《数据安全法》提到“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。
《个人信息保护法》提到“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”、“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;…….”。
《网络数据安全管理条例(征求意见稿)》提到“第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门”。
根据目前我国法律法规,数据安全评估整体可分为数据安全风险评估、个人信息保护安全影响评估与数据出境风险评估三种类型。本文将“国家层面、行业层面、地方层面”出台的各项数据安全评估标准进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。
| 标准 | 发布组织 | 发布时间 | 页码 |
| TC260-PG-20231A 网络安全标准实践指南-网络数据安全风险评估实施指引 | 全国信息安全标准化技术委员会 | 2023-05 | 01 |
| GB/T XXXXX—XXXX 信息安全技术 数据安全风险评估方法 | 国家市监局国家标管委 | 2023-08 | 04 |
| GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南 | 国家市监局国家标管委 | 2020-11 | 07 |
| GB/T XXXX-XXXX 信息安全技术 数据出境安全评估指南 | 国家质监局国家标管委 | 2018-01 | 09 |
| GB/T XXXX-XXXX 信息安全技术 数据安全评估机构能力要求 | 国家市监局国家标管委 | 2023-04 | 13 |
| GB/T 20984-2022 信息安全技术 信息安全风险评估方法 | 国家市监局国家标管委 | 2022-04 | 15 |
| JR/T XXXX-XXXX 金融数据安全 数据安全评估规范 | 中国人民银行 | 2021-11 | 17 |
| YD/T 3801-2020 电信网和互联网 数据安全风险评估实施方法 | 工信部 | 2020-12 | 21 |
| YD/T 4241-2023 电信网和互联网数据安全评估技术实施指南 | 工信部 | 2023-05 | 25 |
| YD/T 3956-2021 电信网和互联网数据安全评估规范 | 工信部 | 2021-12 | 28 |
| DB3212/T 1117—2022 政务数据安全风险评估规范 | 泰州市市监局 | 2022-12 | 31 |
| DB33/T 2488-2022 公共数据安全体系评估规范 | 浙江省市监局 | 2022-04 | 34 |
以下简介:
TC260-PG-20231A 《网络安全标准实践指南—网络数据安全风险评估实施指引》
本指南给出了网络数据安全风险评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。本指南适用于指导数据处理者、第三方机构开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。
GB/T XXXXX—XXXX 《信息安全技术 数据安全风险评估方法》
本文件给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
GB/T 39335-2020 《信息安全技术 个人信息安全影响评估指南》
本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主;管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
GB/T XXXX-XXXX 《信息安全技术 数据出境安全评估指南》
本标准提出了个人信息和重要数据出境的安全评估流程、要点和方法。本标准适用于网络运营者开展的个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。
GB/T XXXX-XXXX 《信息安全技术 数据安全评估机构能力要求》
本文件规定了数据安全评估机构的能力要求。本文件适用于数据安全评估机构自身能力建设,也适用于主管监管部门对数据安全评估机构开展的评定活动,还可为数据处理者选择数据安全评估机构提供参考。
GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》
本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。
JR/T XXXX-XXXX 《金融数据安全 数据安全评估规范》
本标准规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。本标淮适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。
YD/T 3801-2020 《电信网和互联网数据安全风险评估实施方法》
本标准提供以数据为核心保护对象的面向应用场景的风险评估方法论,规定了电信网和互联网数据安全风险评估的基本原则、基本要素及各要素之间的关系、实施流程、风险分析模型与方法。本标准适用于电信网和互联网组织开展数据安全风险自评估工作,同时适用于第三方专业测评机构开展数据安全风险评估工作。
YD/T 4241-2023 《电信网和互联网数据安全评估技术实施指南》
本文件提供以公用电信网和互联网网络单元以及业务系统中的数据为核心保护对象的、面向各种应用场景的数据安全评估方法参考。本文件既可用于指导电信网和互联网企业数据安全评估中的凤险评估、现有安全措施评估,也可单独用于指导监管部门、评估机构等组织开展数据安全评估工作。
YD/T 3956-2021 《电信网和互联网数据安全评估规范》
《电信网和互联网数据安全评估规范》则给出了数据安全评估、实施流程和数据安全相关管理及技术措施的评估要点。
DB3212/T 1117—2022 《政务数据安全风险评估规范》
本文件提供了政务数据安全风险评估的评估原则、风险评估框架及流程、风险评估实施等要求。本文件适用于泰州市政务数据安全的风险评估。
DB33/T 2488-2022 《公共数据安全体系评估规范》
本标准规范了公共数据安全体系评估总体要求、评估模型、评估项和评估流程等。本标准适用于公共数据安全体系和能力评估,各级公共数据主管部门、公共管理和服务机构可参考执行。
以下是标准汇编PDF完整版,下载各项数据安全评估标准完整版,关注“极盾科技”公众号,回复“数据安全评估”即可。
数据安全评估标准汇编
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
下载所需前沿标准、白皮书和报告,加入 AIGC+X 赋能成长营,¥99 起即可开启自主学习、素养测评、社群辅助、刷题考证、资料更新等升值加薪通道。AI 共创导师就在你身边,扫码添加老邪企业微信,入群领取指南、预约宣讲:
更多内推、热招职位征集中,一起用 AI 工具打败工具人。
-228x171.jpg)
》公开征求意见(附全文下载)-228x171.jpg)