网络安全标准实践指南—网络数据安全风险评估实施指引

作者: 时间:2024-06-07 点击数:

1 范围

本指南给出了网络数据安全风险评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。

本指南适用于指导数据处理者、第三方机构开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。

2 术语定义

2.1 网络数据

通过网络处理和产生的各种电子数据,简称“数据”。

2.2 数据处理者

在数据处理活动中自主决定处理目的和处理方式的个人和组织。

2.3 数据安全

通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

2.4 数据处理活动

数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。

2.5 网络数据安全风险评估

对网络数据和数据处理活动安全进行风险识别、风险分析和风险评价的整个过程。

2.6 委托处理

数据处理者委托个人、组织按照约定的目的和方式开展的数据处理活动。

2.7 共同处理

两个以上的数据处理者共同决定数据的处理目的和处理方式的数据处理活动。

注:两个以上含两个。

2.8 数据安全风险

数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。

2.9 合理性

数据处理遵守法律、行政法规要求,尊重社会公德和伦理道德,符合网络安全和数据安全常识道理。

2.10 风险隐患

可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等,也称“风险源” 。

注: 风险隐患,既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患,也包括数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。

2.11 业务

组织为实现某项发展规划而开展的运营活动。

[来源:GB/T 20984-2022,3.1.4]

2.12 自评估

由数据处理者自身发起,组成机构内部评估小组或委托第三方评估机构,依据有关政策法规与标准,对评估对象的数据安全风险进行评估的活动。

2.13 检查评估

由数据处理者的上级主管部门、业务主管部门或国家有关主管(监管)部门发起的,依据有关政策法规与标准,对评估对象的数据安全风险进行的评估活动。

3 风险评估概述

3.1 评估思路

网络数据安全风险评估坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。

网络数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理问题清单,分析数据安全风险、视情评价风险,并给出整改建议。

3.2 评估内容

网络数据安全风险评估,在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如图 1 所示。

 

图 1 数据安全风险评估内容框架

3.3 评估流程

数据安全风险评估流程,主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,评估实施流程如图 2 所示。

 

图 2 数据安全风险评估流程及主要产出物

数据处理者进行自评估时,可依据本指南进行风险自查,具体实施步骤如图 3 所示。

 

图 3 自评估实施流程

有关部门进行检查评估时,可参考本指南开展检查工作,具体实施步骤如图 4 所示。

 

图 4 检查评估实施流程

3.4 评估手段

开展数据安全风险评估时,综合采取下列手段进行评估:

a)人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况;

b)文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料;

c)安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况;

d)技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。

4 评估准备

4.1 明确评估目标

为落实《数据安全法》《个人信息保护法》等法律法规要求或安全监管需要,对数据处理者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全评估,发现存在的安全问题和风险隐患,督促数据处理者健全安全制度、改进安全措施、堵塞安全漏洞,进一步提高数据安全和个人信息保护能力。

数据安全风险评估的目标,包括但不限于:

a)摸清数据种类、规模、分布等基本情况;

b)摸清数据处理活动的情况;

c)发现可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险;

d)发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险;

e)促进完善数据安全保护措施,提升数据安全保护能力。

4.2 确定评估范围

根据工作需要和评估目标,确定数据安全风险评估的对象、范围和边界,明确评估涉及的数据资产、数据处理活动、业务和信息系统、人员和内外部组织等。数据安全风险评估聚焦数据和数据处理活动,评估范围可能涉及组织全部的数据和数据处理活动,也可能仅针对某个单独的业务、信息系统、部门涉及的数据和数据处理活动。

当针对组织全部数据和数据处理活动开展评估时,可根据需要采取“全面摸排、重点评估”的原则确定评估范围。一是全面摸排被评估方的数据安全整体情况,摸清其数据资产、数据处理活动、数据分类分级等情况;二是结合数据分类分级选择重点评估对象,将涉及个人信息、重要数据、核心数据的所有数据处理活动,以及抽样选择的其他典型一般数据的处理活动作为重点评估对象开展评估;三是如果组织未开展数据分类分级工作,也可结合业务、信息系统的重要性和敏感性,选择核心业务或重要信息系统的数据和数据处理活动作为重点评估对象开展评估。

4.3 组建评估团队

4.3.1 组建检查评估团队

根据评估范围、涉及的行业特征、专业需求,选择具备相关专业能力的评估人员组成评估队伍。评估队伍应提前完成风险评估文档、检测工具等各项准备工作,并签署保密协议。评估队伍在检查评估中获取的信息,只能用于检查任务目的和实施数据安全保护。

被评估方应建立专项工作团队,成员一般包括数据安全负责人和安全、法务、合规、运维、研发、业务、数据、风险等部门相关人员。专项工作团队应按照要求做好人员、设备、技术保障等工作,配合开展风险评估。

4.3.2 组建自评估团队

数据处理者自行开展数据安全风险评估时,可组织业务、安全、法务、合规、运维、研发等相关部门参与实施,评估组长由数据安全负责人或授权代表担任,也可委托第三方专业技术机构实施。第三方机构评估中获取的信息只能用于评估目的,未经授权不应泄露、出售或者非法向他人提供。

4.4 开展前期准备

4.4.1 制定工作计划

评估工作计划内容一般包括工作目的、工作要求、工作内容、工作流程、调研安排、评估总体进度安排等。开展检查评估时,主管监管部门指导评估队伍按照工作要求制定评估工作计划。

4.4.2 确定评估依据

评估依据包括但不限于:

a)《网络安全法》《数据安全法》《个人信息保护法》等法律,有关行政法规、司法解释;

b)网信部门及主(监)管部门相关数据安全规章、规范性文件;

c)地方数据安全政策规定和监管要求;

d)数据安全相关国家标准、行业标准等。

开展自评估时,本单位数据安全制度规范可作为评估依据之一。

4.4.3 确定评估内容

结合评估目标、范围、依据,针对被评估方的实际情况,确定被评估方每个评估对象适用的评估内容。

a)数据处理者应针对数据处理活动、数据安全管理、数据安全技术等方面进行风险评估;

b)涉及处理个人信息的,应在a)的基础上,对个人信息保护开展风险评估。

开展评估工作过程中,可根据任务要求、评估重点、监管需要、评估依据等,进一步完善评估内容。

4.4.4 建立评估文档

针对评估目标、范围、依据和内容,准备风险评估调研表、技术测试工具等。

在评估工作开展过程中,应对评估工作相关文件进行统一编号,并规范管理。

4.5 制定评估方案

组织评估队伍编制风险评估工作方案,方案内容包括但不限于:

a)评估概述:包括评估目标、评估依据等内容;

b)评估范围:包括评估对象选择方法、评估对象描述、评估范围等;

c)评估内容和方法:包括评估内容、评估准则、评估方法等内容;

d)评估人员:包括评估队伍的组织结构、负责人、成员、职责分工等内容;

e)实施计划:包括时间进度安排、人员安排等内容;

f)工作要求:包括评估工作要求、被评估方保障条件等内容,工作要求如严格依照评估内容及标准规范,规范评估行为,按照尽量不影响被评估方正常工作的原则,制定评估工作应急保障和风险规避措施, 明确告知被评估方评估可能产生的风险, 严守工作纪律和保密要求等;

g)测试方案:开展技术测试前应明确测试方案,包括采用的技术工具、测试内容、测试环境、应急措施等,测试方应向被测方明示测试可能涉及的安全风险,双方就测试方案达成共识,检查评估时应提前向有关部门报备;

评估队伍可邀请行业领域相关数据安全、网络安全专家对评估方案进行评议,重点审核方案内容、风险管控、保护措施、可操作性、技术可行性等,进一步修改完善评估方案后,组织实施风险评估工作。

5 信息调研

5.1 数据处理者调研

数据处理者的基本情况包括但不限于:

a) 单位名称、 组织机构代码、 办公地址、 法定代表人信息、 人员规模、 经营范围、 数据安全负责人及其职务、 联系方式等基本信息;

b) 单位性质, 例如党政机关、 事业单位、 企业、 社会团体等;

c) 是否属于特定类型数据处理者, 例如政务数据处理者、 大型网络平台运营者、 关键信息基础设施运营者等;

d) 所属行业领域;

e) 业务运营地区, 开展数据处理活动所在国家和地区等;

f) 主要业务范围、 业务规模等;

g) 数据处理相关服务取得行政许可的情况;

h) 被评估单位的资本组成和实际控制人情况;

i) 是否境外上市或计划赴境外上市及境外资本参与情况, 或以协议控制( VIE) 架构等方式实质性境外上市。

5.2 业务和信息系统调研

业务和信息系统情况包括但不限于:

a) 网络和信息系统基本情况, 包括网络规模、 拓扑结构、 信息系统等情况和对外连接、 运营维护等情况以及是否为关键信息基础设施等情况;

b) 业务基本信息, 包括业务描述、 业务类型、 服务对象、 业务流程、 用户规模、 覆盖地域、 相关部门等基本信息;

c) 业务涉及个人信息、 重要数据或核心数据处理情况;

d) 业务为政务部门或境外用户提供服务情况;

e) 信息系统、 App 和小程序情况, 包括系统功能、 网络安全等级保护备案和测评结论、 入口地址、 系统连接关系、 数据接口、 App及小程序名称和版本等;

f) 数据中心和使用云平台情况;

g) 接入的外部第三方产品、 服务或 SDK 的情况, 包括名称、 版本、 提供方、 使用目的、 合同协议等。

5.3 数据资产调研

梳理结构化数据资产( 如数据库表等) 和非结构化数据资产( 如图表文件等) , 摸清数据底数, 输出数据资产清单。 涉及范围包括但不限于生产环境、 测试环境、 备份存储环境、 云存储环境、 个人工作终端、 数据采集设备终端等收集和产生的数据。 调研内容包括但不限于:

a) 数据资产情况, 包括数据资产类型、 数据范围、 数据规模、数据形态、 数据存储分布、 元数据等;

b) 数据分类分级情况, 包括数据分类分级规则、 数据类别、 数据级别、 重要数据和核心数据目录情况等;

c) 个人信息情况, 包括个人信息种类、 规模、 敏感程度、 数据来源、 业务流转及与信息系统的对应关系等;

d) 重要数据情况, 包括重要数据种类、 规模、 行业领域、 敏感程度、 数据来源、 业务流转及与信息系统的对应关系等;

e) 核心数据情况, 包括核心数据种类、 规模、 行业领域、 敏感程度、 数据来源、 业务流转及与信息系统的对应关系等;

f) 其他一般数据情况。

5.4 数据处理活动调研

针对评估对象和范围, 梳理数据处理活动清单, 验证或绘制数据流图。 数据流图应描述数据流转各环节经过的相关方、 信息系统, 以及每个流动环节涉及的数据类型等。 调研内容包括但不限于:

a) 数据收集情况, 如数据收集渠道、 收集方式、 数据范围、 收集目的、 收集频率、 外部数据源、 合同协议、 相关系统, 以及在被评估方外部公共场所安装图像采集、 个人身份识别设备的情况等;

b) 数据存储情况, 如数据存储方式、 数据中心、 存储系统( 如数据库、 大数据平台、 云存储、 网盘、 存储介质等) 、 外部存储机构、存储地点、 存储期限、 备份冗余策略等;

c) 数据传输情况, 如数据传输途径和方式( 如互联网、 VPN、物理专线等在线通道情况, 采用介质等离线传输情况) 、 传输协议、内部数据共享、 数据接口等;

d) 数据使用和加工情况, 如数据使用目的、 方式、 范围、 场景、算法规则、 相关系统和部门, 数据清洗、 转换、 标注等加工情况, 应用算法推荐技术提供互联网信息服务的情况, 核心数据、 重要数据或个人信息委托处理、 共同处理的情况等;

e) 数据提供情况, 如数据提供( 数据共享、 数据交易, 因合并、分立、 解散、 被宣告破产等原因需要转移数据等) 的目的、 方式、 范围、 数据接收方、 合同协议, 对外提供的个人信息和重要数据的种类、数量、 范围、 敏感程度、 保存期限等;

f) 数据公开情况, 如数据公开的目的、 方式、 对象范围、 受众数量、 行业、 组织、 地域等;

g) 数据删除情况, 如数据删除情形、 删除方式、 数据归档、 介质销毁等;

h) 数据出境情况, 是否存在个人信息或重要数据出境, 如跨境业务、 跨境办公、 境外上市、 使用境外云服务或数据中心、 国际交流合作等场景的数据出境情况。

5.5 安全措施调研

调研已有安全措施情况, 包括但不限于:

a) 已开展的等级保护测评、 商用密码应用安全性评估、 安全检测、 风险评估、 安全认证、 合规审计情况, 及发现问题的整改情况;

b) 数据安全管理组织、 人员及制度情况;

c) 防火墙、 入侵检测、 入侵防御等网络安全设备及策略情况;

d) 身份鉴别与访问控制情况;

e) 网络安全漏洞管理及修复情况;

f) VPN 等远程管理软件的用户及管理情况;

g) 设备、 系统及用户的账号口令管理情况;

h) 加密、 脱敏、 去标识化等安全技术应用情况;

i) 3 年内发生的网络和数据安全事件、 攻击威胁情况。 如事件名称、 数据类型和数量、 发生原因、 级别、 处置措施、 整改措施等, 重大事件需提供事件调查评估报告; 近 3 年发生的数据安全事件处置、记录、 整改和上报情况; 实际环境中通过检测工具、 监测系统、 日志审计等发现的威胁; 近期公开发布的社会或特定行业威胁事件、 威胁预警; 其他可能面临的数据泄露、 窃取、 篡改、 破坏/损毁、 丢失、滥用、 非法获取、 非法利用、 非法提供等安全威胁。

6 风险识别

针对各个评估对象, 从数据安全管理、 数据处理活动、 数据安全技术、 个人信息保护等方面, 通过多种评估手段识别可能存在的数据安全风险隐患。 已开展的检测评估工作报告, 可在分析评估结果真实性、 有效性的基础上视情采纳。

6.1 数据安全管理

6.1.1 安全管理制度

6.1.1.1 数据安全制度体系

针对数据安全制度体系建设情况, 应重点评估:

a) 数据安全总体策略、 方针、 目标和原则制定情况;

b) 数据安全管理工作规划或工作方案制定情况;

c) 数据分类分级、 数据安全评估、 数据访问权限管理、 数据全生命周期管理、 数据安全应急响应、 数据合作方管理、 数据脱敏、 数据加密、 数据安全审计、 数据资产管理、 大数据平台安全等制度建设情况;

d) 关键岗位的数据安全管理操作规程建设情况;

e) 制度内容与国家和行业数据安全法律法规和监管要求的符合情况。

6.1.1.2 数据安全制度落实

针对被评估方数据安全制度落实情况, 应重点评估:

a) 网络安全责任制、 数据安全责任制落实情况, 网络安全和数据安全事件责任查处情况;

b) 数据安全制度的制定、 评审、 发布流程建设情况;

c) 数据安全制度的定期审核和更新情况;

d) 制度发布范围是否覆盖全面, 发布方式是否正规、 有效;

e) 数据安全制度落实情况, 是否具备操作规程、 记录表单等制度落实证明材料;

f) 制度落实监督检查机制。

针对重要数据处理者, 还应当评估以下内容:

a) 对数据处理活动定期开展数据安全风险评估的情况;

b) 向有关部门报送评估报告情况, 风险评估报告至少应包含处理的重要数据的种类、 数量, 开展数据处理活动的情况, 面临的数据安全风险及其应对措施等。

6.1.2 安全组织机构

6.1.2.1 数据安全组织架构

针对被评估方数据安全组织架构建设情况, 应重点评估:

a) 数据安全管理机构和职能设置情况;

b) 数据安全负责人和职能设置情况;

c) 单位高层人员参与数据安全决策情况;

d) 对组织内部的数据安全管理执行情况、 数据操作行为等进行安全监督的情况;

e) 数据安全人员和资源投入情况与组织数据安全保护需求适应性。

6.1.2.2 数据安全岗位设置

针对被评估方数据安全岗位设置情况, 应重点评估:

a) 数据库管理员、 操作员及安全审计人员、 安全运维人员、 数据备份管理人员、 数据恢复管理人员等数据安全关键岗位设置情况,及职责分离、 专人专岗等原则落实情况;

b) 业务部门、 信息系统建设部门、 信息系统运维部门数据安全人员设置情况, 数据安全管理要求执行情况;

c) 特权账户所有者、 关键数据处理岗位等数据安全关键岗位设立双人双岗情况。

6.1.3 分类分级管理

6.1.3.1 数据资产管理

针对数据资产管理情况, 应重点评估:

a) 数据资产台账建设、 更新、 维护情况;

b) 数据资产梳理是否全面, 是否能够覆盖数据库、 大数据存储组件、 云上对象存储或网盘等存储工具及办公计算机、 U 盘、 光盘等存储介质中的数据;

c) 通过数据资产管理等工具对数据资产清单及时更新、 维护的情况;

d) 采用技术手段定期对数据资产进行扫描的情况, 及发现识别个人信息、 重要数据的能力。

6.1.3.2 数据分类分级制度

针对数据分类分级制度建设情况, 应重点评估:

a) 数据分类分级保护制度建设情况, 是否符合国家、 行业和地方的数据分类分级规范要求;

b) 数据分类分级管理情况, 及核心数据和重要数据目录建立及维护情况;

c) 是否在相关制度中明确了数据分类管理、 分级保护策略, 数据分类分级保护措施是否落实在数据访问权限申请、 保护措施部署等方面;

d) 数据分类分级变更和审核流程情况;

e) 个人信息分类分级管理情况。

6.1.3.3 数据分类分级保护

针对数据分类分级保护情况, 应重点评估:

a) 是否对处理的个人信息和重要数据进行明确标识;

b) 按照数据级别建设覆盖全流程数据处理活动的安全措施情况;

c) 数据分类分级标识或数据资产管理工具建设情况, 是否具有自动化标识能力, 是否具有数据标识结果发布、 审核等能力;

d) 按照相关重要数据目录或规定, 评估重要数据并进行重点保护的情况;

e) 按照相关核心数据目录或规定, 评估核心数据并进行严格管理的情况。

6.1.4 人员安全管理

6.1.4.1 人员录用

针对人员录用情况, 应重点评估:

a) 重要岗位员工录用前背景调查情况;

b) 数据处理关键岗位人员录用, 对其数据安全意识或专业能力进行考核的情况。

6.1.4.2 保密协议

针对保密协议签订情况, 应重点评估:

a) 员工工作纪律和工作要求中是否明确规定员工禁止的数据安全相关行为

b) 是否与所有涉及数据服务的人员签订安全责任承诺或保密协议, 与数据安全关键岗位人员签订数据安全岗位责任协议;

c) 在重要岗位人员调离或终止劳动合同前, 是否明确并告知其继续履行有关信息的保密义务要求, 并签订保密承诺书。

6.1.4.3 转岗离岗

针对人员转岗离岗管理情况, 应重点评估:

a) 在人员转岗或离岗时, 是否及时终止或变更完成相关人员数据操作权限, 并明确有关人员后续的数据保护管理权限和保密责任;

b) 对终止劳动合同的人员, 是否及时终止并收回其系统权限及数据权限, 明确告知其继续履行有关信息的保密义务要求。

6.1.4.4 数据安全培训

针对人员数据安全培训情况, 应重点评估:

a) 数据安全培训计划制定、 更新情况;

b) 开展数据安全意识教育培训, 并保留相关记录情况;

c) 是否对数据安全岗位人员每年至少进行 1 次数据安全专项培训, 对关键岗位人员进行定期数据安全技能考核情况。

6.1.5 合作外包管理

6.1.5.1 合作方管理机制

针对合作方管理机制建设情况, 应重点评估:

a) 数据合作方安全管理机制建设情况, 如对合作方或外包服务机构的选择、 评价、 管理、 监督机制;

b) 是否对数据合作方或外包服务机构的安全能力进行评估;

c) 对外包服务机构、 人员履行安全责任义务的监督检查情况;

d) 外包人员现场服务安全管理情况;

e) 对外包服务商的技术依赖程度, 对委托处理数据的控制和管理能力。

6.1.5.2 合作协议约束

针对合作协议约束情况, 应重点评估:

a) 服务合同、 承诺及安全保密协议情况, 是否通过合同协议等方式对接收、 使用本单位数据的合作方的数据使用行为进行约束;

b) 是否在合作协议中明确了数据处理目的、 方式、 范围, 安全保护责任、 数据返还或销毁要求、 保密约定及违约责任和处罚条款等;

c) 合同、 协议中, 数据处理者与合作方、 外包服务商间的数据安全责任界定情况。

6.1.5.3 外包人员访问权限

针对外包人员访问权限管理情况, 应重点评估:

a) 外包人员对数据与系统的访问、 修改权限是否限于最小必要范围;

b) 能够在测试环境下或使用测试数据完成的, 是否向外包人员开放了生产环境权限或真实数据;

c) 外包人员数据导出操作或数据外发操作的监督管理情况;

d) 外包人员对敏感数据的访问及操作能否被实时监督或监测;

e) 数据外包服务账号及访问权限管理情况;

f) 外包人员远程访问操作系统或数据的情况。

6.1.5.4 第三方接入与数据回收

针对第三方接入与数据回收情况, 应重点评估:

a) 是否对合作方接入的系统、 使用的技术工具进行了技术检测,或合作方提供专业第三方机构评估的数据安全报告, 避免引入木马、后门等;

b) 为完成技术或服务目的向合作方提供的数据, 在合作结束后是否进行了回收, 是否要求合作方对数据进行删除;

c) 外包服务到期后, 账号注销、 数据回收、 数据删除销毁等管理情况;

d) 为完成技术或服务目的向合作方提供的系统权限和接口, 在合作结束后是否进行了停用或下线。

6.1.5.5 政务数据委托处理

涉及政务部门或针对法律、 法规授权的具有管理公共事务职能的组织委托处理政务数据的情形, 应重点评估:

a) 委托他人建设、 维护电子政务系统, 存储、 加工政务数据,是否经过严格的批准程序, 是否以合同等手段监督受托方履行相应的数据安全保护义务;

b) 政务数据受托方依照法律、 法规的规定和合同约定履行数据安全保护义务的情况, 是否擅自留存、 使用、 泄露或者向他人提供政务数据;

c) 支撑电子政务相关系统运行的相关服务或系统的安全措施,是否满足电子政务系统管理和相关安全要求。

6.1.6 安全威胁和应急管理

6.1.6.1 安全威胁和事件

识别安全威胁和安全事件情况, 包括但不限于:

a) 近 3 年发生的网络安全或数据安全事件信息及其处置、 记录、整改和上报情况, 如事件名称、 影响对象、 发生时间和频次、 发生原因、 外部威胁、 事件级别、 处置措施、 整改措施等, 重大事件需提供事件调查评估报告;

b) 近 1 年通过安全工具、 日志审计、 安全测评、 合规自查等发现的安全威胁、 违规行为及其频率统计;

c) 实际环境中通过监测系统、 检测工具等发现的攻击威胁情况;

d) 近期公布或曝光的同行业、 类似业务模式的威胁事件、 威胁预警。

6.1.6.2 安全应急管理

针对数据安全应急管理情况, 重点评估:

a) 数据安全事件应急预案制定和修订情况, 是否定义数据安全事件类型, 明确不同类别级别事件的处置流程和方法;

b) 数据安全应急响应及处置机制建设情况, 发生数据安全事件时是否立即采取处置措施, 是否按照规定及时告知用户并向有关主管部门报告;

c) 数据安全事件应急演练情况;

d) 数据处理活动安全风险监测情况, 发现数据安全缺陷、 漏洞等风险时, 是否立即采取补救措施;

e) 安全事件对个人、 其他组织造成危害的, 是否将安全事件和风险情况、 危害后果、 已经采取的补救措施等通知利害关系人, 无法通知的是否采取公告等其他方式告知;

f) 面向社会提供服务的数据处理者是否建立便捷的数据安全相关投诉举报渠道, 以及近 3 年的数据安全投诉举报处置、 记录和整改情况, 是否存在侵害用户个人信息合法权益的情况。

6.1.7 开发运维管理

针对开发运维管理情况, 应重点评估:

a) 新应用开发审核流程建设情况, 进行数据处理需求安全合规审核情况;

b) 开发程序的修改、 更新、 发布的批准授权和版本控制流程;

c) 工程实施、 验收、 交付的安全管理情况;

d) 对开发代码、 测试数据的安全管理情况;

e) 产品或业务上线前进行安全评估的情况;

f) 开发测试环境和实际运行环境的隔离情况、 测试数据和测试结果的控制情况;

g) 开发测试中使用真实个人信息、 核心数据、 重要数据情况,开发测试前对相关数据进行去标识化、 脱敏处理( 测试确需信息除外)情况;

h) 对开发和运维人员行为的监督和审计情况;

i) 远程运维的审批、 管理和安全防护措施;

j) 第三方 SDK 或开源软件的运行维护、 二次开发等技术资料完备性。

6.1.8 云数据安全

被评估对象使用云计算服务时, 应重点评估:

a) 云服务提供者、 第三方厂商、 云租户的安全责任划分和落实情况;

b) 上云数据的安全审核和管理情况;

c) 云安全产品服务的使用和配置情况;

d) 对云上操作行为的安全审计情况;

e) 云用户账号和权限管理情况;

f) 私有云远程运维安全管理情况;

g) 云上承载用户个人信息、 重要数据、 核心数据情况, 是否对重要数据、 敏感个人信息实施增强的安全防护;

被评估对象是云计算服务提供者时, 应重点评估:

a) 公有云、 社区云等不同类型云平台间边界防护情况;

b) 租户与云平台、 数据中心间数据传输安全防护情况;

c) 针对不同服务模式、 部署模式、 产品和服务, 云平台对相关方的数据安全责任界面划定情况及合法合规性;

d) 是否通过合同协议等方式, 与租户划清云数据安全责任边界,并履行相应数据安全责任;

e) 发生数据安全风险或事件时, 为租户提供事件报告、 应急处置等协同保障措施情况;

f) 收集租户数据情况, 是否识别重要数据、 个人信息, 收集方式是否安全合理, 是否存在超范围收集;

g) 计算、 存储、 网络、 数据库、 安全等产品安全配置情况;

h) 第三方组件安全核查、 漏洞修复情况;

i) 云产品漏洞更新和推送情况, 是否会及时提供补丁推送、 跟进用户漏洞更新等情况;

j) 云平台提供的基础安全防护能力情况;

k) 云产品对用户高风险操作的提示情况;

l) 对云租户的身份管理和访问控制情况;

m) 云平台保障租户数据安全的相关制度和安全措施;

n) 约定服务到期、 欠费、 提前终止等情形下, 云数据删除和个人信息权益保障等情况;

o) 云数据备份和恢复机制是否完善, 数据备份策略、 备份周期、备份存储、 数据恢复策略, 恢复验证等是否符合安全需要;

p) 云平台开展数据安全风险评估、 云计算服务安全评估等情况;

q) 云平台基础设施部署和运维情况;

r) 云安全管理中心管控情况;

s) 云数据迁移安全保障情况;

t) 云平台数据出境安全情况。

6.2 数据处理活动

6.2.1 数据收集

6.2.1.1 数据收集合法正当性

针对数据收集合法正当性情况, 应重点评估:

a) 数据收集的合法性、 正当性, 是否存在窃取、 超范围收集、未经合法授权收集或者以其他非法方式获取数据的情况, 数据收集目的和范围是否合法;

b) 违反法律、 行政法规关于收集使用数据目的、 范围相关要求,收集数据的情况。

6.2.1.2 通过第三方收集数据

重点评估从外部机构收集数据的安全情况:

a) 通过合同协议等合法方式, 约定从外部机构收集的数据范围、收集方式、 使用目的和授权同意情况;

b) 对外部数据源进行鉴别和记录的情况;

c) 数据的真实性及来源的可靠性;

d) 对外部收集数据的合法性、 安全性和授权同意情况进行审核的情况。

6.2.1.3 数据质量控制

针对数据质量控制情况, 应重点评估:

a) 数据质量管理制度建设情况, 对收集数据质量和管理措施是否进行明确要求;

b) 安全管理和操作规范对数据清洗、 转换和加载等行为是否进行明确要求;

c) 数据质量管理和监控的情况, 对异常数据及时告警或更正采取的手段措施;

d) 收集数据监控、 过程记录等情况, 以及安全措施应用情况;

e) 采用人工检查、 自动检查或其他技术手段对数据的真实性、准确性、 完整性校验情况。

6.2.1.4 数据收集方式

针对数据收集方式, 应重点评估:

a) 采用自动化工具访问、 收集数据的, 违反法律、 行政法规、部门规章或协议约定情况, 侵犯他人知识产权等合法权益情况;

b) 采用自动化工具收集时, 对数据收集范围的明确情况, 收集与提供服务无关数据的情况;

c) 采用自动化工具收集数据以及该方式对网络服务的性能、 功能带来的影响情况;

d) 通过人工方式采集数据的, 是否对数据采集人员严格管理,要求将采集数据直接报送到相关人员或系统, 采集任务完成后及时删除采集人员留存的数据。

6.2.1.5 数据收集设备及环境安全

针对数据收集设备及环境安全情况, 应重点评估:

a) 检测数据收集终端或设备的安全漏洞, 是否存在数据泄露风险;

b) 人工采集数据泄露风险, 通过人员权限管控、 信息碎片化等方式, 对人工采集数据环境进行安全管控情况;

c) 客户端敏感信息留存风险, 检测 App、 Web 等客户端完成相关业务后, 是否留存敏感个人信息或重要数据。

6.2.2 数据存储

6.2.2.1 数据存储适当性

针对数据存储适当性, 应重点评估:

a) 数据存储安全策略和操作规程的建设落实情况;

b) 存储位置、 期限、 方式的适当性;

c) 永久存储数据类型的必要性。

6.2.2.2 逻辑存储安全

针对逻辑存储安全情况, 应重点评估:

a) 数据库的账号权限管理、 访问控制、 日志管理、 加密管理、版本升级等方面要求的落实情况;

b) 检测逻辑存储系统安全漏洞, 查看安全漏洞修复、 处置情况;

c) 实施限制数据库管理、 运维等人员操作行为的安全管理措施情况;

d) 脱敏后的数据与可用于恢复数据的信息分开存储的情况;

e) 对敏感个人信息、 重要数据进行加密存储情况及加密措施有效性;

f) 数据存储在第三方云平台、 数据中心等外部区域的安全管理、访问控制情况;

g) 根据安全级别、 重要性、 量级、 使用频率等因素, 对数据分域分级差异化存储安全管控情况;

h) 重要数据和核心数据存储的防勒索检测机制情况。

6.2.2.3 存储介质安全

针对存储介质安全情况, 应重点评估:

a) 存储介质( 含移动存储介质, 下同) 的使用、 管理及资产标识情况;

b) 存储介质安全管理规范建设情况, 是否明确对存储介质存储数据的安全要求;

c) 对存储介质进行定期或随机性安全检查情况;

d) 存储介质访问和使用行为的记录和审计情况。

6.2.3 数据传输

6.2.3.1 传输链路安全性

针对数据传输链路安全性, 应重点评估:

a) 数据传输安全策略和操作规程的建设落实情况;

b) 敏感个人信息和重要数据传输加密情况及加密措施有效性,是否选用安全的密码算法;

c) 个人信息和重要数据传输进行完整性保护情况;

d) 数据传输通道部署身份鉴别、 安全配置、 密码算法配置、 密钥管理等防护措施情况;

e) 数据传输、 接收的记录和安全审计情况;

f) 采取安全传输协议等安全措施情况;

g) 数据异常传输检测发现及处置情况;

h) 制定数据跨组织传输管理规则, 及跨组织数据传输安全技术措施建立情况。

6.2.3.2 传输链路可靠性

针对数据传输链路的可靠性, 应重点评估:

a) 网络传输链路的可用情况, 包括对关键网络传输链路、 网络设备节点实行冗余建设, 建立容灾方案和宕机替代方案等情况;

b) 点对点传输中是否存在传输经过第三方、 被第三方缓存情况。

6.2.4 数据使用和加工

6.2.4.1 数据使用和加工合法性

针对数据使用和加工合法性, 应重点评估:

a) 使用和加工数据时, 遵守法律、 行政法规, 尊重社会公德和伦理, 遵守商业道德和职业道德等情况;

b) 是否存在危害国家安全、 公共利益的数据使用和加工行为,损害个人、 组织合法权益的数据使用和加工行为;

c) 是否制作、 发布、 复制、 传播违法信息;

d) 应用算法推荐技术、 深度合成技术提供互联网信息服务、 生成式 AI 技术提供服务的, 是否按照《互联网信息服务算法推荐管理规定》 《互联网信息服务深度合成管理规定》 等规定开展相关工作。

6.2.4.2 数据正当使用

针对数据正当使用情况, 应重点评估:

a) 数据使用加工安全策略和操作规程的建设落实情况;

b) 数据使用是否获得数据提供方、 数据主体等相关方授权;

c) 数据使用行为与承诺或用户协议的一致性;

d) 开展数据处理活动以及研究开发数据新技术, 是否有利于促进经济社会发展, 增进人民福祉, 符合社会公德和伦理;

e) 使用数据开展用户画像、 信息推送、 内容呈现等业务, 造成用户受不公平的价格待遇、 平台公共竞争秩序受影响、 平台内劳动者正当权益受损害等风险情况;

f) 数据使用加工目的、 方式、 范围, 与行政许可、 合同授权等的一致性;

g) 是否存在个人信息和重要数据滥用情况。

6.2.4.3 数据导入导出

针对数据导入导出情况, 应重点评估:

a) 数据导出安全评估和授权审批流程建设情况;

b) 导入导出审计策略和日志管理机制建设情况;

c) 导出权限管理、 导出操作记录情况;

d) 导出数据的存储介质的标识、 加密、 使用、 销毁管理情况;

e) 定期对个人信息和重要数据导出行为进行安全审计情况;

f) 对导入数据的格式、 安全性和完整性校验情况。

6.2.4.4 数据处理环境

针对数据处理环境安全情况, 应重点评估:

a) 数据处理环境设置身份鉴别、 访问控制、 隔离存储、 加密、脱敏等安全措施情况;

b) 大数据平台等处理组件按照基线要求进行安全配置、 配置核查情况;

c) 处理环境中的安全漏洞情况, 已发现漏洞的处置情况。

6.2.4.5 数据使用和加工安全措施

针对数据使用和加工安全措施情况, 应重点评估:

a) 在数据清洗、 转换、 建模、 分析、 挖掘等加工过程中, 对数据特别是个人信息和重要数据的保护情况;

b) 数据防泄漏措施建设情况;

c) 数据使用加工过程中采取的数据脱敏、 水印溯源等安全保护措施情况;

d) 数据访问与操作行为的最小化授权、 访问控制、 审批等管理情况;

e) 数据使用权限管理情况, 如是否存在未授权访问、 超范围授权、 权限未及时收回、 特权账号设置不合理等情况;

f) 数据加工过程中对个人信息、 重要数据等敏感数据的操作行为记录、 定期审计情况;

g) 高风险行为审计及回溯工作开展情况;

h) 委托加工数据的, 是否明确约定受托方的安全保护义务, 并采取技术措施或其他约束手段防止受托方非法留存、 扩散数据。

6.2.5 数据提供

6.2.5.1 数据提供合法正当必要性

针对数据提供合法正当必要性, 应重点评估:

a) 数据对外提供的目的、 方式、 范围的合法性、 正当性、 必要性;

b) 数据提供的依据和目的是否合理、 明确;

c) 数据提供是否遵守法律法规和监管政策要求, 是否存在非法买卖、 提供他人个人信息或重要数据行为;

d) 对外提供的个人信息和重要数据范围, 是否限于实现处理目的的最小范围。

6.2.5.2 数据提供管理

针对数据提供管理情况, 应重点评估:

a) 数据提供安全策略和操作规程的建设落实情况;

b) 数据对外提供的审批情况;

c) 对外提供数据前, 数据安全风险评估情况和个人信息保护影响评估情况;

d) 签订合同协议情况, 是否在合同协议中明确了处理数据的目的、 方式、 范围、 数据安全保护措施、 安全责任义务及罚则;

e) 开展共享、 交易、 委托处理、 向境外提供数据等高风险数据处理活动前的安全评估情况;

f) 监督数据接收方到期返还、 删除数据的情况;

g) 向境外执法机构提供境内数据的情况;

h) 核心数据跨主体流动前是否经过国家有关部门评估。

6.2.5.3 数据提供技术措施

针对数据提供技术措施情况, 应重点评估:

a) 对外提供的敏感数据是否进行加密及加密有效性;

b) 对所提供数据及数据提供过程的监控审计情况;

c) 对外提供数据时采取签名、 添加水印、 脱敏等安全措施情况;

d) 跟踪记录数据流量、 接收者信息及处理操作信息情况, 记录日志是否完备、 是否能够支撑数据安全事件溯源;

e) 数据对外提供的安全保障措施及有效性;

f) 多方安全计算、 联邦学习等技术应用安全情况。

6.2.5.4 数据接收方

针对数据接收方情况, 应重点评估:

a) 数据接收方的诚信状况、 违法违规等情况;

b) 数据接收方处理数据的目的、 方式、 范围等的合法性、 正当性、 必要性;

c) 接收方是否承诺具备保障数据安全的管理、 技术措施和能力并履行责任义务;

d) 是否考核接收方的数据保护能力, 掌握其发生的历史网络安全、 数据安全事件处置情况;

e) 对接收方数据使用、 再转移、 对外提供和安全保护的监督情况。

6.2.5.5 数据转移安全

针对因合并、 分立、 解散、 被宣告破产等原因向外转移数据, 或承接其他数据处理者转移数据等场景, 重点评估:

a) 是否向有关主管部门报告;

b) 是否制定数据转移方案;

c) 接收方数据安全保障能力, 是否满足数据转移后数据接收方不降低现有数据安全保护水平风险;

d) 没有接收方的, 对相关数据删除处理情况。

6.2.5.6 数据出境安全

针对数据出境安全情况, 重点评估:

a) 数据出境场景梳理是否合理、 完整, 是否覆盖全部业务场景和产品类别;

b) 出境线路梳理是否合理、 完整, 是否覆盖公网出境、 专线出境等情形;

c) 涉及数据出境的, 按照有关规定开展数据出境安全评估、 个人信息保护认证、 个人信息出境标准合同签订的情况;

d) 针对公网出境场景, 监测核查实际出境数据是否与申报内容一致。

6.2.6 数据公开

6.2.6.1 数据公开适当性

针对数据公开适当性, 应重点评估:

a) 数据公开目的、 方式、 范围的适当性;

b) 数据公开目的、 方式、 范围与行政许可、 合同授权的一致性;

c) 公开的数据内容与法律法规要求的符合程度;

d) 对公开的数据进行必要的脱敏处理、 数据水印、 防爬取、 权限控制情况;

e) 数据公开是否会带来聚合性风险; 基于被评估对象的已公开数据, 结合社会经验、 自然知识或其他公开信息, 尝试是否可以推断出涉密信息、 被评估对象其他未曾公开的关联信息, 或其他对国家安全、 社会公共利益有影响的信息。

6.2.6.2 数据公开管理

针对数据公开管理情况, 应重点评估:

a) 数据公开的安全制度、 策略、 操作规程和审核流程的建设落实情况;

b) 数据公开的条件、 批准程序, 涉及重大基础设施的信息公开是否经过主管部门批准, 涉及个人信息公开是否取得个人单独同意;

c) 数据公开前的安全评估情况, 是否事前评估数据公开条件、环境、 权限、 内容等风险;

d) 因法律法规、 监管政策的更新, 对不宜公开的已公开数据的处置情况;

e) 对公开数据的脱敏处理、 防爬取、 数字水印等控制措施。

6.2.7 数据删除

6.2.7.1 数据删除管理

针对数据删除管理情况, 应重点评估:

a) 数据删除流程和审批机制的建设落实情况;

b) 数据删除安全策略和操作规程, 是否明确数据销毁对象、 原因、 销毁方式和销毁要求及对应操作规程;

c) 是否按照法律法规、 合同约定、 隐私政策等及时删除数据;

d) 委托第三方进行数据处理的, 是否在委托结束后监督第三方删除或返还数据;

e) 数据删除有效性、 彻底性验证情况, 以及可能存在的多副本同步删除情况;

f) 是否明确数据存储期限, 并于存储期限到期后按期删除数据,明确不可删除数据的类型及原因;

g) 缓存数据、 到期备份数据的删除情况。

6.2.7.2 存储介质销毁

针对存储介质销毁情况, 应重点评估:

a) 存储介质销毁管理制度和审批机制的建设落实情况;

b) 介质销毁策略和操作规程, 是否明确各类介质的销毁流程、方式和要求, 是否妥善处置销毁的存储介质;

c) 存储介质销毁过程的监控、 记录情况;

d) 软硬件资产维护、 报废、 销毁管理情况等;

e) 介质销毁措施有效性, 是否对被销毁的存储介质进行数据恢复验证;

f) 是否按照数据分类分级, 明确不同级别数据适当的删除措施,核心数据删除是否采用存储介质销毁方式。

6.2.8 其他

对于即时通信、 快递物流、 网上购物、 网络支付、 网络音视频、汽车、 网络预约汽车服务等数据处理活动的评估, 可参照相应国家标准、 行业标准的具体细化要求评估风险。

6.3 数据安全技术

6.3.1 网络安全防护

针对网络安全防护情况, 应重点评估:

a) 网络拓扑结构、 网络区域划分、 IP 地址分配、 网络带宽设置等网络资源管理情况;

b) 网络隔离、 边界防护等措施的有效性;

c) 安全策略和配置核查情况;

d) 网络访问控制、 安全审计情况;

e) 安全漏洞发现及常见漏洞修复、 处置情况;

f) 异常流量、 恶意代码和钓鱼邮件发现及处置情况;

g) 外部攻击、 内部攻击、 新型攻击的发现和处置情况;

h) 未授权连接内网、 外网、 无线网等情况;

i) 通信链路、 网络设备、 计算设备等关键设备的冗余情况;

j) 对第三方组件进行安全核查、 修复、 更新的情况;

k) 服务器、 数据库、 端口、 数据资源在互联网的暴露及管理情况;

l) 处理重要数据、 核心数据的信息系统, 应当按照有关规定满足相应网络安全等级保护要求; 属于关键信息基础设施的, 还应当符合关键信息基础设施安全保护要求。

6.3.2 身份鉴别与访问控制

6.3.2.1 身份鉴别

针对身份鉴别措施情况, 应重点评估:

a) 建立用户、 设备、 应用系统的身份鉴别机制情况, 身份标识是否具有唯一性;

b) 身份鉴别信息是否具有复杂度要求并定期更换;

c) 是否存在可绕过鉴别机制的访问方式;

d) 登录失败时采取结束会话、 限制非法登录次数、 设置抑制时间和网络登录连接超时自动退出等措施的情况;

e) 当远程管理时, 是否采取必要措施防止鉴别信息在网络传输中被窃听;

f) 处理重要数据的信息系统, 采用口令技术、 密码技术、 生物技术等两种或两种以上组合的鉴别技术对用户进行鉴别的情况。

6.3.2.2 访问控制

针对数据访问控制措施情况, 应重点评估:

a) 建立与数据类别级别相适应的访问控制机制情况, 是否限定用户可访问数据范围;

b) 是否在数据访问前设置身份认证等措施, 防止数据的非授权访问;

c) 数据访问权限与访问者的身份关联情况;

d) 数据访问权限申请、 审批机制的建设落实情况;

e) 是否以满足业务实际需要的最小化权限原则进行授权。

6.3.2.3 授权管理

针对数据权限管理情况, 应重点评估:

a) 数据权限授权审批流程建设落实情况, 是否明确用户账号分配、 开通、 使用、 变更、 注销等安全保障要求, 是否对数据权限申请和变更进行审核, 是否严格控制管理员权限账号数量;

b) 系统管理员、 安全管理员、 安全审计员等人员角色分离设置和权限管理情况;

c) 系统权限分配表建设及更新情况, 用户账号实际权限是否满足最少够用、 职权分离原则;

d) 是否存在与权限申请审批结果不一致的情况;

e) 是否存在多余、 重复、 过期的账户和角色;

f) 是否存在共享账户和角色权限冲突的情况;

g) 是否存在离职人员账号未及时回收、 沉默账号、 权限违规变更等安全问题;

h) 数据批量复制、 下载、 导出、 修改、 删除等数据敏感操作是否采取多人审批授权或操作监督, 并进行日志审计。

6.3.3 监测预警

针对数据安全风险监测预警情况, 应重点评估:

a) 安全监测预警和信息报告机制的建设落实情况, 是否明确对组织内部各类数据访问操作的日志记录要求、 安全监控要求;

b) 异常行为监测指标建设情况, 包括 IP 地址、 账号、 数据、 使用场景等, 对异常行为事件进行识别、 发现、 跟踪和监控等;

c) 对批量传输、 下载、 导出等敏感数据操作的安全监控和分析的情况, 是否实现对数据异常访问和操作进行告警;

d) 对数据交换网络流量进行安全监控和分析的情况, 是否具备对异常流量和行为进行告警的能力;

e) 风险信息的获取、 分析、 研判、 通报、 处置工作开展情况;

f) 数据安全缺陷、 漏洞等风险的监测预警能力建设情况。

6.3.4 数据脱敏

针对数据脱敏情况, 应重点评估:

a) 数据脱敏规则、 脱敏方法和脱敏数据的使用限制情况;

b) 需要进行数据脱敏处理的应用场景、 处理流程及操作记录情况;

c) 静态数据脱敏和动态数据脱敏技术能力建设情况;

d) 开发测试、 人员信息公示等应用场景的数据脱敏效果验证情况;

e) 对匿名化或去标识化处理的个人信息重新识别出个人信息主体的风险分析情况, 是否采取相应的保护措施。

6.3.5 数据防泄漏

针对数据防泄漏情况, 应重点评估:

a) 数据防泄漏技术手段部署情况, 能否对网络、 邮件、 终端等关键环节进行监控并报告敏感信息的外发行为;

b) 市场上售卖组织业务数据的情况, 查看是否能通过公开渠道、开源网站查询到组织业务信息, 如代码、 数据库信息等;

c) 数据防泄漏技术措施有效性。

6.3.6 数据接口安全

6.3.6.1 对外接口安全

针对对外接口安全情况, 应重点评估:

a) 面向互联网及合作方数据接口的接口认证鉴权与安全监控能力建设情况, 是否能够限制违规接入, 是否能对接口调用进行必要的自动监控和处理;

b) API 密钥及密钥安全存储措施设置情况, 能否避免密钥被恶意搜索或枚举;

c) 不同安全等级系统间、 不同区域间跨系统、 跨区域数据流动的安全控制措施情况。

6.3.6.2 接口安全控制

针对数据接口安全控制情况, 应重点评估:

a) 接口安全控制策略设置情况, 是否规定使用数据接口的安全限制和安全控制措施, 明确包括接口名称、 接口参数等内容的数据接口安全要求;

b) 是否对涉及个人信息和重要数据的传输接口实施调用审批;

c) 是否定期对接口( 特别是对外数据接口) 进行清查, 清查不符合要求的接口是否立即关停;

d) 涉及敏感数据的接口调用是否具备安全通道、 加密传输、 时间戳等安全措施;

e) 数据接口部署身份鉴别、 访问控制、 授权策略、 接口签名、安全传输协议等防护措施情况;

f) 对接口类型、 名称、 参数等安全要求规范情况;

g) 与接口调用方是否明确数据的使用目的、 供应方式、 保密约定及数据安全责任等情况;

h) 是否对接口访问做日志记录, 同时对接口异常事件进行告警通知的情况。

6.3.7 数据备份恢复

针对数据备份恢复情况, 应重点评估:

a) 数据备份恢复策略和操作规程的建设落实情况;

b) 数据备份的方式、 频次、 保存期限、 存储介质等情况;

c) 提供本地或异地数据灾备功能情况;

d) 定期开展数据备份恢复工作情况;

e) 备份和归档数据访问控制措施的有效性;

f) 定期采取必要的技术措施查验备份和归档数据完整性和可用性情况;

g) 定期开展灾难恢复演练情况。

6.3.8 安全审计

6.3.8.1 审计执行

针对数据安全审计执行情况, 应重点评估:

a) 审计的实施情况;

b) 审计策略和要求的合理性、 有效性;

c) 对数据的访问权限和实际访问控制情况进行定期审计的情况, 审核用户实际使用权限与审批时的目的是否保持一致, 并及时清理已过期的账号和授权;

d) 特权用户安全审计情况。

6.3.8.2 日志留存记录

针对日志留存记录情况, 应重点评估:

a) 对数据授权访问、 收集、 批量复制、 提供、 公开、 销毁、 数据接口调用、 下载、 导出等重点环节进行日志留存管理情况;

b) 日志记录内容, 是否包括执行时间、 操作账号、 处理方式、授权情况、 IP 地址、 登录信息等;

c) 日志记录是否能够对识别和追溯数据操作和访问行为提供支撑;

d) 是否定期对日志进行备份, 防止数据安全事件导致日志被删除;

e) 日志保存期限是否符合法律法规要求, 如网络日志是否保存六个月以上。

6.3.8.3 行为审计

针对数据安全行为审计情况, 应重点评估:

a) 对网络运维管理活动、 用户行为、 网络异常行为、 网络安全事件等审计情况;

b) 对数据库、 数据接口的访问和操作行为审计情况;

c) 对数据批量复制、 下载、 导出、 修改、 删除等高风险行为的审计情况;

d) 对个人信息处理活动的合规审计情况。

6.4 个人信息保护

6.4.1 个人信息处理基本原则

6.4.1.1 合法、 诚信原则

针对合法、 诚信原则遵守情况, 应重点评估:

a) 通过误导、 欺诈、 胁迫等方式处理个人信息的情况;

b) 非法收集、 使用、 加工、 存储、 传输个人信息的情况;

c) 非法买卖、 提供或者公开他人个人信息的情况;

d) 是否从事危害国家安全、 公共利益的个人信息处理活动;

e) 个人信息处理活动是否具备《个人信息保护法》 规定的合法性事由;

f) 是否存在隐瞒产品或服务所收集个人信息功能的情况。

g) 移动互联网应用( 如 App、 SDK、 小程序等) 是否存在违法违规收集使用个人信息或侵害用户权益行为。

6.4.1.2 正当、 必要原则

针对正当、 必要原则遵守情况, 应重点评估:

a) 处理个人信息是否具有明确、 合理的目的;

b) 处理个人信息是否与处理目的直接相关, 是否采取对个人权益影响最小的方式;

c) 收集个人信息是否限于实现处理目的的最小范围, 如最少类型、 最低频次等; 是否存在过度收集个人信息行为;

d) 是否以个人不同意处理其个人信息或者撤回同意为由, 拒绝提供产品或者服务, 或者干扰个人正常使用服务, 处理个人信息属于提供产品或者服务所必需的除外。

6.4.2 个人信息告知

针对个人信息告知情况, 应重点评估:

a) 在处理个人信息前, 是否以显著方式、 清晰易懂的语言真实、准确、 完整地公开个人信息处理规则;

b) 是否告知个人信息处理者的名称或姓名、 联系方式, 有法律、行政法规规定应当保密或者不需要告知的情形除外;

c) 个人信息处理规则是否告知个人信息的处理目的、 处理方式,处理的个人信息种类、 保存期限;

d) 个人信息处理规则是否告知个人行使《个人信息保护法》 规定权利的方式和程序;

e) 告知事项发生变更的, 是否将变更部分告知个人;

f) 个人信息处理规则是否便于查阅和保存;

g) 紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的, 个人信息处理者是否在紧急情况消除后及时告知。

6.4.3 个人信息同意

针对个人信息同意情况, 应重点评估:

a) 处理个人信息前是否取得个人同意, 同意是否由个人在充分知情的前提下自愿、 明确作出, 法律规定的例外情形除外;

b) 基于个人同意处理个人信息的, 个人信息处理者是否提供便捷的撤回同意的方式, 个人是否有权撤回其同意, 个人撤回同意是否不影响撤回前基于个人同意已进行的个人信息处理活动的效力;

c) 个人信息的处理目的、 处理方式和处理的个人信息种类发生变更的, 是否重新取得个人同意。

6.4.4 个人信息处理

6.4.4.1 个人信息保存

针对个人信息保存情况, 应重点评估:

a) 个人信息的保存期限是否为实现处理目的所必要的最短时间, 法律、 行政法规另有规定除外;

b) 是否将个人生物识别信息与个人身份信息分开存储。

6.4.4.2 个人信息共同处理

对于两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的, 重点评估:

是否约定各自的权利和义务, 约定是否不影响个人向任一个人信息处理者行使权利。

6.4.4.3 个人信息委托处理

针对个人信息委托处理情况, 应重点评估:

a) 是否与受托人约定委托处理的目的、 期限、 处理方式、 个人信息的种类、 保护措施以及双方的权利和义务等, 是否对受托人的个人信息处理活动进行监督;

b) 个人信息受托人是否按照约定处理个人信息, 是否超出约定的处理目的、 处理方式等处理个人信息;

c) 委托合同不生效、 无效、 被撤销或者终止的, 受托人是否将个人信息返还个人信息处理者或者予以删除, 是否违规保留个人信息;

d) 未经个人信息处理者同意, 受托人是否转委托他人处理个人信息。

6.4.4.4 个人信息转移

因合并、 分立、 解散、 被宣告破产等原因需要转移个人信息的,重点评估:

a) 是否向个人告知接收方的名称或者姓名和联系方式;

b) 接收方是否继续履行个人信息处理者的义务;

c) 接收方变更原先的处理目的、 处理方式的, 是否重新取得个人同意。

6.4.4.5 向他人提供个人信息

向他人提供个人信息的, 应重点评估:

a) 是否向个人告知接收方的名称或者姓名、 联系方式、 处理目的、 处理方式和个人信息的种类;

b) 是否取得个人的单独同意;

c) 接收方是否在上述处理目的、 处理方式和个人信息的种类等范围内处理个人信息; 如接收方变更原先的处理目的、 处理方式的,是否重新取得个人同意。

6.4.4.6 自动化决策

针对自动化决策情况, 应重点评估:

a) 是否保证决策的透明度和结果公平、 公正, 是否对个人实行不合理的差别待遇;

b) 通过自动化决策方式向个人进行信息推送、 商业营销等, 是否同时提供不针对其个人特征的选项, 或者向个人提供便捷的拒绝方式;

c) 对应用算法推荐技术提供互联网信息服务的情形, 是否以显著方式告知用户其提供算法推荐服务的情况, 并以适当方式公示算法推荐服务的基本原理、 目的意图和主要运行机制等。

6.4.4.7 个人信息公开

针对个人信息公开情况, 应重点评估:

a) 个人信息公开是否取得个人单独同意;

b) 是否在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息, 个人明确拒绝的除外;

c) 处理已公开的个人信息, 对个人权益有重大影响的, 是否取得个人同意。

6.4.5 敏感个人信息处理

6.4.5.1 通用规则

针对敏感个人信息处理规则, 应重点评估:

a) 敏感个人信息处理是否具有特定的目的和充分的必要性, 是否对敏感个人信息采取严格保护措施;

b) 处理敏感个人信息是否取得个人的单独同意;

c) 法律、 行政法规规定处理敏感个人信息应当取得书面同意的,是否取得个人的书面同意;

d) 处理敏感个人信息是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响;

e) 处理不满 14 周岁未成年人个人信息的, 是否取得未成年人的父母或者其他监护人的同意, 是否制定专门的未成年人个人信息处理规则;

f) 是否遵守法律、 行政法规对处理敏感个人信息规定。

6.4.5.2 生物特征识别信息安全

针对人脸识别数据安全情况, 应重点评估:

a) 在公共场所安装图像采集、 个人身份识别设备, 是否为维护公共安全所必需, 是否遵守国家有关规定, 并设置显著的提示标识;

b) 所收集的个人图像、 身份识别信息, 是否只用于维护公共安全的目的, 未用于其他目的, 取得个人单独同意的除外;

c) 开展业务活动时是否限定使用人脸识别技术作为身份鉴别的唯一方式, 并且当用户拒绝人脸识别方式时, 是否频繁申请授权干扰用户正常使用;

d) 完成身份鉴别后, 应及时删除身份鉴别过程中收集、 使用的人脸相关数据, 仅用于比对的生物特征模板或法律法规另有规定的除外;

e) 是否满足人脸识别有关政策规定。

对于步态、 基因、 声纹等其他生物特征信息安全, 可参照相应国家标准、 行业标准的具体细化要求评估风险。

6.4.6 个人信息主体权利

6.4.6.1 个人信息的查阅、 复制、 可携带

针对个人信息的查阅、 复制、 可携带等主体权利保障情况, 应重点评估:

a) 个人信息处理者是否为个人提供查阅其个人信息的途径, 是否可以及时提供个人信息查阅;

b) 是否为个人提供复制其个人信息的途径, 是否可以及时提供个人信息复制;

c) 个人请求将个人信息转移至其指定的个人信息处理者, 符合国家网信部门规定条件的, 个人信息处理者是否提供转移的方法。

6.4.6.2 个人信息的更正、 补充

针对个人信息的更正、 补充等主体权利保障情况, 应重点评估:

a) 个人信息处理者是否为个人提供请求个人信息更正、 补充的途径;

b) 个人请求更正、 补充其个人信息的, 个人信息处理者是否对其个人信息予以核实, 是否及时更正、 补充。

6.4.6.3 个人信息的删除

针对个人信息的删除等主体权利保障情况, 应重点评估有以下情形的, 个人信息处理者是否主动删除个人信息:

a) 个人信息处理目的已实现、 无法实现或者为实现处理目的不再必要时;

b) 个人信息处理者停止提供产品或者服务, 或者保存期限已届满;

c) 个人撤回同意;

d) 个人信息处理者违反法律、 行政法规或者违反约定处理个人信息。

针对法律、 行政法规规定的保存期限未届满, 或者删除个人信息从技术上难以实现的, 重点评估个人信息处理者是否停止除存储和采取必要的安全保护措施之外的处理。

6.4.6.4 其他个人信息权利

针对个人信息主体权利保障情况, 还应重点评估:

a) 个人信息处理者是否为个人提供对其个人信息处理规则进行解释说明的途径;

b) 通过自动化决策方式作出对个人权益有重大影响的决定, 是否为个人提供解释说明的途径, 个人是否有权拒绝个人信息处理者仅通过自动化决策的方式作出决定;

c) 自然人死亡的, 其近亲属为了自身的合法、 正当利益, 是否可以对死者相关个人信息进行查阅、 复制、 更正、 删除等, 死者生前另有安排的除外;

d) 是否建立便捷的个人行使权利的申请受理和处理机制, 拒绝个人行使权利请求的, 是否说明理由。

6.4.7 个人信息安全义务

6.4.7.1 个人信息保护措施

针对个人信息保护措施部署情况, 应重点评估:

a) 个人信息保护内部管理制度和操作规程的建设落实情况;

b) 对个人信息分类管理实施情况及效果;

c) 加密、 去标识化等安全技术措施应用情况;

d) 是否合理确定个人信息处理的操作权限;

e) 个人信息安全事件应急预案制定及组织实施情况;

f) 是否在展示、 公开等环节, 对个人信息直接标识符进行去标识化处理;

g) 是否定期对其处理个人信息遵守法律、 行政法规的情况进行合规审计。

6.4.7.2 个人信息保护负责人

针对个人信息保护负责人设置情况, 应重点评估:

a) 处理个人信息达到国家网信部门规定数量的个人信息处理者的个人信息保护负责人设置情况, 能否负责对个人信息处理活动以及采取的保护措施等进行监督;

b) 是否公开个人信息保护负责人的联系方式, 是否将个人信息保护负责人的姓名、 联系方式等报送网信部门。

6.4.7.3 个人信息保护影响评估

针对个人信息保护影响评估开展情况, 应重点评估:

a) 是否在处理敏感个人信息、 利用个人信息进行自动化决策、委托处理个人信息、 向其他个人信息处理者提供个人信息、 公开个人信息、 向境外提供个人信息前进行个人信息保护影响评估;

b) 个人信息保护影响评估内容是否符合《个人信息保护法》 第56 条要求;

c) 是否对个人信息处理情况进行记录, 个人信息保护影响评估报告和处理情况记录是否至少保存三年。

6.4.7.4 个人信息安全应急

针对个人信息安全应急措施部署情况, 应重点评估:

a) 个人信息安全事件应急预案制定及组织实施情况;

b) 发生或者可能发生个人信息泄露、 篡改、 丢失时, 是否立即采取补救措施;

c) 个人信息安全事件是否通知所涉及个人并报告有关部门, 事件通知是否包含信息种类、 原因、 可能造成的危害、 补救措施、 个人信息处理者联系方式等。

6.4.8 个人信息投诉举报

针对个人信息投诉举报情况, 应重点评估:

a) 对违反个人信息保护相关规定行为的投诉举报渠道建设情况, 包括是否建设便捷的投诉举报渠道, 是否及时受理、 处置相关投诉举报;

b) 是否公布接受投诉、 举报的联系方式;

c) 用户投诉、 举报后, 是否在承诺时限内受理并处理。

6.4.9 大型网络平台个人信息保护

针对大型网络平台个人信息保护情况, 应重点评估:

a) 是否按照国家规定建立健全个人信息保护合规制度体系, 是否成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;

b) 是否遵循公开、 公平、 公正的原则, 制定平台规则, 明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

c) 是否对严重违反法律、 行政法规处理个人信息的平台内的产品或者服务提供者, 停止提供服务;

d) 是否定期发布个人信息保护社会责任报告, 接受社会监督。

7 综合分析

在风险识别基础上形成问题列表, 开展风险分析, 并视情对风险进行评价, 最后提出整改建议。

7.1 梳理问题清单

结合数据资产和数据处理活动清单, 针对每个评估对象的各个评估项评估情况, 梳理存在的风险隐患, 形成数据安全问题清单。 问题清单可包括以下内容:

a) 问题类别: 可参考第六章二级标题( 6.x) , 列出安全问题对应的类别, 如数据安全管理问题、 数据处理活动问题、 数据安全技术问题、 个人信息保护问题等;

b) 问题项: 可参考第六章三级标题( 6.x.x) , 列出数据安全问题的细分类别, 如管理制度流程、 安全组织架构、 分类分级管理、 人员安全管理等;

c) 问题描述: 对所列数据安全问题项的具体情况展开描述, 包括涉及的数据资产、 数据处理活动、 相关业务或系统、 具体问题描述等内容;

d) 其他: 结合实际情况, 问题清单也可包含问题对应的评估项、整改建议等内容。

7.2 风险分析与评价

基于 7.1 章梳理得出的数据安全问题清单, 分析可能存在的数据安全风险( 常见风险可参考附录 A) 。 如多项数据安全问题可能造成同样数据安全风险, 可以将其与其他问题合并进行风险分析。 基于实际情况, 视情对数据安全风险进行评价。 风险评价主要考虑风险一旦发生可能对本单位、 本行业以及对国家安全、 社会公共利益、 其他组织或者个人的合法权益造成的影响, 以及风险发生的可能性进行综合评价。 具体风险分析和评价方法, 可参考数据安全风险评估方法国家标准。

注1: 风险评价可针对分析出的每一项风险给出风险评价等级, 也可针对每个评估对象给出对应的风险评价等级。

注2: 风险造成的影响可结合数据价值、 安全问题严重程度等因素判断; 风险发生的可能性可结合现有安全措施有效性和完备性、 历史事件发生情况等因素判断。

7.3 提出整改建议

结合实际情况, 针对发现的数据安全问题或风险, 提出管理、 技术等方面的问题整改或风险处置建议。 如工作需要可视情邀请数据安全、 网络安全等相关专家对问题清单、 整改建议、 风险分析、 总体评价等评估结果的准确性、 科学性、 合理性进行评议。

8 评估总结

8.1 评估报告

根据评估情况, 评估队伍编制网络数据安全风险评估报告( 报告模板参见附录 B) 。 评估报告应准确、 清晰地描述评估活动的主要内容( 并附必要的证据或记录) , 提出可操作性的整改措施对策建议。风险评估报告的内容包括:

a) 评估概述, 包括评估目的及依据, 评估对象和范围, 评估结论等;

b) 评估工作情况, 包括评估人员、 评估时间安排、 评估工具和环境情况等;

c) 信息调研情况, 包括数据处理者、 业务和信息系统、 数据资产、 数据处理活动、 安全措施等情况, 形成的数据资产清单、 数据处理活动清单、 数据流图等文件可视情放在报告正文或附件中。

d) 数据安全风险识别, 包括数据安全管理、 数据处理活动、 数据安全技术、 个人信息保护等方面识别的风险隐患和问题情况;

e) 风险综合分析, 对数据安全问题可能带来的安全风险进行综合分析, 视情从风险对国家安全、 公共利益、 行业、 组织或者个人的合法权益造成的影响程度、 风险发生可能性等角度对风险进行评价;

f) 整改建议, 针对发现的数据安全问题或风险, 提出整改措施或风险处置建议;

g) 数据安全问题清单, 列出完整的数据安全问题清单, 并附上关键记录和证据, 若证据无法在附录中完整列出, 应列出证据关键信息和序号, 在提交评估报告时作为附件提交;

h) 涉及重要数据、 个人信息、 核心数据的, 应当详细列出处理的数据种类、 数量( 不包括数据内容本身) , 开展数据处理活动的情况, 面临的数据安全风险及其应对措施等;

i) 委托第三方机构开展评估或检查评估的, 评估报告应由评估组长、 审核人签字, 并加盖评估机构公章。

8.2 风险处置

被评估方应制定整改计划, 限期完成整改, 无法及时完成整改的,应采取临时安全措施, 防止数据安全事件发生。 被评估方完成整改后,评估方可视情开展数据安全风险复评工作, 复评时可重点分析风险处置后的残余风险, 以及采取额外控制措施可能导致的次生风险等。

网络故障申报:65098381  数字校园技术支持:65098744 教育技术服务支持:65098386 服务咨询:65098383

 Copyright© 2015 All Rights Reserved.昆明学院信息技术中心版权所有 滇ICP备15002642号-1 云教ICP备1105008号 公安备案号53019102000011