網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查規(guī)范

I II III 1 1 1 2 2 3 9 10 11 17 221網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查規(guī)范本文件規(guī)定了網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查的流程、內(nèi)容也適用于各類網(wǎng)絡(luò)數(shù)據(jù)處理者開展建設(shè)、自GB/T35273信息安全技術(shù)個人信息安全GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟GB/T35273和GB/T37988界定的以及下列術(shù)語和定義適用于本文件。3.2通過網(wǎng)絡(luò)處理和產(chǎn)生的各類電子數(shù)據(jù)。3.5在網(wǎng)絡(luò)數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人和組23.64監(jiān)督檢查流程4.1準(zhǔn)備階段4.1.4檢查組事先應(yīng)向網(wǎng)絡(luò)數(shù)據(jù)處理者告知相關(guān)檢查事項(xiàng)，包括但不限于4.1.5檢查組在實(shí)施檢查過程中，應(yīng)如實(shí)記錄檢查時間、地點(diǎn)、內(nèi)容、發(fā)現(xiàn)的問題及其處理情況等。4.2實(shí)施階段檢查記錄單，按照附錄B執(zhí)行。實(shí)施過程中，應(yīng)不干4.3整改階段4.4總結(jié)階段a)人員訪談：通過訪談的方式與網(wǎng)絡(luò)數(shù)據(jù)處理者進(jìn)行交流、討論等活動,獲取相關(guān)資料,了解有關(guān)信息，檢查實(shí)際工作與管理制度、文檔記錄之間3b)文檔審核：由網(wǎng)絡(luò)數(shù)據(jù)處理者提供與數(shù)據(jù)安全相關(guān)的文檔材料(如網(wǎng)絡(luò)數(shù)據(jù)安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及與產(chǎn)品技術(shù)相關(guān)的設(shè)計實(shí)施方案、配置說明、運(yùn)行記錄和其他配套表單),檢查組審核相關(guān)的文檔材料是否已涵蓋檢查5.2技術(shù)檢查b)配置檢查：根據(jù)網(wǎng)絡(luò)數(shù)據(jù)處理者提供的技術(shù)材料,登錄相關(guān)的系統(tǒng)工具平臺,檢查配置是否與6.1總體要求6.2通用安全a)是否定期開展數(shù)據(jù)安全評估工作；c)是否填報數(shù)據(jù)安全備案信息，并及時更新相關(guān)數(shù)據(jù)；f)是否建立個人信息管理制度和操作規(guī)程，是否明確審批制度、h)是否建立數(shù)據(jù)跨境管理制度，是否明確審批制度、流i)涉及數(shù)據(jù)出境的，檢查數(shù)據(jù)出境前是否開展4a)涉及處理敏感個人信息，或利用個人信息進(jìn)行自動化決策，或委托處人信息處理者提供個人信息、公開個人信息，或向境外b)涉及收集使用兒童個人信息的，是否在符合個人信息保護(hù)的基礎(chǔ)上，加強(qiáng)對兒童個人信息的d)相關(guān)信息系統(tǒng)是否采用商用密碼檢測a)是否建立數(shù)據(jù)分類分級制度、規(guī)程、操作指南；a)是否制定面向終端的數(shù)據(jù)安全管理規(guī)范和要求；b)是否設(shè)置數(shù)據(jù)安全管理崗位，并指定專人對終端數(shù)據(jù)安全進(jìn)行統(tǒng)一管理；a)是否為進(jìn)入內(nèi)部網(wǎng)絡(luò)環(huán)境的終端設(shè)備，分配終端識別號，并實(shí)現(xiàn)計算機(jī)終端設(shè)備與用戶賬號6.3數(shù)據(jù)收集安全5b)是否明確收集數(shù)據(jù)的目的和用途，檢c)涉及個人信息收集的，是否明確個人信息收集的目的、方式和范圍，并經(jīng)被收集者同意或符6.4數(shù)據(jù)存儲安全a)是否建立數(shù)據(jù)存儲管理制度，規(guī)范存儲媒體使用、購買和標(biāo)記流程；c)是否執(zhí)行定期的數(shù)據(jù)備份和恢復(fù)，實(shí)現(xiàn)對存儲數(shù)據(jù)的冗余管理，保護(hù)數(shù)據(jù)的可用性。a)是否具備對存儲媒體性能監(jiān)控措施，包括使用歷史、性能指標(biāo)、錯誤或損壞情況，對超過安6.5數(shù)據(jù)使用安全b)是否用存儲媒體進(jìn)行數(shù)據(jù)導(dǎo)出時，應(yīng)建立存儲媒體的標(biāo)識規(guī)范；6c)是否對導(dǎo)入導(dǎo)出的終端、用戶或服務(wù)組件等執(zhí)行身份鑒別，6.6數(shù)據(jù)加工安全a)是否建立多源數(shù)據(jù)聚合、關(guān)聯(lián)分析等數(shù)據(jù)b)是否建立數(shù)據(jù)分析結(jié)果輸出的安全審查機(jī)制和授權(quán)控制機(jī)制，并采取必要的技術(shù)手段和管控7a)是否建立數(shù)據(jù)脫敏制度、流程和方法，指導(dǎo)數(shù)據(jù)脫敏操作；b)是否具備數(shù)據(jù)脫敏軟件或工具，對敏感數(shù)據(jù)傳輸、共享、發(fā)布等環(huán)節(jié)敏感信息進(jìn)行隱藏、模6.7數(shù)據(jù)傳輸安全a)是否制定數(shù)據(jù)安全傳輸管理規(guī)范，明確數(shù)據(jù)傳輸安全要求；b)是否具備對傳輸通道兩端進(jìn)行主體身份鑒別和認(rèn)證的6.8數(shù)據(jù)提供安全a)是否制定數(shù)據(jù)共享內(nèi)容、范圍、安全管理制度；d)是否在數(shù)據(jù)共享過程中采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全通道等措施。是否對共享數(shù)據(jù)、數(shù)據(jù)共享范圍及數(shù)據(jù)共享過程進(jìn)b)是否明確數(shù)據(jù)供應(yīng)鏈上下游保護(hù)的義務(wù)和責(zé)任、保護(hù)范圍、使用目的、供應(yīng)方式、保密約定8b)是否建立數(shù)據(jù)供應(yīng)鏈庫，并及時更新數(shù)據(jù)供應(yīng)鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字典，6.9數(shù)據(jù)公開安全a)是否采取發(fā)布數(shù)據(jù)使用合規(guī)性保護(hù)的技術(shù)措施；b)是否建立公開數(shù)據(jù)登記、用戶注冊等發(fā)布數(shù)據(jù)和發(fā)布b)是否制定數(shù)據(jù)接口安全控制策略，明確規(guī)定使用服務(wù)接口的安全限制和安全控d)是否采用技術(shù)工具擦除銷毀核心業(yè)務(wù)存儲媒體的數(shù)據(jù)內(nèi)容。是否針對閃存、硬盤、磁帶、光盤等存儲媒體建立數(shù)據(jù)銷毀97.1單項(xiàng)結(jié)果判定7.2整體結(jié)果判定p=檢查點(diǎn)數(shù)。7.3檢查結(jié)果確認(rèn)7.3.2委托第三方網(wǎng)絡(luò)數(shù)據(jù)安全服務(wù)機(jī)構(gòu)提供技術(shù)支持的，技術(shù)支持人員應(yīng)當(dāng)一并在監(jiān)督檢查記錄上 12b)是否定期開展網(wǎng)絡(luò)安全等級保護(hù)測345否定期開展數(shù)據(jù)安全培訓(xùn)和應(yīng)急演練6f)是否建立個人信息管理制度和操作789d)相關(guān)信息系統(tǒng)是否采用商用密碼檢b)是否開展數(shù)據(jù)分類分級標(biāo)識和管理是否按照數(shù)據(jù)分類分級的要求建立相a)是否制定面向終端的數(shù)據(jù)安全管理a)是否為進(jìn)入內(nèi)部網(wǎng)絡(luò)環(huán)境的終端設(shè)技術(shù)手段對終端上傳輸?shù)臄?shù)據(jù)進(jìn)行風(fēng)是否明確對內(nèi)部各類數(shù)據(jù)訪問和操作是否采用自動和人工審計相結(jié)合的方式對網(wǎng)絡(luò)傳輸數(shù)據(jù)的高風(fēng)險操作進(jìn)行集和獲取到的數(shù)據(jù)進(jìn)行完整性和一致個人信息和重要數(shù)據(jù)在收集過程中泄數(shù)據(jù)存儲冗余策略和存儲安全管理制b)是否具備存儲媒體訪問和使用的安在數(shù)據(jù)使用聲明的目的和范圍內(nèi)對受是否采用技術(shù)手段記錄和管理數(shù)據(jù)使a)是否建立數(shù)據(jù)導(dǎo)入導(dǎo)出安全制度或是否定期驗(yàn)證導(dǎo)出數(shù)據(jù)的完整性和可制a)是否指定專人負(fù)責(zé)管理核心業(yè)務(wù)系b)是否制定核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫的是否采用兩種或兩種以上組合的鑒別c)是否在對外部組織展示重要數(shù)據(jù)和敏感個人信息時，采用數(shù)據(jù)脫敏等技是否在展示重要數(shù)據(jù)和敏感個人信息是否建立數(shù)據(jù)分析相關(guān)數(shù)據(jù)源獲取規(guī)數(shù)據(jù)分析過程中的數(shù)據(jù)資源操作規(guī)范b)是否建立數(shù)據(jù)分析結(jié)果輸出的安全a)是否建立數(shù)據(jù)脫敏制度、流程和方b)是否具備對傳輸通道兩端進(jìn)行主體是否明確業(yè)務(wù)中需要加密傳輸?shù)臄?shù)據(jù)c)是否明確數(shù)據(jù)共享最低安全防護(hù)要d)是否在數(shù)據(jù)共享過程中采取數(shù)據(jù)脫全定義數(shù)據(jù)供應(yīng)鏈安全目標(biāo)、原則和范b)是否明確數(shù)據(jù)供應(yīng)鏈上下游保護(hù)的a)是否對數(shù)據(jù)供應(yīng)鏈上下游的行為進(jìn)數(shù)據(jù)供應(yīng)鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字a)是否建立數(shù)據(jù)資源公開發(fā)布的審核制度，嚴(yán)格審核數(shù)據(jù)發(fā)布業(yè)務(wù)的合規(guī)b)是否指定專人負(fù)責(zé)數(shù)據(jù)發(fā)布信息的披露，并對數(shù)據(jù)披露人員進(jìn)行安全培a)是否采取發(fā)布數(shù)據(jù)使用合規(guī)性保護(hù)a)是否建立數(shù)據(jù)接口安全制度與技術(shù)確規(guī)定使用服務(wù)接口的安全限制和安a)是否具備對接口不安全輸入?yún)?shù)進(jìn)c)是否按照分類分級建立相應(yīng)的數(shù)據(jù)d)是否采用技術(shù)工具擦除銷毀核心業(yè)1121314151678191d)相關(guān)信息系統(tǒng)是否采用商用密碼檢測認(rèn)證機(jī)構(gòu)核準(zhǔn)的111c)是否為在網(wǎng)絡(luò)環(huán)境的終端設(shè)備，安裝統(tǒng)一的防病毒軟1a)是否為進(jìn)入內(nèi)部網(wǎng)絡(luò)環(huán)境的終端設(shè)備，分配終端識別1是否采用自動和人工審計相結(jié)合的方式對網(wǎng)絡(luò)傳輸數(shù)據(jù)11111111制a)是否指定專人負(fù)責(zé)管理核心業(yè)務(wù)系統(tǒng)的用戶身份及數(shù)11是否采用兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)1