国家标准计划《信息安全技术 数据安全评估机构能力要求》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会。
主要起草单位 国家信息技术安全研究中心 、中国电子技术标准化研究院 、国家计算机网络应急技术处理协调中心 、中国信息安全测评中心 、中国网络安全审查技术与认证中心 、中国信息通信研究院 、中国软件测评中心 、中国科学技术大学 、中国科学院软件研究所 、工业和信息化部电子第五研究所 、中国电子信息产业集团有限公司第六研究所 。
35 信息技术、办公机械 |
数据安全评估工作是支撑国家规范数据处理活动、保障数据安全的重要抓手。
《数据安全法》第十八条明确“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动”,《个人信息保护法》、《网络数据安全管理条例(征求意见稿件)》中也对数据安全相关评估工作提出了要求。
数据安全评估机构是开展数据安全评估的核心力量,数据安全评估相较于信息安全检测评估也有一定的特殊性。
明确数据安全评估机构应具备的基本条件、管理、场所和设备、人员等方面的能力要求,给出资格评定方面的参考流程,为规范数据安全评估机构安全有序的执行评估任务、开展评估服务活动提供支撑,是本标准拟解决的主要问题。
通过本标准编制,可为主管监管部门和行业领域开展的数据安全评估机构资格评定提供参考,也可为数据安全评估机构能力建设、运营管理活动提供指导。
本标准适用于主管监管部门和行业领域开展的数据安全评估机构资格评定,也适用于指导数据安全评估机构能力建设、运营管理活动。 本标准主要包括数据安全评估机构能力要求和资格评定两部分内容。其中能力要求部分结合了数据安全评估的特殊性,从机构基本条件、评估管理、质量管理、人员、场所环境与设备设施、风险控制、保障措施等部分提出了技术和管理方面的要求;资格评定部分给出了材料提交、初步审核、能力评定、综合评审、认定发布、持续监督等资格评定流程及评定要求。