《数据安全评估实施指南》.pdfVIP

ICS

CCS

天津市地方标准

DBXX/TXXXXX—XXXX

数据安全评估实施指南

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

目录

前言I

引言II

1范围1

2规范性引用文件1

3术语和定义1

4数据安全能力成熟度模型2

4.1模型架构2

4.2安全能力维度2

4.2.1能力构成2

4.2.2组织建设2

4.2.3制度流程2

4.2.4技术工具2

4.2.5人员能力3

4.3能力成熟度等级维度3

4.4数据安全过程维度4

4.4.1数据生存周期4

4.4.2数据安全PA体系4

4.5数据安全能力成熟度判定准则5

4.5.1过程域等级评定规则5

4.5.2成熟度等级评定规则5

5评估方式5

6评估过程6

6.1评估准备6

6.2评估实施6

6.3评估结果判定6

6.4评估报告编写7

附录A（资料性附录）数据安全评估报告模板8

参考文献15

前言

本标准按照GB/T1.1-2020《标准化工作导则第1部分：标准的结构和编写》给出的规则

起草。

本标准由天津市互联网信息办公室提出并归口。

本标准起草单位：

本标准主要起草人：

I

引言

为贯彻落实《数据安全法》中“建立健全数据安全治理体系，提高数据安全保障能力，鼓

励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发

展。”要求，保障国家安全、公共利益、个人和组织的合法权益，根据《中华人民共和国网络

安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《GB∕T37988-2019

信息安全技术数据安全能力成熟度模型》法律法规和政策标准要求，结合本市实际，制定本

指南。

II

数据安全评估实施指南

1范围

本标准提出了数据安全评估方法、评估流程、评估报告模板，给出了参考的评估要求。

本标准适用于天津市内数据安全评估工作，给出了数据安全评估报告模板，规范了数据

安全评估工作的评估方法和评估要点。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适

用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069—2010信息安全技术术语

GB/T37988—2019信息安全技术数据安全能力成熟度模型

3术语和定义

GB/T25069—2010、GB/T37988—2019中界定的以及下列术语和定义适用于本文件。

3.1

信息系统运营者informationsystemoperator

本标准所指政务信息系统运营者，是指政务信息系统的所有者、管理者和服务提供者。

3.2

数据安全datasecurity

采用技术和管理措施来保护数据的必威体育官网网址性、完整性和可用性等。

3.3

敏感数据sensitivedata

由权威机构确定的受保护的信息数据。

注：敏感数据的