DB12-T 1198-2023 網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查規(guī)范

ICS35.110CCSL7012SpecificationforsupervisionandinspectionofnetworkdatasecurityDB12/T1198—2023前言 2規(guī)范性引用文件 3術(shù)語和定義 4監(jiān)督檢查流程 25監(jiān)督檢查方式 26監(jiān)督檢查要求 37監(jiān)督檢查結(jié)果 9附錄A（規(guī)范性）監(jiān)督檢查流程圖 10附錄B（規(guī)范性）網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查記錄單 11附錄C（規(guī)范性）網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查點權(quán)重表 17參考文獻 IDB12/T1198—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由天津市互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位：天津市互聯(lián)網(wǎng)信息辦公室、天津市大數(shù)據(jù)協(xié)會、天津市標準化研究院、天津市大數(shù)據(jù)管理中心、中科銳眼（天津）科技有限公司、中國電子技術(shù)標準化研究院、北京啟明星辰信息安全技術(shù)有限公司、國家計算機網(wǎng)絡(luò)與信息安全管理中心天津分中心、南開大學、天津市濱海新區(qū)互聯(lián)網(wǎng)信息辦公室、天津泰達智慧城市科技有限公司、北京市盈科律師事務(wù)所。本文件主要起草人：王蕓、徐濱彥、趙洪宇、賈文娟、趙玉玲、于卓、郝津蕾、由方嵐、陸浩、丁釗、劉琳、高朗、張淵、曹洪星、尹太澤、苗興宗、宋一萍、梁哲龍、黃格、徐聰、李凱悅、袁青霞、尚高峰、張尼、張健、蔡迎秋、徐羽佳、高晨濤、郭玉泉、曹靜、張云樂、趙明、袁小梅、宋午陽、張良、王煜。DB12/T1198—2023為維護國家安全、社會公共利益，保護公民、法人和其他組織在網(wǎng)絡(luò)數(shù)據(jù)方面的合法權(quán)益，加強網(wǎng)絡(luò)數(shù)據(jù)安全管理，強化網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查，建立健全網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管體系，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評估辦法》《天津市數(shù)據(jù)安全管理辦法（暫行）》《天津市網(wǎng)信部門網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查工作規(guī)范》等法律法規(guī)和相關(guān)規(guī)范，結(jié)合本市實際，制定本規(guī)范。DB12/T1198—2023網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查規(guī)范本文件規(guī)定了網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查的流程、內(nèi)容和要求。本文件適用于網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管部門、行業(yè)主管部門、第三方評估機構(gòu)等組織，對網(wǎng)絡(luò)數(shù)據(jù)處理者網(wǎng)絡(luò)數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開和銷毀等活動進行監(jiān)督、檢查、管理和評估，也適用于各類網(wǎng)絡(luò)數(shù)據(jù)處理者開展建設(shè)、自查、整改工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35273信息安全技術(shù)個人信息安全規(guī)范GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型3術(shù)語和定義GB/T35273和GB/T37988界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)數(shù)據(jù)networkdata通過網(wǎng)絡(luò)處理和產(chǎn)生的各類電子數(shù)據(jù)。3.2重要數(shù)據(jù)keydata一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的網(wǎng)絡(luò)數(shù)據(jù)。3.3個人信息personalinformation以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。3.4敏感個人信息personalsensitiveinformation一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。3.5網(wǎng)絡(luò)數(shù)據(jù)處理者networkdataprocessor在網(wǎng)絡(luò)數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人和組織。1DB12/T1198—20233.6數(shù)據(jù)安全datasecurity是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。4監(jiān)督檢查流程4.1準備階段4.1.1監(jiān)督檢查發(fā)起部門負責編制檢查工作方案，工作方案內(nèi)容包括組織領(lǐng)導、網(wǎng)絡(luò)數(shù)據(jù)處理者、檢查內(nèi)容、檢查方式、工作安排、工作保障等內(nèi)容。4.1.2實施監(jiān)督檢查前，應根據(jù)檢查工作方案組建檢查組、確定網(wǎng)絡(luò)數(shù)據(jù)處理者、確認檢查內(nèi)容、選擇檢查方式，按照附錄A執(zhí)行。4.1.3檢查組應不少于2人，至少有1人具備網(wǎng)絡(luò)數(shù)據(jù)安全專業(yè)知識、培訓經(jīng)歷或者從業(yè)經(jīng)驗。4.1.4檢查組事先應向網(wǎng)絡(luò)數(shù)據(jù)處理者告知相關(guān)檢查事項，包括但不限于檢查時間、檢查內(nèi)容等。4.1.5檢查組在實施檢查過程中，應如實記錄檢查時間、地點、內(nèi)容、發(fā)現(xiàn)的問題及其處理情況等。4.1.6檢查組在實施檢查過程中，應嚴格遵守法律法規(guī)、工作紀律要求，對涉及國家秘密、商業(yè)秘密、個人隱私的信息，應當保密。4.2實施階段檢查組可采用人員訪談、文檔審核、工具測試、配置檢查、流量核驗等方式，開展檢查工作，輸出檢查記錄單，按照附錄B執(zhí)行。實施過程中，應不干擾、破壞網(wǎng)絡(luò)數(shù)據(jù)處理者的業(yè)務(wù)連續(xù)性。4.3整改階段4.3.1檢查組應根據(jù)監(jiān)督檢查結(jié)果，出具書面檢查記錄單，針對檢查中發(fā)現(xiàn)的安全問題，提出整改要求及整改時限。4.3.2網(wǎng)絡(luò)數(shù)據(jù)處理者應按照整改要求，在規(guī)定的時間內(nèi)，完成整改工作，并形成整改報告，提交檢查組。4.3.3檢查組應跟蹤整改情況，并記錄整改結(jié)果。4.4總結(jié)階段檢查組應在檢查結(jié)束后，總結(jié)檢查情況，編寫總結(jié)報告。對檢查過程中收集的資料、檢查記錄單、相關(guān)過程文書及整改反饋資料等相關(guān)數(shù)據(jù)，按規(guī)定立卷存檔，存檔時間應不少于三年。5監(jiān)督檢查方式5.1管理檢查管理檢查的檢查方式包括但不限于：a)人員訪談：通過訪談的方式與網(wǎng)絡(luò)數(shù)據(jù)處理者進行交流、討論等活動,獲取相關(guān)資料,了解有關(guān)信息，檢查實際工作與管理制度、文檔記錄之間的一致程度；2DB12/T1198—2023b)文檔審核：由網(wǎng)絡(luò)數(shù)據(jù)處理者提供與數(shù)據(jù)安全相關(guān)的文檔材料(如網(wǎng)絡(luò)數(shù)據(jù)安全的方針政策、制度規(guī)范流程、培訓教育材料、以及與產(chǎn)品技術(shù)相關(guān)的設(shè)計實施方案、配置說明、運行記錄和其他配套表單),檢查組審核相關(guān)的文檔材料是否已涵蓋檢查內(nèi)容。5.2技術(shù)檢查技術(shù)檢查的檢查方式包括但不限于：a)工具測試：利用技術(shù)工具和人工方式對系統(tǒng)進行測試,驗證是否符合檢查內(nèi)容的技術(shù)保障能力要求；b)配置檢查：根據(jù)網(wǎng)絡(luò)數(shù)據(jù)處理者提供的技術(shù)材料,登錄相關(guān)的系統(tǒng)工具平臺,檢查配置是否與材料保持一致,對文檔審核內(nèi)容進行核實；c)流量核驗：采用旁路部署的方式，對網(wǎng)絡(luò)數(shù)據(jù)處理者的系統(tǒng)進行全流量采集，核驗是否符合檢查內(nèi)容的技術(shù)保障能力要求。6監(jiān)督檢查要求6.1總體要求監(jiān)督檢查要求包含通用安全、數(shù)據(jù)收集安全、數(shù)據(jù)存儲安全、數(shù)據(jù)使用安全、數(shù)據(jù)加工安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)提供安全、數(shù)據(jù)公開安全和數(shù)據(jù)銷毀安全九個部分。涉及重要數(shù)據(jù)的網(wǎng)絡(luò)處理者原則上應在符合基本要求的基礎(chǔ)上，滿足增強要求。6.2通用安全6.2.1安全合規(guī)管理6.2.1.1基本要求本項檢查基本要求包括：a)是否定期開展數(shù)據(jù)安全評估工作；b)是否定期開展網(wǎng)絡(luò)安全等級保護測評工作，是否按照測評報告要求，開展整改工作；c)是否填報數(shù)據(jù)安全備案信息，并及時更新相關(guān)數(shù)據(jù)；d)是否明確數(shù)據(jù)安全管理機構(gòu)、管理崗位及相關(guān)職責，是否定期開展數(shù)據(jù)安全自查工作；e)是否明確數(shù)據(jù)安全事件應急預案，是否定期開展數(shù)據(jù)安全培訓和應急演練活動；f)是否建立個人信息管理制度和操作規(guī)程，是否明確審批制度、流程、管理范圍、安全策略和管控措施，是否明確指定個人信息保護負責人；g)涉及個人信息處理的，是否定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計；h)是否建立數(shù)據(jù)跨境管理制度，是否明確審批制度、流程、管理范圍、安全策略和管控措施；i)涉及數(shù)據(jù)出境的，檢查數(shù)據(jù)出境前是否開展數(shù)據(jù)出境風險自評估，是否通過網(wǎng)信部門數(shù)據(jù)出境安全評估。6.2.1.2增強要求本項檢查增強要求包括：3DB12/T1198—2023a)涉及處理敏感個人信息，或利用個人信息進行自動化決策，或委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息，或向境外提供個人信息的，是否事前開展個人信息保護影響評估；b)涉及收集使用兒童個人信息的，是否在符合個人信息保護的基礎(chǔ)上，加強對兒童個人信息的保護；c)是否建立密碼安全管理制度，是否定期開展密碼應用安全性評估；d)相關(guān)信息系統(tǒng)是否采用商用密碼檢測認證機構(gòu)核準的密碼技術(shù)和產(chǎn)品。6.2.2數(shù)據(jù)分類分級6.2.2.1基本要求本項檢查基本要求包括：a)是否建立數(shù)據(jù)分類分級制度、規(guī)程、操作指南；b)是否開展數(shù)據(jù)分類分級標識和管理工作。6.2.2.2增強要求是否按照數(shù)據(jù)分類分級的要求建立相應的訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安全管理和控制措施。6.2.3終端數(shù)據(jù)安全6.2.3.1基本要求本項檢查基本要求包括：a)是否制定面向終端的數(shù)據(jù)安全管理規(guī)范和要求；b)是否設(shè)置數(shù)據(jù)安全管理崗位，并指定專人對終端數(shù)據(jù)安全進行統(tǒng)一管理；c)是否為在網(wǎng)絡(luò)環(huán)境的終端設(shè)備，安裝統(tǒng)一的防病毒軟件。6.2.3.2增強要求本項檢查增強要求包括：a)是否為進入內(nèi)部網(wǎng)絡(luò)環(huán)境的終端設(shè)備，分配終端識別號，并實現(xiàn)計算機終端設(shè)備與用戶賬號的一對一綁定；b)是否部署終端數(shù)據(jù)防泄漏方案，通過技術(shù)手段對終端上傳輸?shù)臄?shù)據(jù)進行風險監(jiān)測。6.2.4監(jiān)控與審計6.2.4.1基本要求是否明確對內(nèi)部各類數(shù)據(jù)訪問和操作的日志記錄要求、安全監(jiān)控要求和審計要求。6.2.4.2增強要求是否采用自動和人工審計相結(jié)合的方式對網(wǎng)絡(luò)傳輸數(shù)據(jù)的高風險操作進行監(jiān)測。6.3數(shù)據(jù)收集安全6.3.1基本要求4DB12/T1198—2023本項檢查基本要求包括：a)是否制定符合業(yè)務(wù)的數(shù)據(jù)收集原則、收集流程和方法；b)是否明確收集數(shù)據(jù)的目的和用途，檢查數(shù)據(jù)收集和獲取的合法性和正當性；c)涉及個人信息收集的，是否明確個人信息收集的目的、方式和范圍，并經(jīng)被收集者同意或符合其他合法方式。收集兒童個人信息的，應當取得兒童監(jiān)護人的同意。6.3.2增強要求本項檢查增強要求包括：a)是否采取技術(shù)手段或管控措施，對收集和獲取到的數(shù)據(jù)進行完整性和一致性校驗；b)是否采取技術(shù)手段或管控措施，防止個人信息和重要數(shù)據(jù)在收集過程中泄露。6.4數(shù)據(jù)存儲安全6.4.1基本要求本項檢查基本要求包括：a)是否建立數(shù)據(jù)存儲管理制度，規(guī)范存儲媒體使用、購買和標記流程；b)是否具備數(shù)據(jù)備份與恢復技術(shù)，建立數(shù)據(jù)存儲冗余策略和存儲安全管理制度；c)是否執(zhí)行定期的數(shù)據(jù)備份和恢復，實現(xiàn)對存儲數(shù)據(jù)的冗余管理，保護數(shù)據(jù)的可用性。6.4.2增強要求本項檢查增強要求包括：a)是否具備對存儲媒體性能監(jiān)控措施，包括使用歷史、性能指標、錯誤或損壞情況，對超過安全閾值的存儲媒體進行預警；b)是否具備存儲媒體訪問和使用的安全管理規(guī)范，并對存儲媒體使用行為進行記錄和審計；c)是否具備對個人敏感數(shù)據(jù)、重要數(shù)據(jù)存儲加密的能力。6.5數(shù)據(jù)使用安全6.5.1數(shù)據(jù)正當使用6.5.1.1基本要求是否建立數(shù)據(jù)使用正當性的管理制度，在數(shù)據(jù)使用聲明的目的和范圍內(nèi)對受保護的個人信息、重要數(shù)據(jù)進行使用和分析處理。6.5.1.2增強要求是否采用技術(shù)手段記錄和管理數(shù)據(jù)使用操作行為。6.5.2數(shù)據(jù)導入導出安全6.5.2.1基本要求本項檢查基本要求包括：a)是否建立數(shù)據(jù)導入導出安全制度或?qū)徟鞒蹋籦)是否用存儲媒體進行數(shù)據(jù)導出時，應建立存儲媒體的標識規(guī)范；5DB12/T1198—2023c)是否對導入導出的終端、用戶或服務(wù)組件等執(zhí)行身份鑒別，驗證其身份的真實性和合法性。6.5.2.2增強要求是否定期驗證導出數(shù)據(jù)的完整性和可用性。6.5.3鑒別與訪問控制6.5.3.1基本要求本項檢查基本要求包括：a)是否指定專人負責管理核心業(yè)務(wù)系統(tǒng)的用戶身份及數(shù)據(jù)權(quán)限管理；b)是否制定核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫的身份鑒別、訪問控制和權(quán)限管理制度及要求；c)是否對業(yè)務(wù)系統(tǒng)登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，鑒別信息具有復雜度要求并定期更換。6.5.3.2增強要求是否采用兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。6.5.4數(shù)據(jù)展示安全6.5.4.1基本要求本項檢查基本要求包括：a)是否建立數(shù)據(jù)展示操作規(guī)范，明確數(shù)據(jù)的展示范圍、內(nèi)容、方式；b)是否依據(jù)用戶角色，展示相應數(shù)據(jù)；c)是否在對外部組織展示重要數(shù)據(jù)和敏感個人信息時，采用數(shù)據(jù)脫敏等技術(shù)。6.5.4.2增強要求是否在展示重要數(shù)據(jù)和敏感個人信息時，采用防截屏或屏幕水印等技術(shù)。6.6數(shù)據(jù)加工安全6.6.1數(shù)據(jù)分析安全6.6.1.1基本要求是否建立數(shù)據(jù)分析相關(guān)數(shù)據(jù)源獲取規(guī)范和使用機制，明確數(shù)據(jù)獲取方式、訪問接口、授權(quán)機制、數(shù)據(jù)使用等。6.6.1.2增強要求本項檢查增強要求包括：a)是否建立多源數(shù)據(jù)聚合、關(guān)聯(lián)分析等數(shù)據(jù)分析過程中的數(shù)據(jù)資源操作規(guī)范和實施指南；b)是否建立數(shù)據(jù)分析結(jié)果輸出的安全審查機制和授權(quán)控制機制，并采取必要的技術(shù)手段和管控措施。6.6.2數(shù)據(jù)脫敏安全6DB12/T1198—20236.6.2.1基本要求本項檢查基本要求包括：a)是否建立數(shù)據(jù)脫敏制度、流程和方法，指導數(shù)據(jù)脫敏操作；b)是否具備數(shù)據(jù)脫敏軟件或工具，對敏感數(shù)據(jù)傳輸、共享、發(fā)布等環(huán)節(jié)敏感信息進行隱藏、模糊化處理。6.6.2.2增強要求是否對脫敏處理過程進行記錄，并滿足安全審計的要求。6.7數(shù)據(jù)傳輸安全6.7.1基本要求本項檢查基本要求包括：a)是否制定數(shù)據(jù)安全傳輸管理規(guī)范，明確數(shù)據(jù)傳輸安全要求；b)是否具備對傳輸通道兩端進行主體身份鑒別和認證的技術(shù)方案和工具。6.7.2增強要求是否明確業(yè)務(wù)中需要加密傳輸?shù)臄?shù)據(jù)范圍和加密算法。6.8數(shù)據(jù)提供安全6.8.1數(shù)據(jù)共享安全6.8.1.1基本要求本項檢查基本要求包括：a)是否制定數(shù)據(jù)共享內(nèi)容、范圍、安全管理制度；b)是否明確數(shù)據(jù)保護責任，規(guī)范第三方網(wǎng)絡(luò)數(shù)據(jù)處理者行為；c)是否明確數(shù)據(jù)共享最低安全防護要求或技術(shù)保護措施；d)是否在數(shù)據(jù)共享過程中采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全通道等措施。6.8.1.2增強要求是否對共享數(shù)據(jù)、數(shù)據(jù)共享范圍及數(shù)據(jù)共享過程進行監(jiān)控審計。6.8.2數(shù)據(jù)供應鏈安全6.8.2.1基本要求本項檢查基本要求包括：a)是否制定數(shù)據(jù)供應鏈安全管理規(guī)范，定義數(shù)據(jù)供應鏈安全目標、原則和范圍；b)是否明確數(shù)據(jù)供應鏈上下游保護的義務(wù)和責任、保護范圍、使用目的、供應方式、保密約定6.8.2.2增強要求本項檢查增強要求包括：7DB12/T1198—2023a)是否對數(shù)據(jù)供應鏈上下游的行為進行合規(guī)性審核和分析；b)是否建立數(shù)據(jù)供應鏈庫，并及時更新數(shù)據(jù)供應鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字典，便于供應鏈上下游合規(guī)情況的事后追蹤。6.9數(shù)據(jù)公開安全6.9.1數(shù)據(jù)發(fā)布安全6.9.1.1基本要求本項檢查基本要求包括：a)是否建立數(shù)據(jù)資源公開發(fā)布的審核制度，嚴格審核數(shù)據(jù)發(fā)布業(yè)務(wù)的合規(guī)性；b)是否指定專人負責數(shù)據(jù)發(fā)布信息的披露，并對數(shù)據(jù)披露人員進行安全培訓。6.9.1.2增強要求本項檢查增強要求包括：a)是否采取發(fā)布數(shù)據(jù)使用合規(guī)性保護的技術(shù)措施；b)是否建立公開數(shù)據(jù)登記、用戶注冊等發(fā)布數(shù)據(jù)和發(fā)布組件的驗證機制。6.9.2數(shù)據(jù)接口安全6.9.2.1基本要求本項檢查基本要求包括：a)是否建立數(shù)據(jù)接口安全制度與技術(shù)規(guī)范；b)是否制定數(shù)據(jù)接口安全控制策略，明確規(guī)定使用服務(wù)接口的安全限制和安全控制措施（如身份鑒別、授權(quán)策略、訪問控制機制、簽名、安全協(xié)議等）。6.9.2.2增強要求本項檢查增強要求包括：a)是否具備對接口不安全輸入?yún)?shù)進行限制或過濾等能力；b)是否具備服務(wù)接口訪問的審計能力。6.10數(shù)據(jù)銷毀安全6.10.1基本要求本項檢查基本要求包括：a)是否建立數(shù)據(jù)銷毀策略和管理制度，明確銷毀對象和流程；b)是否建立數(shù)據(jù)銷毀審批機制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程；c)是否按照分類分級建立相應的數(shù)據(jù)銷毀機制，明確銷毀方式和銷毀要求；d)是否采用技術(shù)工具擦除銷毀核心業(yè)務(wù)存儲媒體的數(shù)據(jù)內(nèi)容。6.10.2增強要求是否針對閃存、硬盤、磁帶、光盤等存儲媒體建立數(shù)據(jù)銷毀方法和技術(shù)。8DB12/T1198—20237監(jiān)督檢查結(jié)果7.1單項結(jié)果判定檢查組應圍繞檢查內(nèi)容，面向網(wǎng)絡(luò)數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、銷毀安全及通用數(shù)據(jù)安全階段，對網(wǎng)絡(luò)數(shù)據(jù)處理者開展監(jiān)督檢查工作。分析檢查點的佐證材料，并與檢查內(nèi)容的預期結(jié)果相比較，給出單項檢查結(jié)果符合程度：a)基于組織機構(gòu)業(yè)務(wù)場景和數(shù)據(jù)安全風險,可對數(shù)據(jù)生存周期各階段安全進行適用性判斷，如果對應風險不存在，則該項結(jié)果為不適用，不適用項不納入得分計算。b)如果佐證材料表明所有檢查內(nèi)容與預期結(jié)果一致，則判定該檢查點單項結(jié)果為5分；如果佐證材料表明所有檢查內(nèi)容與預期結(jié)果不一致，判定該檢查點單項結(jié)果為0分；否則依據(jù)佐證材料表明所有檢查內(nèi)容與預期結(jié)果的一致程度，判定該檢查點單項結(jié)果為1-4分。7.2整體結(jié)果判定根據(jù)單項檢查結(jié)果和檢查點權(quán)重（見附錄C）計算網(wǎng)絡(luò)數(shù)據(jù)處理者整體得分，整體得分按公式（1）計算：監(jiān)督檢查整體得分=ΣEQ\*jc3\*hps14\o\al(\s\up16(p),k)=1EQ\*jc3\*hps14\o\al(\s\up9(檢),Σ)EQ\*jc3\*hps14\o\al(\s\up9(點),1)EQ\*jc3\*hps14\o\al(\s\up9(得分×檢查),檢查點權(quán)重)點權(quán)重×20……………（1）式中：p=檢查點數(shù)。監(jiān)督檢查結(jié)果分為符合、基本符合、不符合類型：a)符合：監(jiān)督檢查整體得分達到100分的監(jiān)督檢查結(jié)果為符合；b)基本符合：監(jiān)督檢查整體得分達到60分（含）以上不足100分的監(jiān)督檢查結(jié)果為基本符合；c)不符合：監(jiān)督檢查整體得分在60分以下的監(jiān)督檢查結(jié)果為不符合。7.3檢查結(jié)果確認7.3.1開展現(xiàn)場監(jiān)督檢查，應當制作監(jiān)督檢查記錄，并由2名以上（含）檢查組人員和網(wǎng)絡(luò)數(shù)據(jù)處理者的負責人或者網(wǎng)絡(luò)數(shù)據(jù)安全管理人員簽名。網(wǎng)絡(luò)數(shù)據(jù)處理者負責人或者網(wǎng)絡(luò)數(shù)據(jù)安全管理人員對監(jiān)督檢查記錄有異議的，應當允許其做出說明；存在異議的檢查組應當在監(jiān)督檢查記錄中注明。7.3.2委托第三方網(wǎng)絡(luò)數(shù)據(jù)安全服務(wù)機構(gòu)提供技術(shù)支持的，技術(shù)支持人員應當一并在監(jiān)督檢查記錄上簽名。9DB12/T1198—2023（規(guī)范性）監(jiān)督檢查流程圖圖A.1規(guī)定了監(jiān)督檢查的流程。圖A.1監(jiān)督檢查流程圖DB12/T1198—2023（規(guī)范性）網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查記錄單網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查記錄單見表B.1。表B.1網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查記錄單1.檢查結(jié)論 年月日，檢查組對單位開展網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查工作。本次監(jiān)督檢查涉及個檢查類，共計個檢查點，經(jīng)統(tǒng)計，其中符合項有項，基本符合項有，不符合項有項，不適用項有項。2.檢查清單12b)是否定期開展網(wǎng)絡(luò)安全等級保護測345否定期開展數(shù)據(jù)安全培訓和應急演練6f)是否建立個人信息管理制度和操作78DB12/T1198—20239d)相關(guān)信息系統(tǒng)是否采用商用密碼檢b)是否開展數(shù)據(jù)分類分級標識和管理是否按照數(shù)據(jù)分類分級的要求建立相a)是否制定面向終端的數(shù)據(jù)安全管理a)是否為進入內(nèi)部網(wǎng)絡(luò)環(huán)境的終端設(shè)技術(shù)手段對終端上傳輸?shù)臄?shù)據(jù)進行風是否明確對內(nèi)部各類數(shù)據(jù)訪問和操作是否采用自動和人工審計相結(jié)合的方式對網(wǎng)絡(luò)傳輸數(shù)據(jù)的高風險操作進行DB12/T1198—2023集和獲取到的數(shù)據(jù)進行完整性和一致個人信息和重要數(shù)據(jù)在收集過程中泄數(shù)據(jù)存儲冗余策略和存儲安全管理制b)是否具備存儲媒體訪問和使用的安在數(shù)據(jù)使用聲明的目的和范圍內(nèi)對受是否采用技術(shù)手段記錄和管理數(shù)據(jù)使a)是否建立數(shù)據(jù)導入導出安全制度或DB12/T1198—2023是否定期驗證導出數(shù)據(jù)的完整性和可制a)是否指定專人負責管理核心業(yè)務(wù)系b)是否制定核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫的是否采用兩種或兩種以上組合的鑒別c)是否在對外部組織展示重要數(shù)據(jù)和敏感個人信息時，采用數(shù)據(jù)脫敏等技是否在展示重要數(shù)據(jù)和敏感個人信息是否建立數(shù)據(jù)分析相關(guān)數(shù)據(jù)源獲取規(guī)數(shù)據(jù)分析過程中的數(shù)據(jù)資源操作規(guī)范b)是否建立數(shù)據(jù)分析結(jié)果輸出的安全DB12/T1198—2023a)是否建立數(shù)據(jù)脫敏制度、流程和方b)是否具備對傳輸通道兩端進行主體是否明確業(yè)務(wù)中需要加密傳輸?shù)臄?shù)據(jù)c)是否明確數(shù)據(jù)共享最低安全防護要d)是否在數(shù)據(jù)共享過程中采取數(shù)據(jù)脫全定義數(shù)據(jù)供應鏈安全目標、原則和范b)是否明確數(shù)據(jù)供應鏈上下游保護的a)是否對數(shù)據(jù)供應鏈上下游的行為進數(shù)據(jù)供應鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字a)是否建立數(shù)據(jù)資源公開發(fā)布的審核制度，嚴格審核數(shù)據(jù)發(fā)布業(yè)務(wù)的合規(guī)b)是否指定專人負責數(shù)據(jù)發(fā)布信息的披露，并對數(shù)據(jù)披露人員進行安全培DB12/T1198—2023a)是否采取發(fā)布數(shù)據(jù)使用合規(guī)性保護a)是否建立數(shù)據(jù)接口安全制度與技術(shù)確規(guī)定使用服務(wù)接口的安全限制和安a)是否具備對接口不安全輸入?yún)?shù)進c)是否按照分類分級建立相應的數(shù)據(jù)d)是否采用技術(shù)工具擦除銷毀核心業(yè)單位蓋章：檢查組組長簽字：負責人簽字：檢查組成員簽字：DB12/T1198—2023（規(guī)范性）網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查點權(quán)重表表C.1規(guī)定了網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查點權(quán)重。表C.1網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查點權(quán)重1121314151678191d)相關(guān)信息系統(tǒng)是否采用商用密碼檢測認證機構(gòu)核準的11DB12/T1198—20231c)是否為在網(wǎng)絡(luò)環(huán)境的終端設(shè)備，安裝統(tǒng)一的防病毒軟1a)是否為進