ICS 35.040 CCS L 80 DB11 北京市地方标准 DB11/T 2350—2024 数据交易安全评估指南 Guidelines for assessing the security of data transaction 2024-12-25发布 2025-04-01实施 北京市市场监督管理局 发布 DB11/T 2350—2024 I 目次 前言 .................................................................... II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 评估范围 ............................................................................ 1 5 评估内容及指标体系 .................................................................. 2 6 评估流程 ........................................................................... 10 7 报告编写及结果应用 ................................................................. 11 参考文献 ............................................................................. 12 DB11/T 2350—2024 II前言 本文件按照 GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》规定起 草。 本文件由北京市经济和信息化局提出。 本文件由北京市经济和信息化局、北京市政务服务和数据管理局归口并组织实施。 本文件起草单位：北京国际大数据交易所、北京大学大数据分析与应用技术国 家工程实验室、上海 蜜度信息技术有限公司、国网北京海淀供电公司、拉卡拉支付股份有限公司 、北京市金杜律师事务所、 北京市科学技术研究院、湖南大学、杭州安恒信息技术股份有限公司、工业和信息化部电子第五研究所、 华控清交信息科技（北京）有限公司、京东科技信息技术有限公司、中国移动通信集团有限公司、中国 移动通信有限公司研究院、北京讯腾智慧科技股份有限公司、容诚咨询（北京）有限公司、北京市农业 投资有限公司、北京航空航天大学、北京国网信通埃森哲信息技术有限公司 本文件主要起草人：李振军、盛晶、王娟、梁星、张頔、姜冰、宋洁、吴涵、李皖金、张彦军、李 巍、王吾冰、穆帅先、杨祖艳、宗丹辰、邱锴、刘京川、蔡国庆、梁肖、韩培科、王理、张瑜、杨岚、 莫雄剑、潘冲、焦承林、谭伊舒、赵莹、高尚滔、胡月、卢怡贤、戴薇、赵海威 DB11/T 2350—2024 1 数据交易安全评估指南 1 范围 本文件给出了数据交易安全评估范围、评估内容及指标体系、评估流程、报告编写及结果应用 等内 容。 本文件适用于指导数据交易参与 方、第三方评估机构等主体开展数据交易安全评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 36073 数据管理能力成熟度评估模型 GB/T 37932 信息安全技术 数据交易服务安全要求 GB/T 37988 信息安全技术 数据安全能力成熟度模型 DB11/T 2348 数据交易通用指南 3 术语和定义 DB11/T 2348界定的以及下列的术语和定义适用于本文件。 3.1 数据交易安全 security of data transaction 在数据交易过程中，数据交易供方、需方和数据交易场所通过采取必要措施，确保数据交易处于有 效保护、合法、安全的状态。 4 评估范围 从基础项和加分项两个维度，围绕数据交易流程为数据交易双方、数据交易场所提供数据交易安全 评估范围，引导规范数据交易 行为，为数据交易安全流通提供指引。其中，满足基础项是进行加分项评 估的前提，满足全部基础项对数据交易双方及数据交易场所是十分必要的，加分项作为评估可选内容， 为提升安全能力提供参考。数据交易安全评估范围如图1所示。 DB11/T 2350—2024 2 图1 数据交易安全评估范围 5 评估内容及指标体系 5.1 数据供方安全评估 5.1.1 数据供方安全评估指标体系 在数据交易过程中，对数据供方进行安全评估建立可参考的指标体系，加分项和权重范围根据不同 行业及应用场景进行调整。具体内容如表1所示。 表1 数据供方安全评估指标体系表 指标维度 指标分值及建议权重范围 评分说明 交易主体 基础项 达标/不达标 基础项评估：对各指标维度进行达 标与不达标判断，如其中某项指标 维度基础项不满足要求，则加分项 评估无效，对应指标维度安全要求 不达标。 加分项评估：指标维度满足基础项 要求的情况下，开展指标维度加分 项评估。指标维度加分项权重可结 合具体行业情况及数据交易应用场 景，参考本标准建议权重范围进行 评估打分，权重加总为 100%，加总 后得出评分结果，满分为100分。 加分项 评分0~100分，建议权重范围15%~25% 交易标的 基础项 达标/不达标 加分项 评分0~100分，建议权重范围20%~30% 交易磋商缔约 基础项 达标/不达标 加分项 评分0~100分，建议权重范围 5%~15% 交易标的交付和交 易结算 基础项 达标/不达标 加分项 评分0~100分，建议权重范围25%~35% 交易后期服务 基础项 达标/不达标 加分项 评分0~100分，建议权重范围10%~20% DB11/T 2350—2024 3 5.1.2 交易主体 5.1.2.1 基础项 基础项包括： a) 依法成立并有效存续的法人、非法人组织机构，或具备相应民事行为能力的自然人； b) 在一年内不存在数据类违法违规记录，未发生过数据泄露等安全事件； c) 在五年内未因违反网络安全法律法规受到治安管理处罚和刑事处罚； d) 场内交易前，依程序完成注册、认证并通过审核。 5.1.2.2 加分项 加分项包括： a) 具备数据安全技术能力和安全管理制度，如敏感数据识别、数据分类分级、数据脱敏、数 据加密、数据备份和恢复、数据防泄漏、数据安全监测与预警、数据安全监督检查等； b) 具备关于主体数据安全能力的资质证明类文件，如取得GB/T 36073、GB/T 37988相关数据 管理能力成熟度评估模型和数据安全能力成熟度模型认证等； c) 交易标的涉及重要数据的，处理数据的信息系统宜符合GB/T 22239中三级及以上网络安全 等级保护要求，宜具备对接收方的数据共享、调用情况的监测措施，相关日志留存时间不 少于3年； d) 交易标的涉及一般数据的，宜具备符合GB/T 22239中三级网络安全等级保护的安全能力。 5.1.3 交易标的 5.1.3.1 基础项 基础项包括： a) 交易标的涉及重要数据的，依法履行登记、审批等相应规定，出具上一年度数据安全风险评估 报告； b) 具有明确的概要描述、产品形态、应用场景、使用范围、服务方式和使用期限； c) 具有数据来源权属合法合规的报告或相关真实有效的证明材料； d) 涉及个人信息的宜取得授权或进行匿名化处理；对于无法满足前述条件的，进行去标识化处理， 达到在不借助额外信息的情况下无法识别特定自然人的要求； e) 真实、准确、完整披露数据交易标的信息 ，不隐瞒数据来源及涉及的敏感数据； f) 场内交易前，依程序提供数据交易标的登记上架相关材料以供审核。 5.1.3.2 加分项 加分项包括： a) 提供数据质量、数据合规、数据安全等第三方专业机构出具的报告； b) 根据数据交易需方要求，提供数据交易标的样本数据。 5.1.4 交易磋商缔约 5.1.4.1 基础项 基础项包括： a) 不以欺诈、诱骗、误导、胁迫、贿赂等违法违规方式交易数据； b) 明确数据交易标的质量、数量、价格、使用期限等； DB11/T 2350—2024 4 c) 如存在数据交易标的使用场景限制，在合同中明确数据交易标的使用或流通的目的、方式 和范围，法律法规另有规定的除外； d) 如涉及数据加工服务的，在合同中明确加工后的数据交易标的相关权属。 5.1.4.2