2023网络数据安全风险评估实施指引.docx

《2023网络数据安全风险评估实施指引.docx》由会员分享，可在线阅读，更多相关《2023网络数据安全风险评估实施指引.docx（69页珍藏版）》请在课桌文档上搜索。

1、网络数据安全风险评估实施指引2023前言I技术支持单位Il1范围12术语定义13风险评估概述31.1 1评估思路31.2 评估内容31.3 评估流程41.4 评估手段64评估准备64.1 明确评估目标74.2 确定评估范围74.3 组建评估团队84.4 开展前期准备94.5 制定评估方案105信息调研115.1数据处理者调研115. 2业务和信息系统调研125.3 数据资产调研125.4 数据处理活动调研135.5 安全措施调研146风险识别156.1 数据安全管理156.2 数据处理活动266.3 数据安全技术386.4 个人信息保护457综合分析567.1梳理问题清单567.2风险分析与评

2、价577.3提出整改建议578评估总结578.1评估报告578.2风险处置59附录A典型数据安全风险类别60附录B评估报告模板621范围本指南给出了网络数据安全风险评估思路、工作流程和评估内容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。本指南适用于指导数据处理者、第三方机构开展风险评估，也可为有关主管监管部门组织开展数据安全检查评估提供参考。2术语定义2.1 网络数据通过网络处理和产生的各种电子数据，简称“数据”。2.2 数据处理者在数据处理活动中自主决定处理目的和处理方式的个人和组织。2.3 数据安全通过采取必要措施，确保数据处于有效保护和合法利用的状态

3、，以及具备保障持续安全状态的能力。2.4 数据处理活动数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。2.5 网络数据安全风险评估对网络数据和数据处理活动安全进行风险识SlK风险分析和风险评价的整个过程。2.6 委托处理数据处理者委托个人、组织按照约定的目的和方式开展的数据处理活动。2.7 共同处理两个以上的数据处理者共同决定数据的处理目的和处理方式的数据处理活动。注：两个以上含两个。2.8 数据安全风险数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。2.9 合理性数据处理遵守法律、行政法规要求，尊重社会公德和伦理道德，符合网络安全和数据安全常识道

4、理。2.10 风险隐患可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等，也称“风险源”。注：风险隐患，既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患，也包括数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。211业务组织为实现某项发展规划而开展的运营活动。来源：GB/T20984-2022,3.1.42.12 自评估由数据处理者自身发起，组成机构内部评估小组或委托第三方评估机构，依据有关政策法规与标准，对评估对象的数据安全风险进行评估的活动。2.13 检查评估由数据处理者的上级主管部门、业务主管部门或国家有关主管（监管）部门发起的，依据

5、有关政策法规与标准，对评估对象的数据安全风险进行的评估活动。3风险评估概述3.1 评估思路网络数据安全风险评估坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。网络数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保

6、护等方面识别风险隐患，最后梳理问题清单，分析数据安全风险、视情评价风险，并给出整改建议。3.2 评估内容网络数据安全风险评估，在信息调研基础上，围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如图1所示。救相处“通动安全I.裳款供II/公畀IIse*aT管尸情况聂秀纥*&慵况t*MFMA图1数据安全风险评估内容框架3.3 评估流程数据安全风险评估流程，主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段，评估实施流程如图2所示。阶段!具体工作 I.确定W倡H杯 2.确定W仙慈困 3.组建国伍训队 1.开发的期准% 5.制定W仙方* I.效据

7、处理者M窃 2.业务和信息系统调研 1. 1.敖无处理活动调研 5.安全措住调研 1.敦*女个臂时 2.数卅处现活动 3.数榭次生技术 4.个人伯恩处珅11保今分析 I收二向&$。中 2.14的分析方愣价 3.慌出整段健仪律估怠统 1.风险评估报告 2安全及8处置区均泞品报4评估力案人员访谀记水Z档安全债IHe及文档校术怜泅报告敏热安分村常学敷务安全网险,主要产出物处理青屉本情猊业务清单信息,系统沽安也把臂产清睢Cr出处熨环动清AMitm安全措施情猊图2数据安全风险评估流程及主要产出物数据处理者进行自评估时,可依据本指南进行风险自查，具体实施步骤如图3所示。Vrtc修“an图3自评估实施流程有

8、关部门进行检查评估时，可参考本指南开展检查工作，具体实施步骤如图4所示。图4检查评估实施流程3.4 评估手段开展数据安全风险评估时，综合采取下列手段进行评估：a）人员访谈：对相关人员进行访谈，核查制度规章、防护措施、安全责任落实情况；b）文档查验：查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料；C）安全核查：核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况；d）技术测试：应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。4评估准备4.1 明确评估目标为落实数据安全法个人信息保护法等法律法规要求或安全监管需要，对数据处理

9、者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全评估，发现存在的安全问题和风险隐患，督促数据处理者健全安全制度、改进安全措施、堵塞安全漏洞，进一步提高数据安全和个人信息保护能力。数据安全风险评估的目标，包括但不限于：a）摸清数据种类、规模、分布等基本情况；b）摸清数据处理活动的情况；c）发现可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险；d）发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险；e）促进完善数据安全保护措施，提升数据安全保护能力。4.2 确定评估范围根据工作需要和评估目标，确定数据安全风险评估的对象、范围和边界

10、明确评估涉及的数据资产、数据处理活动、业务和信息系统、人员和内外部组织等。数据安全风险评估聚焦数据和数据处理活动，评估范围可能涉及组织全部的数据和数据处理活动，也可能仅针对某个单独的业务、信息系统、部门涉及的数据和数据处理活动。当针对组织全部数据和数据处理活动开展评估时，可根据需要采取“全面摸排、重点评估”的原则确定评估范围。一是全面摸排被评估方的数据安全整体情况，摸清其数据资产、数据处理活动、数据分类分级等情况；二是结合数据分类分级选择重点评估对象，将涉及个人信息、重要数据、核心数据的所有数据处理活动，以及抽样蟠的其他典型一般数据的处理活动作为重点评估对象开展评估；三是如果组织未开展数据分类

11、分级工作，也可结合业务、信息系统的重要性和敏感性，选择核心业务或重要信息系统的数据和数据处理活动作为重点评估对象开展评估。4.3 组建评估团队4.3.1 组建检查评估团队根据评估范围、涉及的行业特征、专业需求，选择具备相关专业能力的评估人员组成评估队伍。评估队伍应提前完成风险评估文档、检测工具等各项准备工作，并签署保密协议。评估队伍在检查评估中获取的信息，只能用于检查任务目的和实施数据安全保护。被评估方应建立专项工作团队，成员一般包括数据安全负责人和安全、法务、合规、运维、研发、业务、数据、风险等部门相关人员。专项工作团队应按照要求做好人员、设备、技术保障等工作，配合开展风险评估。4.3.2

12、组建自评估团队数据处理者自行开展数据安全风险评估时，可组织业务、安全、法务、合规、运维、研发等相关部门参与实施，评估组长由数据安全负责人或授权代表担任，也可委托第三方专业技术机构实施。第三方机构评估中获取的信息只能用于评估目的，未经授权不应泄露、出售或者非法向他人提供。4.4 开展前期准备4.4.1 制定工作计划评估工作计划内容一般包括工作目的、工作要求、工作内容、工作流程、调研安排、评估总体进度安排等。开展检查评估时，主管监管部门指导评估队伍按照工作要求制定评估工作计划。4.4.2 确定评估依据评估依据包括但不限于：a）网络安全法数据安全法个人信息保护法等法律，有关行政法规、司法解释；b）网

13、信部门及主（监）管部门相关数据安全规章、规范性文件；c）地方数据安全政策规定和监管要求；d）数据安全相关国家标准、行业标准等。开展自评估时，本单位数据安全制度规范可作为评估依据之一。4.4.3 确定评估内容结合评估目标、范围、依据，针对被评估方的实际情况，确定被评估方每个评估对象适用的评估内容。a）数据处理者应针对数据处理活动、数据安全管理、数据安全技术等方面进行风险评估；b）涉及处理个人信息的，应在a）的基础上，对个人信息保护开展风险评估。开展评估工作过程中，可根据任务要求、评估重点、监管需要、评估依据等，进一步完善评估内容。4.4.4 建立评估文档针对评估目标、范围、依据和内容，准备风险评

14、估调研表、技术测试工具等。在评估工作开展过程中，应对评估工作相关文件进行统一编号，并规范管理。4.5 制定评估方案组织评估队伍编制风险评估工作方案，方案内容包括但不限于：a）评估概述：包括评估目标、评估依据等内容；b）评估范围：包括评估对象选择方法、评估对象描述、评估范围等；c）评估内容和方法：包括评估内容、评估准则、评估方法等内容；d）评估人员：包括评估队伍的组织结构、负责人、成员、职责分工等内容；e）实施计划：包括时间进度安排、人员安排等内容；f）工作要求：包括评估工作要求、被评估方保障条件等内容，工作要求如严格依照评估内容及标准规范，规范评估行为，按照尽量不影响被评估方正常工作的原则，制

15、定评估工作应急保障和风险规避措施，明确告知被评估方评估可能产生的风险，严守工作纪律和保密要求等；g）测试方案：开展技术测试前应明确测试方案，包括采用的技术工具、测试内容、测邮境、应急措施等，测试方应向被测方明示测试可能涉及的安全风险，双方就测试方案达成共识，检查评估时应提前向有关部门报备；评估队伍可邀请行业领域相关数据安全、网络安全专家对评估方案进行评议，重点审核方案内容、风险管控、保护措施、可操作性、技术可行性等，进一步修改完善评估方案后，组织实施风险评估工作。5信息调研5.1 数据处理者调研数据处理者的基本情况包括但不限于：a）单位名称、组织机构代码、办公地址、法定代表人信息、人员颊J模、

16、经营范围、数据安全负责人及其职务、联系方式等基本信息；b）单位性质，例如党政机关、事业单位、企业、社会团体等；c）是否属于特定类型数据处理者，例如政务数据处理者、大型网络平台运营者、关键信息基础设施运营者等；d）所属行业领域；e）业务运营地区，开展数据处理活动所在国家和地区等；f）主要业务范围、业务规模等；g）数据处理相关服务取得行政许可的情况；h）被评估单位的资本组成和实际控制人情况；i）是否境外上市或计划赴境外上市及境外资本参与情况，或以协议控制（VIE）架构等方式实质性境外上市。5.2 业务和信息系统调研业务和信息系统情况包括但不限于：a）网络和信息系统基本情况，包括网络规模、拓扑结构、

17、信息系统等情况和对外连接、运营维护等情况以及是否为关键信息基础设施等情况；b）业务基本信息，包括业务描述、业务类型、服务对象、业务流程、用户规模、覆盖地域、相关部门等基本信息；c）业务涉及个人信息、重要数据或核心数据处理情况；d）业务为政务部门或境外用户提供服务情况；e）信息系统、App和小程序情况，包括系统功能、网络安全等级保护备案和测评结论、入口地址、系统连接关系、数据接口、App及小程序名称和版本等；f）数据中心和使用云平台情况；g）接入的外部第三方产品、服务或SDK的情况，包括名称、版本、提供方、使用目的、合同协议等。5.3 数据资产调研梳理结构化数据资产（如数据库表等）和非结构化数据

18、资产（如图表文件等），摸清数据底数，输出数据资产清单。涉及范围包括但不限于生产环境、测试环境、备份存储环境、云存储环境、个人工作终端、数据采集设备终端等收集和产生的数据。调研内容包括但不限于：a）数据资产情况，包括数据资产类型、数据范围、数据规模、数据形态、数据存储分布、元数据等；b）数据分类分级情况，包括数据分类分级规则、数据类别、数据级别、重要数据和核心数据目录情况等；c）个人信息情况，包括个人信息种类、规模、敏感程度、数据来源、业务流转及与信息系统的对应关系等；d）重要数据情况，包括重要数据种类、规模、行业领域、敏感程度、数据来源、业务流转及与信息系统的对应关系等；e）核心数据情况，包括

19、核心数据种类、规模、行业领域、敏感程度、数据来源、业务流转及与信息系统的对应关系等；f）其他一般数据情况。5.4 数据处理活动调研针对评估对象和范围，梳理数据处理活动清单，验证或绘制数据流图。数据流图应描述数据流转各环节经过的相关方、信息系统，以及每个流动环节涉及的数据类型等。调研内容包括但不限于：a）数据收集情况，如数据收集渠道、收集方式、数据范围、收集目的、收集频率、外部数据源、合同协议、相关系统，以及在被评估方外部公共场所安装图像采集、个人身份识别设备的情况等；b）数据存储情况，如数据存储方式、数据中心、存储系统（如数据库、大数据平台、云存储、网盘、存储介质等）、外部存储机构、存储地点、

20、存储期限、备份冗余策略等；C）数据传输情况，如数据传输途径和方式（如互联网、VPN.物理专线等在线通道情况，采用介质等离线传输情况）、传输协议、内部数据共享、数据接口等；d）数据使用和加工情况，如数据使用目的、方式、范围、场景、算法规则、相关系统和部门，数据清洗、转换、标注等加工情况，应用算法推荐技术提供互联网信息服务的情况，核心数据、重要数据或个人信息委托处理、共同处理的情况等；e）数据提供情况，如数据提供（数据共享、数据交易，因合并、分立、解散、被宣告破产等原因需要转移数据等）的目的、方式、范围、数据接收方、合同协议，对外提供的个人信息和重要数据的种类、数量、范围、敏感程度、保存期限等；f

21、）数据公开情况，如数据公开的目的、方式、对象范围、受众数量、行业、组织、地域等；g）数据删除情况，如数据删除情形、删除方式、数据归档、介质销毁等；h）数据出境情况，是否存在个人信息或重要数据出境，如跨境业务、跨境办公、境外上市、使用境外云服务或数据中心、国际交流合作等场景的数据出境情况。5.5 安全措施调研调研已有安全措施情况，包括但不限于：a）已开展的等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计情况，及发现问题的整改情况；b）数据安全管理组织、人员及制度情况；C）防火墙、入侵检测、入侵防御等网络安全设备及策略情况；d）身份鉴别与访问控制情况；e）网络安全漏洞管

22、理及修复情况；f）VPN等远程管理软件的用户及管理情况；g）设备、系统及用户的账号口令管理情况；h）加密、脱敏、去标识化等安全技术应用情况；i）3年内发生的网络和数据安全事件、攻击威胁情况。如事件名称、数据类型和数量、发生原因、级别、处置措施、整改措施等，重大事件需提供事件调查评估报告；近3年发生的数据安全事件处置、记录、整改和上报情况；实际环境中通过检测工具、监测系统、日志审计等发现的威胁；近期公开发布的社会或特定行业威胁事件、威胁预警；其他可能面临的数据泄露、窃取、篡改、破坏/损毁、丢失、滥用、非法获取、非法利用、非法提供等安全威胁。6风险识别针对各个评估对象，从数据安全管理、数据处理活动

23、、数据安全技术、个人信息保护等方面，通过多种评估手段识别可能存在的数据安全风险隐患。已开展的检测评估工作报告，可在分析评估结果真实性、有效性的基础上视情采纳。6.1 数据安全管理6.1.1 安全管理制度6.1.1.1 数据安全制度体系针对数据安全制度体系建设情况，应重点评估：a）数据安全总体策略、方针、目标和原则制定情况；b）数据安全管理工作规划或工作方案制定情况；c）数据分类分级、数据安全评估、数据访问权限管理、数据全生命周期管理、数据安全应急响应、数据合作方管理、数据脱敏、数据加密、数据安全审计、数据资产管理、大数据平台安全等制度建设情况；d）关键岗位的数据安全管理操作规程建设情况；e）制

24、度内容与国家和行业数据安全法律法规和监管要求的符合情况。6.1.1.2 数据安全制度落实针对被评估方数据安全制度落实情况，应重点评估：a）网络安全责任制、数据安全责任制落实情况，网络安全和数据安全事件责任查处情况；b）数据安全制度的制定、评审、发布流程建设情况；c）数据安全制度的定期审核和更新情况；d）制度发布范围是否覆盖全面，发布方式是否正规、有效；e）数据安全制度落实情况，是否具备操作规程、记录表单等制度落实证明材料；f）制度落实监督检查机制。针对重要数据处理者，还应当评估以下内容：a）对数据处理活动定期开展数据安全风险评估的情况；b）向有关部门报送评估报告情况，风险评估报告至少应包含处理

25、的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。6.1.2 安全组织机构6.1.2.1 数据安全组织架构针对被评估方数据安全组织架构建设情况，应重点评估：a）数据安全管理机构和职能设置情况；b）数据安全负责人和职能设置情况；c）单位高层人员参与数据安全决策情况；d）对组织内部的数据安全管理执行情况、数据操作行为等进行安全监督的情况；e）数据安全人员和资源投入情况与组织数据安全保护需求适应性。6.1.2.2 数据安全岗位设置针对被评估方数据安全岗位设置情况，应重点评估：a）数据库管理员、操作员及安全审计人员、安全运维人员、数据备份管理人员、数据恢复管理人员等数据

26、安全关键岗位设置情况，及职责分离、专人专岗等原则落实情况；b）业务部门、信息系统建设部门、信息系统运维部门数据安全人员设置情况，数据安全管理要求执行情况；c）特权账户所有者、关键数据处理岗位等数据安全关键岗位设立双人双岗情况。6.1.3 分类分级管理6.1.3.1 数据资产管理针对数据资产管理情况，应重点评估：a）数据资产台账建设、更新、维护情况；b）数据资产梳理是否全面，是否能够覆盖数据库、大数据存储组件、云上对象存储或网盘等存储工具及办公计算机、U盘、光盘等存储介质中的数据；c）通过数据资产管理等工具对数据资产清单及时更新、维护的情况；d）采用技术手段定期对数据资产进行扫描的情况，及发现识

27、别个人信息、重要数据的能力。6.1.3.2 数据分类分级制度针对数据分类分级制度建设情况，应重点评估：a）数据分类分级保护制度建设情况，是否符合国家、行业和地方的数据分类分级规范要求；b）数据分类分级管理情况，及核心数据和重要数据目录建立及维护情况；c）是否在相关制度中明确了数据分类管理、分级保护策略，数据分类分级保护措施是否落实在数据访问权限申请、保护措施部署等方面；d）数据分类分级变更和审核流程情况；e）个人信息分类分级管理情况。6.1.33数据分类分级保护针对数据分类分级保护情况，应重点评估：a）是否对处理的个人信息和重要数据进行明确标识;b）按照数据级别建设覆盖全流程数据处理活动的安全

28、措施情况；c）数据分类分级标识或数据资产管理工具建设情况，是否具有自动化标识能力，是否具有数据标识结果发布、审核等能力；d）按照相关重要数据目录或规定，评估重要数据并进行重点保护的情况；e）按照相关核心数据目录或规定，评估核心数据并进行严格管理的情况。6.1.4 人员安全管理6.1.4.1 人员录用针对人员录用情况，应重点评估：a）重要岗位员工录用前背景调查情况；b）数据处理关键岗位人员录用，对其数据安全意识或专业能力进行考核的情况。6.1.4.2 保密协议针对保密协议签订情况，应重点评估：a）员工工作纪律和工作要求中是否明确规定员工禁止的数据安全相关行为b）是否与所有涉及数据服务的人员签订安

29、全责任承诺或保密协议，与数据安全关键岗位人员签订数据安全岗位责任协议；C）在重要岗位人员调离或终止劳动合同前，是否明确并告知其继续履行有关信息的保密义务要求，并签订保密承诺书。6.1.4.3 转岗离岗针对人员转岗离岗管理情况，应重点评估：a）在人员转岗或离岗时，是否及时终止或变更完成相关人员数据操作权限，并明确有关人员后续的数据保护管理权限和保密责任；b）对终止劳动合同的人员，是否及时终止并收回其系统权限及数据权限，明确告知其继续履行有关信息的保密义务要求。6.1.4.4 数据安全培训针对人员数据安全培训情况，应重点评估：a）数据安全培训计划制定、更新情况；b）开展数据安全意识教育培训，并保留

30、相关记录情况；c）是否对数据安全岗位人员每年至少进行1次数据安全专项培训，对关键岗位人员进行定期数据安全技能考核情况。6.1.5 合作外包管理6.1.5.1 合作方管理机制针对合作方管理机制建设情况，应重点评估：a）数据合作方安全管理机制建设情况，如对合作方或外包服务机构的选择、评价、管理、监督机制；b）是否对数据合作方或外包服务机构的安全能力进行评估；C）对外包服务机构、人员履行安全责任义务的监督检查情况；d）外包人员现场服务安全管理情况；e）对外包服务商的技术依赖程度，对委托处理数据的控制和管理能力。6.1.5.2 合作协议约束针对合作协议约束情况，应重点评估：a）服务合同、承诺及安全保密

31、协议情况，是否通过合同协议等方式对接收、使用本单位数据的合作方的数据使用行为进行约束；b）是否在合作协议中明确了数据处理目的、方式、范围，安全保护责任、数据返还或销毁要求、保密约定及违约责任和处罚条款等；c）合同、协议中，数据处理者与合作方、外包服务商间的数据安全责任界定情况。6.1.5.3 外包人员访问权限针对外包人员访问权限管理情况，应重点评估：a）外包人员对数据与系统的访问、修改权限是否限于最小必要范围；b）能够在测试环境下或使用测试数据完成的，是否向外包人员开放了生产环境权限或真实数据；c）外包人员数据导出操作或数据外发操作的监督管理情况；d）外包人员对敏感数据的访问及操作能否被实时监

32、督或监测；e）数据外包服务账号及访问权限管理情况；f）外包人员远程访问操作系统或数据的情况。6.1.5.4 第三方接入与数据回收针对第三方接入与数据回收情况，应重点评估：a）是否对合作方接入的系统、使用的技术工具进行了技术检测,或合作方提供专业第三方机构评估的数据安全报告，避免引入木马、后门等；b）为完成技术或服务目的向合作方提供的数据，在合作结束后是否进行了回收，是否要求合作方对数据进行删除；c）外包服务到期后，账号注销、数据回收、数据删除销毁等管理情况；d）为完成技术或服务目的向合作方提供的系统权限和接口，在合作结束后是否进行了停用或下线。6.1.5.5 政务数据委托处理涉及政务部门或针对

33、法律、法规授权的具有管理公共事务职能的组织委托处理政务数据的情形，应重点评估：a）委托他人建设、维护电子政务系统，存储、加工政务数据，是否经过严格的批准程序，是否以合同等手段监督受托方履行相应的数据安全保护义务；b）政务数据受托方依照法律、法规的规定和合同约定履行数据安全保护义务的情况，是否擅自留存、使用、泄露或者向他人提供政务数据；c）支撑电子政务相关系统运行的相关服务或系统的安全措施，是否满足电子政务系统管理和相关安全要求。6.1.6 安全威胁和应急管理6.1.6.1 安全威胁和事件识别安全威胁和安全事件情况，包括但不限于：a）近3年发生的网络安全或数据安全事件信息及其处置、记录、整改和上

34、报情况，如事件名称、影响对象、发生时间和频次、发生原因、外部威胁、事件级S!k处置措施、整改措施等，重大事件需提供事件调查评估报告；b）近1年通过安全工具、日志审计、安全测评、合规自查等发现的安全威胁、违规行为及其频率统计；c）实际环境中通过监测系统、检测工具等发现的攻击威胁情况；d）近期公布或曝光的同行业、类似业务模式的威胁事件、威胁预警。6.1.6.2 安全应急管理针对数据安全应急管理情况，重点评估：a）数据安全事件应急预案制定和修订情况，是否定义数据安全事件类型，明确不同类别级别事件的处置流程和方法；b）数据安全应急响应及处置机制建设情况，发生数据安全事件时是否立即采取处置措施，是否按照

35、规定及时告知用户并向有关主管部门报告；c）数据安全事件应急演练情况；d）数据处理活动安全风险监测情况，发现数据安全缺陷、漏洞等风险时，是否立即采取补救措施；e）安全事件对个人、其他组织造成危害的，是否将安全事件和风险情况、危害后果、已经采取的补救措施等通知利害关系人，无法通知的是否采取公告等其他方式告知；f）面向社会提供服务的数据处理者是否建立便捷的数据安全相关投诉举报渠道，以及近3年的数据安全投诉举报处置、记录和整改情况，是否存在侵害用户个人信息合法权益的情况。6.1.7 开发运维管理针对开发运维管理情况，应重点评估：a）新应用开发审核流程建设情况，进行数据处理需求安全合规审核情况；b）开发

36、程序的修改、更新、发布的批准授权和版本控制流程；c）工程实施、验收、交付的安全管理情况；d）对开发代码、测试数据的安全管理情况；e）产品或业务上线前进行安全评估的情况；f）开发测试环境和实际运行环境的隔离情况、测试数据和测试结果的控制情况；g）开发测试中使用真实个人信息、核心数据、重要数据情况，开发测W对相关数据进行去标识化、脱敏处理（测试确需信息除外）情况；h）对开发和运维人员行为的监督和审计情况；i）远程运维的审批、管理和安全防护措施；j）第三方SDK或开源软件的运行维护、二次开发等技术资料完备性。6.1.8 云数据安全被评估对象使用云计算服务时，应重点评估：a）云服务提供者、第三方厂商、

37、云租户的安全责任划分和落实情况；b）上云数据的安全审核和管理情况；c）云安全产品服务的使用和配置情况；d）对云上操作行为的安全审计情况；e）云用户账号和权限管理情况；f）私有云远程运维安全管理情况；g）云上承载用户个人信息、重要数据、核心数据情况，是否对重要数据、敏感个人信息实施增强的安全防护；被评估对象是云计算服务提供者时，应重点评估：a）公有云、社区云等不同类型云平台间边界防护情况；b）租户与云平台、数据中心间数据传输安全防护情况；c）针对不同服务模式、部署模式、产品和服务，云平台对相关方的数据安全责任界面划定情况及合法合规性；d）是否通过合同协议等方式，与租户划清云数据安全责任边界，并履

38、行相应数据安全责任；e）发生数据安全风险或事件时，为租户提供事件报告、应急处置等协同保障措施情况；f）收集租户数据情况，是否识别重要数据、个人信息，收集方式是否安全合理，是否存在超范围收集；g）计算、存储、网络、数据库、安全等产品安全配置情况；h）第三方组件安全核查、漏洞修复情况；i）云产品漏洞更新和推送情况，是否会及时提供补丁推送、跟进用户漏洞更新等情况；j）云平台提供的基础安全防护能力情况；k）云产品对用户高风险操作的提示情况；1）对云租户的身份管理和访问控制情况；m）云平台保障租户数据安全的相关制度和安全措施；n）约定服务到期、欠费、提前终止等情形下，云数据删除和个人信息权益保障等情况；

39、0）云数据备份和恢复机制是否完善，数据备份策略、备份周期、备份存储、数据恢复策略，恢复验证等是否符合安全需要；P）云平台开展数据安全风险评估、云计算服务安全评估等情况；q）云平台基础设施部署和运维情况；r）云安全管理中心管控情况；s）云数据迁移安全保障情况；t）云平台数据出境安全情况。6.2 数据处理活动1.1 .1数据收集1.2 .1.1数据收集合法正当性针对数据收集合法正当性情况，应重点评估：a）数据收集的合法性、正当性，是否存在窃取、超范围收集、未经合法授权收集或者以其他非法方式获取数据的情况，数据收集目的和范围是否合法；b）违反法律、行政法规关于收集使用数据目的、范围相关要求，收集数据

40、的情况。6.2.1.2通过第三方收集数据重点评估从外部机构收集数据的安全情况：a）通过合同协议等合法方式，约定从外部机构收集的数据范围、收集方式、使用目的和授权同意情况；b）对外部数据源进行鉴别和记录的情况；c）数据的真实性及来源的可靠性；d）对外部收集数据的合法性、安全性和授权同意情况进行审核的情况。1.1.1.1 据质量控制针对数据质量控制情况，应重点评估：a）数据质量管理制度建设情况，对收集数据质量和管理措施是否进行明确要求；b）安全管理和操作规范对数据清洗、转换和加载等行为是否进行明确要求；c）数据质量管理和监控的情况，对异常数据及时告警或更正采取的手段措施；d）收集数据监控、过程记录

41、等情况，以及安全措施应用情况；e）采用人工检查、自动检查或其他技术手段对数据的真实性、准确性、完整性校验情况。1.1.1.4 数据收集方式针对数据收集方式，应重点评估：a）采用自动化工具访问、收集数据的，违反法律、行政法规、部门规章或协议约定情况，侵犯他人知识产权等合法权益情况；b）采用自动化工具收集时，对数据收集范围的明确情况，收集与提供服务无关数据的情况；c）采用自动化工具收集数据以及该方式对网络服务的性能、功能带来的影响情况；d）通过人工方式采集数据的，是否对数据采集人员严格管理，要求将采集数据直接报送到相关人员或系统，采集任务完成后及时删除采集人员留存的数据。1.1.1.5 数据收集设

42、备及环境安全针对数据收集设备及环境安全情况，应重点评估：a）检测数据收集终端或设备的安全漏洞，是否存在数据泄露风险；b）人工采集数据泄露风险，通过人员权限管控、信息碎片化等方式，对人工采集数据环境进行安全管控情况；c）客户端敏感信息留存风险，检测App、Web等客户端完成相关业务后，是否留存敏感个人信息或重要数据。6.2.2 数据存储6.2.2.1 数据存储适当性针对数据存储适当性，应重点评估：a）数据存储安全策略和操作规程的建设落实情况；b）存储位置、期限、方式的适当性；c）永久存储数据类型的必要性。6.2.2.2 逻辑存储安全针对逻辑存储安全情况，应重点评估：a）数据库的账号权限管理、访问

43、控制、日志管理、加密管理、版本升级等方面要求的落实情况；b）检测逻辑存储系统安全漏洞，查看安全漏洞修复、处置情况；c）实施限制数据库管理、运维等人员操作行为的安全管理措施情况；d）脱敏后的数据与可用于恢复数据的信息分开存储的情况；e）对敏感个人信息、重要数据进行加密存储情况及加密措施有效性；f）数据存储在第三方云平台、数据中心等外部区域的安全管理、访问控制情况；g）根据安全级别、重要性、量级、使用频率等因素，对数据分域分级差异化存储安全管控情况；h）重要数据和核心数据存储的防勒索检测机制情况。6.2.23存储介质安全针对存储介质安全情况，应重点评估：a）存储介质（含移动存储介质，下同）的使用、

44、管理及资产标识情况；b）存储介质安全管理规范建设情况，是否明确对存储介质存储数据的安全要求；c）对存储介质进行定期或随机性安全检查情况；d）存储介质访问和使用行为的记录和审计情况。6.2.3 数据传输6.2.3.1 传输链路安全性针对数据传输链路安全性，应重点评估：a）数据传输安全策略和操作规程的建设落实情况；b）敏感个人信息和重要数据传输加密情况及加密措施有效性，是否选用安全的密码算法；c）个人信息和重要数据传输进行完整性保护情况；d）数据传输通道部署身份鉴别、安全配置、密码算法配置、密钥管理等防护措施情况；e）数据传输、接收的记录和安全审计情况；f）采取安全传输协议等安全措施情况；g）数据

45、异常传输检测发现及处置情况；h）制定数据跨组织传输管理规则，及跨组织数据传输安全技术措施建立情况。6.23.2传输链路可靠性针对数据传输链路的可靠性，应重点评估：a）网络传输链路的可用情况，包括对关键网络传输链路、网络设备节点实行冗余建设，建立容灾方案和宕机替代方案等情况；b）点对点传输中是否存在传输经过第三方、被第三方缓存情况。6.2.4 数据使用和加工6.2.4.1 数据使用和加工合法性针对数据使用和加工合法性，应重点评估：a）使用和加工数据时，遵守法律、行政法规，尊重社会公德和伦理，遵守商业道德和职业道德等情况；b）是否存在危害国家安全、公共利益的数据使用和加工行为，损害个人、组织合法权益的数据使用和加工行为；c）是否制作、发布、复制、传播违法信息；d）应用算法推荐技术、深度合成技术提供互联网信息服务、生成式Al技术提供服务的，是否按照互联网信息服务算法推荐管理规定互联网信息服务深度合成管理规定等规定开展相关工作。6.2.4.2 数据正当使用针对数据正当使用情况，应重点评估：a）数据使用加工安全策略和操作规程的建设落实情况；b）数据使用是否获得数据提供方、数据主体等相关方授权；c）数据使用行为与承诺或用户协议的一致性；d）开展数据处理活动以及研究开发数据新技术，是否有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理；e）使用