数据安全标准合辑之「检测评估类」（附下载）

数据安全标准按照其内容特性可以分成安全要求类、实施指南类和检测评估类。

·安全要求类标准：主要是明确数据在不同状态（如存储、传输、使用等）下应该满足的安全保护条件。它像是一个安全蓝图，规定了数据安全的目标和基本要求，为数据处理活动提供了最基本的安全底线。

·实施指南类标准：是对安全要求类标准的细化和操作化指导。它就像是一本详细的操作手册，告诉数据处理者具体应该如何去实现数据安全要求，帮助组织和个人更好地理解和执行数据安全措施。

·检测评估类标准：主要用于衡量数据安全措施的有效性和合规性。它相当于一把尺子，通过一系列的指标和方法来检查数据安全工作是否达到了预期的安全要求，同时也用于发现数据安全管理中的漏洞和不足。

本文主要搜集了数据安全标准的「检测评估类」，涉及国家标准、行业标准以及团体标准，共 24 项标准，以供对此领域感兴趣的同学参考。

关注“极盾科技”微信公众号，回复关键词“检测评估类”，即可打包下载标准“PDF 完整版”

国家标准

1、《信息安全技术 数据安全风险评估方法》

下达日期：2023-03-21

计划号：20230257-T-469

概述/要求：本文件给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等，明确了数据安全风险评估各阶段的实施要点和工作方法。本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

2、《信息安全技术 数据安全评估机构能力要求》

下达日期：2023-03-21

计划号：20230256-T-469

概述/要求：本文件规定了数据安全评估机构的能力要求。本文件适用于数据安全评估机构自身能力建设，也适用于主管监管部门对数据安全评估机构开展的评定活动，还可为数据处理者选择数据安全评估机构提供参考。

3、《信息安全技术 信息安全风险管理指导》

下达日期：2023-12-28

计划号：20231924-T-469

概述/要求：本文件提供了信息安全风险管理指导，以帮助组织：一是满足《信息技术 安全技术 信息安全管理体系要求》有关应对信息安全风险活动的要求；二是实施信息安全风险管理活动，特别是信息安全风险评估和处置。本文件适用于所有组织，无论其类型、规模

4、《信息安全技术 信息安全控制评估指南》

发布日期：2023-09-07

标准编号：GB/T 32916-2023

概述/要求：本文件为评审和评估信息安全控制措施的实施与运行提供指南，包括对信息系统控制的技术性评估，该评审和评估基于组织所建立的信息安全要求及技术性评估准则。

5、《信息安全技术 信息安全风险评估方法》

发布日期：2022-04-15

标准编号：GB/T 20984-2022

概述/要求：本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。

6、《信息安全技术 数据安全能力成熟度模型》

发布日期：2019-08-30

标准编号：GB/T 37988-2019

概述/要求：本标准给出了组织数据安全能力的成熟度模型架构，规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。本标准适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。

7、《信息安全技术 工业控制系统信息安全防护能力成熟度模型》

发布日期：2022-04-15

标准编号：GB/T 41400-2022

概述/要求：本文件给出了工业控制系统信息安全防护能力成熟度模型，规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。本文件适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设，以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。

行业标准

1、《工业互联网数控加工制造系统信息安全风险评估指南》

发布日期：2023-05-22

标准编号：YD/T 4215-2023

发布单位：工信部

概述/要求：本文件规定了数控加工制造系统的信息安全风险评估的对象、内容及实施过程，以及安全措施有效性测试。本文件适用于指导工业互联网中数控加工制造系统进行的信息安全风险评估活动，也适用于指导数控加工制造用户改善和提高加工制造系统中数控信息安全能力的系统维护活动。

2、《电信网和互联网云服务数据安全评估指南》

发布日期：2023-12-20

标准编号：YD/T 4562-2023

发布单位：工信部

概述/要求：本文件规定了对基于公有云、混合云为电信网和互联网提供服务的云服务商进行数据安全评估的评价指标和评估要求。本文件适用于为电信和互联网领域云服务商保障数据安全提供参考，也适用于第三方机构对电信和互联网云服务商数据安全保障能力进行检测和评估。

3、《5G 数据安全评估规范》

发布日期：2023-12-20

标准编号：YD/T 4560-2023

发布单位：工信部

概述/要求：本文件描述了 5G 数据安全评估的原则、范围对象、评估流程，规定了 5G 数据安全评估的评估要点和评估方法。本文件适用于在通信行业中开展的 5G 数据安全评估活动，可用于指导 5G 网络运营者、5G 技术业务提供者和使用者开展 5G 数据安全自评估，也可用于第三方机构等开展 5G 数据安全评估。

4、《数据安全治理能力通用评估方法》

发布日期：2023-12-20

标准编号：YD/T 4558-2023

发布单位：工信部

概述/要求：本文件规定了数据安全治理能力通用评估方法，包括评估实施方法，评估结果等级划分和数据安全治理能力在各等级的具体要求和评估细则。本文件适用于企业针对其拥有的数据开展数据安全治理工作，为其数据安全治理能力评估提供参考和指引。

5、《云服务用户数据保护能力参考框架》

发布日期：2021-12-02

标准编号：YD/T 3954-2021

发布单位：工信部

概述/要求：本标准规范了云计算服务提供者在提供云计算服务时应具备的用户数据安全保护能力，包括事前防范能力、事中保护能力和事后追溯能力。本标准适用于第三方机构对云计算服务提供者的云计算服务用户数据安全保护能力审查和评估提供依据，也为云计算服务提供者的用户数据安全保护能力建设提供参考。

6、《云服务用户数据保护能力评估方法 第 1 部分：公有云》

发布日期：2021-12-02

标准编号：YD/T 3797.1-2021

发布单位：工信部

概述/要求：本标准规定了公有云云计算服务提供者在提供云计算服务时应具备的用户数据安全保护能力要求和评估方法进行规范，包括事前防范能力、事中保护能力和事后追溯能力。本标准适用于第三方机构对公有云云计算服务提供者的云计算服务用户数据安全保护能力审查和评估提供参考，也为公有云云计算服务提供者的用户数据安全保护能力建设提供参考。

7、《云服务用户数据保护能力评估方法 第 2 部分：私有云》

发布日期：2020-12-09

标准编号：YD/T 3797.2-2020

发布单位：工信部

概述/要求：本标准规定了云服务提供商在提供私有云平台时应具备的用户数据安全保护能力要求，包括事前防范能力、事中保护能力和事后追溯能力。本标准适用于第三方机构对云服务提供商提供的私有云平台，审查和评估其用户数据安全保护能力，也为云服务提供商建设私有云用户数据安全保护能力提供参考。本标准的评估方法仅针对由云服务提供者管理和运营的私有云，不适用于云服务客户自行建设、管理和运营的私有云平台。

8、《电信领域数据安全风险评估规范》

发布日期：2024-07-05

实施日期：2024-10-01

标准编号：YD/T 3956-2024

概述/要求：本文件规定了电信领域数据安全风险评估的原则、流程、方法及工具等。本文件适用于电信领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动的数据安全风险评估。电信领域一般数据处理者对其数据处理活动的数据安全风险评估，也可参照本文件。

9、《电信网和互联网数据安全风险评估实施方法》

发布日期：2020-12-09

标准编号：YD/T 3801-2020

发布单位：工信部

概述/要求：本标准提供以数据为核心保护对象的面向应用场景的风险评估方法论，规定了电信网和互联网数据安全风险评估的基本原则、基本要素及各要素之间的关系、实施流程、风险分析模型与方法。本标准适用于电信网和互联网组织开展数据安全风险自评估工作，同时适用于第三方专业测评机构开展数据安全风险评估工作。

10、《金融数据安全 数据安全评估规范》

发布时间：2021-12-30

发布单位：中国人民银行

概述/要求：本标准规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法，明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。本标准适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

团体标准

1、《数据安全管理能力评估规范》

发布时间：2024-04-29

发布单位：中国互联网协会

概述/要求：本文件规定了组织数据安全管理能力评估规范和评估方法。本文件适用于涉及数据安全的组织、组织及第三方专业机构开展数据安全管理能力评估工作，为提升组织数据安全管理能力、健全管理手段提供指引和依据。

2、《数据安全合规评估方法》

发布时间：2023-01-19

实施时间：2023-01-25

发布单位：深圳市信息服务业区块链协会

标准编号：T/SZBA 001—2023

概述/要求：本文件规定了数据安全合规评估的评估框架、评估过程以及评估内容和要求。本文件适用于各类组织开展数据安全合规评估工作。

3、《数据安全治理能力评估方法》

发布时间：2021-04-27

发布单位：中国互联网协会

标准编号：T/ISC-0011-2021

概述/要求：本文件描述了各类数据治理活动及其相关平台应遵循的数据安全治理能力要求和评估方法，包括评估等级划分方法，以及数据安全战略、数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全、基础安全等能力的具体评估等级确定原则。本文件适用于电信网和互联网等企业开展数据治理工作，为其数据安全治理能力评估提供参考和指引。

4、《数据安全技术能力评估要求》

发布时间：2023-11-30

发布单位：中国互联网金融协会

概述/要求：本文件规定了应具备数据安全能力的企事业单位、政府部门等组织的数据安全技术能力要求。本文件不仅适用于第三方机构展开数据安全技术能力评估，而且适用于为企业数据安全技术能力自评估提供参考和指导。

5、《科学数据 安全能力成熟度模型》

发布时间：2022-11-02

发布单位：中国信息协会

标准编号： T/CIIA 019-2022

概述/要求：本文件从组织建设、制度流程、技术工具和人员能力四个方面建立了科学数据安全过程的规范性安全能力成熟度分级模型及其评估方法。本文件适用于各级各类科学数据中心针对科学数据安全保障能力开展定级评估。

6、《科学数据 安全能力成熟度评估规范》

发布时间：2023-11-01

发布单位：中国信息协会

标准编号： T/CIIA 039-2023

概述/要求：本文件规定了科学数据安全能力成熟度模型的评估内容、评估过程、评估要求和成熟度等级判定方法。本文件适用于使用科学数据安全能力成熟度模型开展评估工作。

7、《科学数据 数据安全分类质量评价指标》

发布时间：2022-11-02

发布单位：中国信息协会

标准编号：T/CIIA 025-2022

概述/要求：本文件规定了科学数据安全分类质量评价指标概述、指明、评价过程示例等。本文件适用于科学数据管理者对科学数据安全分类体系质量评价。