T/CCIASC 0028-2024 数据安全建设服务能力评定规范

ICS 35.240.99
CCS L67
中国计算机行业协会团体标准
T/CCIASC 0028—2024
数据安全建设服务能力评定规范
Specification for Capability Evaluation of Data Security Construction Services
2024 - 12 - 20 发布2024 - 12 - 27 实施
中国计算机行业协会 发布

目次
前言............................................................................ II
引言........................................................................... III
1 范围................................................................................. 1
2 规范性引用文件....................................................................... 1
3 术语和定义........................................................................... 1
4 评定原则............................................................................. 2
5 评定基本要求......................................................................... 2
6 评定指标框架......................................................................... 2
7 评价内容和要求....................................................................... 3
7.1 核心技术能力..................................................................... 4
7.1.1 人才基础..................................................................... 4
7.1.2 技术创新机制................................................................. 4
7.1.3 知识产权情况................................................................. 5
7.1.4 技术转化能力................................................................. 5
7.2 持续经营能力..................................................................... 5
7.2.1 管理者能力................................................................... 5
7.2.2 规模及资质................................................................... 6
7.2.3 市场占有能力................................................................. 6
7.2.4 盈利能力..................................................................... 6
7.3 项目管理能力..................................................................... 6
7.3.1 人员管理..................................................................... 6
7.3.2 方案管理..................................................................... 7
7.3.3 质量管理..................................................................... 7
7.3.4 风险管理..................................................................... 7
7.3.5 成果物管理................................................................... 8
8 评价方法............................................................................. 8
8.1 专家评审法....................................................................... 8
8.2 资料收集法....................................................................... 9
9 评定程序............................................................................. 9
10 评定结果........................................................................... 10
参考文献........................................................................ 12
T/CCIASC 0028—2024
II
前言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定
起草。
本文件由由中国计算机行业协会提出。
本文件由由中国计算机行业协会归口。
本文件起草单位：中国软件评测中心（工业和信息化部软件与集成电路促进中心）、中国电信股份
有限公司安徽分公司、联通数字科技有限公司、亚信科技（成都）有限公司、重庆市软件评测中心有限
公司、北京明朝万达科技股份有限公司、恒安嘉新（北京）科技股份公司、中科信息安全共性技术国家
工程研究中心有限公司、北京市京都律师事务所、恒辉信达技术有限公司、上海斗象信息科技有限公司、
中核核信信息技术（北京）有限公司、北京金源动力信息化测评技术有限公司、天津朗言安全技术服务
有限公司、北京君云天下科技有限公司、上海胡桃网络科技有限公司。
本文件主要起草人：林海静、王露颖、王翔宇、张嘉欢、曹顺超、仇必青、王文鑫、徐灏、赵宁、
戚清海、冀托、丁晓明、郑旭飞、喻波、刘新鹏、伊鹏达、曹国华、王菲、关涛、谢忱、张士莹、曹涛、
赵亮、张靖、方新、李能言、周焕军。
T/CCIASC 0028—2024
III
引言
数据安全建设服务有助于强化我国重要数据和核心数据的保护能力，保障数据持续处于有效保护、
合法利用、有序流动的状态，提升各行业各领域数据安全水平，加速数据要素市场培育和价值释放。当
前，很多单位正在开展数据安全建设业务，但数据安全建设服务能力参差不齐，不利于数据安全建设服
务市场的健康发展和数据安全标准的有效落地。本文件通过强化对数据安全建设机构的基本要求和分类
要求，从核心技术能力、持续经营能力、建设管理能力3个维度进行统一分级、判定，意在构建统一规
范的数据安全建设服务能力评定体系，制定有效的数据安全建设服务能力评定规范及配套评定方法。
T/CCIASC 0028—2024
1
数据安全建设服务能力评定规范
1 范围
本文件规定了数据安全建设服务能力的评定规范，给出了数据安全建设服务能力评定的基本要求、
指标框架、评定流程及评定方法。
本文件既适用于第三方能力评定机构，对其开展的数据安全建设服务能力评定工作提供指引，也适
用于数据安全建设服务提供商开展服务能力自评定，为提升其数据安全建设服务能力提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 22080-2016 信息技术安全技术信息安全管理体系
GB/T 25069-2022 信息安全技术术语
GB/T 41479-2022 信息安全技术网络数据处理安全要求
JGJ/T 67-2019 办公建筑设计标准
T/ZHTEA 001 高新技术企业创新能力评价
3 术语和定义
GB/T 25069、GB/T 41479、T/ZHTEA 001中界定的以及下列术语和定义适用于本文件。为了便于使
用，以下重复列出了GB/T 25069、GB/T 41479、T/ZHTEA 001中的某些术语和定义。
3.1 数据安全data security
通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。
注：GB/T 41479—2022，定义3.4
3.2 风险管理risk management
指导和控制组织相关风险的协调活动。
注：GB/T 25069—2022，定义3.168
3.3 服务工具service tools
为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。
注：GB/T 25069—2022，定义3.184
3.4 Ⅰ类知识产权Class Ⅰ Intellectual Property
发明专利（含国防专利）、植物新品种、国家级农作物品种、国家新药、国家一级中药保护品种、
集成电路布图设计专有权等。
注：T/ZHTEA 001—2023，定义3.1
3.5 Ⅱ类知识产权Class Ⅱ Intellectual Property
T/CCIASC 0028—2024
2
实用新型专利、外观设计专利、软件著作权等。
注：T/ZHTEA 001—2023，定义3.2
4 评定原则
a）公正性：评定工作以数据安全建设服务商实际情况为基础，通过系统、深入的分析得出客观、
公正的评定结论；
b）透明性：评定过程公开透明，评定结论向社会公开。
5 评定基本要求
数据安全建设服务提供商应具备的基本要求包括：
a) 在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；
b) 产权关系明晰，独立经营核算，无违法记录；
c) 法定代表人、主要负责人、主要技术人员应为中华人民共和国境内的中国公民，且无犯罪记
录；
d) 未被列入失信被执行人、重大税收违法案件当事人名单和政府采购严重违法失信行为记录名
单等，以及其他可能影响数据安全建设单位或服务提供商能力和信誉的负面清单；
e) 应建立工作保密制度及相应组织监管体系，从事涉密的数据安全服务应满足国家保密机关相
关要求；
f) 应具备固定办公地点，且满足JGJ/T 67-2019 相关要求。
6 评定指标框架
从核心技术能力、持续经营能力、建设管理能力3个维度分别对数据安全建设服务提出了两级能力
要求，由高到低依次是二级、一级能力。其中，核心技术能力的评定指标包括人才基础、技术创新机制、
知识产权情况、技术转化能力等；持续经营能力包括管理者能力、规模及资质、市场占有能力、盈利能
力等；建设管理能力包括人员管理、方案管理、质量管理、风险管理、成果物管理等。
T/CCIASC 0028—2024
3
图1 数据安全建设服务能力评定指标框架图
核心技术能力、持续经营能力、建设管理能力分别从技术、经营、服务过程维度分析企业数据安全
建设服务能力。持续经营能力保障了数据安全建设高技术、人才的引进和吸收，促进了核心能力的提升；
核心技术能力的提升助力企业提升硬实力，保障企业在高技术产品、服务竞争中占得优势，促进财务资
源获得，增强持续经营能力；持续经营能力和核心技术能力提升了服务过程的效能，带动建设管理能力
提升；建设管理能力保障市场资源获得、指引研发和生产的方向，促进持续经营能力和核心技术能力提
升。
图2 数据安全建设服务分项能力间的关系图
7 评价内容和要求
数据安全建设服务提供商应具备的基本要求包括：
a) 在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；
T/CCIASC 0028—2024
4
b) 产权关系明晰，独立经营核算，无违法记录；
c) 法定代表人、主要负责人、主要技术人员应为中华人民共和国境内的中国公民，且无犯罪记
录；
d) 未被列入失信被执行人、重大税收违法案件当事人名单和政府采购严重违法失信行为记录名
单等，以及其他可能影响数据安全建设单位或服务提供商能力和信誉的负面清单；
e) 应建立工作保密制度及相应组织监管体系，从事涉密的数据安全服务应满足国家保密机关相
关要求；
f) 应具备固定办公地点，且满足JGJ/T 67-2019 相关要求
7.1 核心技术能力
7.1.1 人才基础
7.1.1.1 一级要求
a) 正式受聘人员不少于20 人，直接从事数据安全建设服务的技术人员不低于10 人；
b) 直接从事数据安全建设服务的技术人员大学本科以上学历不少于80%；
c) 至少2 名技术人员接受过数据安全防护技术和准则的系统培训，或参与起草数据安全防护系
列标准；
d) 至少2 名技术人员具有国家和相关机构认可的数据安全建设专业资质；
e) 制定技术人员岗前培训计划，相关人员经考核评定合格后方可上岗；
f) 技术人员应具备数据安全理论基础知识，熟悉数据安全相关法律法规、政策和标准；
g) 技术人员应具备良好的沟通与协调能力，能够准确理解服务需求方的业务流程和数据安全目
标；
h) 技术人员应具备强有力的执行能力，能够落实数据安全相关制度、策略。
7.1.1.2 二级要求
应满足本文件7.1.1.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 正式受聘人员不少于100人，直接从事数据安全建设服务的人员不低于35人；
b) 至少10名技术人员具备3年以上的数据安全建设服务项目经验，且具有成功的项目案例；
c) 至少4名技术人员接受过数据安全防护技术和准则的系统培训，或参与起草数据安全防护系列
标准；
d) 至少4名技术人员具有国家和相关机构认可的数据安全工程师资质，或其他数据安全建设相关
专业资质；
e) 技术人员应具备密码技术与应用等数据安全专业知识。
7.1.2 技术创新机制
7.1.2.1 一级要求
a) 具备人才引进、知识产权申请、科技成果转化等相关能力提升激励机制。
7.1.2.2 二级要求
应满足本文件7.1.2.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 具备数据安全研究、开发相关的组织管理制度；
T/CCIASC 0028—2024
5
b) 设立内部数据安全技术研究开发机构并具备相应的科研条件，与国内外数据安全研究开发机构
开展多种形式产学研合作；
c) 具备数据安全技术人员的技能培训、培养进修以及研发考核等制度。
7.1.3 知识产权情况
7.1.3.1 一级要求
a) 具备跟踪研究数据安全建设新技术新产品新服务的能力；
b) 熟悉知识产权申请流程，了解相关法律法规。
7.1.3.2 二级要求
应满足本文件7.1.3.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 拥有数据安全相关知识产权5项及以上（Ⅱ类）或1项及以上（Ⅰ类），相关数据安全技术的先
进程度较高，对主要数据安全产品（服务）在技术上发挥核心支持作用；
b) 建立知识产权创造、运用、保护、管理和服务全环节制度体系。
7.1.4 技术转化能力
7.1.4.1 一级要求
a) 了解数据安全相关科技成果转化的主要方式；
b) 具备数据安全产品的集成部署能力，包括但不限于数据分类分级、防泄漏、脱敏、加密、加固
等产品。
7.1.4.2 二级要求
应满足本文件7.1.4.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 近3年内数据安全相关科技成果转化的年平均数不少于4项；
b) 具备数据安全产品的开发、测试能力，包括但不限于数据分类分级、防泄漏、脱敏、加密、加
固等产品；
c) 应提供定制化服务，保证解决方案的灵活性，适应多变的业务场景；
d) 能够研究、应用前沿技术，实现数据安全产品的迭代升级。
7.2 持续经营能力
7.2.1 管理者能力
7.2.1.1 一级要求
a) 单位法人或负责人具备一定的战略能力、组织能力；
b) 明确质量负责人，且具备2年以上的质量管理经验；
c) 明确数据安全技术负责人，且具备2年以上的数据安全项目管理经验。
7.2.1.2 二级要求
应满足本文件7.2.1.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 数据安全技术负责人具备中级及以上职称；
T/CCIASC 0028—2024
6
b) 数据安全技术负责人具备本科及以上学历；
c) 数据安全技术负责人具备5年以上数据安全管理经验。
7.2.2 规模及资质
7.2.2.1 一级要求
a) 应具备1年以上的数据安全行业从业时间；
b) 产权关系明晰，注册资金（或开办资金）不少于500万元人民币；
c) 具有信息安全管理相关的制度规范；
d) 具备至少1项信息安全服务资质，或至少1个信息安全服务项目获奖。
7.2.2.2 二级要求
应满足本文件7.2.2.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 应具备3年以上的数据安全行业从业时间；
b) 产权关系明晰，注册资金（或开办资金）不少于1000 万元人民币；
c) 具备至少3项信息安全服务资质，或至少3个信息安全服务项目获奖。
7.2.3 市场占有能力
7.2.3.1 一级要求
a) 至少承担2个数据安全建设服务项目，单个项目合同金额不低于50万元人民币，项目合同总金
额不低于150万元人民币；
b) 至少终验通过2个数据安全建设服务项目；
c) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的数据安全建设服务项目。
7.2.3.2 二级要求
应满足本文件7.2.3.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 至少承担3个数据安全建设服务项目，单个项目合同金额不低于80万元人民币，项目合同总金
额不低于250万元人民币；
b) 至少终验通过3个数据安全建设服务项目。
7.2.4 盈利能力
7.2.4.1 一级要求
a) 近1年净利润、净资产收益均为正；
b) 近1年收入增长率或净利润增长率为正。
7.2.4.2 二级要求
a) 近3年净利润、净资产收益均为正；
b) 近3年收入增长率或净利润增长率为正。
7.3 项目管理能力
7.3.1 人员管理
T/CCIASC 0028—2024
7
7.3.1.1 一级要求
a) 设置与数据安全建设服务项目规模相适应人员团队，并建立项目人员清单，明确项目人员职责；
b) 与项目服务人员签订保密协议，并定期进行保密教育、风险排查、自查检查。
7.3.1.2 二级要求
应满足本文件7.3.1.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 建立项目服务人员档案，包括服务人员的录用、离岗或离职、资质证明、培训/考核记录、从
业经历、实际参与项目及分工等信息，档案至少保存至项目服务人员离职后5年，有关法律法
规、行业管理另有规定的除外；
b) 根据项目特点制定项目服务人员行为规范，包括但不限于遵守需求方管理制度，遵守数据安全
服务保密管理制度，规范使用测评专用设备和工具，规范管理成果物等。
7.3.2 方案管理
7.3.2.1 一级要求
a) 编制的方案应获得需求方确认；
b) 编制的方案应具备可操作性，目标应具体、可行，操作计划应详细清晰。
7.3.2.2 二级要求
应满足本文件7.3.2.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 编制的方案应明确数据安全建设服务范围、服务目标、服务依据、服务内容、服务成果等；
b) 编制的方案应明确项目人员（包括项目负责人、项目实施技术人员的职责等）、服务流程（包
括计划或进度等）、服务环境、服务方法、服务工具、服务保障（包括资源保障、质量管理、
保密管理、风险控制等）等服务要素，对资金、人员、工具等资源的调配方案具备可操作性。
7.3.3 质量管理
7.3.3.1 一级要求
a) 建立数据安全建设服务项目质量管理制度，明确项目管理责任部门、责任范围、责任人、工作
流程、及与其他部门的统筹协调等，明确数据安全建设服务项目计划、质量要求及监督检查工
作；
b) 实施过程符合需求方安全管理相关要求，对服务过程中的关键活动和原始数据进行记录，实施
的过程文档记录应准确、完整；
c) 具备客户服务电话热线号码，并提供5×8小时电话热线支持或同等响应级别的客户服务。
7.3.3.2 二级要求
应满足本文件7.3.3.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 设置项目质量管理岗位，建立项目服务质量控制机制；
b) 根据方案组织项目实施，定期通过通知、例会、报告（如周、月报）等多种形式与需求方沟通
反馈项目质量。
7.3.4 风险管理
T/CCIASC 0028—2024
8
7.3.4.1 一级要求
a) 在进行数据安全建设服务时，应获得需求方授权，执行过程中发现数据安全事件，及时向需求
方报告，并记录事件相关内容；
b) 在进行数据安全建设服务过程中发现产品（含硬件、软件）的安全问题时，及时向需求方报告；
c) 使用服务工具，有可能对服务需求方系统或平台的功能、性能，数据的保密性、完整性、可用
性等造成影响的，需向需求方进行风险提示，在采取风险规避措施并得到服务需求方同意后方
可使用；
d) 采取必要的监督、审计措施，确保项目服务人员对系统或数据的操作严格按照服务协议及需求
方授权范围进行；
e) 编制和签订满足需求方项目保密事项的协议文件，确保需求方建设服务的数据安全。
7.3.4.2 二级要求
应满足本文件7.3.4.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 制定有效的风险应急预案，并确保其可行、易操作，定期开展应急预案演练并保存记录；
b) 采取必要措施识别服务范围、服务内容、服务流程、服务环境、服务资源等实施过程中可能产
生的风险，并更新风险应急预案；
c) 建立项目风险沟通与应急处置机制，确定双方接口人，及时处理服务实施过程中产生的争议、
投诉、突发事件等项目风险，并形成处置结论或解决方案。
7.3.5 成果物管理
7.3.5.1 一级要求
a) 应建立数据安全建设服务报告编制管理机制；
b) 应具备报告编制能力，掌握数据安全建设报告的相关要求，熟悉报告编制流程；
c) 按服务协议中所规定的关键节点，提交成果物，如项目方案、过程文档和记录、项目报告（包
括阶段报告、总结报告、验收报告等），并获得需求方确认；
d) 确保所有交付成果具备真实性、准确性和完整性；
e) 完成服务交付后，主动清理、交还相关数据、资料、账号、设备工具等，并向需求方提供由项
目负责人签字的承诺或确认函。
7.3.5.2 二级要求
应满足本文件7.3.5.1节一级要求的所有条款，并在以下方面增强或者增加要求：
a) 应定期更新报告模板，定期对报告编制、审核等相关项目服务人员进行培训；
b) 建立、维护项目成果（包括但不限于项目方案、过程文档和记录、项目报告等）档案管理规定，
严格管理项目档案的查询、借阅行为，档案至少保存5年，有关法律法规、行业管理另有规定
的除外。
8 评价方法
8.1 专家评审法
T/CCIASC 0028—2024
9
借助专家意见进行评定。邀请相关领域专家，采用询问、访谈、查阅资料、实地查看、调查统计等
方式进行，一般不少于3位。
8.2 资料收集法
通过内部文档或第三方资料收集进行评定。
9 评定程序
数据安全服务提供商申请能力评定等级为一级或二级的，应当将申报材料提交到评审机构，能力评
定按下列程序进行：
数据安全服务提供商提交的申请材料应符合本文件第5-7章相关内容，经评审机构初审合格后，由
评审机构组织专家对数据安全服务提供商进行现场评定。通过专家现场评定后，数据安全服务提供商将
获颁对应等级的证书，并接受评审机构的持续监督。
T/CCIASC 0028—2024
10
图3 数据安全建设服务能力评定流程图
10 评定结果
a）评定通过后，数据安全建设服务能力评定结果和监督检查结果应在评定机构的官方网站进行公
布，并获颁评定证书；
T/CCIASC 0028—2024
11
b）评定证书有效期为三年，获证的数据安全服务提供商应邀请评定机构每年进行一次年检；
c）获证的数据安全服务提供商在证书到期前六个月申请重新评定和换证，复申程序参照本文件第9
章评定程序执行。
T/CCIASC 0028—2024
12
参考文献
[1] GB/T 22080-2016 信息技术安全技术信息安全管理体系
[2] GB/T 25069-2022 信息安全技术术语
[3] GB/T 30271—2013 信息安全技术信息安全服务能力评估准则
[4] GB/T 30276—2020 信息安全技术网络安全漏洞管理规范
[5] GB/T 31168—2023 信息安全技术云计算服务安全能力要求
[6] GB/T 35273-2020 信息安全技术个人信息安全规范
[7] GB/T 35274-2017 信息安全技术大数据服务安全能力要求
[8] GB/T 37973-2019 信息安全技术大数据安全管理指南
[9] GB/T 37988-2019 信息安全技术数据安全能力成熟度模型
[10] GB/T 41479-2022 信息安全技术网络数据处理安全要求
[11] JGJ/T 67-2019 办公建筑设计标准
[12] YD/T 3644-2020 面向互联网的数据安全能力技术框架
[13] YD/T 3802-2020 电信网和互联网数据安全通用要求
[14] YD/T 3956-2021 电信网和互联网数据安全评估规范
[15] T/ZHTEA 001—2023 高新技术企业创新能力评