數(shù)據(jù)安全檢查表 - 檢查表

-14-數(shù)據(jù)安全能力自查檢查表--天道金科運營管理部信息安全檢查項目檢查子項檢查要點檢查參考檢查材料備注說明1-法律法規(guī)法規(guī)清單1.符合國家法律法規(guī)1.國家或地方的法律、法規(guī)，滿足的條款要求包括哪些？合同文書合作協(xié)議2-監(jiān)管合規(guī)合規(guī)管理1.參考的法規(guī)、標(biāo)準(zhǔn)規(guī)范、監(jiān)管要求參考的國家或地方的法規(guī)、國標(biāo)、行標(biāo)文件名稱，監(jiān)管要求文件名2.明確個人信息保護、跨境數(shù)據(jù)傳輸?shù)仍跀?shù)據(jù)全生命周期的合規(guī)管理要求1、全生命周期的合規(guī)管理要求2、跨境傳輸?shù)暮弦?guī)管理要求3、以上環(huán)節(jié)的安全管控措施3.明確要求建立合規(guī)清單，定期進行更新和宣貫清單內(nèi)容應(yīng)包括各類監(jiān)管機構(gòu)的合規(guī)要求、法律法規(guī)要求、標(biāo)準(zhǔn)規(guī)范要求等內(nèi)容4.明確合規(guī)性評估的業(yè)務(wù)場景1、應(yīng)涵蓋云計算、大數(shù)據(jù)、對外合作業(yè)務(wù)、數(shù)據(jù)分析業(yè)務(wù)、個人信息共享、移動APP等2、業(yè)務(wù)上線前、個人數(shù)據(jù)共享等關(guān)鍵環(huán)節(jié)的合規(guī)風(fēng)險評估5.規(guī)定合規(guī)性評估的開展時機、頻次等內(nèi)容無特殊情況，各業(yè)務(wù)場景，尤其是個人信息保護的合規(guī)評估每年至少一次；出現(xiàn)重大違規(guī)事件時，每年至少兩次6.記錄各場景的數(shù)據(jù)安全合規(guī)評估報告報告應(yīng)包括評估時間、評估人員、業(yè)務(wù)場景、評估內(nèi)容、評估結(jié)果、面臨的風(fēng)險、整改措施建議等內(nèi)容7.結(jié)合國家規(guī)定及監(jiān)管要求，明確跨境傳輸?shù)墓芾硪螅绕涫莻€人信息的跨境傳輸檢查隱私政策/聲明文件中關(guān)于數(shù)據(jù)跨境描述及安全保護聲明8.定期更新的合規(guī)要求清單可以正常使用并定期更新；訪問歷史記錄隱私政策/用戶協(xié)議1.明確個人信息采集的目的、用途、范圍、保存時限、到期處理方式等，尤其是敏感個人信息的采集必要性及影響程度，并經(jīng)被收集者同意1.隱私政策或用戶協(xié)議的條款是否明確有采集信息種類、用途、范圍、處理方式，及2.規(guī)定個人信息的查詢及更正渠道；規(guī)定用戶提出終止服務(wù)時的停止采集要求是否有個人信息查詢和更正的渠道、服務(wù)終止時的處理機制，例如用戶注銷條件，注銷后的數(shù)據(jù)銷毀3.規(guī)定涉及個人信息采集授權(quán)同意及合規(guī)性評估流程授權(quán)同意4.規(guī)定個人信息采集過程中的防泄漏措施安全保護措施備案管理1.開展域名ICP備案/公安系統(tǒng)備案，并在網(wǎng)站特定位置展示檢查是否有未履行備案手續(xù)的網(wǎng)站域名，備案信息是否及時更新。2.使用違規(guī)網(wǎng)絡(luò)接入資源制度明確公司網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)隔離，不存在境外業(yè)務(wù)，不需要申請訪問國際互聯(lián)網(wǎng)3.系統(tǒng)進行等級保護備案、APP登記備案3-數(shù)據(jù)源管理合作方管理1.設(shè)立負責(zé)合作方管理的部門、崗位和人員；規(guī)定合作方數(shù)據(jù)安全管理的責(zé)任部門、管理機制、監(jiān)督機制2.規(guī)定對合作方的數(shù)據(jù)安全保護能力進行資質(zhì)審核3.規(guī)定合作期間的數(shù)據(jù)安全定期風(fēng)險評估機制；支持合作方接口的監(jiān)控審核1、監(jiān)控內(nèi)容至少應(yīng)包括接入時限、接入范圍等4.規(guī)定合作方人員的管理規(guī)范合作方人員的登記、權(quán)限審批、保密協(xié)議簽訂5.合作方的管理臺賬機制1、臺賬內(nèi)容2、臺賬更新頻率數(shù)據(jù)源接入1.對直接采集和間接接入數(shù)據(jù)進行區(qū)分管理直接采集管理機制、間接采集管理機制2.建立數(shù)據(jù)源清單列表3.采集渠道為外部數(shù)據(jù)源時，應(yīng)指定對外部數(shù)據(jù)源的鑒別方式4.明確規(guī)定數(shù)據(jù)接入原則、接入渠道、接入流程、接入方式、頻度、字段類型、數(shù)據(jù)范圍、數(shù)據(jù)格式及停止接入等要求5.數(shù)據(jù)接入的合規(guī)性評估流程合規(guī)性評估報告（發(fā)起人、評估人、評估目的、評估內(nèi)容、評估過程、評估結(jié)果、審批人、審批過程等）6.具備統(tǒng)一的數(shù)據(jù)采集工具管理平臺7.數(shù)據(jù)源接入數(shù)據(jù)安全保護協(xié)議數(shù)據(jù)外部共享1.明確分組織機構(gòu)、分共享場景的外部數(shù)據(jù)共享安全策略2.規(guī)定對數(shù)據(jù)共享需求、共享范圍、共享內(nèi)容、共享流程的審核控制機制3.明確共享操作的審計規(guī)范及日志規(guī)范4.明確共享雙方的安全責(zé)任5.對個人信息的對外共享提出明確要求，以符合國家法律法規(guī)和監(jiān)管要求6.明確數(shù)據(jù)共享接口的安全控制策略1、身份鑒別、訪問控制、授權(quán)、簽名、時間戳、安全協(xié)議等2、接口的訪問參數(shù)，包括賬號、時間、訪問內(nèi)容、具體操作等，并進行必要的關(guān)聯(lián)分析3、接口調(diào)用的合作協(xié)議簽署，明確使用目的、共享方式、保密約定等7.對外共享場景下的數(shù)據(jù)溯源技術(shù)，如數(shù)字簽名、數(shù)字水印8.個人信息在不同場景下的共享安全防護1、場景至少包括委托處理、共享、轉(zhuǎn)讓等2、安全防護措施至少包括數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全通道、共享交換區(qū)等內(nèi)容。9.共享過程的監(jiān)控審計1、監(jiān)控工具名稱、界面、功能、監(jiān)控記錄（應(yīng)包括數(shù)據(jù)流向、接收者信息、處理操作等）等10.實現(xiàn)對數(shù)據(jù)接口調(diào)用的安全管控1、接口調(diào)用的安全通道、加密傳輸、時間戳等安全措施。4-技術(shù)應(yīng)用數(shù)據(jù)采集1.明確規(guī)定數(shù)據(jù)采集原則、采集渠道、采集流程、采集方式、采集頻度、采集類型、采集范圍、采集數(shù)據(jù)格式及停止采集等要求僅限于應(yīng)用系統(tǒng)采集2.數(shù)據(jù)采集的合規(guī)性評估流程合規(guī)性評估報告（評估目的、評估內(nèi)容、評估過程、評估結(jié)果、審批人、審批過程等）3.數(shù)據(jù)采集過程的自動化實現(xiàn)及日志記錄1.自采集的日志記錄；購買/共享使用第三方數(shù)據(jù)的采集日志記錄：對其中的個人數(shù)據(jù)應(yīng)明確第三方取得用戶授權(quán)，且第三方的采集合規(guī)合法合標(biāo)4.實現(xiàn)對采集環(huán)境的安全管控，防止數(shù)據(jù)泄露1.對采集設(shè)備的管控措施，軟件包括sdk、api等，硬件包括指紋采集設(shè)備、攝像頭、麥克風(fēng)等2.對采集接口的管控措施5.采用有效的防護手段，保障信息采集（包含用戶個人信息）的安全性1.具體的防護措施有哪些？每種采集設(shè)備/工具至少對應(yīng)1種采集防護手段6.提供個人信息的查詢及更正渠道、提供用戶注銷及刪除個人信息數(shù)據(jù)功能數(shù)據(jù)傳輸1.結(jié)合組織的數(shù)據(jù)分類分級策略，并明確提出相匹配的數(shù)據(jù)加密傳輸要求；定義傳輸流程的技術(shù)管控及安全防護措施1.至少應(yīng)描述包括傳輸通道加密、數(shù)據(jù)內(nèi)容加密、簽名驗簽、身份鑒別、數(shù)據(jù)傳輸接口安全等加密傳輸2.接口傳輸過程的防泄漏技術(shù)手段，支持安全通道、數(shù)據(jù)加密方式的安全技術(shù)方案2.對組織內(nèi)、外的傳輸場景進行了區(qū)分，并規(guī)定了差異化的加密措施1.內(nèi)部傳輸場景下的加密措施2.外部傳輸場景下的加密措施3.每種場景至少包括3種不同的加密措施數(shù)據(jù)分類保護措施3.規(guī)定新增接口、變更接口、廢棄接口等的處理流程API網(wǎng)關(guān)4.規(guī)定接口梳理的工作制度1．給出接口清單，包括：存在數(shù)據(jù)傳輸接口的業(yè)務(wù)系統(tǒng)、對端單位、對端系統(tǒng)、實現(xiàn)方式、接口類型（如：實時調(diào)用接口、文件傳輸接口等）、對外接口傳輸數(shù)據(jù)種類以及目前使用的安全防護措施（如：訪問控制、加密、數(shù)據(jù)脫敏、日志審計等）2．梳理頻率、更新頻率等5.規(guī)定對涉及個人信息傳輸?shù)慕涌趹?yīng)實施調(diào)用監(jiān)控1.給出涉及個人信息傳輸?shù)慕涌谇鍐?.監(jiān)控記錄應(yīng)包括調(diào)用id、調(diào)用時間、調(diào)用時長、調(diào)用接口名等信息DLP6.支持對接口調(diào)用的監(jiān)控，尤其是涉及個人信息傳輸?shù)慕涌?，包括?quán)限控制、流量監(jiān)控、調(diào)用過載保護等1.監(jiān)控工具，至少包括權(quán)限控制、流量監(jiān)控、調(diào)用過載保護等功能2.支持對個人信息傳輸接口的監(jiān)控API網(wǎng)關(guān)7.支持接口調(diào)用的自動化的日志記錄1.日志記錄至少應(yīng)包括調(diào)用id、調(diào)用時間、調(diào)用時長、調(diào)用接口名、傳輸數(shù)據(jù)量等信息8.實現(xiàn)定期對接口權(quán)限控制等相關(guān)功能的安全評估至少包含2次針對接口權(quán)限、接口安全防護措施等功能的安全評估9.支持系統(tǒng)間接口的身份鑒別與認證1.密鑰認證2.至少實現(xiàn)了對MAC地址、IP地址或端口號綁定等方式接入的管控鑒別10.對傳輸安全策略變更的審核及監(jiān)控變更前的審核及變更中的監(jiān)控數(shù)據(jù)存儲安全1.結(jié)合數(shù)據(jù)分類分級策略，規(guī)定差異化的安全存儲保護方式等應(yīng)提供加密、授權(quán)、數(shù)據(jù)水印、數(shù)字簽名等不同的保護手段2.規(guī)定數(shù)據(jù)存儲系統(tǒng)的安全配置規(guī)則，如授權(quán)管理、訪問控制、加密管理、配置變更等使用的系統(tǒng)名稱、功能；功能應(yīng)包括授權(quán)管理、訪問控制、加密、配置變更、重大操作的多人共管等數(shù)據(jù)庫訪問控制系統(tǒng)3.建立邏輯存儲資源的環(huán)境變更、配置變更機制，對操作流程、安全配置進行規(guī)范查看變更記錄4.明確了個人信息存儲的相關(guān)規(guī)定，以符合國家法律法規(guī)和監(jiān)管要求1.參考的法律法規(guī)、監(jiān)管政策文件名2.規(guī)定至少應(yīng)包括：存儲時長、去標(biāo)識化處理、敏感個人信息的存儲存儲的個人信息與采集的范圍一致注銷后的賬戶在系統(tǒng)中被及時刪除或匿名化處理（不可關(guān)聯(lián)到個人且不可復(fù)原）5.規(guī)定了存儲介質(zhì)的登記、審批、標(biāo)記、接入接出、可用性要求等安全管理措施;明確存儲介質(zhì)的配置規(guī)則、變更流程及授權(quán)管理規(guī)范等要求;操作記錄、實現(xiàn)記錄6.定義了存儲介質(zhì)的獲?。ㄙ徺I）、使用、維護、銷毀等流程1.應(yīng)包括對本地終端、移動存儲介質(zhì)兩種情況的定義2.介質(zhì)的使用場景，尤其注意下載操作7.實現(xiàn)了邏輯存儲系統(tǒng)和存儲介質(zhì)的權(quán)限管理、訪問控制等技術(shù)手段工具展示8.提供多種加密存儲手段（如磁盤加密、文檔加密、數(shù)據(jù)庫表行級加密等），滿足不同的數(shù)據(jù)保密要求至少提供2種不同密級數(shù)據(jù)的加密方案9.支持分類分級的差異化數(shù)據(jù)存儲管理10.能夠?qū)Υ鎯ο到y(tǒng)的安全配置進行定期掃描至少2次的掃描記錄備份恢復(fù)1.明確了數(shù)據(jù)備份范圍、備份頻率、備份方式、備份工具、備份地點、日志記錄、保存時長、數(shù)據(jù)恢復(fù)性驗證機制等內(nèi)容1.具體備份機制2.使用的工具名稱、界面、功能2.規(guī)定了備份數(shù)據(jù)的定期檢查工作制度，以滿足數(shù)據(jù)服務(wù)可靠性、可用性等安全目標(biāo)檢查副本的更新頻率、保存期限3.規(guī)定了生命周期各階段的數(shù)據(jù)歸檔操作流程具體流程、操作記錄4.規(guī)定了使用第三方備份服務(wù)時的協(xié)同工作機制5.明確了備份數(shù)據(jù)的壓縮或加密要求6.結(jié)合國家法律法規(guī)和監(jiān)管要求等，規(guī)定了個人信息的備份制度7.備份數(shù)據(jù)的安全防護手段（如加密或壓縮算法、訪問控制機制等）、過期刪除機制、誤刪除恢復(fù)機制等功能1.加密或壓縮算法、訪問控制機制等2.誤刪除避免及恢復(fù)機制3.過期數(shù)據(jù)的徹底刪除機制，確保無法恢復(fù)，尤其是個人信息8.備份數(shù)據(jù)的完整性和可用性驗證驗證記錄9.具備數(shù)據(jù)存儲跨機柜/機房的容錯部署能力容錯記錄數(shù)據(jù)使用1.明確了各業(yè)務(wù)場景下的數(shù)據(jù)使用審批流程、數(shù)據(jù)權(quán)限申請流程、數(shù)據(jù)脫敏規(guī)范、數(shù)據(jù)訪問控制、數(shù)據(jù)結(jié)果發(fā)布審核、數(shù)據(jù)保護要求等內(nèi)容1.數(shù)據(jù)使用審批流程應(yīng)對數(shù)據(jù)使用范圍、使用限制、使用權(quán)限、合規(guī)要求、安全防護要求等內(nèi)容進行審核

2.數(shù)據(jù)權(quán)限申請流程應(yīng)對數(shù)據(jù)源、數(shù)據(jù)使用場景、使用范圍、使用邏輯、是否包含個人信息等內(nèi)容進行審核2.規(guī)定數(shù)據(jù)使用管理相關(guān)平臺系統(tǒng)的訪問控制措施1、應(yīng)包括賬號身份管理、身份憑證保護、數(shù)據(jù)權(quán)限設(shè)置、權(quán)限審批與申請等內(nèi)容3.明確個人信息的使用安全保護規(guī)范，以符合國家法律法規(guī)及監(jiān)管要求1.參考的法律法規(guī)、監(jiān)管政策文件名

2.除了用戶授權(quán)同意的使用外，處理個人信息應(yīng)消除明確的身份指向性

3.信用體系評價、被監(jiān)護人行蹤、執(zhí)法部門協(xié)助等場景下的使用，應(yīng)事先告知4.定義違規(guī)使用數(shù)據(jù)的操作違規(guī)使用操作列表5.明確脫敏處理使用場景場景列表6.規(guī)定數(shù)據(jù)脫敏規(guī)則、方法、處理流程等與場景對應(yīng)的脫敏規(guī)則、方法、流程等內(nèi)容7.部署了脫敏工具，并對敏感數(shù)據(jù)的脫敏操作進行日志記錄1．工具名稱、界面、功能2．敏感數(shù)據(jù)的脫敏操作日志記錄，尤其是敏感個人信息的脫敏日志8.支持賬號權(quán)限管理、訪問控制等管控要求1.支持不同的訪問控制粒度9.支持數(shù)據(jù)脫敏處理的安全審計1.對脫敏后的數(shù)據(jù)可恢復(fù)性進行安全評估

2.對脫敏處理的操作進行日志檢查，日志中應(yīng)記錄：操作時間、操作賬號、脫敏方法、脫敏后的存儲、使用等。10.支持違規(guī)使用行為的有效識別、監(jiān)控數(shù)據(jù)庫防火墻數(shù)據(jù)處理環(huán)境1.明確系統(tǒng)設(shè)計、開發(fā)、運維階段的數(shù)據(jù)安全控制措施2.規(guī)定數(shù)據(jù)處理環(huán)境的身份鑒別、訪問控制、安全配置等環(huán)境管理要求；終端環(huán)境的管理規(guī)范；分布式處理場景下的環(huán)境安全要求至少應(yīng)包括：1.外部服務(wù)組件的注冊、審核、使用2.節(jié)點間的連接認證3.節(jié)點和用戶身份驗證4.副本節(jié)點的更新檢測、防泄漏等3.具備數(shù)據(jù)處理的日志管理工具1.工具的名稱、界面、功能

2.具體日志內(nèi)容展現(xiàn)4.具備數(shù)據(jù)處理過程的防泄漏工具1.工具的名稱、界面、功能DLP5.支持不同業(yè)務(wù)場景下的資源隔離控制1.支持對數(shù)據(jù)、系統(tǒng)功能、運營環(huán)境等進行隔離數(shù)據(jù)共享1.建立符合業(yè)務(wù)規(guī)則的內(nèi)部數(shù)據(jù)共享安全策略，如授權(quán)策略、流程控制策略、不一致處理策略等1、至少2套安全策略，包括授權(quán)、流程控制、不一致處理等內(nèi)容2.明確使用存儲介質(zhì)導(dǎo)出數(shù)據(jù)時的管理規(guī)范及操作規(guī)程1、介質(zhì)的標(biāo)識、數(shù)據(jù)的標(biāo)識、使用者的標(biāo)識管理等2、導(dǎo)出數(shù)據(jù)的完整性和可用性驗證3、批量導(dǎo)出的審查審批3.規(guī)定內(nèi)部共享的授權(quán)審批及安全評估流程，尤其當(dāng)存在大量或敏感數(shù)據(jù)的共享場景4.數(shù)據(jù)內(nèi)部共享清單；5.共享兩側(cè)的設(shè)備、用戶、系統(tǒng)之間的身份鑒別與訪問控制；對導(dǎo)出的敏感數(shù)據(jù)采取了脫敏措施數(shù)據(jù)銷毀1.規(guī)定數(shù)據(jù)銷毀流程、銷毀場景、銷毀原因、銷毀方式、銷毀工具、銷毀對象等1、銷毀場景應(yīng)包括架構(gòu)調(diào)整、業(yè)務(wù)下線、用戶退出服務(wù)、節(jié)點失效、試用結(jié)束、超出保存時效等2、批量銷毀時的多人操作模式2.規(guī)定數(shù)據(jù)銷毀的審批機制1、審批流程、審批記錄等3.規(guī)定個人信息銷毀的安全保護措施，以符合國家法律法規(guī)和監(jiān)管要求4.明確第三方存儲的銷毀規(guī)范;已外部共享的數(shù)據(jù)的銷毀機制5.明確對存儲不同重要性內(nèi)容的各類介質(zhì)的銷毀方法1、至少提供2種銷毀方法6.規(guī)定不同的銷毀措施（硬銷毀和軟銷毀等）7.規(guī)范登記、審批、交接等介質(zhì)銷毀流程8.規(guī)定銷毀后的核驗及資源回收措施9.銷毀工具、銷毀效果驗證、銷毀過程記錄日志5-數(shù)據(jù)安全風(fēng)險評估1.重要應(yīng)用系統(tǒng)及網(wǎng)絡(luò)應(yīng)無高位風(fēng)險漏洞WEB系統(tǒng)及網(wǎng)絡(luò)進行滲透測試及風(fēng)險評估活動2.主要服務(wù)器、網(wǎng)絡(luò)設(shè)備及軟件應(yīng)避免使用存在風(fēng)險的默認配置基線檢查6-內(nèi)部管理安全規(guī)劃1.考慮國家法律法規(guī)和監(jiān)管要求，以及組織的數(shù)據(jù)安全需求參考的國家或地方的法律、法規(guī)、國標(biāo)、行標(biāo)文件名稱；數(shù)據(jù)安全需求文件及列表，佐證怎樣結(jié)合了企業(yè)的數(shù)據(jù)安全需求2.制定組織的數(shù)據(jù)安全總體策略，明確了安全方針、安全目標(biāo)和安全原則等內(nèi)容安全總體策略的制定部門、實施部門、具體內(nèi)容、實施時間、實施計劃、實施人員、實施地點、審核機制等；安全方針、安全目標(biāo)、安全原則等3.明確組織的數(shù)據(jù)安全戰(zhàn)略規(guī)劃，包括各階段目標(biāo)、任務(wù)、工作重點，并保障其與業(yè)務(wù)規(guī)劃相適應(yīng)4.應(yīng)制定數(shù)據(jù)安全總體規(guī)劃，至少每年開展數(shù)據(jù)安全規(guī)劃活動，應(yīng)由高管層領(lǐng)導(dǎo)和安全規(guī)劃負責(zé)人及各業(yè)務(wù)條線負責(zé)人參與，定期審核檢查規(guī)劃研討會記錄、安全規(guī)劃更新記錄，或安全規(guī)劃成果報告5.進行數(shù)據(jù)安全規(guī)劃推廣描述是否存在演示規(guī)劃、規(guī)劃文檔的發(fā)布活動6.安全規(guī)劃的公開查詢查詢查看安全規(guī)劃成果報告或內(nèi)容組織建設(shè)1.設(shè)立數(shù)據(jù)安全管理責(zé)任部門、崗位及領(lǐng)導(dǎo)人員，明確其職責(zé)范圍（安全規(guī)劃、生命周期管理、分類分級管理等）；設(shè)立數(shù)據(jù)安全監(jiān)督審計部門，負責(zé)組織內(nèi)部數(shù)據(jù)安全操作行為監(jiān)督1部門、崗位、人員；2.職責(zé)范圍，包括但不限于安全規(guī)劃、全生命周期管理、監(jiān)控審計、合規(guī)評估、權(quán)限管理、應(yīng)急響應(yīng)、教育培訓(xùn)、數(shù)據(jù)分類分級等內(nèi)容2.數(shù)據(jù)安全責(zé)任體系，包括規(guī)劃、建設(shè)、運營等在內(nèi)3.配備數(shù)據(jù)安全崗位人員，具體落地執(zhí)行數(shù)據(jù)安全工作，包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲等生命周期管理中的不同崗位職責(zé)及人員制度建設(shè)1.建立數(shù)據(jù)安全治理制度規(guī)范數(shù)據(jù)安全管理、運維、分類分級、備份與災(zāi)難恢復(fù)、應(yīng)急預(yù)案等2.數(shù)據(jù)安全規(guī)劃制度、數(shù)據(jù)安全管理制度的編制、評審、發(fā)布、更新流程、分發(fā)機制1.數(shù)據(jù)安全規(guī)劃的制定部門、實施部門、編制人員、編制過程、評審流程、發(fā)布流程、更新流程等2.是否由數(shù)據(jù)安全規(guī)劃組織對數(shù)據(jù)安全策略進行統(tǒng)一規(guī)劃、發(fā)布、更新3.明確數(shù)據(jù)安全管理的目的、范圍、崗位、責(zé)任、管理層承諾、內(nèi)外部協(xié)調(diào)機制及合規(guī)目標(biāo)等4.定義數(shù)據(jù)安全生命周期管理中安全策略變更的審批和監(jiān)控機制1.策略的變更至少包括密鑰使用、傳輸通道及接口安全配置、密碼算法選擇、傳輸協(xié)議升級等2.不同變更場景下的審批機制3.實際變更過程的監(jiān)控機制人員管理1.建立數(shù)據(jù)安全人員管理規(guī)范；數(shù)據(jù)安全治理績效評價體系，制定數(shù)據(jù)安全人員考核辦法1.崗位職責(zé)、追責(zé)機制；人員招聘、培訓(xùn)、上崗、調(diào)離、離崗、考核、選拔等安全管理要求；是否可以量化，量化標(biāo)準(zhǔn)2.涉敏崗位的權(quán)限分離、多人共管制度3.數(shù)據(jù)生命周期各階段的管理要求及管控措施等2.制定了團隊培訓(xùn)、能力提升計劃，通過引入內(nèi)部、外部資源定期開展人員培訓(xùn)，提升團隊人員的數(shù)據(jù)安全治理技能查驗或描述關(guān)于年度培訓(xùn)次數(shù)、培訓(xùn)類型、培訓(xùn)人員覆蓋率、考試次數(shù)等內(nèi)容3.人員流動與數(shù)據(jù)操作權(quán)限的管理、員工入職時進行最小化權(quán)限分配如何最小化權(quán)限分配，不同崗位的具體的分配規(guī)則4.人員安全保密管理、培訓(xùn)、記錄風(fēng)險管理1.明確風(fēng)險評估和需求分析的流程、評估機制、開展周期2.根據(jù)組織自身數(shù)據(jù)服務(wù)的脆弱性和面臨的威脅，明確了安全風(fēng)險場景和應(yīng)對措施1、安全風(fēng)險場景列表，應(yīng)對措施列表2、如何結(jié)合的服務(wù)脆弱性和面臨的威脅3.數(shù)據(jù)安全事件類型及等級劃分參考；明確不同類型及等級的數(shù)據(jù)安全事件的處置流程和方法4.不同類型及等級的數(shù)據(jù)安全事件的應(yīng)急預(yù)案5.留存應(yīng)急響應(yīng)處置記錄、演練記錄鑒別與訪問1.明確組織內(nèi)各部門各員工以及外包人員及實習(xí)生等的身份鑒別、訪問控制及權(quán)限管理等要求2.明確權(quán)限申請和分配原則、變更制度、撤銷流程等管理要求1、應(yīng)基于最小必要、職權(quán)分離的原則進行權(quán)限分配2、權(quán)限申請、變更、撤銷的審核流程3.規(guī)定賬號權(quán)限等的定期審核制度4.規(guī)定賬號口令的訪問控制復(fù)雜度要求5.具備身份鑒別管理系統(tǒng)、權(quán)限管理系統(tǒng)；提供口令、密碼技術(shù)、生物識別等多種鑒別技術(shù)監(jiān)控審計1.明確監(jiān)控審計工作的牽頭及配合執(zhí)行部門2.明確數(shù)據(jù)安全風(fēng)險行為的識別和評估規(guī)則1、數(shù)據(jù)操作事件列表2、識別及評估規(guī)則3.明確了審計目的、審計對象、審計內(nèi)容（異常操作的定義）、審計流程、審計頻度、審計報告、審計問題整改