T/WHCSA 006-2024 数据要素场内流通安全评估规范.pdf

数据要素场内流通安全评估规范

Specification for security assessment of data element circulation

武汉市网络安全协会发布

目次

前 言.. III1范围..... 2规范性引用文件3术语和定义，4安全评估概述，4.1安全评估体系框架 4.2安全评估规范要求5安全评估工作流程规范 55.1前期准备阶段， 55.1.1确定安全评估目标 5.1.2确定安全评估范围， 5 55.1.3组建安全评估团队， 55.1.4安全评估初步调研. 55.1.5确定评估依据和方法， 5.1.6制定安全评估方案， 65.2安全评估阶段， 6 65.2.1按照评估方案实施评估 65.3报告编制阶段... 5.2.2输出各指标评估结果. 6 66流通主体安全评估规范 26.1流通主体安全评估. 6.1.1数据提供方安全能力评估6.1.2数据使用方安全能力评估，6.1.3数据流通机构安全能力评估6.2第三方服务机构安全评估...6.2.1数据经纪商安全能力评估.. 6.2.2技术服务商安全能力评估，6.2.3合规服务商安全能力评估， 77流通数据安全评估规范... 7.1禁止流通交易数据评估..7.2流通交易数据合规性评估. 8 87.2.1一般性数据合规性评估. 88流通过程安全评估规范. 7.2.2流通交易个人信息合规性评估. 88.1流通前安全评估. 8 88.2流通中安全评估， 88.3流通后安全评估. 8.3.1数据使用合规性评估8.3.2合同履约与纠纷评估， 9

前言

起草. 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

本文件由武汉安恒信息科技有限公司提出.

本文件由武汉市网络安全协会归口.

本文件起草单位（排名不分先后）：武汉安恒信息科技有限公司、武汉市网络安全协会、汉阳区大数据中心、长江水利委员会水文局、武汉大学国家网络安全学院、中国长江电力股份有限公司、湖北数据集团有限公司、武汉数据集团有限公司、武汉市房产和工程建设智能发展中心、武汉网络安全技术有 限公司、武汉趣链数字科技有限公司、武当云谷大数据科技有限公司、国网湖北省电力有限公司信息通信公司、湖北华中电力科技开发有限责任公司等：

张玉萍、严媛、黄颖倩、杨健平、邹冰玉、张辉、张立强、古伟、徐斌、刘剑锋、孙进、谢逸俊、徐波、 本文件主要起草人（排名不分先后）：彭建军、邓浩、任子、贾高彦、郭珍珍、刘悦恒、乔奇、张勇、郭峰、邱爽、冯浩、焦翰琳、徐挺、陈剑、牛犁青、李娜、沈沉等

数据要素场内流通安全评估规范

1范围

本文件规定了场内流通过程中，针对流通主体、流通数据和流通行为进行安全评估的基本要求.

易安全评估使用，亦可为相关监管部门、行业主管部门用于评价数据流通交易活动的安全保障义务履行 本文件可供场内流通各方确保场内流通活动安全进行自评估或者委托第三方专业机构进行数据交情况提供参考.

2规范性引用文件

仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，文件.

GB/T25069信息安全技术术语 GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T35273-2020信息安全技术个人信息安全规范GB/T37932-2019信息安全技术数据交易服务安全要求 GB/T40685-2021信息技术服务数据资产管理要求GB/T41479-2022信息安全技术网络数据处理安全要求GB/T43697-2024数据安全技术数据分类分级规则

3术语和定义

下列术语和定义适用于本文件.

数据流通安全

在数据要素流通交易过程中的安全，包括主体安全、数据安全、过程安全.

数据流通主体

从事数据流通的主要参与方，包括数据提供方、数据流通机构、数据使用方等.

第三方服务机构

以第三方的角色为数据流通交易主体独立提供专业性服务的机构，包括数据经纪商、技术服务商、合规服务商等.其中：

数据经纪商：匹配数据要素供应方和需求方的企业，如促进数据流通交易的经纪商和中介.

数据保险、风险评估等 技术服务商：为数据流通服务提供基于技术方面的服务机构，包括数据集成、隐私计算、数据托管、

合规服务商：为数据流通服务提供基于合规方面的服务机构，包括合规认证、安全审计、数据公证、争议仲裁等.

4安全评估概述

4.1安全评估体系框架

图1数据要素场内流通安全评估体系框架

4.2安全评估规范要求

数据要素场内流通安全评估规范要求包括：

a） 安全评估工作流程：包括组建安全评估团队、安全评估初步调研、确定安全评估范围并制定b) 流通主体安全评估：为确保参与交易的主体要求，包括对数据提供方、数据使用方、数据流 评估方案、正式开展安全评估工作、出具安全评估报告等.通机构和第三方服务机构的技术能力等进行评估：c) 流通数据安全评估：为确保参与流通的数据符合法律法规规定，包括对一般性数据和个人信 息数据等进行评估：(P 流通过程安全评估：为确保数据流通的行为过程是安全的，包括对流通前、流通中、流通后等进行评估.

5安全评估工作流程规范

5.1前期准备阶段

5.1.1确定安全评估目标

基于被评估方所在行业标准以及其在数据流通服务中所处阶段，评估方根据不同阶段的安全性要求明确安全评估目标.

5.1.2确定安全评估范围

根据安全评估目标，评估方确定安全评估的范围，其包括被评估方在数据流通过程中所涉及的数据、流程、系统、环境、具体业务、部门以及人员等.

5.1.3组建安全评估团队

员和安全管理评估人员组成：被评估方由安全管理人员、业务人员、数据产品开发人员、运维人员组成： 安全评估团队由评估方、被评估方、评估领导小组以及专家组共同组建.评估方由安全技术评估人评估领导小组由评估方和被评估方领导及双方有关部门负责人组成：专家组由相关专业的优秀专家和技术骨干组成.

5.1.4安全评估初步调研

评估方对被评估方进行系统调研，调研内容应包括：