DB23/T 3696-2024 大数据安全服务人员能力评价

ICS03.080.01

CCSA20

DB23

黑龙江省地方标准

DB23/T3696—2024

大数据安全服务人员能力评价

2024-06-13发布2024-07-12实施

黑龙江省市场监督管理局发布

DB23/T3696-2024

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由黑龙江省互联网信息办公室提出并归口。

本文件起草单位：黑龙江省大数据产业协会、黑龙江亿林网络股份有限公司、哈尔滨财富通科技发

展有限公司、哈尔滨伟祺科技开发有限公司、杭州金诚信息安全科技有限公司、工单科技（黑龙江）有

限公司、中国移动通信集团设计院有限公司黑龙江分公司、黑龙江农投大数据科技有限公司、哈尔滨商

业大学广厦学院、哈尔滨市大地勘察测绘有限公司。

本文件主要起草人：孙甲子、李璐昆、杜飞、王唯合、李文才、李清洋、刘婷婷、李祺锋、孙传友、

纪云龙、姜子寒、冯冬鑫、赵欣、张明、吕同胜、陈然、孙微。

I

DB23/T3696-2024

大数据安全服务人员能力评价

1范围

本文件规定了大数据安全服务人员能力评价的评价原则、评价要求、岗位分类、能力评级、评价方

法、评价机构及评价程序等要求。

本文件适用于大数据安全服务人员能力的评价。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35274信息安全技术大数据服务安全能力要求

GB/T35295信息技术大数据术语

GB/T37973信息安全技术大数据安全管理指南

GB/T38667信息技术大数据数据分类指南

GB/T42446信息安全技术网络安全从业人员能力基本要求

GB/T43697数据安全技术数据分类分级规则

3术语和定义

GB/T35274、GB/T35295、GB/T37973、GB/T38667、GB/T42446、GB/T43697界定的以及下列术

语和定义适用于本文件。

3.1

大数据安全服务

面向组织或个人的各类大数据安全保障需求，由服务提供方按照服务协议所执行的一个大数据安全

过程或任务。

3.2

人员能力评价

对人员的知识和技能水平进行客观、公正、规范的评价活动。

4评价原则

评价过程应充分体现公开、公平、公正的基本原则；应当恪守职业道德，坚持客观公正、科学严谨、

实事求是的工作原则。

5评价要求

1

DB23/T3696-2024

申报人员应具备以下要求：

a)良好的职业道德和敬业精神，无不良信用记录；

b)掌握大数据安全相关领域知识和技术，并具备至少一年的大数据安全服务工作经验；

c)具备与大数据安全工作要求相适应的观察、分析、判断能力，能在他人指导下完成一定数量的

工作任务；

d)具备团队协作能力，能够跨部门协同和团队协作。

6大数据安全服务人员岗位分类

根据大数据安全服务人员岗位能力的不同，将其分为两类：大数据安全服务管理人员和大数据安全

服务技术人员。

7大数据安全服务管理人员岗位能力评级

7.1数据采集管理人员岗位能力

7.1.1数据分级管理能力

7.1.1.1一级指标

在他人的指导和协助下，能够完成对数据的分类和分级工作。

7.1.1.2二级指标

包括但不限于：

a)熟悉并掌握整体数据的安全分类与分级原则；

b)具备划分数据类别与级别的能力；

c)熟知业务需求及外部法规要求，对核心业务数据实施科学合理的分类与分级管理。

7.1.1.3三级指标

包括但不限于：

a)能够确立数据分类分级的指导原则、方法和实践指南；

b)具备对数据进行精确分类和定级标记的管理能力；

c)对于不同类型和敏感度的数据，能够建立相应的访问权限、加密解密机制、数据脱敏手段以及

其他必要的安全管理和控制措施；

d)能够制定数据分类、分级变更的审批流程与机制。

7.1.2数据采集管理能力

7.1.2.1一级指标

在他人指导和协助下，能够有效地完成数据采集的管理工作。

7.1.2.2二级指标

包括但不限于：

a)确保所有数据采集活动合理、合法、合规，深入了解核心业务数据采集的原则；

b)能够确认外部数据源的合法性和安全性，了解数据采集的渠道和外部数据源。

2

DB23/T3696-2024

7.1.2.3三级指标

包括但不限于：

a)熟知数据采集原则的制定，能够熟练掌握业务相关的数据采集流程和方法；

b)具备制定数据采集风险评估流程的能力，可以对数据源、采集频度、采集渠道、采集方式、数

据范围和类型进行全面风险评估；

c)深入了解数据采集相关的法律要求、安全要求和业务需求，能够根据组织的实际业务需求提出

针对性的解决方案；

d)能够合理规划自动化数据采集的范围；

e)具备制定数据采集安全管理制度的能力，能够为团队提供清晰明确的指导；

f)能够明确数据采集过程中个人信息源重要数据的知悉范围，并制定相应的管控措施。

7.1.3数据源鉴别及记录管理能力

7.1.3.1一级指标

在他人的指导和协助下，能够有效的记录并管理收集的数据。

7.1.3.2二级指标

包括但不限于：

a)熟知数据源鉴别与数据采集业务，能够灵活运用并指导实际工作；

b)具备制定数据源鉴别标准和数据采集流程的能力。

7.1.3.3三级指标

包括但不限于：

a)能够制定数据源管理制度，对组织采集的数据源进行鉴别和记录管理；

b)具备制定数据源鉴别标准的能力；

c)具备制定数据备份管理制度的能力。

7.1.4数据质量管理的管理能力

7.1.4.1一级指标

在他人的指导和协助下，具备完成数据质量管理和监控任务的能力。

7.1.4.2二级指标

包括但不限于：

a)能够对数据质量进行管理和监控；

b)熟知数据清洗、转换和加载操作相关的安全管理规范。

7.1.4.3三级指标

包括但不限于：

a)能够建立关于数据质量管理的各项要求；

b)能够制定在数据采集过程中的质量监控规则，并清晰地界定数据质量监控的范围以及所采用的

监控方式；

c)能够制定数据采集阶段的关键数据质量控制规范，并具备执行数据质量评估工作的能力；

d)能够建立与数据清洗、转换和加载操作相关的安全管理规范。

3

DB23/T3696-2024

7.2数据传输管理人员岗位能力

7.2.1数据加密传输管理能力

7.2.1.1一级指标

在他人的指导和协助之下，能够有效地执行数据加密传输和密钥管理的任务。

7.2.1.2二级指标

包括但不限于：

a)熟悉数据传输安全的管理规定与要求；

b)掌握核心业务中需加密传输的数据范畴及加密算法；

c)具备制定传输通道两端主体身份鉴别与认证技术方案的能力。

7.2.1.3三级指标

包括但不限于：

a)能够制定数据传输安全的管理规范与要求；

b)具备灵活应对数据传输安全策略变更的管理能力；

c)熟知并掌握常用的安全通道方案、身份鉴别和认证技术，以及主管部门推荐的数据加密算法；

d)能够对通道安全配置、密码算法配置、密钥管理进行全面审核及监控管理；

e)能够根据具体的业务需求，合理选择并实施数据传输安全管理措施。

7.2.2网络可用性安全管理能力

7.2.2.1一级指标

在他人的指导和协助下，能够有效地执行网络可用性的管理工作。

7.2.2.2二级指标

包括但不限于：

a)明确网络（安全）设备的可用性管理要求；

b)具备有效管理网络可用性的能力，制定网络安全管理制度。

7.2.2.3三级指标

包括但不限于：

a)具备制定相关设备对网络可用性及数据安全风险规范的能力；

b)能够确立网络可用性管理的关键指标，制定网络服务的配置计划和应急替代策略；

c)能够针对不同业务需求，制定个性化的网络性能安全防护方案。

7.3数据存储管理人员岗位能力

7.3.1存储介质安全管理能力

7.3.1.1一级指标

在他人指导和协助下，能够有效地实施对存储媒体的安全管理。

7.3.1.2二级指标

4

DB23/T3696-2024

包括但不限于：

a)对存储媒体安全管理的相关制度有深入了解；

b)具备有效实施存储媒体安全管理的能力。

7.3.1.3三级指标

包括但不限于：

a)深入了解不同存储媒体的访问和使用差异，确保安全管理制度的针对性和有效性；

b)能够制定并实施存储媒体的安全管理规范，涵盖访问、使用、审批记录等多个方面；

c)能够制定存储媒体安全管理制度，熟知不同存储媒体访问和使用的差异性；

d)能够建立完善的存储媒体使用、购买和标记的安全制度，确保信息资产的安全性和可追溯性。

7.3.2逻辑存储安全管理能力

7.3.2.1一级指标

在他人指导和协作下，能够完成对数据逻辑存储系统的安全管理。

7.3.2.2二级指标

包括但不限于：

a)具备数据逻辑存储系统的安全管理能力；

b)熟知数据逻辑存储的隔离授权机制与操作流程；

c)掌握逻辑存储系统的架构管理，并能够准确分析数据存储所面临的安全风险。

7.3.2.3三级指标

包括但不限于：

a)具备制定数据逻辑存储管理的安全准则与配置策略的能力；

b)能够构建一套安全管理制度，为逻辑存储系统提供坚实的保障。

7.3.3数据备份和恢复管理能力

7.3.3.1一级指标

在他人指导和协助下，成功执行数据备份与恢复任务的管理能力。

7.3.3.2二级指标

包括但不限于：

a)具备深入理解数据备份、恢复