ICS35. 240.99 CCS L67 T/CCIASC 中国计算机行业协会团体标准 T/CC1ASC0029-2024 数据安全评估服务能力评定规范 Specification for Capability Evaluation of Data Security Assessment Services 2024-12-20发布 2024-12-27实施 中国计算机行业协会 发布
T/CC1ASC 0029-2024 目次 前 言 引 言 1范围, 2规范性引用文件 3术语和定义, 4评定原则.. 5评定基本要求 6评定指标框架, 7评定分类要求, 7.1核心技术能力... 7.1.1人才基础, 7.1.2知识产权情况 7.1.3技术转化能力 7.1.4评估工具水平 5 7.2持续经营能力. 7.2.1管理者能力 7.2.2规模及资质 7.2.3 市场占有能力, 7.2.4盈利能力, 7.3评估管理能力 h 7.3.1人员管理.
6 7.3.2方案管理, 7.3.3质量管理, 7.3.4风险管理. 7.3.5评估工具使用管理, 7.3.6成果物管理, 8评定方法. 8.1专家评审法 8.2资料收集法, 9评定程序 10评定结果, 10 参考文献 12
T/CC1ASC 0029-2024 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
本文件由中国计算机行业协会提出.
本文件由中国计算机行业协会归口.
本文件起草单位:中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国电信股份 有限公司安徽分公司、联通数字科技有限公司、联通在线信息科技有限公司、亚信科技(成都)有限公 司、北京卓识网安技术股份有限公司、重庆市软件评测中心有限公司、恒安嘉新(北京)科技股份公司、 北京明朝万达科技股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、上海斗象信息科 技有限公司、北京市京都律师事务所、中核核信信息技术(北京)有限公司、北京金源动力信息化测 评技术有限公司、天津郎言安全技术服务有限公司、北京君云天下科技有限公司、上海胡桃网络科技有 限公司、贵州企信科技有限公司、河北翎贺计算机信息技术有限公司.
本文件主要起草人:王文鑫、林海静、王露颖、曹顺超、王翔宇、张嘉欢、仇必青、徐灏、林海、 李冰、刘宁、张文、黄亚洲、陈杰、王学清、丁晓明、郑旭飞、刘新鹏、喻波、伊鹏达、王庆贺、谢忱、 王菲、张士莹、曹涛、赵亮、张靖、方新、李能言、胡耀军、王一、任寅.
I1
T/CC1ASC0029-2024 引言 数据安全评估服务有助于强化我国重要数据和核心数据的保护能力,保障数据持续处于有效保护、 合法利用、有序流动的状态,提升各行业各领域数据安全水平,加速数据要素市场培育和价值释放.
当 前,很多单位正在开展数据安全评估业务,但数据安全评估服务能力参差不齐,不利于数据安全评估服 务市场的健康发展和数据安全标准的有效落地.
本文件通过强化对数据安全评估机构的基本要求和分类 要求,从核心技术能力、持续经营能力、评估管理能力3个维度进行统一分级、判定,意在构建统一规 范的数据安全评估服务能力评定体系,制定有效的数据安全评估服务能力评定规范及配套评定方法.
IⅢ1
T/CC1ASC 0029-2024 数据安全评估服务能力评定规范 1范围 本文件给出了数据安全评估服务能力评定的基本要求、指标框架、评定流程及评定方法.
本文件既适用于第三方能力评定机构,对其开展的数据安全评估服务能力评定工作提供指引,也适 用于数据安全评估服务提供商开展服务能力自评定,为提升其数据安全评估服务能力提供参考.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T22080信息技术安全技术信息安全管理体系 GB/T25069信息安全技术术语 GB/T41479信息安全技术网络数据处理安全要求 JGJ/T67办公建筑设计标准 YD/T3956电信网和互联网数据安全评估规范 T/ZHTEA001高新技术企业创新能力评价 3术语和定义 GB/T25069、GB/T41479、T/ZHTEA001中界定的以及下列术语和定义适用于本文件.
为了便于使 用,以下重复列出了GB/T 25069、GB/T41479、T/ZHTEA 001中的某些术语和定义.
3. 1 数据安全data security 通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力.
注:引自GB/T 41479-2022,定义3.4 3. 2 风险管理riskmanagement 指导和控制组织相关风险的协调活动.
注:引自GB/T 25069-2022,定义3.168 3. 3 服务工具servicetools 为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等.
注:引自GB/T25069-2022,定义3.184 3.41类知识产权Class1IntellectualProperty
