数据安全能力评定-数据安全评估

数据安全能力评定（数据安全评估）

企业申请数据安全服务能力资格证书的基本要求：

 数据安全评估能力要求

 一级能力要求

 基本要求

a)     应达到数据安全服务能力等级基本要求的所有条款；

b)  从事数据安全评估的数据安全服务提供商应对数据主体及其业务的安全状况、安全要求有相应的了解。

 服务商规模与资产

a)  企业正式编制人员应不少于15人，直接从事数据安全评估服务的人员不低于8人；

b) 注册资本：产权关系明晰，注册资金（或开办资金）不少于500万元人民币。

业绩要求

a)  企业应具备一年以上的数据安全行业从业时间；

b) 至少有2个数据安全评估服务及同类型项目，单个合同金额不低于20万元人民币，项目合同总金额不低于100万元人民币；

c)  至少成功完成2个以上的完整的数据安全评估服务项目，且终验通过；

d) 近二年没有出现因各阶段验收未通过或企业自身原因而废止的数据安全评估服务项目。

客户服务要求

从事数据安全评估服务的数据安全服务提供商应提供5×8小时电话热线支持或同等响应级别的客户服务。

 技术能力要求

a)  了解数据安全相关法律法规及标准，对数据主体有深入了解；

b) 有专门的人员持续对最新的数据安全技术进行研究；

c)  能够独立完成数据安全相关渗透测试；

d) 能够评估数据安全风险、脆弱性、管控能力及安全对数据的影响力；

e)  具有确定数据的安全需求的能力；

f)  具备切实可行的项目实施过程中风险的应急方案。

服务队伍要求

a)  从事数据安全评估的队伍内至少应有2名经过数据安全职业能力培训，曾参与起草数据安全产业系列标准的人员可等同参加过此类培训；

b)     应有一批相对稳定的技术队伍，每个数据安全服务项目至少应有1名项目经理，直接从事数据安全评估的服务人员80%需大学本科及以上学历；

c)  至少有2人具有一年以上的数据安全服务项目经验，并具有相关数据安全评估服务的成功案例；

d) 具有相应的评估工具。

1.2  二级能力要求

  基本要求

应达到本准则 4.1 节数据安全评估服务商一级能力要求的所有条款，并在以下方面增强或者增加要求。

服务商要求

 规模与资产

a)  企业正式编制人员应不少于40人，直接从事数据安全评估服务的人员不低于20人；

b) 注册资本：产权关系明晰，注册资金（或开办资金）不少于500 万元人民币。

 业绩要求

a) 企业应具备二年以上的数据安全行业从业时间；

b) 至少有3个数据安全评估服务及同类型项目，单个合同金额不低于30万元人民币，项目合同总金额不低于180万元人民币；

c)  至少成功完成4个以上的完整的数据安全评估服务项目，且终验通过；

d) 近二年没有出现因各阶段验收未通过或企业自身原因而废止的数据安全评估服务项目。

 服务队伍要求

a)  从事数据安全评估的队伍内至少应有4名经过数据安全职业能力培训，曾参与起草数据安全产业系列标准的人员可等同参加过此类培训；

b) 至少有4人具有二年以上的数据安全服务项目经验，并具有相关数据安全评估服务的成功案例。

数据安全服务能力评定工作流程图：

数据安全专业委员会

数据安全服务能力评定工作流程图（试行）