2024公共数据安全评估评分细则

公共数据安全评估评分细则2024表A.1公共数据安全评估评分表（续）表A.1公共数据安全评估评分表（续）PAGEPAGE49PAGEPAGE48公共数据安全评估评分细则公共数据安全评估评分表公共数据安全评估按照以下方式进行评估，各评估子项结果判定细则和分值见表A.1：公共数据安全评估评分表中的结果判定依据第6章至第8章评估内容执行；根据重要性设置各评估子项的分值，一般为1～10的整数，针对不同安全等级对象，因该等级下的安全要求存在差异，故同一评估子项分值存在不同；数据处理活动安全评估中级别要求涉及1级～4表A.1公共数据安全评估评分表关联资产评估类评估项评估子项结果判定一、二级分值三级分值四级分值制度文档通用管理安全（M）总体数据安（M01）M01-BR011～312～31/2不符合：其他情况，得0分。864制度文档M01-TR011～2121/2不符合：其他情况，得0分。—22关联资产评估类评估项评估子项结果判定分值三级分值四级分值组织人员通用管理安全（M）数据安全管理机构与人员（M02）M02-BR011～2121/2不符合：其他情况，得0分。101010制度文档M02-BR0210444组织人员M02-BR031～21～21/2不符合：其他情况，得0分。644组织人员M02-BR041～211/2分值。0666审批机制M02-BR051～21～21/2不符合：其他情况，得0分。555数据合作方M02-BR061～2121/2不符合：其他情况，得0分。888审批机制M02-TR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—22表A.1公共数据安全评估评分表（续）表A.1公共数据安全评估评分表（续）PAGEPAGE51表A.1公共数据安全评估评分表（续）表A.1公共数据安全评估评分表（续）PAGEPAGE50关联资产评估类评估项评估子项结果判定分值三级分值四级分值审批机制通用管理安全（M）数据安全管理机构与人员（M02）M02-TR021～2121/2不符合：其他情况，得0分。—11制度文档M02-BR07符合：满足第1项，得满分。11/2不符合：其他情况，得0分。433制度文档M02-BR081～21～21/2不符合：其他情况，得0分。555组织人员M02-BR091～412～41/2不符合：其他情况，得0分。666组织人员M02-BR10符合：满足第1项，得满分。11/2不符合：其他情况，得0分。311组织人员M02-TR03符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—22组织人员M02-TR04符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—11关联资产评估类评估项评估子项结果判定分值三级分值四级分值组织人员通用管理安全（M）数据安全管理机构与人员（M02）M02-TR051～2121/2不符合：其他情况，得0分。—11组织人员M02-FR0110——1组织人员M02-FR0210——1组织人员数据安全管理制度体系（M03）M03-BR0110533制度文档M03-BR021～2121/2不符合：其他情况，得0分。888制度文档M03-BR031～21～21/20处理者，得满分。666制度文档M03-BR041～2121/2不符合：其他情况，得0分。333制度文档M03-BR051～21～21/2不符合：其他情况，得0分。777关联资产评估类评估项评估子项结果判定分值三级分值四级分值制度文档通用管理安全（M）数据安全管理制度体系（M03）M03-BR06符合：满足第1项，得满分。11/2不符合：其他情况，得0分。222制度文档M03-BR07符合：满足第1项，得满分。11/2不符合：其他情况，得0分。422制度文档M03-TR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—22技术工具/平台通用技术安全（T）数据分类分（T01）T01-BR011～2121/2不符合：其他情况，得0分。333制度文档组织人员T01-BR021～21～21/2不符合：其他情况，得0分。222制度文档组织人员T01-BR031～21～21/2不符合：其他情况，得0分。222制度文档组织人员T01-BR041～21～21/2不符合：其他情况，得0分。322关联资产评估类评估项评估子项结果判定分值三级分值四级分值制度文档组织人员通用技术安全（T）数据分类分（T01）T01-BR051～21～21/2不符合：其他情况，得0分。211技术工具/平台T01-TR011～21～21/2不符合：其他情况，得0分。—11技术工具/平台T01-FR0110——1制度文档数据安全评估（T02）T02-BR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。422组织人员T02-BR021～2121/2不符合：其他情况，得0分。222组织人员T02-BR031～20222制度文档T02-BR041～312～31/2不符合：其他情况，得0分。222关联资产评估类评估项评估子项结果判定分值三级分值四级分值制度文档通用技术安全（T）数据安全评估（T02）T02-BR0510222制度文档T02-BR06符合：满足第1项，得满分。0222组织人员制度文档T02-TR011～312～31/2不符合：其他情况，得0分。—22技术工具/平台数据安全风（T03）T03-BR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。333技术工具/平台T03-BR02符合：满足第1项，得满分。11/2不符合：其他情况，得0分。322技术工具/平台T03-TR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—11组织人员T03-TR021～21～21/2不符合：其他情况，得0分。—11组织人员T03-TR0310—11关联资产评估类评估项评估子项结果判定分值三级分值四级分值组织人员通用技术安全（T）数据安全风（T03）T03-TR0410—11制度文档数据安全管控（T04）T04-BR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。433技术工具/平台T04-BR021～21～21/2不符合：其他情况，得0分。322审批机制T04-BR03符合：满足第1项，得满分。11/2不符合：其他情况，得0分。333技术工具/平台T04-BR041～21～21/2不符合：其他情况，得0分。321技术工具/平台T04-BR051～31～31/20系统数据交互场景，得满分。211制度文档技术工具/平台T04-BR061～312～31/20大操作行为，得满分。333关联资产评估类评估项评估子项结果判定分值三级分值四级分值技术工具/平台通用技术安全（T）数据安全管控（T04）T04-TR01符合：满足第1项，得满分。11/20网络区域传输场景，得满分。—22技术工具/平台T04-FR011～2121/2不符合：其他情况，得0分。——2技术工具/平台T04-BR07符合：满足第1项，得满分。11/2不符合：其他情况，得0分。433技术工具/平台T04-TR021～21～21/2不符合：其他情况，得0分。—22技术工具/平台T04-FR02符合：满足第1项，得满分。11/2不符合：其他情况，得0分。——2技术工具/平台T04-BR081～21～21/20API口，得满分。422关联资产评估类评估项评估子项结果判定分值三级分值四级分值组织人员通用技术安全（T）数据安全管控（T04）T04-BR091～21～21/20API口，得满分。422制度文档技术工具/平台T04-BR101～21～21/20API口，得满分。432组织人员技术工具/平台T04-BR11120API口，得满分。321技术工具/平台T04-TR03符合：满足第1项，得满分。0API口，得满分。—21技术工具/平台T04-TR04符合：满足第1项，得满分。11/20分。—11技术工具/平台T04-TR05符合：满足第1项，得满分。11/20API口，得满分。—21关联资产评估类评估项评估子项结果判定分值三级分值四级分值制度文档通用技术安全（T）数据安全应（T05）T05-BR011～2121/2不符合：其他情况，得0分。555组织人员T05-BR021～2满分。1～21/2不符合：其他情况，得0分。333组织人员T05-BR031～2满分。121/2不符合：其他情况，得0分。211组织人员T05-BR041～2机构未发生过个人信息安全事件，得满分。1～21/2不符合：其他情况，得0分。333组织人员T05-BR05符合：满足第1～2项，或被评估机构未发生过数据安全事件，得满分。121/2不符合：其他情况，得0分。211组织人员T05-BR061～2121/2不符合：其他情况，得0分。333关联资产评估类评估项评估子项结果判定分值三级分值四级分值技术工具/平台通用技术安全（T）数据安全应（T05）T05-TR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—11组织人员T05-TR021基础设施系统未发生过重要数事件，得满分。0息基础设施系统，得满分。—22技术工具/平台T05-FR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。——1制度文档数据安全审计（T06）T06-BR011～2121/2不符合：其他情况，得0分。432技术工具/平台T06-BR021～21～21/2不符合：其他情况，得0分。555组织人员T06-BR03符合：满足第1项，得满分。11/2不符合：其他情况，得0分。422组织人员T06-TR01符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—22关联资产评估类评估项评估子项结果判定分值三级分值四级分值组织人员数据处理活动安全要求（P）数据收集（P01）P01-BR011～412～41/2不符合：其他情况，得0分。433组织人员P01-BR02符合：满足第1项，得满分。0构数据，得满分。322组织人员P01-BR031～20432组织人员P01-BR04符合：满足第1项，得满分。11/2不符合：其他情况，得0分。432组织人员P01-BR05符合：满足第1项，得满分。0共服务的移动互联网应用程序或第三方应用，得满分。322组织人员P01-TR01符合：满足第1项，得满分。0构数据，得满分。—11数据子类或字段P01-DT01120统，得满分。111关联资产评估类评估项评估子项结果判定分值三级分值四级分值数据子类或字段数据处理活动安全要求（P）数据收集（P01）P01-DT021～312～31/20SDK111制度文档数据存储（P02）P02-BR011～2121/2不符合：其他情况，得0分。322组织人员制度文档P02-BR021～312～31/2不符合：其他情况，得0分。332技术工具/平台P02-BR0310322技术工具/平台P02-BR041～21～21/20份识别信息，得满分。322组织人员技术工具/平台P02-BR051～2121/2不符合：其他情况，得0分。321技术工具/平台P02-TR0110—22关联资产评估类评估项评估子项结果判定分值三级分值四级分值技术工具/平台数据处理活动安全要求（P）数据存储（P02）P02-TR02符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—11技术工具/平台P02-TR03符合：满足第1项，得满分。11/2不符合：其他情况，得0分。—22技术工具/平台P02-FR0110——2数据子类或字段P02-DT011～20111数据子类或字段P02-DT021～312～31/20据，得满分。222数据子类或字段P02-DT031～20111制度文档数据传输（P03）P03-BR011～2121/2不符合：其他情况，得0分。211关联资产评估类评估项评估子项结果判定分值三级分值四级分值技术工具/平台数据处理活动安全要求（P）数据传输（P03）P03-BR021～2121/2不符合：其他情况，得0分。322技术工具/平台P03-BR031～20322制度文档技术工具/平台P03-TR011～20—22技术工具/平台P03-TR0212满分。不符合：其他情况，得0分。—22技术工具/平台P03-FR011～20——2数据子类或字段P03-DT011～202～4111数据子类或字段P03-DT021～20111数据子类或字段P03-DT031～20111关联资产评估类评估项评估子项结果判定一、二级分值三级分值四级分值制度文档数据处理活动安全要求（P）数据使用（P04）P04-BR011～2121/2不符合：其他情况，得0分。211制度文档P04-BR02符合：满足第1项，得满分。11/2不符合：其他情况，得0分。211制度文档技术工具/平台P04-BR031～20222技术工具/平台P04-BR041～20211组织人员P04-BR051～20211组织人员P04-BR06符合：满足第1项，得满分。0分。211技术工具/平台P04-TR011～20—11关联资产评估类评估项评估子项结果判定一、二级分值三级分值四级分值技术工具/平台数据处理活动安全要求（P）数据使用（P04）P04-TR021～20—11组织人员P04-TR031～2121/20嵌入第三方应用的场景，得满分。—22数据子类或字段P04-DT011～20111数据子类或字段P04-DT021～20111组织人员数据加工（P05）P05-BR01符合：满足第1项，得满分。0务场景，得满分。111制度文档P05-BR02符合：满足第1项，得满分。0务场景，得满分。111关联资产评估类评估项评估子项结果判定一、二级分值三级分值四级分值制度文档数据处理活动安全要求（P）数据加工（P05）P05-BR03符合：满足第1项，得满分。0务场景，得满分。111组织人员P05-BR041～312～31/20务场景，得满分。111技术工具/平台P05-TR011～2121/20务场景，得满分。—11组织人员技术工具/平台P05-TR021～20—11组织人员P05-TR031～21～21/20景，得满分。—11制度文档技术工具/平台P05-TR041～312～31/20工场景，得满分。—11关联资产评估类评估项评估子项结果判定一、二级分值三级分值四级分值数据子类或字段数据处理活动安全要求（P）数据加工（P05）P05-DT011～20111数据子类或字段P05-DT021～20111制度文档数据开放共享（P06）P06-BR011～2121/20据共享业务场景，得满分。211制度文档技术工具/平台P06-BR02符合：满足第1项，得满分。0据共享业务场景，得满分。211制度文档P06-BR03符合：满足第1项，得满分。11/20息资源交换平台，得满分。211制度文档P06-TR011～2121/20据共享业务场景，得满分。—22关联资产评估类评估项评估子项结果判定一、二级分值三级分值四级分值制度文档数据处理活动安全要求（P）数据开放共享（P06）P06-TR02符合：满足第1项，得满分。11/20据共享业务场景，得满分。—11技术工具/平台P06-TR031～20—11数据子类或字段P06-DT011～20111数据子类或字段P06-DT021～20111制度文档数据交易（P07）P07-BR011～2121/20易，得满分。222制度文档数据出境（P08）P08-BR011～30分。不适用：业务系统不存在数据出境的场景，得满分。322关联资产评估类评估项评估子项结果判定一、二级分值三级分值四级分值技术工具/平台数据处理活动安全要求（P）数据出境（P08）P08-BR021～20211制度文档P08-BR03符合：满足第1项，得满分。11/20境的场景，得满分。211制度文档数据销毁与删除（P09）P09-BR011～2121/2不符合：其他情况，得0分。222组织人员P09-BR0210222制度文档P09-BR031～20222制度文档P09-BR041～20211制度文档技术工具/平台P09-BR051