2023網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引

網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引2023IVIV目錄前言 I技術(shù)支持單位 II范圍 1術(shù)語(yǔ)定義 1風(fēng)險(xiǎn)評(píng)估概述 3評(píng)估思路 3評(píng)估內(nèi)容 3評(píng)估流程 4評(píng)估手段 6評(píng)估準(zhǔn)備 6明確評(píng)估目標(biāo) 7確定評(píng)估范圍 7組建評(píng)估團(tuán)隊(duì) 8開展前期準(zhǔn)備 9制定評(píng)估方案 10信息調(diào)研 11數(shù)據(jù)處理者調(diào)研 11業(yè)務(wù)和信息系統(tǒng)調(diào)研 12數(shù)據(jù)資產(chǎn)調(diào)研 12數(shù)據(jù)處理活動(dòng)調(diào)研 13安全措施調(diào)研 14風(fēng)險(xiǎn)識(shí)別 15數(shù)據(jù)安全管理 15數(shù)據(jù)處理活動(dòng) 26數(shù)據(jù)安全技術(shù) 38個(gè)人信息保護(hù) 45綜合分析 56梳理問題清單 56風(fēng)險(xiǎn)分析與評(píng)價(jià) 57提出整改建議 57評(píng)估總結(jié) 57評(píng)估報(bào)告 57風(fēng)險(xiǎn)處置 59附錄A典型數(shù)據(jù)安全風(fēng)險(xiǎn)類別 60附錄B評(píng)估報(bào)告模板 62PAGEPAGE61范圍本指南給出了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估思路、工作流程和評(píng)估內(nèi)術(shù)語(yǔ)定義網(wǎng)絡(luò)數(shù)據(jù)通過(guò)網(wǎng)絡(luò)處理和產(chǎn)生的各種電子數(shù)據(jù)，簡(jiǎn)稱“數(shù)據(jù)”。數(shù)據(jù)處理者在數(shù)據(jù)處理活動(dòng)中自主決定處理目的和處理方式的個(gè)人和組織。數(shù)據(jù)安全通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。數(shù)據(jù)處理活動(dòng)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估共同處理兩個(gè)以上的數(shù)據(jù)處理者共同決定數(shù)據(jù)的處理目的和處理方式的數(shù)據(jù)處理活動(dòng)。注：兩個(gè)以上含兩個(gè)。數(shù)據(jù)安全風(fēng)險(xiǎn)數(shù)據(jù)安全事件的發(fā)生可能性及其對(duì)國(guó)家安全、公共利益或者組織、個(gè)人合法權(quán)益造成的影響。合理性數(shù)據(jù)處理遵守法律、行政法規(guī)要求，尊重社會(huì)公德和倫理道德，符合網(wǎng)絡(luò)安全和數(shù)據(jù)安全常識(shí)道理。風(fēng)險(xiǎn)隱患注：風(fēng)險(xiǎn)隱患，既包括安全威脅利用脆弱性可能導(dǎo)致數(shù)據(jù)安全事件的風(fēng)險(xiǎn)隱患，也包括數(shù)據(jù)處理活動(dòng)不合理操作可能造成違法違規(guī)處理事件的風(fēng)險(xiǎn)隱患。業(yè)務(wù)組織為實(shí)現(xiàn)某項(xiàng)發(fā)展規(guī)劃而開展的運(yùn)營(yíng)活動(dòng)。[來(lái)源：GB/T20984-2022,3.1.4]自評(píng)估評(píng)估的活動(dòng)。檢查評(píng)估由數(shù)據(jù)處理者的上級(jí)主管部門、業(yè)務(wù)主管部門或國(guó)家有關(guān)主管風(fēng)險(xiǎn)評(píng)估概述評(píng)估思路評(píng)估內(nèi)容1圖1數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估內(nèi)容框架評(píng)估流程2圖2數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估流程及主要產(chǎn)出物3圖3自評(píng)估實(shí)施流程4圖4檢查評(píng)估實(shí)施流程評(píng)估手段開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估時(shí)，綜合采取下列手段進(jìn)行評(píng)估：文檔查驗(yàn)：查驗(yàn)安全管理制度、風(fēng)險(xiǎn)評(píng)估報(bào)告、等保測(cè)評(píng)報(bào)安全核查：核查網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)庫(kù)和大數(shù)據(jù)平臺(tái)等相關(guān)系統(tǒng)技術(shù)測(cè)試：應(yīng)用技術(shù)工具、滲透測(cè)試等手段查看數(shù)據(jù)資產(chǎn)情評(píng)估準(zhǔn)備明確評(píng)估目標(biāo)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)，包括但不限于：a）摸清數(shù)據(jù)種類、規(guī)模、分布等基本情況；b）摸清數(shù)據(jù)處理活動(dòng)的情況；發(fā)現(xiàn)可能影響國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益發(fā)現(xiàn)共享、交易、委托處理、向境外提供重要數(shù)據(jù)等處理活確定評(píng)估范圍”組建評(píng)估團(tuán)隊(duì)組建檢查評(píng)估團(tuán)隊(duì)組建自評(píng)估團(tuán)隊(duì)開展前期準(zhǔn)備制定工作計(jì)劃確定評(píng)估依據(jù)評(píng)估依據(jù)包括但不限于：（d）數(shù)據(jù)安全相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等。開展自評(píng)估時(shí)，本單位數(shù)據(jù)安全制度規(guī)范可作為評(píng)估依據(jù)之一。確定評(píng)估內(nèi)容涉及處理個(gè)人信息的，應(yīng)在a）開展評(píng)估工作過(guò)程中，可根據(jù)任務(wù)要求、評(píng)估重點(diǎn)、監(jiān)管需要、評(píng)估依據(jù)等，進(jìn)一步完善評(píng)估內(nèi)容。建立評(píng)估文檔制定評(píng)估方案組織評(píng)估隊(duì)伍編制風(fēng)險(xiǎn)評(píng)估工作方案，方案內(nèi)容包括但不限于：評(píng)估范圍：包括評(píng)估對(duì)象選擇方法、評(píng)估對(duì)象描述、評(píng)估范評(píng)估內(nèi)容和方法：包括評(píng)估內(nèi)容、評(píng)估準(zhǔn)則、評(píng)估方法等內(nèi)容；評(píng)估人員：包括評(píng)估隊(duì)伍的組織結(jié)構(gòu)、負(fù)責(zé)人、成員、職責(zé)測(cè)試方案：開展技術(shù)測(cè)試前應(yīng)明確測(cè)試方案，包括采用的技信息調(diào)研數(shù)據(jù)處理者調(diào)研數(shù)據(jù)處理者的基本情況包括但不限于：?jiǎn)挝幻Q、組織機(jī)構(gòu)代碼、辦公地址、法定代表人信息、人網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等；g）數(shù)據(jù)處理相關(guān)服務(wù)取得行政許可的情況；h）被評(píng)估單位的資本組成和實(shí)際控制人情況；i）是否境外上市或計(jì)劃赴境外上市及境外資本參與情況，或以協(xié)議控制（VIE）架構(gòu)等方式實(shí)質(zhì)性境外上市。業(yè)務(wù)和信息系統(tǒng)調(diào)研業(yè)務(wù)和信息系統(tǒng)情況包括但不限于：網(wǎng)絡(luò)和信息系統(tǒng)基本情況，包括網(wǎng)絡(luò)規(guī)模、拓?fù)浣Y(jié)構(gòu)、信息業(yè)務(wù)基本信息，包括業(yè)務(wù)描述、業(yè)務(wù)類型、服務(wù)對(duì)象、業(yè)務(wù)信息系統(tǒng)、App和小程序情況，包括系統(tǒng)功能、網(wǎng)絡(luò)安全等AppSDK數(shù)據(jù)資產(chǎn)調(diào)研（（如數(shù)據(jù)資產(chǎn)情況，包括數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)范圍、數(shù)據(jù)規(guī)模、數(shù)據(jù)分類分級(jí)情況，包括數(shù)據(jù)分類分級(jí)規(guī)則、數(shù)據(jù)類別、數(shù)個(gè)人信息情況，包括個(gè)人信息種類、規(guī)模、敏感程度、數(shù)據(jù)重要數(shù)據(jù)情況，包括重要數(shù)據(jù)種類、規(guī)模、行業(yè)領(lǐng)域、敏感核心數(shù)據(jù)情況，包括核心數(shù)據(jù)種類、規(guī)模、行業(yè)領(lǐng)域、敏感數(shù)據(jù)處理活動(dòng)調(diào)研數(shù)據(jù)收集情況，如數(shù)據(jù)收集渠道、收集方式、數(shù)據(jù)范圍、收數(shù)據(jù)存儲(chǔ)情況，如數(shù)據(jù)存儲(chǔ)方式、數(shù)據(jù)中心、存儲(chǔ)系統(tǒng)（如數(shù)據(jù)傳輸情況，如數(shù)據(jù)傳輸途徑和方式（如互聯(lián)網(wǎng)、VPN、）（數(shù)據(jù)公開情況，如數(shù)據(jù)公開的目的、方式、對(duì)象范圍、受眾數(shù)據(jù)刪除情況，如數(shù)據(jù)刪除情形、刪除方式、數(shù)據(jù)歸檔、介數(shù)據(jù)出境情況，是否存在個(gè)人信息或重要數(shù)據(jù)出境，如跨境安全措施調(diào)研調(diào)研已有安全措施情況，包括但不限于：已開展的等級(jí)保護(hù)測(cè)評(píng)、商用密碼應(yīng)用安全性評(píng)估、安全檢VPNi）33/損毀、丟失、風(fēng)險(xiǎn)識(shí)別數(shù)據(jù)安全管理安全管理制度數(shù)據(jù)安全制度體系針對(duì)數(shù)據(jù)安全制度體系建設(shè)情況，應(yīng)重點(diǎn)評(píng)估：a）數(shù)據(jù)安全總體策略、方針、目標(biāo)和原則制定情況；b）數(shù)據(jù)安全管理工作規(guī)劃或工作方案制定情況；數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)訪問權(quán)限管理、數(shù)據(jù)全制度內(nèi)容與國(guó)家和行業(yè)數(shù)據(jù)安全法律法規(guī)和監(jiān)管要求的符合數(shù)據(jù)安全制度落實(shí)針對(duì)被評(píng)估方數(shù)據(jù)安全制度落實(shí)情況，應(yīng)重點(diǎn)評(píng)估：網(wǎng)絡(luò)安全責(zé)任制、數(shù)據(jù)安全責(zé)任制落實(shí)情況，網(wǎng)絡(luò)安全和數(shù)d）度落實(shí)證明材料；f）制度落實(shí)監(jiān)督檢查機(jī)制。針對(duì)重要數(shù)據(jù)處理者，還應(yīng)當(dāng)評(píng)估以下內(nèi)容：向有關(guān)部門報(bào)送評(píng)估報(bào)告情況，風(fēng)險(xiǎn)評(píng)估報(bào)告至少應(yīng)包含處安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。安全組織機(jī)構(gòu)數(shù)據(jù)安全組織架構(gòu)針對(duì)被評(píng)估方數(shù)據(jù)安全組織架構(gòu)建設(shè)情況，應(yīng)重點(diǎn)評(píng)估：a）數(shù)據(jù)安全管理機(jī)構(gòu)和職能設(shè)置情況；b）數(shù)據(jù)安全負(fù)責(zé)人和職能設(shè)置情況；對(duì)組織內(nèi)部的數(shù)據(jù)安全管理執(zhí)行情況、數(shù)據(jù)操作行為等進(jìn)行數(shù)據(jù)安全人員和資源投入情況與組織數(shù)據(jù)安全保護(hù)需求適應(yīng)性。數(shù)據(jù)安全崗位設(shè)置針對(duì)被評(píng)估方數(shù)據(jù)安全崗位設(shè)置情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)庫(kù)管理員、操作員及安全審計(jì)人員、安全運(yùn)維人員、數(shù)業(yè)務(wù)部門、信息系統(tǒng)建設(shè)部門、信息系統(tǒng)運(yùn)維部門數(shù)據(jù)安全特權(quán)賬戶所有者、關(guān)鍵數(shù)據(jù)處理崗位等數(shù)據(jù)安全關(guān)鍵崗位設(shè)分類分級(jí)管理數(shù)據(jù)資產(chǎn)管理針對(duì)數(shù)據(jù)資產(chǎn)管理情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)資產(chǎn)梳理是否全面，是否能夠覆蓋數(shù)據(jù)庫(kù)、大數(shù)據(jù)存儲(chǔ)U存儲(chǔ)介質(zhì)中的數(shù)據(jù)；通過(guò)數(shù)據(jù)資產(chǎn)管理等工具對(duì)數(shù)據(jù)資產(chǎn)清單及時(shí)更新、維護(hù)的采用技術(shù)手段定期對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行掃描的情況，及發(fā)現(xiàn)識(shí)別數(shù)據(jù)分類分級(jí)制度針對(duì)數(shù)據(jù)分類分級(jí)制度建設(shè)情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)分類分級(jí)保護(hù)制度建設(shè)情況，是否符合國(guó)家、行業(yè)和地?cái)?shù)據(jù)分類分級(jí)管理情況，及核心數(shù)據(jù)和重要數(shù)據(jù)目錄建立及是否在相關(guān)制度中明確了數(shù)據(jù)分類管理、分級(jí)保護(hù)策略，數(shù)數(shù)據(jù)分類分級(jí)保護(hù)針對(duì)數(shù)據(jù)分類分級(jí)保護(hù)情況，應(yīng)重點(diǎn)評(píng)估：按照數(shù)據(jù)級(jí)別建設(shè)覆蓋全流程數(shù)據(jù)處理活動(dòng)的安全措施情況；數(shù)據(jù)分類分級(jí)標(biāo)識(shí)或數(shù)據(jù)資產(chǎn)管理工具建設(shè)情況，是否具有按照相關(guān)重要數(shù)據(jù)目錄或規(guī)定，評(píng)估重要數(shù)據(jù)并進(jìn)行重點(diǎn)保按照相關(guān)核心數(shù)據(jù)目錄或規(guī)定，評(píng)估核心數(shù)據(jù)并進(jìn)行嚴(yán)格管人員安全管理人員錄用針對(duì)人員錄用情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)處理關(guān)鍵崗位人員錄用，對(duì)其數(shù)據(jù)安全意識(shí)或?qū)I(yè)能力保密協(xié)議針對(duì)保密協(xié)議簽訂情況，應(yīng)重點(diǎn)評(píng)估：?jiǎn)T工工作紀(jì)律和工作要求中是否明確規(guī)定員工禁止的數(shù)據(jù)安是否與所有涉及數(shù)據(jù)服務(wù)的人員簽訂安全責(zé)任承諾或保密協(xié)在重要崗位人員調(diào)離或終止勞動(dòng)合同前，是否明確并告知其繼續(xù)履行有關(guān)信息的保密義務(wù)要求，并簽訂保密承諾書。轉(zhuǎn)崗離崗針對(duì)人員轉(zhuǎn)崗離崗管理情況，應(yīng)重點(diǎn)評(píng)估：在人員轉(zhuǎn)崗或離崗時(shí)，是否及時(shí)終止或變更完成相關(guān)人員數(shù)對(duì)終止勞動(dòng)合同的人員，是否及時(shí)終止并收回其系統(tǒng)權(quán)限及數(shù)據(jù)安全培訓(xùn)針對(duì)人員數(shù)據(jù)安全培訓(xùn)情況，應(yīng)重點(diǎn)評(píng)估：1次數(shù)據(jù)安全專項(xiàng)培合作外包管理合作方管理機(jī)制針對(duì)合作方管理機(jī)制建設(shè)情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)合作方安全管理機(jī)制建設(shè)情況，如對(duì)合作方或外包服務(wù)e）對(duì)外包服務(wù)商的技術(shù)依賴程度，對(duì)委托處理數(shù)據(jù)的控制和管理能力。合作協(xié)議約束針對(duì)合作協(xié)議約束情況，應(yīng)重點(diǎn)評(píng)估：服務(wù)合同、承諾及安全保密協(xié)議情況，是否通過(guò)合同協(xié)議等是否在合作協(xié)議中明確了數(shù)據(jù)處理目的、方式、范圍，安全合同、協(xié)議中，數(shù)據(jù)處理者與合作方、外包服務(wù)商間的數(shù)據(jù)外包人員訪問權(quán)限針對(duì)外包人員訪問權(quán)限管理情況，應(yīng)重點(diǎn)評(píng)估：外包人員對(duì)數(shù)據(jù)與系統(tǒng)的訪問、修改權(quán)限是否限于最小必要能夠在測(cè)試環(huán)境下或使用測(cè)試數(shù)據(jù)完成的，是否向外包人員f）外包人員遠(yuǎn)程訪問操作系統(tǒng)或數(shù)據(jù)的情況。第三方接入與數(shù)據(jù)回收針對(duì)第三方接入與數(shù)據(jù)回收情況，應(yīng)重點(diǎn)評(píng)估：為完成技術(shù)或服務(wù)目的向合作方提供的數(shù)據(jù)，在合作結(jié)束后外包服務(wù)到期后，賬號(hào)注銷、數(shù)據(jù)回收、數(shù)據(jù)刪除銷毀等管為完成技術(shù)或服務(wù)目的向合作方提供的系統(tǒng)權(quán)限和接口，在政務(wù)數(shù)據(jù)委托處理委托他人建設(shè)、維護(hù)電子政務(wù)系統(tǒng)，存儲(chǔ)、加工政務(wù)數(shù)據(jù)，政務(wù)數(shù)據(jù)受托方依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)支撐電子政務(wù)相關(guān)系統(tǒng)運(yùn)行的相關(guān)服務(wù)或系統(tǒng)的安全措施，安全威脅和應(yīng)急管理安全威脅和事件識(shí)別安全威脅和安全事件情況，包括但不限于：31年通過(guò)安全工具、日志審計(jì)、安全測(cè)評(píng)、合規(guī)自查等發(fā)預(yù)警。安全應(yīng)急管理針對(duì)數(shù)據(jù)安全應(yīng)急管理情況，重點(diǎn)評(píng)估：數(shù)據(jù)安全事件應(yīng)急預(yù)案制定和修訂情況，是否定義數(shù)據(jù)安全數(shù)據(jù)安全應(yīng)急響應(yīng)及處置機(jī)制建設(shè)情況，發(fā)生數(shù)據(jù)安全事件數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)監(jiān)測(cè)情況，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞安全事件對(duì)個(gè)人、其他組織造成危害的，是否將安全事件和面向社會(huì)提供服務(wù)的數(shù)據(jù)處理者是否建立便捷的數(shù)據(jù)安全相3開發(fā)運(yùn)維管理針對(duì)開發(fā)運(yùn)維管理情況，應(yīng)重點(diǎn)評(píng)估：新應(yīng)用開發(fā)審核流程建設(shè)情況，進(jìn)行數(shù)據(jù)處理需求安全合規(guī)d）對(duì)開發(fā)代碼、測(cè)試數(shù)據(jù)的安全管理情況；e）產(chǎn)品或業(yè)務(wù)上線前進(jìn)行安全評(píng)估的情況；開發(fā)測(cè)試環(huán)境和實(shí)際運(yùn)行環(huán)境的隔離情況、測(cè)試數(shù)據(jù)和測(cè)試開發(fā)測(cè)試中使用真實(shí)個(gè)人信息、核心數(shù)據(jù)、重要數(shù)據(jù)情況，（）j）第三方SDK或開源軟件的運(yùn)行維護(hù)、二次開發(fā)等技術(shù)資料完備性。云數(shù)據(jù)安全被評(píng)估對(duì)象使用云計(jì)算服務(wù)時(shí)，應(yīng)重點(diǎn)評(píng)估：云服務(wù)提供者、第三方廠商、云租戶的安全責(zé)任劃分和落實(shí)云上承載用戶個(gè)人信息、重要數(shù)據(jù)、核心數(shù)據(jù)情況，是否對(duì)被評(píng)估對(duì)象是云計(jì)算服務(wù)提供者時(shí)，應(yīng)重點(diǎn)評(píng)估：針對(duì)不同服務(wù)模式、部署模式、產(chǎn)品和服務(wù)，云平臺(tái)對(duì)相關(guān)發(fā)生數(shù)據(jù)安全風(fēng)險(xiǎn)或事件時(shí)，為租戶提供事件報(bào)告、應(yīng)急處收集租戶數(shù)據(jù)情況，是否識(shí)別重要數(shù)據(jù)、個(gè)人信息，收集方i）云產(chǎn)品漏洞更新和推送情況，是否會(huì)及時(shí)提供補(bǔ)丁推送、跟進(jìn)用戶漏洞更新等情況；j）云平臺(tái)提供的基礎(chǔ)安全防護(hù)能力情況；k）云產(chǎn)品對(duì)用戶高風(fēng)險(xiǎn)操作的提示情況；l）對(duì)云租戶的身份管理和訪問控制情況；約定服務(wù)到期、欠費(fèi)、提前終止等情形下，云數(shù)據(jù)刪除和個(gè)r）云安全管理中心管控情況；s）云數(shù)據(jù)遷移安全保障情況；t）云平臺(tái)數(shù)據(jù)出境安全情況。數(shù)據(jù)處理活動(dòng)數(shù)據(jù)收集數(shù)據(jù)收集合法正當(dāng)性針對(duì)數(shù)據(jù)收集合法正當(dāng)性情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)收集的合法性、正當(dāng)性，是否存在竊取、超范圍收集、通過(guò)第三方收集數(shù)據(jù)重點(diǎn)評(píng)估從外部機(jī)構(gòu)收集數(shù)據(jù)的安全情況：d）對(duì)外部收集數(shù)據(jù)的合法性、安全性和授權(quán)同意情況進(jìn)行審核的情況。數(shù)據(jù)質(zhì)量控制針對(duì)數(shù)據(jù)質(zhì)量控制情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)質(zhì)量管理制度建設(shè)情況，對(duì)收集數(shù)據(jù)質(zhì)量和管理措施是安全管理和操作規(guī)范對(duì)數(shù)據(jù)清洗、轉(zhuǎn)換和加載等行為是否進(jìn)數(shù)據(jù)質(zhì)量管理和監(jiān)控的情況，對(duì)異常數(shù)據(jù)及時(shí)告警或更正采準(zhǔn)確性、完整性校驗(yàn)情況。數(shù)據(jù)收集方式針對(duì)數(shù)據(jù)收集方式，應(yīng)重點(diǎn)評(píng)估：采用自動(dòng)化工具訪問、收集數(shù)據(jù)的，違反法律、行政法規(guī)、采用自動(dòng)化工具收集時(shí)，對(duì)數(shù)據(jù)收集范圍的明確情況，收集采用自動(dòng)化工具收集數(shù)據(jù)以及該方式對(duì)網(wǎng)絡(luò)服務(wù)的性能、功通過(guò)人工方式采集數(shù)據(jù)的，是否對(duì)數(shù)據(jù)采集人員嚴(yán)格管理，數(shù)據(jù)收集設(shè)備及環(huán)境安全針對(duì)數(shù)據(jù)收集設(shè)備及環(huán)境安全情況，應(yīng)重點(diǎn)評(píng)估：檢測(cè)數(shù)據(jù)收集終端或設(shè)備的安全漏洞，是否存在數(shù)據(jù)泄露風(fēng)險(xiǎn)；人工采集數(shù)據(jù)泄露風(fēng)險(xiǎn)，通過(guò)人員權(quán)限管控、信息碎片化等客戶端敏感信息留存風(fēng)險(xiǎn)，檢測(cè)App、等客戶端完成相數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)適當(dāng)性針對(duì)數(shù)據(jù)存儲(chǔ)適當(dāng)性，應(yīng)重點(diǎn)評(píng)估：a）數(shù)據(jù)存儲(chǔ)安全策略和操作規(guī)程的建設(shè)落實(shí)情況；b）存儲(chǔ)位置、期限、方式的適當(dāng)性；c）永久存儲(chǔ)數(shù)據(jù)類型的必要性。邏輯存儲(chǔ)安全針對(duì)邏輯存儲(chǔ)安全情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)庫(kù)的賬號(hào)權(quán)限管理、訪問控制、日志管理、加密管理、情況；d）效性；根據(jù)安全級(jí)別、重要性、量級(jí)、使用頻率等因素，對(duì)數(shù)據(jù)分存儲(chǔ)介質(zhì)安全針對(duì)存儲(chǔ)介質(zhì)安全情況，應(yīng)重點(diǎn)評(píng)估：存儲(chǔ)介質(zhì)（含移動(dòng)存儲(chǔ)介質(zhì)，下同）的使用、管理及資產(chǎn)標(biāo)存儲(chǔ)介質(zhì)安全管理規(guī)范建設(shè)情況，是否明確對(duì)存儲(chǔ)介質(zhì)存儲(chǔ)數(shù)據(jù)傳輸傳輸鏈路安全性針對(duì)數(shù)據(jù)傳輸鏈路安全性，應(yīng)重點(diǎn)評(píng)估：敏感個(gè)人信息和重要數(shù)據(jù)傳輸加密情況及加密措施有效性，數(shù)據(jù)傳輸通道部署身份鑒別、安全配置、密碼算法配置、密制定數(shù)據(jù)跨組織傳輸管理規(guī)則，及跨組織數(shù)據(jù)傳輸安全技術(shù)傳輸鏈路可靠性針對(duì)數(shù)據(jù)傳輸鏈路的可靠性，應(yīng)重點(diǎn)評(píng)估：網(wǎng)絡(luò)傳輸鏈路的可用情況，包括對(duì)關(guān)鍵網(wǎng)絡(luò)傳輸鏈路、網(wǎng)絡(luò)數(shù)據(jù)使用和加工數(shù)據(jù)使用和加工合法性針對(duì)數(shù)據(jù)使用和加工合法性，應(yīng)重點(diǎn)評(píng)估：使用和加工數(shù)據(jù)時(shí)，遵守法律、行政法規(guī)，尊重社會(huì)公德和是否存在危害國(guó)家安全、公共利益的數(shù)據(jù)使用和加工行為，應(yīng)用算法推薦技術(shù)、深度合成技術(shù)提供互聯(lián)網(wǎng)信息服務(wù)、生成式AI技術(shù)提供服務(wù)的，是否按照《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理數(shù)據(jù)正當(dāng)使用針對(duì)數(shù)據(jù)正當(dāng)使用情況，應(yīng)重點(diǎn)評(píng)估：開展數(shù)據(jù)處理活動(dòng)以及研究開發(fā)數(shù)據(jù)新技術(shù)，是否有利于促使用數(shù)據(jù)開展用戶畫像、信息推送、內(nèi)容呈現(xiàn)等業(yè)務(wù)，造成數(shù)據(jù)使用加工目的、方式、范圍，與行政許可、合同授權(quán)等數(shù)據(jù)導(dǎo)入導(dǎo)出針對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出情況，應(yīng)重點(diǎn)評(píng)估：a）數(shù)據(jù)導(dǎo)出安全評(píng)估和授權(quán)審批流程建設(shè)情況；b）導(dǎo)入導(dǎo)出審計(jì)策略和日志管理機(jī)制建設(shè)情況；c）導(dǎo)出權(quán)限管理、導(dǎo)出操作記錄情況；數(shù)據(jù)處理環(huán)境針對(duì)數(shù)據(jù)處理環(huán)境安全情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)處理環(huán)境設(shè)置身份鑒別、訪問控制、隔離存儲(chǔ)、加密、大數(shù)據(jù)平臺(tái)等處理組件按照基線要求進(jìn)行安全配置、配置核數(shù)據(jù)使用和加工安全措施針對(duì)數(shù)據(jù)使用和加工安全措施情況，應(yīng)重點(diǎn)評(píng)估：在數(shù)據(jù)清洗、轉(zhuǎn)換、建模、分析、挖掘等加工過(guò)程中，對(duì)數(shù)數(shù)據(jù)使用加工過(guò)程中采取的數(shù)據(jù)脫敏、水印溯源等安全保護(hù)數(shù)據(jù)訪問與操作行為的最小化授權(quán)、訪問控制、審批等管理數(shù)據(jù)使用權(quán)限管理情況，如是否存在未授權(quán)訪問、超范圍授數(shù)據(jù)加工過(guò)程中對(duì)個(gè)人信息、重要數(shù)據(jù)等敏感數(shù)據(jù)的操作行委托加工數(shù)據(jù)的，是否明確約定受托方的安全保護(hù)義務(wù)，并數(shù)據(jù)提供數(shù)據(jù)提供合法正當(dāng)必要性針對(duì)數(shù)據(jù)提供合法正當(dāng)必要性，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)對(duì)外提供的目的、方式、范圍的合法性、正當(dāng)性、必要性；數(shù)據(jù)提供是否遵守法律法規(guī)和監(jiān)管政策要求，是否存在非法對(duì)外提供的個(gè)人信息和重要數(shù)據(jù)范圍，是否限于實(shí)現(xiàn)處理目數(shù)據(jù)提供管理針對(duì)數(shù)據(jù)提供管理情況，應(yīng)重點(diǎn)評(píng)估：a）數(shù)據(jù)提供安全策略和操作規(guī)程的建設(shè)落實(shí)情況；b）數(shù)據(jù)對(duì)外提供的審批情況；對(duì)外提供數(shù)據(jù)前，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估情況和個(gè)人信息保護(hù)影簽訂合同協(xié)議情況，是否在合同協(xié)議中明確了處理數(shù)據(jù)的目開展共享、交易、委托處理、向境外提供數(shù)據(jù)等高風(fēng)險(xiǎn)數(shù)據(jù)h）核心數(shù)據(jù)跨主體流動(dòng)前是否經(jīng)過(guò)國(guó)家有關(guān)部門評(píng)估。數(shù)據(jù)提供技術(shù)措施針對(duì)數(shù)據(jù)提供技術(shù)措施情況，應(yīng)重點(diǎn)評(píng)估：a）對(duì)外提供的敏感數(shù)據(jù)是否進(jìn)行加密及加密有效性；b）對(duì)所提供數(shù)據(jù)及數(shù)據(jù)提供過(guò)程的監(jiān)控審計(jì)情況；跟蹤記錄數(shù)據(jù)流量、接收者信息及處理操作信息情況，記錄數(shù)據(jù)接收方針對(duì)數(shù)據(jù)接收方情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)接收方處理數(shù)據(jù)的目的、方式、范圍等的合法性、正當(dāng)接收方是否承諾具備保障數(shù)據(jù)安全的管理、技術(shù)措施和能力是否考核接收方的數(shù)據(jù)保護(hù)能力，掌握其發(fā)生的歷史網(wǎng)絡(luò)安對(duì)接收方數(shù)據(jù)使用、再轉(zhuǎn)移、對(duì)外提供和安全保護(hù)的監(jiān)督情況。數(shù)據(jù)轉(zhuǎn)移安全a）是否向有關(guān)主管部門報(bào)告；b）是否制定數(shù)據(jù)轉(zhuǎn)移方案；接收方數(shù)據(jù)安全保障能力，是否滿足數(shù)據(jù)轉(zhuǎn)移后數(shù)據(jù)接收方數(shù)據(jù)出境安全針對(duì)數(shù)據(jù)出境安全情況，重點(diǎn)評(píng)估：數(shù)據(jù)出境場(chǎng)景梳理是否合理、完整，是否覆蓋全部業(yè)務(wù)場(chǎng)景出境線路梳理是否合理、完整，是否覆蓋公網(wǎng)出境、專線出涉及數(shù)據(jù)出境的，按照有關(guān)規(guī)定開展數(shù)據(jù)出境安全評(píng)估、個(gè)針對(duì)公網(wǎng)出境場(chǎng)景，監(jiān)測(cè)核查實(shí)際出境數(shù)據(jù)是否與申報(bào)內(nèi)容數(shù)據(jù)公開數(shù)據(jù)公開適當(dāng)性針對(duì)數(shù)據(jù)公開適當(dāng)性，應(yīng)重點(diǎn)評(píng)估：對(duì)公開的數(shù)據(jù)進(jìn)行必要的脫敏處理、數(shù)據(jù)水印、防爬取、權(quán)數(shù)據(jù)公開是否會(huì)帶來(lái)聚合性風(fēng)險(xiǎn)；基于被評(píng)估對(duì)象的已公開數(shù)據(jù)公開管理針對(duì)數(shù)據(jù)公開管理情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)公開的安全制度、策略、操作規(guī)程和審核流程的建設(shè)落數(shù)據(jù)公開的條件、批準(zhǔn)程序，涉及重大基礎(chǔ)設(shè)施的信息公開數(shù)據(jù)公開前的安全評(píng)估情況，是否事前評(píng)估數(shù)據(jù)公開條件、因法律法規(guī)、監(jiān)管政策的更新，對(duì)不宜公開的已公開數(shù)據(jù)的數(shù)據(jù)刪除數(shù)據(jù)刪除管理針對(duì)數(shù)據(jù)刪除管理情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)刪除安全策略和操作規(guī)程，是否明確數(shù)據(jù)銷毀對(duì)象、原刪除或返還數(shù)據(jù)；數(shù)據(jù)刪除有效性、徹底性驗(yàn)證情況，以及可能存在的多副本存儲(chǔ)介質(zhì)銷毀針對(duì)存儲(chǔ)介質(zhì)銷毀情況，應(yīng)重點(diǎn)評(píng)估：介質(zhì)銷毀策略和操作規(guī)程，是否明確各類介質(zhì)的銷毀流程、介質(zhì)銷毀措施有效性，是否對(duì)被銷毀的存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)恢其他數(shù)據(jù)安全技術(shù)網(wǎng)絡(luò)安全防護(hù)針對(duì)網(wǎng)絡(luò)安全防護(hù)情況，應(yīng)重點(diǎn)評(píng)估：IP地址分配、網(wǎng)絡(luò)帶寬設(shè)置i）通信鏈路、網(wǎng)絡(luò)設(shè)備、計(jì)算設(shè)備等關(guān)鍵設(shè)備的冗余情況；j）對(duì)第三方組件進(jìn)行安全核查、修復(fù)、更新的情況；服務(wù)器、數(shù)據(jù)庫(kù)、端口、數(shù)據(jù)資源在互聯(lián)網(wǎng)的暴露及管理情況；處理重要數(shù)據(jù)、核心數(shù)據(jù)的信息系統(tǒng)，應(yīng)當(dāng)按照有關(guān)規(guī)定滿身份鑒別與訪問控制身份鑒別針對(duì)身份鑒別措施情況，應(yīng)重點(diǎn)評(píng)估：建立用戶、設(shè)備、應(yīng)用系統(tǒng)的身份鑒別機(jī)制情況，身份標(biāo)識(shí)登錄失敗時(shí)采取結(jié)束會(huì)話、限制非法登錄次數(shù)、設(shè)置抑制時(shí)當(dāng)遠(yuǎn)程管理時(shí)，是否采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸處理重要數(shù)據(jù)的信息系統(tǒng)，采用口令技術(shù)、密碼技術(shù)、生物訪問控制針對(duì)數(shù)據(jù)訪問控制措施情況，應(yīng)重點(diǎn)評(píng)估：建立與數(shù)據(jù)類別級(jí)別相適應(yīng)的訪問控制機(jī)制情況，是否限定是否在數(shù)據(jù)訪問前設(shè)置身份認(rèn)證等措施，防止數(shù)據(jù)的非授權(quán)授權(quán)管理數(shù)據(jù)權(quán)限授權(quán)審批流程建設(shè)落實(shí)情況，是否明確用戶賬號(hào)分系統(tǒng)管理員、安全管理員、安全審計(jì)員等人員角色分離設(shè)置系統(tǒng)權(quán)限分配表建設(shè)及更新情況，用戶賬號(hào)實(shí)際權(quán)限是否滿是否存在離職人員賬號(hào)未及時(shí)回收、沉默賬號(hào)、權(quán)限違規(guī)變數(shù)據(jù)批量復(fù)制、下載、導(dǎo)出、修改、刪除等數(shù)據(jù)敏感操作是監(jiān)測(cè)預(yù)警針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警情況，應(yīng)重點(diǎn)評(píng)估：安全監(jiān)測(cè)預(yù)警和信息報(bào)告機(jī)制的建設(shè)落實(shí)情況，是否明確對(duì)IP對(duì)批量傳輸、下載、導(dǎo)出等敏感數(shù)據(jù)操作的安全監(jiān)控和分析對(duì)數(shù)據(jù)交換網(wǎng)絡(luò)流量進(jìn)行安全監(jiān)控和分析的情況，是否具備數(shù)據(jù)脫敏針對(duì)數(shù)據(jù)脫敏情況，應(yīng)重點(diǎn)評(píng)估：需要進(jìn)行數(shù)據(jù)脫敏處理的應(yīng)用場(chǎng)景、處理流程及操作記錄情況；開發(fā)測(cè)試、人員信息公示等應(yīng)用場(chǎng)景的數(shù)據(jù)脫敏效果驗(yàn)證情況；對(duì)匿名化或去標(biāo)識(shí)化處理的個(gè)人信息重新識(shí)別出個(gè)人信息主數(shù)據(jù)防泄漏針對(duì)數(shù)據(jù)防泄漏情況，應(yīng)重點(diǎn)評(píng)估：數(shù)據(jù)防泄漏技術(shù)手段部署情況，能否對(duì)網(wǎng)絡(luò)、郵件、終端等數(shù)據(jù)接口安全對(duì)外接口安全針對(duì)對(duì)外接口安全情況，應(yīng)重點(diǎn)評(píng)估：面向互聯(lián)網(wǎng)及合作方數(shù)據(jù)接口的接口認(rèn)證鑒權(quán)與安全監(jiān)控能API密鑰及密鑰安全存儲(chǔ)措施設(shè)置情況，能否避免密鑰被惡不同安全等級(jí)系統(tǒng)間、不同區(qū)域間跨系統(tǒng)、跨區(qū)域數(shù)據(jù)流動(dòng)接口安全控制針對(duì)數(shù)據(jù)接口安全控制情況，應(yīng)重點(diǎn)評(píng)估：接口安全控制策略設(shè)置情況，是否規(guī)定使用數(shù)據(jù)接口的安全符合要求的接口是否立即關(guān)停；涉及敏感數(shù)據(jù)的接口調(diào)用是否具備安全通道、加密傳輸、時(shí)數(shù)據(jù)接口部署身份鑒別、訪問控制、授權(quán)策略、接口簽名、與接口調(diào)用方是否明確數(shù)據(jù)的使用目的、供應(yīng)方式、保密約是否對(duì)接口訪問做日志記錄，同時(shí)對(duì)接口異常事件進(jìn)行告警數(shù)據(jù)備份恢復(fù)針對(duì)數(shù)據(jù)備份恢復(fù)情況，應(yīng)重點(diǎn)評(píng)估：定期采取必要的技術(shù)措施查驗(yàn)備份和歸檔數(shù)據(jù)完整性和可用安全審計(jì)審計(jì)執(zhí)行針對(duì)數(shù)據(jù)安全審計(jì)執(zhí)行情況，應(yīng)重點(diǎn)評(píng)估：對(duì)數(shù)據(jù)的訪問權(quán)限和實(shí)際訪問控制情況進(jìn)行定期審計(jì)的情日志留存記錄針對(duì)日志留存記錄情況，應(yīng)重點(diǎn)評(píng)估：對(duì)數(shù)據(jù)授權(quán)訪問、收集、批量復(fù)制、提供、公開、銷毀、數(shù)日志記錄內(nèi)容，是否包括執(zhí)行時(shí)間、操作賬號(hào)、處理方式、IP日志記錄是否能夠?qū)ψR(shí)別和追溯數(shù)據(jù)操作和訪問行為提供支撐；是否定期對(duì)日志進(jìn)行備份，防止數(shù)據(jù)安全事件導(dǎo)致日志被刪除；日志保存期限是否符合法律法規(guī)要求，如網(wǎng)絡(luò)日志是否保存行為審計(jì)針對(duì)數(shù)據(jù)安全行為審計(jì)情況，應(yīng)重點(diǎn)評(píng)估：對(duì)網(wǎng)絡(luò)運(yùn)維管理活動(dòng)、用戶行為、網(wǎng)絡(luò)異常行為、網(wǎng)絡(luò)安全對(duì)數(shù)據(jù)批量復(fù)制、下載、導(dǎo)出、修改、刪除等高風(fēng)險(xiǎn)行為的個(gè)人信息保護(hù)個(gè)人信息處理基本原則合法、誠(chéng)信原則針對(duì)合法、誠(chéng)信原則遵守情況，應(yīng)重點(diǎn)評(píng)估：a）通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息的情況；b）非法收集、使用、加工、存儲(chǔ)、傳輸個(gè)人信息的情況；c）非法買賣、提供或者公開他人個(gè)人信息的情況；d）性事由；移動(dòng)互聯(lián)網(wǎng)應(yīng)用（App、SDK、小程序等）是否存在違法正當(dāng)、必要原則針對(duì)正當(dāng)、必要原則遵守情況，應(yīng)重點(diǎn)評(píng)估：處理個(gè)人信息是否與處理目的直接相關(guān)，是否采取對(duì)個(gè)人權(quán)收集個(gè)人信息是否限于實(shí)現(xiàn)處理目的的最小范圍，如最少類是否以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕個(gè)人信息告知針對(duì)個(gè)人信息告知情況，應(yīng)重點(diǎn)評(píng)估：個(gè)人信息處理規(guī)則是否告知個(gè)人行使《個(gè)人信息保護(hù)法》規(guī)g）緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的，個(gè)人信息處理者是否在緊急情況消除后及時(shí)告知。個(gè)人信息同意針對(duì)個(gè)人信息同意情況，應(yīng)重點(diǎn)評(píng)估：處理個(gè)人信息前是否取得個(gè)人同意，同意是否由個(gè)人在充分基于個(gè)人同意處理個(gè)人信息的，個(gè)人信息處理者是否提供便個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生個(gè)人信息處理個(gè)人信息保存針對(duì)個(gè)人信息保存情況，應(yīng)重點(diǎn)評(píng)估：個(gè)人信息的保存期限是否為實(shí)現(xiàn)處理目的所必要的最短時(shí)個(gè)人信息共同處理對(duì)于兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的，重點(diǎn)評(píng)估：個(gè)人信息委托處理針對(duì)個(gè)人信息委托處理情況，應(yīng)重點(diǎn)評(píng)估：是否與受托人約定委托處理的目的、期限、處理方式、個(gè)人個(gè)人信息受托人是否按照約定處理個(gè)人信息，是否超出約定委托合同不生效、無(wú)效、被撤銷或者終止的，受托人是否將個(gè)人信息返還個(gè)人信息處理者或者予以刪除，是否違規(guī)保留個(gè)人信息；未經(jīng)個(gè)人信息處理者同意，受托人是否轉(zhuǎn)委托他人處理個(gè)人個(gè)人信息轉(zhuǎn)移因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的，重點(diǎn)評(píng)估：a）是否向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式；b）接收方是否繼續(xù)履行個(gè)人信息處理者的義務(wù)；c）接收方變更原先的處理目的、處理方式的，是否重新取得個(gè)人同意。向他人提供個(gè)人信息向他人提供個(gè)人信息的，應(yīng)重點(diǎn)評(píng)估：是否向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目接收方是否在上述處理目的、處理方式和個(gè)人信息的種類等自動(dòng)化決策針對(duì)自動(dòng)化決策情況，應(yīng)重點(diǎn)評(píng)估：是否保證決策的透明度和結(jié)果公平、公正，是否對(duì)個(gè)人實(shí)行通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷等，是對(duì)應(yīng)用算法推薦技術(shù)提供互聯(lián)網(wǎng)信息服務(wù)的情形，是否以顯個(gè)人信息公開針對(duì)個(gè)人信息公開情況，應(yīng)重點(diǎn)評(píng)估：是否在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公處理已公開的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，是否取敏感個(gè)人信息處理通用規(guī)則針對(duì)敏感個(gè)人信息處理規(guī)則，應(yīng)重點(diǎn)評(píng)估：敏感個(gè)人信息處理是否具有特定的目的和充分的必要性，是處理敏感個(gè)人信息是否向個(gè)人告知處理敏感個(gè)人信息的必要14生物特征識(shí)別信息安全針對(duì)人臉識(shí)別數(shù)據(jù)安全情況，應(yīng)重點(diǎn)評(píng)估：在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，是否為維護(hù)所收集的個(gè)人圖像、身份識(shí)別信息，是否只用于維護(hù)公共安開展業(yè)務(wù)活動(dòng)時(shí)是否限定使用人臉識(shí)別技術(shù)作為身份鑒別的完成身份鑒別后，應(yīng)及時(shí)刪除身份鑒別過(guò)程中收集、使用的個(gè)人信息主體權(quán)利個(gè)人信息的查閱、復(fù)制、可攜帶個(gè)人信息處理者是否為個(gè)人提供查閱其個(gè)人信息的途徑，是是否為個(gè)人提供復(fù)制其個(gè)人信息的途徑，是否可以及時(shí)提供個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者是否提供轉(zhuǎn)移的方法。個(gè)人信息的更正、補(bǔ)充針對(duì)個(gè)人信息的更正、補(bǔ)充等主體權(quán)利保障情況，應(yīng)重點(diǎn)評(píng)估：個(gè)人信息處理者是否為個(gè)人提供請(qǐng)求個(gè)人信息更正、補(bǔ)充的個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的，個(gè)人信息處理者是否對(duì)個(gè)人信息處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人其他個(gè)人信息權(quán)利針對(duì)個(gè)人信息主體權(quán)利保障情況，還應(yīng)重點(diǎn)評(píng)估：個(gè)人信息處理者是否為個(gè)人提供對(duì)其個(gè)人信息處理規(guī)則進(jìn)行通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，是自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，是否是否建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制，拒絕個(gè)人信息安全義務(wù)個(gè)人信息保護(hù)措施針對(duì)個(gè)人信息保護(hù)措施部署情況，應(yīng)重點(diǎn)評(píng)估：a）個(gè)人信息保護(hù)內(nèi)部管理制度和操作規(guī)程的建設(shè)落實(shí)情況；b）對(duì)個(gè)人信息分類管理實(shí)施情況及效果；c）加密、去標(biāo)識(shí)化等安全技術(shù)措施應(yīng)用情況；d）是否合理確定個(gè)人信息處理的操作權(quán)限；是否在展示、公開等環(huán)節(jié)，對(duì)個(gè)人信息直接標(biāo)識(shí)符進(jìn)行去標(biāo)是否定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行個(gè)人信息保護(hù)負(fù)責(zé)人針對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人設(shè)置情況，應(yīng)重點(diǎn)評(píng)估：處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者是否公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，是否將個(gè)人信息個(gè)人信息保護(hù)影響評(píng)估針對(duì)個(gè)人信息保護(hù)影響評(píng)估開展情況，應(yīng)重點(diǎn)評(píng)估：是否在處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、是否對(duì)個(gè)人信息處理情況進(jìn)行記錄，個(gè)人信息保護(hù)影響評(píng)估個(gè)人信息安全應(yīng)急針對(duì)個(gè)人信息安全應(yīng)急措施部署情況，應(yīng)重點(diǎn)評(píng)估：發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失時(shí)，是否立即個(gè)人信息安全事件是否通知所涉及個(gè)人并報(bào)告有關(guān)部門，事個(gè)人信息投訴舉報(bào)針對(duì)個(gè)人信息投訴舉報(bào)情況，應(yīng)重點(diǎn)評(píng)估：對(duì)違反個(gè)人信息保護(hù)相關(guān)規(guī)定行為的投訴舉報(bào)渠道建設(shè)情大型網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)針對(duì)大型網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)情況，應(yīng)重點(diǎn)評(píng)估：是否按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，是否成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；是否遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；是否對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)綜合分析梳理問題清單問題項(xiàng)：可參考第六章三級(jí)標(biāo)題（6.x.x），列出數(shù)據(jù)安全問問題描述：對(duì)所列數(shù)據(jù)安全問題項(xiàng)的具體情況展開描述，包風(fēng)險(xiǎn)分析與評(píng)價(jià)7.1注1：風(fēng)險(xiǎn)評(píng)價(jià)可針對(duì)分析出的每一項(xiàng)風(fēng)險(xiǎn)給出風(fēng)險(xiǎn)評(píng)價(jià)等級(jí)，也可針對(duì)每個(gè)評(píng)估對(duì)象給出對(duì)應(yīng)的風(fēng)險(xiǎn)評(píng)價(jià)等級(jí)。注2：風(fēng)險(xiǎn)造成的影響可結(jié)合數(shù)據(jù)價(jià)值、安全問題嚴(yán)重程度等因素判斷；風(fēng)險(xiǎn)發(fā)生的可能性可結(jié)合現(xiàn)有安全措施有效性和完備性、歷史事件發(fā)生情況等因素判斷。提出整改建議評(píng)估總結(jié)評(píng)估報(bào)告根據(jù)評(píng)估情況，評(píng)估隊(duì)伍編制網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告（報(bào)告模板參見附錄B）。評(píng)估報(bào)告應(yīng)準(zhǔn)確、清晰地描述評(píng)估活動(dòng)的主要內(nèi)容（并附必要的證據(jù)或記錄），提出可操作性的整改措施對(duì)策建議。風(fēng)險(xiǎn)評(píng)估報(bào)告的內(nèi)容包括：評(píng)估概述，包括評(píng)估目的及依據(jù)，評(píng)估對(duì)象和范圍，評(píng)估結(jié)評(píng)估工作情況，包括評(píng)估人員、評(píng)估時(shí)間安排、評(píng)估工具和信息調(diào)研情況，包括數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)資數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別，包括數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)風(fēng)險(xiǎn)綜合分析，對(duì)數(shù)據(jù)安全問題可能帶來(lái)的安全風(fēng)險(xiǎn)進(jìn)行綜整改建議，針對(duì)發(fā)現(xiàn)的數(shù)據(jù)安全問題或風(fēng)險(xiǎn)，提出整改措施數(shù)據(jù)安全問題清單，列出完整的數(shù)據(jù)安全問題清單，并附上涉及重要數(shù)據(jù)、個(gè)人信息、核心數(shù)據(jù)的，應(yīng)當(dāng)詳細(xì)列出處理委托第三方機(jī)構(gòu)開展評(píng)估或檢查評(píng)估的，評(píng)估報(bào)告應(yīng)由評(píng)估組長(zhǎng)、審核人簽字，并加蓋評(píng)估機(jī)構(gòu)公章。風(fēng)險(xiǎn)處置附錄A典型數(shù)據(jù)安全風(fēng)險(xiǎn)類別改風(fēng)險(xiǎn)、數(shù)據(jù)破壞風(fēng)險(xiǎn)、數(shù)據(jù)丟失風(fēng)險(xiǎn)等，如表A.1表A.1典型數(shù)據(jù)安全風(fēng)險(xiǎn)類別示例序號(hào)風(fēng)險(xiǎn)類別描述1數(shù)據(jù)泄露風(fēng)險(xiǎn)由于數(shù)據(jù)竊取、爬取、脫庫(kù)、撞庫(kù)等安全威脅，或者缺乏有效的安全措施、人員操作失誤或有意盜取等，導(dǎo)致數(shù)據(jù)泄露、惡意竊取、未授權(quán)訪問等影響數(shù)據(jù)保密性的風(fēng)險(xiǎn)。2數(shù)據(jù)篡改風(fēng)險(xiǎn)由于數(shù)據(jù)注入、中間人攻擊等安全威脅，或者缺乏有效的安全措施、人員有意或無(wú)意操作等，導(dǎo)致數(shù)據(jù)被未授權(quán)篡改等影響數(shù)據(jù)完整性的風(fēng)險(xiǎn)。3數(shù)據(jù)破壞風(fēng)險(xiǎn)由于拒絕服務(wù)攻擊、自然災(zāi)害、嵌入惡意代碼、數(shù)據(jù)污染、設(shè)備故障等安全威脅，或者缺乏有效的安毀損、數(shù)據(jù)質(zhì)量下降等影響數(shù)據(jù)可用性的風(fēng)險(xiǎn)。4數(shù)據(jù)丟失風(fēng)險(xiǎn)意操作等，導(dǎo)致數(shù)據(jù)丟失、難以恢復(fù)等安全風(fēng)險(xiǎn)。5數(shù)據(jù)濫用風(fēng)險(xiǎn)由于缺乏授權(quán)訪問控制、權(quán)限管控等有效的安全管控措施、人員有意或無(wú)意操作等，導(dǎo)致數(shù)據(jù)被未授權(quán)或超出授權(quán)范圍使用、加工的風(fēng)險(xiǎn)。6數(shù)據(jù)偽造風(fēng)險(xiǎn)據(jù)或數(shù)據(jù)源被偽造、數(shù)據(jù)主體被仿冒等安全風(fēng)險(xiǎn)。7違法違規(guī)獲取數(shù)據(jù)收集數(shù)據(jù)的風(fēng)險(xiǎn)。8違法違規(guī)出售數(shù)據(jù)違反法律、行政法規(guī)等有關(guān)規(guī)定，非法或違規(guī)向他人出售、交易數(shù)據(jù)的風(fēng)險(xiǎn)。9違法違規(guī)保存數(shù)據(jù)違反法律、行政法規(guī)等有關(guān)規(guī)定，非法或違規(guī)