T/CCIASC 0053-2025 数据安全咨询服务能力评定规范

　　ICS 35.240.99 CCS L67

　　CCIASC

　　团 体 标 准

　　T/CCIASC 053—2025

　　数据安全咨询服务能力评定规范

　　Specification for Capability Evaluation of Data Security Consulting Services

　　2025 - 12 - 25 发布 2025 - 12 - 31 实施

　　中国计算机行业协会 发 布

　　T/CCIASC 053—2025

　　T/CCIASC 053—2025

　　前 言

　　本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

　　本文件由中国计算机行业协会提出。

　　本文件由中国计算机行业协会归口。

　　本文件起草单位：中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国电力科学研究院有限公司、联通在线信息科技有限公司、中国联合网络通信有限公司软件研究院、联通数据智能有限公司、江苏省数据集团有限公司、北京天融信网络安全技术有限公司、北京中科卓信软件测评技术中心、远光软件股份有限公司、上海计算机软件技术开发中心、长沙长钢计算机有限公司、江苏安国信检测技术有限公司。

　　本文件主要起草人：王露颖、林海静、曹顺超、张嘉欢、王翔宇、 肖红阳、张文、郝志昂、周映、吴亚男、刘建国、赵立信、周云松、李国良、王鹏、付博雯、刘海明、张允君、王小海、张孟、胡文奇、杨银杉、张大奎。

　　T/CCIASC 053—2025

　　引 言

　　数据安全咨询服务有助于我国构建起全面、立体、动态的数据安全防护体系，助力各行业各领域建立健全数据安全管理体系，提升数据安全防护能力，助力数字经济高质量发展。当前，很多单位正在开展数据安全咨询业务，但数据安全咨询服务能力参差不齐，不利于数据安全咨询服务市场的健康发展和数据安全标准的有效落地。本文件通过强化对数据安全咨询机构的基本要求和分类要求，从核心技术能力、持续经营能力、项目管理能力3个维度进行统一分级、判定，意在构建统一规范的数据安全咨询服务能力评定体系，制定有效的数据安全咨询服务能力评定规范及配套评定方法。

　　T/CCIASC 053—2025

　　数据安全咨询服务能力评定规范

　　1 范围

　　本文件给出了数据安全咨询服务能力评定的基本要求、指标框架、评定流程及评定方法。

　　本文件既适用于第三方能力评定机构，对其开展的数据安全咨询服务能力评定工作提供指引，也适用于数据安全咨询服务提供商开展服务能力自评定，为提升其数据安全咨询服务能力提供参考。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 22080-2025 网络安全技术 信息安全管理体系要求

　　GB/T 25069-2022 信息安全技术 术语

　　GB/T 41479-2022 信息安全技术 网络数据处理安全要求

　　YD/T 3956-2024 电信领域数据安全风险评估规范

　　T/ZHTEA 001-2023 高新技术企业创新能力评价

　　3 术语和定义

　　GB/T 25069、GB/T 41479、T/ZHTEA 001中界定的以及下列术语和定义适用于本文件。为了便于使用， 以下重复列出了GB/T 25069、GB/T 41479、T/ZHTEA 001中的某些术语和定义。

　　3.1

　　数据安全 data security

　　通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

　　注：引 自GB/T 41479—2022，定义3.4 3.2

　　风险管理 risk management

　　指导和控制组织相关风险的协调活动。

　　注：引 自GB/T 25069—2022，定义3.168 3.3

　　服务工具 service tools

　　为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。

　　注：引 自GB/T 25069—2022，定义3.184

　　3.4 Ⅰ 类知识产权 Class Ⅰ Intellectual Property

　　发明专利(含国防专利)、植物新品种、国家级农作物品种、国家新药、国家一级中药保护品种、集成电路布图设计专有权等。

　　T/CCIASC 053—2025

　　注：T/ZHTEA 001—2023，定义3.1

　　3.5 Ⅱ类知识产权 Class Ⅱ Intellectual Property

　　实用新型专利、外观设计专利、软件著作权等。

　　注：T/ZHTEA 001—2023，定义3.2

　　4 评定原则

　　a)公正性：评定工作以数据安全咨询服务提供商实际情况为基础，通过系统、深入的分析得出客观、公正的评定结论;

　　b)透明性：评定过程公开透明，评定结论向社会公开。

　　5 评定基本要求

　　数据安全咨询服务提供商应具备的基本要求包括：

　　a) 在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位或非独立法人的集团公司的省分公司/子公司;

　　b) 产权关系明晰，注册资金500万元以上，独立经营核算，无违法记录;

　　c) 法定代表人、技术负责人、质量负责人、主要技术人员应为中华人民共和国境内的中国公民，且无犯罪记录;

　　d) 未被列入失信被执行人、重大税收违法案件当事人名单和政府采购严重违法失信行为记录名单等， 以及其他可能影响数据安全咨询服务提供商能力和信誉的负面清单;

　　e) 应建立工作保密制度及相应组织监管体系;

　　f) 从事涉密的数据安全服务应满足国家保密机关相关要求;

　　g) 应具备固定办公地点。

　　6 评定指标框架

　　从核心技术能力、持续经营能力、项目管理能力3个维度分别对数据安全咨询服务提出了2级能力要求， 由高到低依次是二级、一级能力。其中，核心技术能力的评定指标包括人才基础、技术研究能力、知识产权情况、技术转化能力等;持续经营能力包括管理者能力、单位资质奖励、市场占有能力、盈利能力等;项目管理能力包括人员管理、质量管理、风险管理、成果物管理、客户关系管理等。

　　T/CCIASC 053—2025

　　图 1 数据安全咨询服务能力评定指标框架图

　　持续经营能力、核心技术能力、项目管理能力分别从技术、经营、服务过程维度分析企业数据安全咨询服务能力。持续经营能力保障了数据安全咨询技术、人才的引进和吸收，促进了核心能力的提升;核心技术能力的提升助力企业提升硬实力，保障企业在高技术产品、服务竞争中占得优势，促进财务资源获得，增强持续经营能力;持续经营能力和核心技术能力提升了服务过程的效能，带动项目管理能力提升;项目管理能力保障市场资源获得、指引研发和生产的方向，促进持续经营能力和核心技术能力提升。

　　图 2 数据安全咨询服务分项能力间的关系图

　　7 评定分类要求

　　7.1 核心技术能力

　　7.1.1 人才基础

　　T/CCIASC 053—2025

　　7.1.1.1 一级要求

　　a) 正式受聘人员应不少于30人，直接从事数据安全咨询服务的人员不低于15人;

　　b) 直接从事数据安全咨询服务的技术人员大学本科以上学历不少于60%;

　　c) 至少5名正式受聘技术人员接受过数据安全防护技术和准则的系统培训，或参与起草数据安全防护系列标准;

　　d) 至少5名正式受聘技术人员具有国家和相关机构认可的数据安全咨询专业资质;

　　e) 制定技术人员岗前培训计划，相关人员经考核评定合格后方可上岗;

　　f) 正式受聘技术人员应具备数据安全相关基础知识，熟悉数据安全相关法律法规、政策和标准;

　　g) 正式受聘技术人员应具备良好的沟通与协调能力，能理解服务需求方的业务流程和数据安全目标;

　　h) 正式受聘技术人员应具备强有力的分析能力，能够清晰解释技术问题并提供针对性的解决方案。

　　7.1.1.2 二级要求

　　应满足本文件7.1.1.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 正式受聘人员应不少于50人，直接从事数据安全咨询服务的人员不低于20人;

　　b) 至少10名正式受聘技术人员具备3年以上的数据安全咨询服务项目经验，且具有成功的项目案例;

　　c) 至少10名正式受聘技术人员接受过数据安全防护技术和准则的系统培训，或参与起草数据安全防护系列标准;

　　d) 至少10名正式受聘技术人员具有数据安全咨询师资质，或其他数据安全咨询相关专业资质;

　　e) 正式受聘技术人员应深入掌握密码技术与应用、敏感数据发现、重要数据和核心数据的分类分级方法，擅长系统性评估数据安全风险，制定差异化的保护策略，设计并实施高安全性的数据保护方案;

　　f) 熟悉数据安全产品的开发流程、测试标准及部署方法，能够参与或指导安全产品的设计、开发与测试，并提供专业的产品选型与部署咨询服务。

　　7.1.2 技术研究能力

　　7.1.2.1 一级要求

　　a) 具备先进技术研究能力，为客户提供定制化的政策法规跟踪、先进技术研究及融合策略建议服务。

　　7.1.2.2 二级要求

　　应满足本文件7.1.2.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 具备研究转化能力，能够精准捕捉前沿技术研究成果的核心价值，并将其高效转化为具有高度可操作性和实用价值的咨询报告。

　　7.1.3 知识产权情况

　　7.1.3.1 一级要求

　　a) 具备跟踪研究数据安全咨询新技术新产品新服务的能力;

　　b) 熟悉知识产权申请流程，了解相关法律法规。

　　T/CCIASC 053—2025

　　7.1.3.2 二级要求

　　应满足本文件7.1.3.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 拥有数据安全相关知识产权3项及以上 (Ⅱ类)或1项及以上 ( Ⅰ类)，相关数据安全技术的先进程度较高，对主要数据安全产品(服务)在技术上发挥核心支持作用;

　　b) 建立知识产权创造、运用、保护、管理和服务全环节制度体系。

　　7.1.4 技术转化能力

　　7.1.4.1 一级要求

　　a) 了解数据安全相关科技成果转化的主要方式;

　　b) 了解数据安全咨询工具的开发方法。

　　7.1.4.2 二级要求

　　应满足本文件7.1.4.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 近3年内数据安全相关科技成果转化的年平均数不少于4项;

　　b) 具备自研或联合开发数据安全咨询工具的能力;

　　c) 具备发现数据安全咨询工具安全风险的能力。

　　7.2 持续经营能力

　　7.2.1 管理者能力

　　7.2.1.1 一级要求

　　a) 法人或负责人具备一定的战略能力、组织能力;

　　b) 明确质量负责人，且具备2年以上的质量管理经验;

　　c) 明确数据安全技术负责人，且具备2年以上的数据安全咨询项目管理经验。

　　7.2.1.2 二级要求

　　应满足本文件7.2.1.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 数据安全技术负责人具备中级及以上职称;

　　b) 数据安全技术负责人具备本科及以上学历;

　　c) 数据安全技术负责人具备5年以上的数据安全咨询项目管理经验。

　　7.2.2 单位资质奖励

　　7.2.2.1 一级要求

　　a) 应具备1年以上的数据安全行业从业时间;

　　b) 具有信息安全管理相关的制度规范;

　　c) 具备至少1项信息安全服务资质，或至少1个信息安全服务项目获奖。

　　7.2.2.2 二级要求

　　应满足本文件7.2.2.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 应具备3年以上的数据安全行业从业时间;

　　T/CCIASC 053—2025

　　b) 建立信息安全管理体系;

　　c) 具备至少3项信息安全服务资质，或至少3个省部级及以上信息安全服务项目获奖。

　　7.2.3 市场占有能力

　　7.2.3.1 一级要求

　　a) 至少承担3个数据安全咨询服务项目，单个合同金额不低于30万元人民币，项目合同总金额不低于150万元人民币;

　　b) 至少终验通过2个数据安全咨询服务项目;

　　c) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的数据安全咨询服务项目。

　　7.2.3.2 二级要求

　　应满足本文件7.2.3.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 至少获得5个数据安全咨询服务项目，单个合同金额不低于50万元人民币，项目合同总金额不低于200万元人民币;

　　b) 至少终验通过4个数据安全咨询服务项目。

　　7.2.4 盈利能力

　　7.2.4.1 一级要求

　　a) 近1年净利润、净资产收益均为正;

　　b) 近1年收入增长率或净利润增长率为正。

　　7.2.4.2 二级要求

　　应满足本文件7.2.4.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 近3年净利润、净资产收益均为正;

　　b) 近3年收入增长率或净利润增长率为正。

　　7.3 项目管理能力

　　7.3.1 人员管理

　　7.3.1.1 一级要求

　　a) 设置与数据安全咨询服务项目规模相适应人员团队，并建立项目服务人员清单，明确项目服务人员职责;

　　b) 与项目服务人员签订保密协议，并定期进行保密教育、风险排查、 自查检查。

　　7.3.1.2 二级要求

　　应满足本文件7.3.1.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 建立数据安全咨询服务人员档案，包括服务人员的录用、离岗或离职、资质证明、培训/考核记录、从业经历、实际参与项目及分工等信息，档案至少保存至技术人员离职后5年，有关法律法规、行业管理另有规定的除外;

　　T/CCIASC 053—2025

　　b) 根据项目特点制定数据安全咨询服务人员行为规范，包括但不限于遵守需求方管理制度，遵守数据安全服务保密管理制度，规范使用专用设备和工具，规范管理成果物等。

　　7.3.2 质量管理

　　7.3.2.1 一级要求

　　a) 严格按照相关标准开展咨询工作，确保报告内容全面、准确、无缺项;

　　b) 实施过程符合需求方安全管理相关要求，对服务过程中的关键活动和原始数据进行记录，实施的过程文档记录应准确、完整;

　　c) 具备客户服务电话热线号码，并提供5×8小时电话热线支持或同等响应级别的客户服务;

　　d) 建立数据安全咨询服务项目管理制度，明确项目管理责任部门、责任范围、责任人、工作流程、及与其他部门的统筹协调等，明确数据安全咨询服务项目计划、质量要求及监督检查工作。

　　7.3.2.2 二级要求

　　应满足本文件7.3.2.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 设置项目质量管理岗位，建立项目服务质量控制机制;

　　b) 根据方案组织项目实施，定期通过通知、例会、报告(如周、月报)等多种形式与需求方沟通反馈项目质量;

　　c) 具备客户服务电话热线号码，并提供7×12小时电话热线支持或同等响应级别的客户服务。

　　7.3.3 风险管理

　　7.3.3.1 一级要求

　　a) 在进行数据安全咨询服务时，应获得需求方授权，执行过程中发现数据安全事件，及时向需求方报告，并记录事件相关内容;

　　b) 在进行数据安全咨询服务过程中发现产品(含硬件、软件)的安全问题时，及时向需求方报告;

　　c) 使用服务工具，有可能对服务需求方系统或平台的功能、性能，数据的保密性、完整性、可用性等造成影响的，需向需求方进行风险提示，在采取风险规避措施并得到服务需求方同意后方可使用;

　　d) 采取必要的监督、审计措施，确保服务人员对系统或数据的操作严格按照服务协议及需求方授权范围进行;

　　e) 在开展数据安全咨询工作前，应与需求方就数据安全保密责任义务进行认定与划分，包括但不限于保密协议签署等，应对咨询中获取的相关信息、咨询过程文档等严格保密，以保障需求方的数据安全。

　　7.3.3.2 二级要求

　　应满足本文件7.3.3.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 制定有效的风险应急预案，并确保其可行、易操作，定期开展风险应急预案演练并保存记录;

　　b) 采取必要措施识别服务范围、服务内容、服务流程、服务环境、服务资源等技术人员实施过程中可能产生的风险，并更新风险应急预案;

　　c) 建立项目风险沟通与应急处置机制，确定双方接口人，及时处理服务实施过程中产生的投诉、争议、突发事件等项目风险，并形成处置结论或解决方案。

　　T/CCIASC 053—2025

　　7.3.4 成果物管理

　　7.3.4.1 一级要求

　　a) 应建立数据安全咨询服务报告编制管理机制;

　　b) 应具备报告编制能力，掌握数据安全咨询报告的相关要求，熟悉报告编制流程。

　　c) 按服务协议中所规定的关键节点，提交成果物，如项目方案、过程文档和记录、项目报告(包括阶段报告、总结报告、验收报告等)，并得到需求方的确认;

　　d) 保证所有交付成果具备真实性、准确性和完整性;

　　e) 完成服务交付后，主动清理、交还相关数据、资料、账号、设备工具等，并向需求方提供由项目负责人签字的承诺或确认函。

　　7.3.4.2 二级要求

　　应满足本文件7.3.4.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 应定期更新报告模板，定期对报告编制、审核等相关项目服务人员进行培训;

　　b) 建立、维护项目成果(包括但不限于项目方案、过程文档和记录、项目报告等)档案，严格管理项目档案的查询、借阅行为，档案至少保存5年。

　　7.3.5 客户关系管理

　　7.3.5.1 一级要求

　　a) 应具备项目满意度调查，实行客户分层与精准维护，为不同层级的客户提供个性化、定制化的服务，以满足其特定需求。

　　7.3.5.2 二级要求

　　应满足本文件7.3.5.1节一级要求的所有条款，并在以下方面增强或者增加要求：

　　a) 企业应建立完善的客户数据库，制定明确的客户关系维护计划，包括定期沟通、回访、满意度调查等，以保持与客户的良好关系。同时，企业还应关注客户的潜在需求，积极挖掘合作机会，推动客户关系的升级。

　　8 评定方法

　　8.1 资料收集法

　　通过内部文档或第三方资料收集进行评定。

　　8.2 专家评审法

　　借助专家意见进行评定。邀请相关领域专家，采用询问、访谈、查阅资料、实地查看、调查统计等方式进行，一般不少于3位。

　　9 评定程序

　　T/CCIASC 053—2025

　　数据安全咨询服务提供商申请能力评定等级为一级或二级的，应当将申报材料提交到评审机构，能力评定按下列程序进行：

　　数据安全咨询服务提供商提交的申请材料应符合本文件第5-7章相关内容，经评审机构初审合格后，由评审机构组织专家对数据安全咨询服务提供商进行现场评定。通过专家现场评定后，数据安全咨询服务提供商将获颁对应等级的证书，并接受评审机构的持续监督。

　　图 3 数据安全咨询服务能力评定流程图

　　T/CCIASC 053—2025

　　10 评定结果

　　a) 评定通过后，数据安全咨询服务能力评定结果和监督检查结果应在数据安全产业公共服务平台官方网站进行公布，并获颁评定证书;

　　b) 评定证书有效期为三年，获证的数据安全咨询服务提供商应每年进行一次年检;

　　c) 获证的数据安全咨询服务提供商在证书到期前六个月申请重新评定和换证，复申程序参照本文件第9章评定程序执行。

　　T/CCIASC 053—2025

　　A

　　A

　　参 考 文 献

　　[1] GB/T 22080-2025 网络安全技术 信息安全管理体系要求

　　[2] GB/T 25069-2022 信息安全技术 术语

　　[3] GB/T 41479-2022 信息安全技术 网络数据处理安全要求

　　[4] GB/T 30276—2020 信息安全技术 网络安全漏洞管理规范

　　[5] GB/T 31168—2023 信息安全技术 云计算服务安全能力要求

　　[6] GB/T 35273-2020 信息安全技术 个人信息安全规范

　　[7] GB/T 35274-2017 信息安全技术 大数据服务安全能力要求

　　[8] GB/T 37973-2019 信息安全技术 大数据安全管理指南

　　[9] GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型

　　[10] JGJ/T 67-2019 办公建筑设计标准

　　[11] YD/T 3644-2020 面向互联网的数据安全能力技术框架

　　[12] YD/T 3802-2020 电信网和互联网数据安全通用要求

　　[13] YD/T 3956-2024 电信领域数据安全风险评估规范

　　[14] T/ZHTEA 001—2023 高新技术企业创新能力评价