DB4403/T 439-2024 公共数据安全评估方法

ICS35.240.01

CCSL67

DB4403

深圳市地方标准

DB4403/T439—2024

公共数据安全评估方法

Assessmentmethodsofcommondatasecurity

2024-04-22发布2024-05-01实施

深圳市市场监督管理局发布

DB4403/T439—2024

目  次

前言.................................................................................III

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4缩略语..............................................................................2

5通则................................................................................2

5.1评估原则........................................................................2

5.2评估体系........................................................................2

5.3安全能力........................................................................3

5.4评估手段........................................................................3

5.5评估适用情形....................................................................4

5.6评估指标和评估对象说明..........................................................4

5.7评估流程........................................................................4

6通用管理安全评估....................................................................5

6.1总体数据安全策略................................................................5

6.2数据安全管理机构与人员..........................................................6

6.3数据安全管理制度体系...........................................................11

7通用技术安全评估...................................................................13

7.1数据分类分级保护...............................................................13

7.2数据安全评估...................................................................15

7.3数据安全风险监测...............................................................17

7.4数据安全管控...................................................................19

7.5数据安全应急处置...............................................................23

7.6数据安全审计...................................................................25

8数据处理活动安全评估...............................................................27

8.1数据收集.......................................................................27

8.2数据存储.......................................................................29

8.3数据传输.......................................................................32

8.4数据使用.......................................................................34

8.5数据加工.......................................................................37

8.6数据开放共享...................................................................40

8.7数据交易.......................................................................42

8.8数据出境.......................................................................42

8.9数据销毁与删除.................................................................44

I

DB4403/T439—2024

9整体评估...........................................................................46

9.1整体评估要求...................................................................46

9.2评估子项间评估.................................................................46

9.3例外情况评估...................................................................47

10评估结论..........................................................................47

10.1安全风险分析和评价............................................................47

10.2评估结论判定..................................................................47

附录A（规范性）公共数据安全评估评分细则.............................................48

A.1公共数据安全评估评分表.........................................................48

A.2公共数据安全评估评分方法.......................................................70

附录B（资料性）高风险项判例.........................................................72

附录C（资料性）常见威胁列表.........................................................75

附录D（资料性）公共数据安全评估报告模板.............................................78

D.1公共数据安全评估报告封面.......................................................78

D.2公共数据安全评估基本信息表.....................................................79

D.3公共数据安全评估报告大纲.......................................................80

附录E（资料性）公共数据安全评估案例.................................................81

E.1组建评估团队...................................................................81

E.2确定评估对象及评估范围.........................................................81

E.3评估对象调研...................................................................81

E.4组织评估实施...................................................................81

E.5评估报告编制...................................................................86

参考文献..............................................................................87

II

DB4403/T439—2024

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

本文件由深圳市政务服务和数据管理局提出并归口。

本文件起草单位：深圳市信息安全管理中心、全知科技（杭州）有限责任公司、鹏城实验室、中国

电子标准化研究院、金砖国家未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、深圳

国家金融科技测评中心有限公司、深圳赛西信息技术有限公司、蚂蚁科技集团股份有限公司、华为技术

有限公司。

本文件主要起草人：董安波、李苏、罗菁春、林宇群、穆端端、赵剑、轩豪男、潘志斌、方兴、周

顿科、魏凤玲、李佳雯、包亚鹏、陈崇滨、林生锐、束建钢、何延哲、林桢、刘慧洋、王志、罗丰、吴

祖顺、白晓媛、常新苗。

III

DB4403/T439—2024

公共数据安全评估方法

1范围

本文件规定了公共数据安全的通则、通用管理安全评估要求、通用技术安全评估要求、数据处理活

动安全评估要求、整体评估与评估结论。

本文件适用于各级公共数据主管部门、公共管理和服务机构开展公共数据安全评估，也适用于处理

大量个人信息的服务平台数据安全能力的评估。

本文件不适用于涉及国家秘密的公共数据安全评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T35273—2020信息安全技术个人信息安全规范

GB/T37988—2019信息安全技术数据安全能力成熟度模型

GB/T39477—2020信息安全技术政务信息共享数据安全技术要求

DB4403/T271—2022公共数据安全要求

3术语和定义

GB/T35273—2020、GB/T37988—2019、DB4403/T271—2022界定的以及下列术语和定义适用于本

文件。

3.1

公共数据commondata

公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务

过程中产生、处理的数据。

注：本文件提及的数据均指公共数据。

3.2

数据场景datascenario

为了达到特定业务目的而对数据进行处理和使用的场景，对场景下数据流向进行全链路分析。

注：单个数据场景可能涉及多个机构及其业务系统。

3.3

主责机构mainresponsibleorganization

评估对象为数据场景时，场景涉及主要系统的责任部门。

3.4

关联机构relatedresponsibleorganization

1

DB4403/T439—2024

评估对象为数据场景时，涉及场景相关处理活动的其他机构。

注：如数据场景处理活动仅在主责机构内部，则不涉及关联机构。

4缩略语

下列缩略语适用于本文件。

SDK：软件开发工具包（SoftwareDevelopmentKit）

API：应用程序接口（ApplicationProgrammingInterface）

5通则

5.1评估原则

为规范公共数据安全评估工作，全面有效发现公共数据可能面临的各类安全风险，评估机构在评估

过程中，遵循下列原则：

a)公正客观原则：评估机构对评估对象数据安全保障措施进行公平客观的判定，不受机构性质、

评估对象、评估时间、评估人员、利益关系等任何因素影响而损害评估的公正及客观性；

b)最小影响原则：评估机构对评估对象的网络、业务、数据流转等正常运行造成的影响降低到

最低，不因评估工作而导致业务连续性的中断；

c)可控性原则：评估机构确保评估过程可管可控，使用的评估工具或技术手段，已经过实践验

证，不存在安全隐患；

d)全面性原则：评估机构全面覆盖评估要点，基于评估要点对评估对象涉及的资产（如制度类

文档、数据资产、软硬件资产、人力资源等）、数据处理活动各环节进行评估；

e)书面授权原则：评估机构开展评估工作得到被评估机构的正式书面授权；

f)保密性原则：评估机构及评估人员与被评估机构签订数据安全相关保密协议，明确保密责任、

义务及争议条款，除法律要求或获得被评估机构同意外，评估人员获取的评估对象相关信息、

过程文档等严格保密，不对外透露。

5.2评估体系

公共数据安全评估框架见图1，公共数据安全评估体系包含安全要求、安全能力、安全等级三个维

度，三个维度具体内容如下：

a)内容涵盖通用管理安全、通用技术安全及数据处理活动安全三方面安全要求；

b)针对组织、制度、人员、技术四方面安全能力进行评估；

c)对于不同的安全等级选取相对应的安全要求进行评估，评估对象涉及不同安全等级的数据类

型且无法拆分评估时，依据评定的最高数据安全等级的安全要求开展评估，按照DB4403/T271

—2022中6.7规定的安全等级与安全要求的关系确定安全等级与对应安全要求。

2

DB4403/T439—2024

图1公共数据安全评估框架

5.3安全能力

评估机构对评估对象的数据安全能力进行评估，安全能力应分为以下四个维度：

a)组织能力：主要考察数据安全组织架构及人员的设立、职责分工及沟通协作；

b)制度能力：主要考察数据安全制度及流程建设完备性、可执行性、动态更新性；

c)人员能力：主要考察人员数据安全建设专业能力、工作执行落地情况；

d)技术能力：主要考察采取技术手段或自动化技术工具落实数据安全要求的能力。

5.4评估手段

公共数据安全评估宜采取如下评估手段开展评估工作：

a)文档查阅：评估人员通过查看数据安全评估相关材料，如数据安全管理制度、业务安全保障措

施技术材料、制度落地执行记录表单等，辅助验证是否符合相关安全要求；被评估机构提前准

备相关文档以供评估人员查阅；

b)人员访谈：评估人员与被评估机构相关人员进行交流、讨论、询问等，以初步验证数据安全要

求的符合性，可结合其他评估手段，充分验证数据安全保障措施的有效性；访谈人员范围包含

数据安全管理机构人员以及承载业务系统运行的应用、系统、网络相关人员等；

c)技术检测：评估人员对业务系统不同应用形态（如网页应用程序、移动应用程序、小程序、公

众号等）、系统、网络等进行技术测试，以验证是否符合数据处理活动技术安全要求；通过评

估人员事先准备测试工具（如流量监测工具、扫描工具、渗透测试工具等）、业务注册或使用

被评估机构准备的测试账号等以完成技术测试；

d)系统核验：被评估机构人员根据评估人员的要求，上机核验被评估机构相关安全能力平台或业

务数据处理活动各环节、数据操作日志记录等界面；此评估手段可直观验证数据安全保障措施

3

DB4403/T439—2024

是否有效，被评估机构人员安排相关人员进行现场演示，评估人员根据演示结果判断安全要求

的符合性。

5.5评估适用情形

满足如下情形之一，应及时启动评估工作：

a)涉及公共数据的政务信息化建设项目合同终验前；

b)承载公共数据的信息系统运营阶段，数据承载环境发生重大变更时，如数据处理技术模式变更、

数据采集渠道变更、数据种类发生重大变化、批量数据共享对象变更、业务重大版本迭代、网

络环境重大变更、数据存储系统升级改造、数据出境等；

c)行业主管部门要求或法律法规规定的其他情形。

5.6评估指标和评估对象说明

5.6.1评估指标

对第6章至第8章的评估指标进行编码，M指代通用管理安全，T指代通用技术安全，P指代数据

处理活动安全，BR指代基本安全要求，TR指代三级增强要求，FR指代四级增强要求，DT指代数据子类

或字段，各评估指标按照附录A进行评分。

5.6.2评估对象

业务系统、数据场景均可作为评估对象。评估机构针对选取的评估对象，确定评估指标，开展评估

工作，并编制形成评估报告。不同的评估对象适用于不同的评估指标：

a)评估对象为业务系统，根据其安全等级选取第6章至第8章相对应安全要求的评估指标进行评估，

判别依据为被评估机构数据安全组织架构、人员配备、制度流程、技术能力及与该业务系统相

关的资产、已有安全保护措施等；

b)评估对象为数据场景，应划分主责机构和关联机构，涉及的多个机构及其业务系统均纳入评估范

围，评估指标选取原则如下：

1)针对主责机构，参照第6章至第8章的评估指标对其开展评估；

2)针对关联机构，一个关联机构可能涉及该场景下单个或多个数据处理活动环节，参照第8章中

与该关联机构涉及数据处理活动环节所对应的评估指标开展评估。

注：主责机构指数据场景主要系统的管理者，对该场景下处理的数据负主要责任。关联机构指与数据场景有关联

关系，涉及该场景下数据处理活动中单个或多个环节的机构，对其涉及的环节负关联责任。

5.7评估流程

公共数据安全的评估流程按照以下步骤进行：

a)组建评估团队：数据安全评估前，组建数据安全评估团队，评估团队宜包含评估机构评估人员、

被评估机构数据安全管理机构人员，评估过程中涉及的人员包含评估对象相关的业务运营运维

部门、业务开发测试部门、数据合作方等人员，评估机构的评估人员应具备数据安全评估能力，

确保评估结果的有效性；

b)确定评估对象：按照5.6.2明确数据安全评估对象，针对选定的评估对象，根据评估对象的安

全等级，确定评估指标；

c)评估对象调研：数据安全评估团队对评估对象相关数据安全工作进行充分调研，包括业务简介、

网络拓扑情况、数据安全岗位人员、数据安全管理相关制度流程表单、数据安全设备部署情况、

已有安全保护措施等；在组织评估实施之前，提供评估方案，并与被评估机构协商一致；

4

DB4403/T439—2024

d)组织评估实施：数据安全评估团队组织远程及现场评估，采用文档查阅、人员访谈、技术检测、

系统核验等评估手段，开展评估指标的评分工作，并进行安全风险分析，附录B给出了高风险

项示例，附录C给出了常见的数据安全威胁，可参考进行风险分析；

e)评估报告编制：数据安全评估团队对评估过程进行记录，保存对应的评估佐证材料，并编制形

成数据安全评估报告（评估报告模板见附录D），组织与被评估机构共同确认数据安全评估结

果，完成公共数据安全的评估，评估工作案例见附录E。

6通用管理安全评估

6.1总体数据安全策略

总体数据安全策略评估内容描述见表1。

表1总体数据安全策略评估内容

评估项级别要求评估子项评估手段评估内容

组织能力：

应明确数据安全管理1.通过人员访谈，询问被评估机构是否组织专门

的策略，包括管理目部门明确总体数据安全策略。

标、原则、要求等内制度能力：

总体数据安容，制定或修订完善2.通过文档查阅，确认总体数据安全策略是否包

基本安全要人员访谈

全策略总体安全管理框架，括管理目标、原则、要求等内容；或相关信息安

求文档查阅

（M01）公共数据安全管理应全总体纲领文档是否体现数据安全方面的总体

作为重点内容，纳入方针政策。

总体安全管理范畴。人员能力：

（M01-BR01）3.通过人员访谈，询问被评估机构是否了解机构

制定的总体数据安全策略。

组织能力：

1.被评估机构是否组织定期对数据安全策略的

应定期对数据安全策

总体数据安合理性及适用性进行论证和审定，查阅相关评审

三级增强要略的合理性及适用性

全策略文档查阅记录。

求进行论证和审定，动

（M01）制度能力：

态调整。（M01-TR01）

2.是否根据定期审定结果，动态调整数据安全策

略，查阅动态调整内容。

5

DB4403/T439—2024

6.2数据安全管理机构与人员

数据安全管理机构与人员评估内容描述见表2。

表2数据安全管理机构与人员评估内容

评估项级别要求评估子项评估手段评估内容

机构管理：应设立数

据安全管理机构，明

确数据安全责任人，

落实数据安全保护责组织能力：

任。数据安全责任人1．通过人员访谈，询问被评估机构是否明确数

履行职责包括但不限据安全管理机构及数据安全负责人，明确数据安

于：全责任人的工作职责，查阅正式发文文档。

1）组织制定数据保护制度能力：

计划并落实；2．查阅数据安全负责人的职责内容是否包括但

基本安全要人员访谈

2）组织开展数据安全不限于：

求文档查阅

影响分析和风险评1）组织制定数据保护计划并落实；

估，督促整改安全隐2）组织开展数据安全影响分析和风险评估，督

患；促整改安全隐患；

3）组织按要求向有关3）组织按要求向有关部门报告数据安全保护和

数据安全管部门报告数据安全保事件处置情况；

理机构与人护和事件处置情况；4）组织受理并处理数据安全投诉和举报事项。

员（M02）4）组织受理并处理数

据安全投诉和举报事

项。（M02-BR01）

机构管理：应按照相

制度能力：

关法律法规的要求编

基本安全要人员访谈1.通过人员访谈、文档查阅方式，查验被评估机

制公共数据资源目

求文档查阅构是否按照相关法律法规的要求编制公共数据

录，加强数据安全保

资源目录。

护。（M02-BR02）

6

DB4403/T439—2024

表2数据安全管理机构与人员评估内容（续）

评估项级别要求评估子项评估手段评估内容

机构管理：数据安全

管理机构应明确数据

管理员、数据安全管

组织能力：

理员、数据安全审计

1.通过人员访谈，询问被评估机构的数据安全管

员等岗位职责，落实

理机构是否设立数据安全相关岗位人员，包括数

岗位人员，保障数据

据管理员、数据安全管理员、数据安全审计员等

安全管理与审计工作

岗位，其中数据管理员和数据安全审计员不能由

开展。相关岗位职责

同一人兼任，数据安全管理员和数据安全审计员

应包括：

不应由同一人兼任。

1）数据管理员负责数

制度能力：

据存储、数据权限分

基本安全要人员访谈2.通过文档查阅方式，查看被评估机构是否明确

配、数据资产梳理等；

求文档查阅不同数据安全相关岗位的职责明细，查看岗位职

2）数据安全管理员负

责内容是否全面、明确，是否包含如下职责内容：

责数据权限审批、数

1）数据管理员负责数据存储安全、数据权限分

据分类分级、数据安

配、数据资产梳理等；

全风险检测与评估、

2）数据安全管理员负责数据权限审批、数据分

数据安全事件应急响

类分级、数据安全风险检测与评估、数据安全事

应处置、教育培训等，

数据安全管件应急响应处置、教育培训等，可由安全管理员

可由安全管理员兼

理机构与人兼任；

任；

员（M02）3）数据安全审计员负责数据安全审计等。

3）数据安全审计员负

责数据安全审计等。

（M02-BR03）

机构管理：处理个人

信息达到国家网信部

门规定数量的，应指组织能力：

定个人信息保护负责1.通过人员访谈，询问被评估机构是否属于处理

人，负责对个人信息个人信息达到国家网信部门规定数量的公共管

处理活动以及采取的理和服务机构，如是则是否明确指定个人信息保

基本安全要保护措施等进行监人员访谈护负责人，负责对个人信息处理活动以及采取的

求督，并公开个人信息文档查阅保护措施等进行监督。

保护负责人联系方制度能力：

式，将个人信息保护2.查验被评估机构是否公开个人信息保护负责

负责人的姓名、联系人的姓名、联系方式等，并已报送履行个人信息

方式等报送履行个人保护职责的部门。

信息保护职责部门。

（M02-BR04）

7

DB4403/T439—2024

表2数据安全管理机构与人员评估内容（续）

评估项级别要求评估子项评估手段评估内容

机构管理：应针对数

据类别级别变更、数制度能力：

据权限变更、重大数1.通过文档查阅方式，查看被评估机构是否已建

基本安全要据操作及外部系统接立针对数据类别级别变更、数据权限变更、重大

文档查阅

求入等事项建立审批程数据操作及外部系统接入等事项的审批程序。

序，按照审批程序执2.通过文档查阅方式，查看事项审批程序执行记

行审批过程。录文件。

（M02-BR05）

机构管理：涉及