TISC 0059-2024《数据安全管理能力评估规范》.pdfVIP

ICS35.240

L60

团体标准

T/ISC0059—2024

数据安全管理能力评估规范

EvaluationSpecificationforDataSecurityManagementCapability

2023-9-3发布2024-10-3实施

中国互联网协会发布

T/ISC0059—2024

目  次

1范围1

2规范性引用文件1

3术语和定义1

4目标策划及风险机遇2

4.1数据安全方针目标及其实现的策划2

4.2应对风险和机遇的措施3

5组织环境及制度保障3

5.1内外部环境识别与资源支持3

5.2相关方的需求与期望3

5.3数据安全管理制度保障体系3

5.4数据安全管理能力涉及范围4

6组织架构及人员保障4

6.1组织建设以及领导作用承诺4

6.2组织的岗位、权责和权限4

7数据安全管理运行5

7.1策划5

7.2数据分类分级与分级管控5

7.3教育培训与考核6

7.4举报投诉与处理6

7.5权限管理与操作规范6

7.6合作方管理6

7.7管理内审及整改7

7.8数据安全应急响应7

8数据安全技术运行7

8.1策划7

8.2数据资产识别7

8.3数据防泄漏与溯源8

8.4敏感数据保护8

8.5接口安全管理8

8.6风险操作审计8

9绩效评价与改进8

9.1管理审核与纠正改进8

附录A（规范性附录/资料性附录）XXX10

I

T/ISC0059—2024

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由中国互联网协会归口。

本标准主要起草单位：中国信息通信研究院、中互网来信息技术有限公司、中互智安(北京)科技有

限公司。

本标准主要起草人：王景尧、吴荻、宛严、李玮、王亚宁、曹海啸。

II

T/ISC0059—2024

数据安全管理能力评估规范

1范围

本文件规定了组织数据安全管理能力评估规范和评估方法。

本文件适用于涉及数据安全的组织、组织及第三方专业机构开展数据安全管理能力评估工作，为提

升组织数据安全管理能力、健全管理手段提供指引和依据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用

于本文件。

GB/T25069—2010信息安全技术术语

GB/T37988-2019信息安全技术数据安全能力成熟度模型

GB/T36073-2018数据管理能力成熟度评估模型

GB/T41479-2022信息安全技术网络数据处理安全要求

GB/T37973—201