留存评估结论相关证明材料以及对应的数据处理活动状态和时间记录6年以上,用于复核验证。c)
5.2.3.2 评估机构行为
数据安全评估机构应制定评估活动行为准则,不应从事的活动内容包括但不限于:
影响被评估对象正常运行,危害被评估对象安全;a)
未与被评估对象对评估工作期间的保密工作进行充分协商,未制定方案,造成泄露知悉的被评
估对象及被评估对象的国家秘密、工作秘密、商业秘密、个人隐私等;
b)
故意隐瞒评估过程中发现的安全问题,或者在评估过程中弄虚作假,未如实出具数据安全评估
报告;
c)
非授权占有、使用数据安全评估相关资料及数据文件;d)
限定被评估对象购买、使用其指定的相关产品或服务;e)
对系统或数据的操作超出合同、协议及被评估方等约定的范围;f)
其他危害国家安全、社会秩序、公共利益以及损害个人、组织合法权益的活动。g)
5.2.4 风险控制
5.2.4.1 评估活动风险分析
数据安全评估机构应在评估实施前分析评估活动的潜在风险,制定应对措施并确认其有效性,对可
能产生的风险、应对措施向被评估方进行风险提示,经其同意后采取影响最小的方式实施,潜在风险包
括但不限于:
评估机构因不可抗力导致的任务逾期、被评估方提供的材料不全导致评估结果不准确等方面的
风险;
a)
评估活动可能对数据处理活动正常运行造成影响的风险,以及评估设备或工具接入可能对被评
估系统正常运行造成影响的风险;
b)
其他可能危害被评估的数据处理者、被评估的数据处理活动相关数据主体的风险。c)
5.2.4.2 评估活动风险控制
数据安全评估机构应针对评估活动可能存在的风险实施对应的管理和技术措施加以控制:
管理措施包括安全操作和意识培训、完善和宣贯安全操作规程等;a)
技术措施包括对评估报告及有关证据性的访问日志审计、评估报告及有关证据性材料的加密措
施等。
b)
5.2.5 评估业务持续性保障管理
5.2.5.1 技术培训
数据安全评估机构应持续开展对评估人员的培训,培训内容应包括政策法规及标准规范、实践经
验、评估案例、工具使用等,培训方式可采用内训、外训相结合的方式,数据安全评估人员每年培训时
间应不少于 20学时。
5.2.5.2 投诉处理
数据安全评估机构应制定投诉及争议处理制度,严格遵守申诉、投诉及争议处理制度,并应记录采
取的措施。
5.2.5.3 持续优化
数据安全评估机构应建立持续优化机制,确定改进措施和计划,持续改进管理体系的适宜性、
充分性和有效性。持续完善数据安全评估活动有关管理机制、操作手册、技术方法,总结形成技术
指导书,持续跟踪国内外数据处理及数据安全评估相关技术发展,持续优化提升评估机构自身管理
措施和技术能力。
5.3 技术能力
5.3.1 数据安全风险评估的技术能力
5.3.1.1 数据处理活动与数据资产识别分析
数据安全评估机构应具备数据处理活动与数据资产识别分析能力,包括但不限于:
具备数据处理活动及数据处理者对应的行业领域和地区的数据安全相关法律法规及标准规范的
基本知识;
a)
数据处理活动范围识别,在数据处理活动对应的数据处理者支持下,确定数据安全评估的对
象、范围和边界,明确评估涉及的数据资产、数据处理活动、业务、信息系统、人员和内外部
b)
组织等;
数据资产识别,根据数据处理者提供的数据分类分级规则和数据目录,识别数据分类分级情
况、数据资产、数据属性,数据属性包括数据类别和级别、数据范围、数据规模、数据形态、
元数据内容等;
c)
识别或绘制数据处理活动数据流图,数据流图包括数据流转各环节经过的相关方、信息系统,
以及每一个流动环节涉及的数据类型等;
d)
数据处理活动各环节识别,识别数据处理活动目的,以及数据收集、存储、使用、加工、传
输、提供、公开、删除活动环节的方式、范围等;
e)
数据处理活动相关方识别,识别数据处理者与相关方的关系,以及数据处理者与相关方的授
权、协议、合同等约定事项,其中数据处理活动相关方包括个人、数据处理委托方、数据接收
方等;
f)
数据处理活动保护措施识别,识别已采用的网络安全防护措施,以及数据安全管理、技术方面
相关保护措施等。
g)
5.3.1.2 数据处理活动风险源识别
数据安全评估机构应具备数据处理活动可能存在的风险源识别发现能力,包括但不限于:
数据处理活动合理性判断,根据法律法规明确的合法、正当、必要等原则,参照有关标准规
范,识别数据处理活动中存在的合理性方面风险问题,风险源包括未严格执行相关法律法规和
标准规范可能引发的法律风险和系统性风险、超范围收集、超限度提供、未与数据接收方约定
数据处理方式和范围、非必要的监控画像、未授权个人生物识别信息收集、未取得授权的数据
挖掘及衍生数据利用、存储期限不适当、删除不彻底,以及数据脱敏、去标识化或匿名化不充
分等;
a)
数据及信息系统保密性、完整性、可用性判断,识别因信息系统脆弱性以及验证数据保护措施
不适当可能导致的风险问题,风险源包括存在安全漏洞、利用漏洞攻击防御手段不足、加密措
施不适当、访问控制措施不适当、信息系统残留恶意代码或存在恶意软件、信息系统配置错
误、传输方式不安全、审计监控措施不适当等。
b)
5.3.1.3 数据处理活动风险分析与评价
数据安全评估机构应具备数据处理活动风险的分析与综合评价能力,包括但不限于:
数据安全事件危害程度分析,针对识别出的风险源,结合数据处理活动分析风险源涉及的数据
价值,以及事件对个人、组织、公众、国家带来的损害程度,综合分析风险源导致的数据安全
事件发生时可能造成的危害程度级别;
a)
数据安全事件发生可能性分析,结合数据处理活动分析数据处理活动安全措施有效性、完备
性,判断安全措施在控制风险问题中发挥的作用,结合数据安全事件的发生条件、历史事件等
因素,综合分析风险问题导致的数据安全事件发生的可能性;
b)
风险综合评价,综合数据安全风险危害程度和数据安全风险可能性,评价数据安全风险所处的
风险区间。
c)
5.3.1.4 数据处理活动风险控制建议
数据安全评估机构应具备提出风险控制措施建议能力,包括但不限于:
根据评估过程中发现的数据安全风险提出控制建议,包括停止收集、缩小处理范围、补充签署
协议、增加保护措施、完善......
|