DB33/T 2488-2022 公共数据安全体系评估规范

ICS35.240.01

CCSL67

33

浙江省地方标准

DB33/T2488—2022

公共数据安全体系评估规范

Assessmentspecificationforpublicdatasecuritysystems

2022-04-26发布2022-05-26实施

浙江省市场监督管理局发布

DB33/T2488—2022

目次

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................2

5总体要求...........................................................................2

6评估模型...........................................................................2

7制度规范子体系评估项...............................................................5

8技术防护子体系评估项...............................................................7

9运行管理子体系评估项..............................................................10

10评估流程.........................................................................12

附录A（资料性）公共数据安全体系评估指标定义示例....................................14

附录B（资料性）常用评估方式示例....................................................21

附录C（资料性）计算方法示例........................................................22

附录D（资料性）公共数据安全体系评估案例............................................24

参考文献.............................................................................29

I

DB33/T2488—2022

前言

本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。

本标准由浙江省大数据发展管理局提出、归口并组织实施。

本标准起草单位：浙江省大数据发展中心、数字浙江技术运营有限公司、浙江省标准化研究院、联

通数字科技有限公司、浙江省数据安全服务有限公司、杭州市数据资源管理局、宁波市大数据发展管理

局、温州市大数据发展管理局、湖州市大数据发展管理局、嘉兴市政务服务和数据资源管理办公室、绍

兴市大数据发展管理局、金华市大数据发展管理局、衢州市大数据发展管理局、舟山市大数据发展管理

局、台州市大数据发展管理局、丽水市大数据发展管理局。

本标准主要起草人：金加和、王瑚、洪吉明、蓝宇娜、孟一丁、党铮铮、蒋纳成、赵程遥、毛远庆、

张斌、杜永华、池邦芬、笪猛霄、陈焕、包自毅、张新丰、顾闻、徐振华、张晓玮、杜战、范东媛、费

嫒、叶春雷、孔俊、朱通、王沁怡、张伟伟、胡瑞玉、叶红叶、施筱玲、徐峰、蒋迪、甄理、俞巍滔、

杜辉、孙茂阳、胡琼达、朱宝剑、叶茜茜、陈玮萍、屠勇刚、韩建良、徐李锐、毛勇增、张岳军、林国、

王玲玲。

本标准为首次发布。

II

DB33/T2488—2022

引言

为保障一体化智能化公共数据平台和公共数据安全,建立健全数据安全防护能力评估指标,规范和

指导各地各部门开展公共数据安全评估工作,推动全省公共数据安全管理工作可量化、可追溯、可评估,

依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据条例》制定

本标准。

本标准是公共数据安全体系相关系列标准之一。

与本标准的相关标准还包括：

——公共数据安全体系建设指南（DB33/T2487—2022）；

——公共数据分类分级指南（DB33/T2351—2021）。

III

DB33/T2488—2022

公共数据安全体系评估规范

1范围

本标准规范了公共数据安全体系评估总体要求、评估模型、评估项和评估流程等。

本标准适用于公共数据安全体系和能力评估，各级公共数据主管部门、公共管理和服务机构可参考

执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

标准。

GB/T25069信息安全技术术语

GB/T37973信息安全技术大数据安全管理指南

GB/T37988信息安全技术数据安全能力成熟度模型

GB/T39477信息安全技术政务信息共享数据安全技术要求

DB33/T2350数字化改革术语定义

DB33/T2487公共数据安全体系建设指南

3术语和定义

GB/T25069、GB/T37973、GB/T37988、GB/T39477、DB33/T2350和DB33/T2487界定的以及下列

术语和定义适用于本标准。

3.1

评估项assessmentitem

与公共数据安全三个子体系对应，每一个子体系对应一个评估项，包括制度规范子体系评估项、技

术防护子体系评估项和运行管理子体系评估项。

3.2

评估子项assessmentsubitem

对应公共数据安全子体系各部分的建设内容，一个评估项包括若干个评估子项。

3.3

评估指标assessmentindex

用以评估某一安全目标实现程度的数据安全相关活动和过程的最小单位，一个评估子项可基于评估

内容，确定评估权重并赋予分值，定义若干个评估指标。

3.4

评估对象assessmentobject

被评估的组织机构或部门，主要涉及相关配套制度文档、设备设施及人员等。

1

DB33/T2488—2022

4缩略语

下列缩略语适用于本标准。

AIT：评估项（AssessmentItem）

AS：评估子项（AssessmentSubItem）

SUM：最终分值（Sum）

5总体要求

5.1科学性

评估项和评估方法的选取应能够体现公共数据安全体系的主要内容，反映公共数据安全保障面临的

主要风险。

5.2适宜性

评估项和评估方法的选取应结合本地区本部门实际情况，引导公共数据安全体系合理建设。

5.3可度量性

评估项应具备可以获取的证明依据，并可以度量。

5.4代表性

评估项应能较为全面地反映公共数据安全体系建设的总体水平。

5.5持续性

应充分应用评估结果，促进公共数据安全体系的持续优化。

6评估模型

6.1总体架构

公共数据安全体系评估模型包括公共数据安全体系评估项、公共数据安全体系评估维度、公共数据

安全体系评估方法。公共数据安全体系评估模型详见图1。

2

DB33/T2488—2022

图1公共数据安全体系评估模型

6.2评估项

6.2.1制度规范子体系评估项

制度规范子体系评估项可基于二级制度展开，主要包含的评估子项：

a)分类分级管理制度；

b)访问权限管理制度；

c)数据脱敏管理制度；

d)数据共享和开放安全管理制度；

e)数据安全销毁管理制度；

f)供应方安全管理制度；

g)安全监督检查制度；

h)安全日志审计制度；

i)安全事件管理与应急响应制度等。

6.2.2技术防护子体系评估项

技术防护子体系评估项主要包含的评估子项：

a)数据源统一鉴别技术；

b)敏感数据识别技术；

c)数据分类分级标识技术；

3

DB33/T2488—2022

d)数据脱敏技术；

e)数据加密技术；

f)传输通道加密技术；

g)数据血缘关系技术；

h)数据备份和恢复技术；

i)数据防泄漏技术；

j)销毁数据识别技术；

k)数据销毁技术；

l)访问权限管理；

m)数据共享和开放；

n)安全监测与预警等。

6.2.3运行管理子体系评估项

运行管理子体系评估项主要包含的评估子项：

a)数据安全团队；

b)数据分类分级运行管理机制；

c)数据访问权限运行管理机制；

d)数据共享和开放安全运行管理机制；

e)安全日志审计机制；

f)安全监督检查机制；

g)安全事件应急响应机制；

h)安全培训机制等。

6.3评估维度

公共数据安全体系评估维度可根据公共数据安全体系评估项的特点设置，共分为3大类，包括：

a)制度规范子体系评估维度，包括：

1)全面性：评估相关制度文件内容是否全面，是否已经包含了必要的组成要素；

2)可执行性：评估相关制度文件内容是否具备可落地执行性；

3)动态更新性：评估相关制度文件内容是否根据外部环境、政策变化、组织实际情况等进

行了相应的调整。

b)技术防护子体系评估维度，包括：

1)功能性：评估相关技术产品是否覆盖所有安全功能要求；

2)适用性：评估相关技术产品的安全功能和性能是否有效实现公共数据安全防护；

3)安全性：评估相关技术产品本身是否存在漏洞、配置错误（基线检查）、业务逻辑错误

等安全问题。

c)运行管理子体系-数据安全团队评估子项评估维度，包括：

1)完备性：评估该组织是否已安全评价指标配备团队人员；

2)专业性：评估相关人员是否有足够能力胜任职责范围内的工作，评估相关人员是否定期

接受数据安全防护技能及法规培训等；

3)可靠性：评估相关人员是否有良好的职业操守，无相关不良记录情况。

d)运行管理子体系-分类分级等其他运行管理机制的评估子项评估维度，包括：

4

DB33/T2488—2022

1)完整性：评估该运行管理机制是否包括完整的闭环运行管理环节；

2)符合性：评估该运行管理机制是否已在该组织落地实施；

3)有效性：评估该运行管理机制在该组织落实后，是否有效的实现公共数据安全防护预期

效果。

7制度规范子体系评估项

7.1数据分类分级管理制度

公共数据分类分级管理相关制度评估子项内容主要包括：

——全面性：查验制度文件是否包括分类分级原则、要求、维度、方法、操作指南、工作流程以

及类别和级别变更场景、变更申请审批流程及工作要求等；

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

7.2数据访问权限管理制度

公共数据访问权限管理相关制度评估子项内容主要包括：

——全面性：查验制度文件是否包括对公共数据载体和公共数据权限管理系统的账号权限安全管

理职责分工和工作要求，公共数据访问账号权限分配、开通、使用、变更、重置、锁定、注

销等的申请审批流程，对具备超级管理员权限或数据批量复制、处理、导出和删除等高风险

操作权限的帐号的重点安全管理要求等；

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

7.3数据脱敏管理制度

公共数据安全脱敏管理相关制度评估子项内容主要包括：

——全面性：查验制度文件是否充分根据公共数据分类分级结果，是否包括公共数据脱敏规则、

管理要求、技术要求和脱敏工作流程等；

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

7.4数据共享和开放安全管理制度

公共数据共享和开放安全管理相关制度评估子项内容主要包括：

——全面性：查验制度文件是否充分根据公共数据分类分级结果；查验制度文件是否包括差异化

的公共数据共享和开放安全管理、技术要求、应用场景、工作流程和申请审批环节等；

5

DB33/T2488—2022

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

7.5数据安全销毁管理制度

公共数据安全销毁管理相关制度评估子项内容主要包括：

——全面性：查验制度文件是否充分根据公共数据分类分级结果；查验制度文件是否包括公共数

据销毁对象、销毁场景、销毁方式、销毁流程、销毁工作要求等；

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

7.6供应方安全管理制度

供应方安全管理相关制度评估子项内容主要包括：

——全面性：查验制度文件是否包括供应方及供应方人员的安全管理要求，涉及终端安全、网络

安全、数据安全、保密管理等方面；查验制度文件是否包括供应方及供应方人员的岗位安全

职责、安全考核要求和处罚措施；核查服务安全保护及保密协议是否明确了对供应方及供应

方人员的数据保密范围、保密责任与义务、保密期限等；

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

7.7安全监督检查制度

公共数据监督检查相关制度评估子项内容主要包括：

——全面性：查验制度文件是否包括对公共数据安全体系建设现状的监督检查内容、方式、工作

周期、工作流程等；

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

7.8安全日志审计制度

公共数据安全日志审计相关制度评估子项内容主要包括：

——全面性：查验制度文件是否包括安全审计日志的采集内容、采集方式、标准化要求、日志存

储要求、审计策略和规则、异常预警及处置工作流程等；

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

6

DB33/T2488—2022

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

7.9安全事件管理与应急响应制度

公共数据安全事件管理与应急响应相关制度评估子项内容主要包括：

——全面性：查验制度文件是否包括数据安全事件分类分级方法；核查制度文件是否充分结合数

据安全事件分类分级结果；核查制度文件是否包括公共数据安全事件发现、上报、处置、溯

源、总结等工作流程；核查制度文件是否包括数据安全应急预案编制及应急演练工作要求等；

——可执行性：充分考虑政策背景、行业技术发展情况、单位实际情况等，推演判断文件规定内

容是否可在该组织落地实施；

——动态更新性：查验是否持续跟踪外部环境、政策变化、组织实际情况等，至少每年评估并修

订相关制度文件，查验范围包括调研记录、修订记录等。

8技术防护子体系评估项

8.1数据源统一鉴别技术

数据源统一鉴别技术评估子项内容主要包括：

——功能性：检查该技术产品是否具备数据源身份统一鉴别、记录的功能，以及对数据真实性、

有效性、规范性进行检验的功能；

——适用性：核查该技术产品是否有效防止非法数据源接入，实现防止虚假数据注入；核查该技

术产品性能是否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.2敏感数据识别技术

敏感数据识别技术评估子项内容主要包括：

——功能性：检查该技术产品是否具备敏感数据识别功能；

——适用性：核查该技术产品是否可有效识别出敏感数据；核查该技术产品性能是否满足该组织

业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.3数据分类分级标识技术

数据分类分级标识技术评估子项内容主要包括：

——功能性：检查该技术产品是否具备根据相关标准进行智能化分类分级的功能；检查该技术产

品是否具备数据分类分级标识功能；检查该技术产品是否具有数据分类分级结果的输出接口，

用于分类分级结果的应用；

——适用性：核查该技术产品是否可有效标识数据类别和级别；核查该技术产品性能是否满足该

组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.4数据脱敏技术

7

DB33/T2488—2022

公共数据脱敏技术评估子项内容主要包括：

——功能性：检查该技术产品是否可实现敏感数据脱敏功能；检查该技术产品是否可实现数据存

储或使用脱敏功能（包含静态和动态脱敏）；检查该技术产品是否可根据不同场景配置不同

的脱敏算法与规则等；

——适用性：核查是否已有效对规定场景数据进行静态或动态脱敏保护；核查该技术产品性能是

否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.5数据加密技术

数据加密技术评估子项内容主要包括：

——功能性：检查该技术产品是否可实现敏感数据存储和传输加密功能；

——适用性：核查是否已有效对存储和传输的敏感数据实施加密保护；核查该技术产品性能是否

满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.6传输通道加密技术

传输通道加密技术评估子项内容主要包括：

——功能性：检查该技术产品是否可实现数据传输通道加密；

——适用性：核查是否已有效对数据传输通道实施加密保护；核查该技术产品性能是否满足该组

织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.7数据血缘关系技术

数据血缘关系技术评估子项内容主要包括：

——功能性：检查该技术产品是否具有追踪记录数据间的血缘关系的功能；检查该技术产品是否

可根据数据血缘关系建立数据资产全景视图等；

——适用性：核查该技术产品是否可有效监控数据流转过程；核查该技术产品性能是否满足该组

织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.8数据备份和恢复技术

数据备份和恢复技术评估子项内容主要包括：

——功能性：检查该技术产品是否具备自动化数据备份的功能；检查该技术产品是否具备自动检

验备份数据完整性的功能；检查该技术产品是否具备数据恢复的功能等；

——适用性：核查该技术产品在数据遭受破坏时，数据备份机制是否保存了恢复所需的数据，恢

复机制是否能够根据备份数据有效恢复，保证业务受影响程度在可接受的范围内；核查该技

术产品性能是否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.9数据防泄漏技术

数据防泄漏技术评估子项内容主要包括：

8

DB33/T2488—2022

——功能性：检查该技术产品是否具备数据防泄漏功能，包括终端、网络和应用等；

——适用性：核查该技术产品是否有效实现了数据在终端、网络和应用等流转过程的防泄漏；核

查该技术产品性能是否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.10销毁数据识别技术

销毁数据识别技术评估子项内容主要包括：

——功能性：检查该技术产品是否具备符合销毁场景数据的识别功能；

——适用性：核查该技术产品是否可有效识别符合数据销毁场景的数据；核查该技术产品性能是

否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.11数据销毁技术

数据销毁技术评估子项内容主要包括：

——功能性：检查该技术产品是否具备多种数据销毁策略和技术手段等；

——适用性：核查该技术产品的销毁策略和手段是否可实现对数据的彻底销毁；核查该技术产品

性能是否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.12访问权限管理技术

公共数据访问权限管理技术评估子项内容主要包括：

——功能性：检查该技术产品是否具备公共数据访问权限集中认证、统一访问入口等功能；检查

该技术产品是否具备库、表、字段级别的访问控制功能；检查该技术产品是否与数据脱敏相

关技术产品联动，实现动态脱敏等；

——适用性：核查该技术产品是否有效支撑该组织和角色职能需求，实现公共数据访问权限的有

效管控；核查该技术产品性能是否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.13数据共享和开放安全技术

公共数据共享和开放的安全技术评估子项内容主要包括：

——功能性：检查该技术产品是否具备访问控制功能；检查该技术产品是否具备数据脱敏功能；

核查该技术产品是否具备接口实时数据安全监测与异常告警功能；检查该技术产品是否具备

数据追踪溯源功能，如数字水印标识等；

——适用性：核查该技术产品是否可有效支撑共享和开放数据的访问控制功能；核查该技术产品

的数据脱敏能力是否可有效对共享和开放的数据实施脱敏，包括脱敏算法的类型、数量等；

核查该技术产品是否可有效发现接口安全风险，并告警；核查该数据产品的溯源过程和结果

是否可信，例如采用区块链技术等；核查该技术产品性能是否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

8.14安全监测与预警技术

公共数据安全监测与预警技术评估子项内容主要包括：

9

DB33/T2488—2022

——功能性：检查该技术产品是否具备可配置化的量化指标的功能；检查该技术产品是否接入了

全量重要系统的日志数据，并具备支撑威胁发现、识别、理解分析、风险预警和提供处置建

议的能力等；

——适用性：核查该技术产品是否有效发现该组织数据安全风险，支撑数据安全体系建设规划；

核查该技术产品性能是否满足该组织业务高峰期需求等；

——安全性：核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。

9运行管理子体系评估项

9.1数据安全管理团队

公共数据安全管理团队评估子项内容主要包括：

——完备性：检查是否设置公共数据安全管理团队，包括公共数据安全决策方、公共数据安全管

理方、公共数据安全执行方、公共数据安全审计方等；检查是否明确公共数据安全管理团队

的各方的职责分工；检查是否设置机构主要负责人为公共数据安全管理第一责任人；检查是

否设置专职的公共数据安全管理负责人；检查是否明确公共数据安全管理第一责任人和负责

人的工作职责等；

——专业性：查验公共数据安全管理负责人是否具备数据安全专业知识和履职能力，包括具备CISP

等安全专业证书；查验公共数据安全管理负责人是否接受安全技能培训和考核；查验单位是

否为公共数据安全管理负责人提供必备的人力支持和技术支持。查验该团队成员专业人员安

全技术能力及安全专业证书覆盖程度，确保可胜任职责范围的工作；

——可靠性：查验该团队安全管理负责人和成员的背景、履历等情况。

9.2数据分类分级管理机制

公共数据分类分级管理机制评估子项内容主要包括：

——完整性：查验该工作机制是否与数据资源目录机制协同；查验该工作机制是否建立维护了数

据资产全景视图；查验该工作机制是否实现分类分级工作实施、工作结果反馈、分类分级机

制优化的闭环管理等；

——符合性：查验分类分级工作实施、数据资源目录同步、分级结果反馈、分类分级机制优化等

工作过程文件和记录；

——有效性：检查分类分级工作实施、数据资源目录同步、分级结果反馈、分类分级机制优化等

工作结果文件和记录。

9.3数据访问权限管理机制

公共数据访问权限管理机制评估子项内容主要包括：

——完整性：查验该工作机制是否包括公共数据访问权限的分配、开通、使用、变更、重置、注

销等的申请审批、实施、以及定期核查等；查验该工作机制是否建立维护了统一的公共数据

访问权限清单；

——符合性：查验公共数据访问账号权限分配、开通、使用、变更、重置、注销等的申请审批、

实施、定期核查等工作过程文件和记录；

——有效性：检查公共数据访问账号权限分配、开通、使用、变更、重置、注销等的申请审批、

实施、定期核查等工作结果文件和记录。

10

DB33/T2488—2022

9.4数据共享和开放安全管理机制

公共数据共享和开放安全管理机制评估子项内容主要包括：

——完整性：查验该工作机制是否包括公共数据共享和开放的申请审批，接口上线前和上线后的

安全检查、敏感数据实时监测告警处置等；

——符合性：查验公共数据共享和开放的申请审批，接口上线前和上线后的安全检查、敏感数据

实时监测告警处置等工作过程文件和记录；

——有效性：检查公共数据共享和开放的申请审批，共享和开放接口安全检查及整改、敏感数据

实时监测告警处置及整改等工作结果文件和记录。

9.5安全日志审计机制

公共数据安全日志审计机制评估子项内容主要包括：

——完整性：查验该工作机制是否包括违规行为告警的核实、分析、处置和整改等环节；

——符合性：查验违规行为告警的核实、分析、处置和整改等工作过程文件和记录；

——有效性：检查违规行为告警的核实、分析、处置和整改等工作的结果文件。

9.6安全监督检查机制

公共数据安全监督检查机制评估子项内容主要包括：

——完整性：查验该工作机制是否包括安全监督检查工作实施、工作总结，问题整改、整改效果

验证等环节；

——符合性：查验安全监督检查工作实施、工作总结，问题整改、整改效果验证等工作过程文件

和记录；

——有效性：检查安全监督检查工作实施、工作总结，问题整改、整改效果验证等工作结果文件

和记录。

9.7安全事件应急响应机制

公共数据安全事件应急响应机制评估子项内容主要包括：

——完整性：查验该工作机制是否包括应急演练规划、实施、总结以及应急演练报告编制、应急

预案优化等环节；

——符合性：查验应急演练规划、实施、总结以及应急演练报告编制、应急预案优化等工作过程

文件和记录；

——有效性：检查应急演练规划、实施、总结以及应急演练报告编制、应急预案优化等工作结果

文件和记录；检查安全事件发生时，应急响应工作记录和结果文件。

9.8安全培训机制

公共数据安全培训机制评估子项内容主要包括：

——完整性：查验该工作机制是否包括培训计划制定、工作实施、效果考核、计划优化调整等环

节；

——符合性：查验培训计划制定、工作实施、效果考核、计划优化调整等工作过程文件和记录；

——有效性：检查培训计划制定、工作实施、效果考核、计划优化调整等工作结果文件和记录。

11

DB33/T2488—2022

10评估流程

10.1基本流程

公共数据安全体系评估流程应依据评估对象及评估目标，按照确定评估范围、组建评估团队、制定

评估方案、实施评估和报告编制5个步骤实施，评估工作过程可参考图2。

图2评估工作过程示意图

10.2确定评估范围

首先应明确评估范围，包括被评估方涉及评估的系统、应用、网络、终端以及相关部门和人员等。

10.3组建评估团队

评估团队应由评估人员和被评估单位相关人员组成，可根据单位实际情况及评估范围，聘请相关专

业机构或专家参与评估工作。被评估单位相关人员宜包括：

——公共数据安全管理人员；

——公共数据平台运维人员；

——公共数据相关基础设施（政务云、网络、终端等）运维人员；

——公共数据重点应用部门相关人员等。

10.4制定评估方案

应制定评估方案。评估团队根据评估对象实际情况，确定评估场地、评估时间。依据评估范围选取

对应的评估项（含子项）和评估维度，制定评估指标（取定评估权重和赋分规则可参考附录B），通过

资料查询、人员访谈、问卷调查、功能演示和技术检测等评估方式，形成书面评估方案。评估方案主要

包括:

a)评估对象：被评估的组织机构或部门；

b)评估范围：被评估方涉及评估的系统、应用、网络、终端以及相关部门和人员等；

c)评估团队：评估人员和被评估单位涉及到的人员；

d)评估场地：评估团队开展评估活动的地点；

e)评估时间：评估起止时间；

f)评估指标：评估子项内容、评估权重、赋分（参见附录A）；

g)评估方式（参见附录B）：根据评估指标，确定主要评估方式。

10.5实施评估

实施评估主要包括以下步骤：

a)评估团队按照评估方案实施评估，收集并整理相关证明材料，初步研判各评估指标符合情况

并记录评估过程信息；

12

DB33/T2488—2022

b)评估团队根据评估过程记录及证明材料，组织召开会议，与被评估单位确认研判结果，形成

各评估指标得分；

c)根据评估指标得分，计算评估子项分值。

计算方法可参见附录C。

10.6报告编制

评估结果以报告形式展现，评估报告内容主要包括：

a)评估对象；

b)评估范围；

c)评估团队；

d)评估场地；

e)评估时间；

f)评估方式；

g)评估指标及分值；

h)评估过程记录及关键证明材料；

i)安全风险；

j)评估结论；

k)整改建议、计划及已整改情况等。

评估工作案例可参见附录D。

13

DB33/T2488—2022

A

A

附录A

（资料性）

公共数据安全体系评估指标定义示例

A.1评估指标由评估子项内容、评估权重及赋分构成。

A.2根据评估子项在该组织数据安全体系中的重要性设置该评估子项的权重值，权重值一般为1-10

的整数。

A.3所有高风险项应全部满足，出现一个及以上未满足高风险项且不进行整改的，公共数据安全体系

评估结果暂缓出具。

A.4公共数据安全体系评估指标定义示例见表A.1。

表A.1公共数据安全体系评估指标定义示例

序号评估项(AIT)评估子项（AS）评估权重赋分规则

全面性：查验制度文件是否包括分类分级原则、要求、维

1度、方法、操作指南、工作流程以及类别和级别变更场景、

变更申请审批流程及工作要求等。（全部满足得5分）

数据分类分级管理

6可执行性：判断文件规定内容是否可在该组织落地实施。

2