数据安全合规评估方法
AI智能总结
ICS35.030 CCS L80 团体标准 T/SZBA001—2023 数据安全合规评估方法 Assessmentmethodfordatasecuritycompliance 2023-01-19发布2023-01-25实施 深圳市信息服务业区块链协会发布 目次 前言I 1范围1 2规范性引用文件1 3术语和定义1 4缩略语3 5评估框架3 6评估过程4 准备4 审核5 分析6 评价6 7评估内容7 业务运营模式7 数据处理主体7 数据处理活动8 管理措施及落实10 安全合规跟踪评估13 附录A(资料性)评估内容和评估重点的影响因素14 附录B(资料性)关键信息基础设施确定指南(试行)15 附录C(资料性)评估模板示例18 附录D(资料性)数据安全合规相关主要国内法律罚则20 附录E(资料性)评估内容与主要国内法律规定对应表28 参考文献30 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由深圳市信息服务业区块链协会归口。 本文件起草单位:深圳数宝数据服务股份有限公司、深圳数据交易所有限公司、贵阳大数据交易所有限责任公司、中正信评(深圳)技术服务有限公司、深圳市律师协会、广东卓建律师事务所、中金金融认证中心有限公司、北方实验室(沈阳)股份有限公司、深圳市网安计算机安全检测技术有限公司、广东北源律师事务所、中国科学院深圳先进技术研究院、广东省电信规划设计院有限公司、普华永道管理咨询(上海)有限公司、北京新国信软件评测技术有限公司(国家电子政务系统质量检验检测中心)、深圳市非凡互动网络科技有限公司、京东科技信息技术有限公司、中国移动通信集团设计院有限公司、网络空间治理与数字经济法治(长三角)研究基地、中国光大银行股份有限公司深圳分行、版权链全国运营中心、中电数创(北京)科技有限公司、深圳前海微众银行股份有限公司、深信服科技股份有限公司、金蝶软件(中国)有限公司、顺丰科技有限公司、深圳市前海智慧版权创新发展研究院、深圳市北鹏前沿科技法律研究院、联通(四川)产业互联网有限公司、广东安证计算机司法鉴定所、航天四创科技有限公司、东北大学、中南财经政法大学、北京红枣科技有限公司、上海边界智能科技有限公司、深圳职业技术学院、上海数据交易所有限公司、华东江苏大数据交易中心股份有限公司、山东数据交易有限公司、浙江数秦科技有限公司、天枢数链(浙江)科技有限公司、华测检测认证集团股份有限公司、北京埃尔维质量认证中心、DAMA中国(上海市静安区国际数据管理协会)、北京清博智能科技有限公司、深圳索信达数据技术有限公司、XuperCore开源工作组、上海散列信息科技合伙企业、香港数据协会有限公司、鼎链数字科技(深圳)有限公司、杭州云链趣链数字科技有限公司、大有云钞科技(北京)有限公司、深圳市迅雷网络技术有限公司、杭州云象网络技术有限公司、深圳市奇异火科技有限公司、福建省区块链应用商会、深圳市标签数据有限公司、深圳市游迷天下科技有限公司、深圳市国标知识产权大数据中心、深圳市智安网络有限公司、太一云技术股份有限公司、深圳大学大数据技术与应用研究所、深圳市大数据研究与应用协会、比邻星球(深圳)科技有限公司、湖南和信区块链研究院、易签链(深圳)科技有限公司、深圳市中航软件技术有限公司、湖南智慧区块链科技有限公司、欣旺达电子股份有限公司、深圳市点链科技有限公司、深圳市物联网产业协会、深圳市前海手绘科技文化有限公司、广东松狐科技有限公司、湖南链上荞农业发展有限公司、中国传感器与物联网产业联盟、北京新基业建成信息科技院、湖南链城数据服务有限公司、深圳算力信息科技有限公司、广东迪艾生光电技术有限公司、蔚来智造(深圳)信息技术有限公司、广东省互联网协会、深圳市信联征信有限公司、广州数天科技有限公司、深圳市智策科技有限公司、深圳西部世界科技有限公司、三峡星未来数据科技(宜昌)有限公司、深圳市物联传媒有限公司、北京智谷星图科技有限公司、西安数源数据科技有限公司。 本文件主要起草人:王腾、郑定向、龙玺争、劳继、李兰兰、武旭春、白东国、曲强、王磊、钟宏 、李大为、何凤翔、曹恒、李健男、邓伟平、高承实、汪广盛、叶天斌、邓迪、杨通鹏、郝汉、郎晓夫、刘国栋、王青兰、周江华、王斌、杨雄、刘心田、季慧丽、卢勇、谭坤、杨淋雨、徐江、宣宏量、易海博、吕寒冰、商庆一、陈宇峰、张金琳、张策、李立中、陈朝晖、柴舸洋、张家铭、王荣礼、姜力铭、杨志武、任培文、李军、戴智翔、赵春雷、魏强、吕智、段志云、付雨、王超、谢纬、周大兵、肖光昱、黄步添、雷淦政、陈路、崔成根、何静、冯武、江俊、郭海骏、欧阳小飞、曾哲君、刘智博、郭东旭 、冯晔、俞学劢、韩坤洁、康仙鹏、李可顺、李紫薇、张佳臻、张涛、张健楠、蒋邵杰、李扬、张雪燕 、艾磊、唐建诗、杨欢欢、袁艺匀、李诗婧、康信伟、胡向阳、魏智煌、李胜富、郭军、信俊昌、张瑶 数据安全合规评估方法 1范围 本文件规定了数据安全合规评估的评估框架、评估过程以及评估内容和要求。本文件适用于各类组织开展数据安全合规评估工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069信息安全技术术语 GB/T22239信息安全技术网络安全等级保护基本要求GB/T22240信息安全技术网络安全等级保护定级指南GB/T37932—2019信息安全技术数据交易服务安全要求GB/T37964—2019信息安全技术个人信息去标识化指南GB/T35273—2020信息安全技术个人信息安全规范 GB/T39335—2020信息安全技术个人信息安全影响评估指南 GB/T41391—2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求GB/T41479—2022信息安全技术网络数据处理安全要求 GB/T39204—2022信息安全技术关键信息基础设施安全保护要求 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 数据data 任何以电子或者其他方式对信息的记录。[GB/T41479—2022,3.1] 数据交易datatransaction 数据供方和需方之间以数据商品作为交易对象,进行的以货币或货币等价物交换数据商品的行为。 注1:数据商品包括用于交易的原始数据或加工处理后的数据衍生产品。 注2:数据交易包括以大数据或其衍生品作为数据商品的数据交易,也包括以传统数据或其衍生品作为数据商品的数据交易。 [GB/T37932—2019,3.1] 匿名化anonymization 个人信息经过处理无法识别特定自然人且不能复原的过程。 注:个人信息经匿名化处理后所得的信息不属于个人信息。 [GB/T41479—2022,3.13] 个人信息personalinformation 以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息。 注1:个人信息包括姓名、出生日期、公民身份证号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2:不包括匿名化处理后的信息。 [GB/T41479—2022,3.6] 重要数据importantdata 一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。 注:重要数据包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业内部经营管理信息等。 [GB/T41479—2022,3.9] 去标识化de-identification 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息所标识的自然人的过程。 注:去除标识符与个人信息主体(个人信息所标识的自然人)之间关联性。 [GB/T37964—2019,3.13,有修改] 小程序miniprogram 基于应用程序开放接口实现的,用户无需安装即可使用的移动互联网应用程序。 注:应用程序通过公开其应用程序编程接口(API)或函数,使外部的程序可以增加该应用的功能或使用让该应用程序的资源,而不需要更改该应用程序的源代码。 [GB/T41391—2022,3.3] 数据出境datacross-bordertransfer 中国境内的数据处理者通过网络及其他方式(如物理携带),将在中国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次活动或连续性活动。 注1:以下情形属于数据出境: a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据; b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息除外)。 c)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。 注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。 注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。 注4:境内自然人因个人或者家庭事务向境外提供个人信息,不属于数据出境。 关键信息基础设施criticalinformationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 注:负责关键基础设施安全保护的工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。 4缩略语 下列缩略语适用于本文件。 API:应用程序编程接口(ApplicationProgrammingInterface)SDK:软件开发工具包(SoftwareDevelopmentKit) CIIO:关键信息基础设施运营者(CriticalInformationInfrastructureOperator) 5评估框架 数据安全合规评估以用户数据安全合规评估目标为导向,以数据安全相关的法律法规和国家信息安全技术标准体系为评估依据,对评估对象和范围进行确定,经过准备、审核、分析、评价等评估流程,覆盖评估对象的业务运营模式、数据处理主体、数据处理活动、管理措施及落实、出境安全合规、安全合规跟踪评估等评估内容。数据安全合规评估框架见图1。 图1数据安全合规评估框架 6评估过程 准备 6.1.1评估方案制定 评估准备阶段应首先制订评估方案,评估方案的制订是一个不断确认的过程,至少应完成以下工作内容的确认: a)评估团队 应完成评估团队的组建,包括评估实施机构与被评估机构的人员数量、专业组成以及沟通机制的确认。评估组相关各方成员应具备可支撑评估开展的法律、技术、安全管理、业务规则等方面的相关专业知识和技能,可承担相关的评估和配合工作。 b)评估范围 应根据评估目的和评估对象来确定评估范围的边界。在某些情况下,评估对象可能不是一个特定的组织机构,而是某些数据、某个项目、某个业务、某笔交易或是某个信息系统或是一个数据处理的生命周期等。例如,委托方为达到境外上市或投资收购等目的而进行的数据安全合规评估。可根据实际情况对评估内容进行裁剪辑或补充。 注1:数据处理生命周期可能跨越组织、业务、系统等。 注2:评估范围可包括组织范围、物理地域范围、项目范围、业务流程和业务活动范围、信息系统和技术工具范围、人员范围、数
