SZSD 0068-2024數(shù)據(jù)安全管理評(píng)估規(guī)范

SZSDdatasecuritymanagementevaluationI 2 2 3 34.4現(xiàn)場(chǎng)評(píng)估階段 34.5報(bào)告編制階段 4 4 4 4 5 5 5 5 6 66.4數(shù)據(jù)加工 66.5數(shù)據(jù)傳輸 66.6數(shù)據(jù)提供 7 76.8信息發(fā)送 7 7 8 8 8 8 8 9 97.4體系資質(zhì) 9 8.4專(zhuān)家評(píng)審 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定島）信息科技有限公司、青島場(chǎng)外市場(chǎng)清算中心有限1數(shù)據(jù)安全管理評(píng)估規(guī)范GB/T5271.1-2000信息技術(shù)詞匯第1部分：基GB/T20984-2022信息安全技術(shù)信息安全風(fēng)GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)GB/T33770.2-2019信息技術(shù)服務(wù)外包第2部分：數(shù)GB/T35273-2020信息安全技術(shù)個(gè)人信息GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處ISO/IEC27001:2013信息技術(shù)安全技術(shù)3.13.23.33.43.523.6注：敏感個(gè)人信息包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康3.73.83.93.103.113.124評(píng)估流程信息和核心網(wǎng)絡(luò)數(shù)據(jù)的業(yè)務(wù)支撐系統(tǒng)時(shí)，應(yīng)開(kāi)展數(shù)據(jù)安全管理b)網(wǎng)絡(luò)運(yùn)營(yíng)者驗(yàn)收新的存儲(chǔ)用戶個(gè)人信息和核心網(wǎng)絡(luò)數(shù)據(jù)的業(yè)務(wù)支撐系統(tǒng)時(shí)，應(yīng)開(kāi)展數(shù)據(jù)安全數(shù)據(jù)出境等）前對(duì)涉及到的數(shù)據(jù)相關(guān)管理措施、技術(shù)措施3f)業(yè)務(wù)運(yùn)營(yíng)階段，在管理責(zé)任主體變更時(shí)，應(yīng)開(kāi)展數(shù)據(jù)安全管理評(píng)估；g)行業(yè)主管部門(mén)要求網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行周期性數(shù)據(jù)安全管理評(píng)估的，應(yīng)定期開(kāi)展數(shù)據(jù)安全管理評(píng)h)在遇到客戶嚴(yán)重投訴或發(fā)生重大網(wǎng)絡(luò)安全事件后，應(yīng)開(kāi)展數(shù)據(jù)安全管理評(píng)估；i)滿足國(guó)家法律法規(guī)有關(guān)情形時(shí)，應(yīng)開(kāi)4.2.1工作啟動(dòng)發(fā)運(yùn)營(yíng)單位，編制項(xiàng)目計(jì)劃書(shū)，收集被評(píng)估單位及評(píng)估對(duì)象4.2.2信息收集和分析4.2.3工具和表單準(zhǔn)備4.3方案編制階段4.3.1評(píng)估對(duì)象確定4.3.2評(píng)估工具確定4.3.3評(píng)估指導(dǎo)書(shū)編制參照GB/T41479第4章內(nèi)容明確的評(píng)估內(nèi)容以及附錄A，編制數(shù)據(jù)安全管理評(píng)估指導(dǎo)書(shū)，包括評(píng)估4.3.4評(píng)估方案編制4,4現(xiàn)場(chǎng)評(píng)估階段4.4.1現(xiàn)場(chǎng)評(píng)估準(zhǔn)備4.4.2現(xiàn)場(chǎng)評(píng)估實(shí)施和結(jié)果記錄注：現(xiàn)場(chǎng)評(píng)估結(jié)束后，評(píng)估人員與評(píng)估配合人員須及時(shí)確認(rèn)評(píng)4.4.3結(jié)果確認(rèn)和資料歸還44.5報(bào)告編制階段4.5.1數(shù)據(jù)安全管理基本情況4.5.2數(shù)據(jù)安全管理評(píng)估流程及內(nèi)容4.5.4整改建議4.5.5評(píng)估報(bào)告編制形成數(shù)據(jù)安全管理評(píng)估報(bào)告。數(shù)據(jù)安全管理評(píng)估報(bào)告格式應(yīng)符合附錄Bc)問(wèn)題總結(jié)，根據(jù)評(píng)估結(jié)論梳理評(píng)估指標(biāo)項(xiàng)中不合規(guī)項(xiàng)，指出數(shù)據(jù)安全管理中存在的問(wèn)題；d)整改建議，依據(jù)存在問(wèn)題逐項(xiàng)提出針對(duì)性整改建議；5基礎(chǔ)性評(píng)估5.1.1評(píng)估依據(jù)應(yīng)符合GB/T41479-2022中4.5.1.2評(píng)估內(nèi)容5.2分類(lèi)分級(jí)5.2.1評(píng)估依據(jù)應(yīng)符合GB/T41479-2022中4.5.2.2評(píng)估內(nèi)容5應(yīng)符合GB/T41479-2022中4.5.3.2.1查驗(yàn)網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)處理時(shí)，是否按照合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，開(kāi)展數(shù)據(jù)處理5.3.2.2查驗(yàn)網(wǎng)絡(luò)運(yùn)營(yíng)者是否對(duì)重要數(shù)據(jù)和敏感個(gè)人信息進(jìn)行重點(diǎn)保護(hù)，是否按照規(guī)定對(duì)其數(shù)據(jù)處理5.3.2.3查驗(yàn)網(wǎng)絡(luò)運(yùn)營(yíng)者是否建立了數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度，制定數(shù)據(jù)安全保護(hù)計(jì)劃，開(kāi)展安全風(fēng)險(xiǎn)評(píng)估，及時(shí)處置安全事件，組織開(kāi)展5.4審計(jì)追溯應(yīng)符合GB/T41479-2022中4.查驗(yàn)網(wǎng)絡(luò)運(yùn)營(yíng)者是否對(duì)數(shù)據(jù)處理的全生存周期進(jìn)行記錄，確保數(shù)據(jù)處理可審計(jì)、應(yīng)符合GB/T41479-2022中5.a)是否制定和公開(kāi)個(gè)人信息保護(hù)策并嚴(yán)格遵守，個(gè)人信息保護(hù)政策是或撤回同意，提供該產(chǎn)品或服務(wù)所必需個(gè)人信息以外的信息，而拒絕提供該產(chǎn)品g)收集不滿十四周歲未成年人個(gè)人信息前獲得的個(gè)人信息處理授權(quán)同意范圍，并按照本文件的要求履行安66.2數(shù)據(jù)存儲(chǔ)應(yīng)符合GB/T41479-2022中5.6.2.2.1查驗(yàn)網(wǎng)絡(luò)運(yùn)營(yíng)者是否對(duì)數(shù)據(jù)存儲(chǔ)活動(dòng)采b)存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息，是否超過(guò)與重要數(shù)據(jù)和個(gè)人信息主體約定的存儲(chǔ)期限或個(gè)人信息6.2.2.2數(shù)據(jù)接收方存儲(chǔ)數(shù)據(jù)時(shí)，是否按6.3數(shù)據(jù)使用應(yīng)符合GB/T41479-2022中5.查驗(yàn)網(wǎng)絡(luò)運(yùn)營(yíng)者在為用戶提供定向推送或信息合成服務(wù)時(shí)是否滿足a)網(wǎng)絡(luò)運(yùn)營(yíng)者利用個(gè)人信息和算法為用戶提供定向推送信息服務(wù)時(shí)，是否提供了非定向推送信a)是否通過(guò)合同等形式明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)；6,4數(shù)據(jù)加工應(yīng)符合GB/T41479-2022中5.應(yīng)符合GB/T41479-2020中5.7b)向數(shù)據(jù)接收方傳輸數(shù)據(jù)時(shí)，是否按要求采取安全措施并以合同進(jìn)行約定。應(yīng)符合GB/T41479-2020中5.全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，不應(yīng)向他人提供。要求c)委托第三方開(kāi)展數(shù)據(jù)處理活動(dòng)的，是否通過(guò)合同等形式明確約定委托處理的目的期限處理方第三方以合同中約定的形式返還、刪除接收和產(chǎn)生的數(shù)據(jù)，并對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督；——網(wǎng)絡(luò)運(yùn)營(yíng)者向境外提供個(gè)人信息或者重要數(shù)據(jù)的，是否遵循國(guó)家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要——境內(nèi)用戶在境內(nèi)訪問(wèn)境內(nèi)網(wǎng)絡(luò)的，其流量是否路由至境外。6.7數(shù)據(jù)公開(kāi)應(yīng)符合GB/T41479-2020中5.6.8信息發(fā)送應(yīng)符合GB/T41479-2020中5.即時(shí)通信等社交平臺(tái)運(yùn)營(yíng)者是否為用戶提供發(fā)送私人信息和可轉(zhuǎn)發(fā)信息的選項(xiàng)，并按照以下方式a)是否對(duì)以私人選項(xiàng)發(fā)送的信息予以嚴(yán)格保護(hù)，不提供轉(zhuǎn)發(fā)功能；6.9個(gè)人信息處理8應(yīng)符合GB/T41479-2020中5.106.10投訴舉報(bào)處理應(yīng)符合GB/T41479-2020中5.11——網(wǎng)絡(luò)運(yùn)營(yíng)者是否建立投訴、舉報(bào)受理處置制度；——收到通過(guò)其平臺(tái)編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識(shí)產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報(bào)的，自接受投訴舉報(bào)起，受理——受理后是否進(jìn)行調(diào)查取證，對(duì)于查實(shí)的編造、傳播虛假信息，發(fā)布侵害識(shí)產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報(bào)6.11訪問(wèn)控制與審計(jì)應(yīng)符合GB/T41479-2020中5.12查驗(yàn)網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)處理活動(dòng)時(shí)，是否采——對(duì)重要數(shù)據(jù)、個(gè)人信息的關(guān)鍵操作(例如批量修改、拷貝、應(yīng)符合GB/T41479-2020中5.13——網(wǎng)絡(luò)產(chǎn)品和服務(wù)停止運(yùn)營(yíng)；——個(gè)人信息主體注銷(xiāo)賬號(hào)，或者當(dāng)用戶撤回同意。6.12.2.2存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息的介質(zhì)進(jìn)行報(bào)廢處理時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者是否采用物理?yè)p毀等方式銷(xiāo)9應(yīng)符合GB/T41479-2020中理工作經(jīng)歷，參與有關(guān)數(shù)據(jù)處的重要決策，履——是否組織受理和處置數(shù)據(jù)安全投訴、舉報(bào)。7.2人力資源保障與考核應(yīng)符合GB/T41479-2020中6.——是否明確數(shù)據(jù)安全保護(hù)崗位及職責(zé)，并提供人力資源保障；——是否建立人力資源考核制度，明確數(shù)據(jù)安全管理考核指標(biāo)和問(wèn)責(zé)機(jī)制，對(duì)相關(guān)人員特別是重要崗位人員的履職情況是否進(jìn)行考核。出現(xiàn)數(shù)據(jù)安全重大事件時(shí)，是否對(duì)直接負(fù)責(zé)的主7.3事件應(yīng)急處置應(yīng)符合GB/T41479-2020中6.?啟動(dòng)所需的資源，如人員、設(shè)備、場(chǎng)所、工具、資金等，——是否制定應(yīng)急演練計(jì)劃，按計(jì)劃或者在應(yīng)急響應(yīng)機(jī)制發(fā)生變化后，組織開(kāi)展應(yīng)急演練，檢驗(yàn)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的按相關(guān)要求向有關(guān)部7,4體系資質(zhì)網(wǎng)絡(luò)運(yùn)營(yíng)者是否按GB/T22239-2019估，網(wǎng)絡(luò)運(yùn)營(yíng)者是否獲得信息安全管理體系資質(zhì)，信息安全管理體系建設(shè)是否按照ISO/IEC27001組織8.2核查8.3.1根據(jù)評(píng)估指導(dǎo)書(shū)，利用技術(shù)工具對(duì)評(píng)估范圍內(nèi)的目標(biāo)系統(tǒng)進(jìn)行測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于8.4專(zhuān)家評(píng)審評(píng)估網(wǎng)絡(luò)運(yùn)營(yíng)者或評(píng)估對(duì)象是否已經(jīng)配套數(shù)據(jù)安全管理措施和數(shù)據(jù)安全技術(shù)措施，滿足數(shù)據(jù)安全基線9評(píng)估報(bào)告根據(jù)評(píng)估情況出具數(shù)據(jù)安全管理評(píng)估報(bào)告，評(píng)估報(bào)告模板見(jiàn)附123456網(wǎng)絡(luò)運(yùn)營(yíng)者是否對(duì)重要數(shù)據(jù)和敏感個(gè)人信息進(jìn)行重點(diǎn)保護(hù)，是否按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)包括處理的重要數(shù)據(jù)7網(wǎng)絡(luò)運(yùn)營(yíng)者是否建立了數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度，制定數(shù)據(jù)安全保護(hù)計(jì)劃，開(kāi)展安全89是否制定和公開(kāi)個(gè)人信息保護(hù)策并嚴(yán)格遵守策；是否明示所提供產(chǎn)品或服務(wù)的類(lèi)型，以及該產(chǎn)品或服務(wù)所必需的個(gè)人信息，不應(yīng)因用戶不同意或撤回同意，提供該產(chǎn)品或服務(wù)所必需個(gè)人信息以外的信息，而拒絕提供該產(chǎn)品或服務(wù)；是否僅以改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、定向推送信息、研發(fā)新產(chǎn)品等為目的，強(qiáng)制要求、誤收集個(gè)人信息前，是否明示個(gè)人信息保護(hù)政策，并征得個(gè)人信息主體同意，改變處理個(gè)人信息得個(gè)人信息主體同意；收集敏感個(gè)人信息前，是否取得個(gè)人信息主體的單獨(dú)同意，確保單獨(dú)同意是在完全知情的基礎(chǔ)上自主給出的、具體的清晰明確的意愿表示；收集不滿十四周歲未成年從個(gè)人信息主體以外的其他途徑獲得個(gè)人信息的，是否了解個(gè)人信息來(lái)源、個(gè)人信息提供方已存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息等敏感網(wǎng)絡(luò)數(shù)據(jù)，是否采用加密、安全存儲(chǔ)、訪問(wèn)控制、安全審計(jì)等存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息，是否超過(guò)與重要數(shù)據(jù)和個(gè)人信息主體約定的存儲(chǔ)期限或個(gè)人信息主網(wǎng)絡(luò)運(yùn)營(yíng)者利用個(gè)人信息和算法為用戶提供定向推送信息服務(wù)時(shí)，是否提供了非定向推送信息的服務(wù)選項(xiàng)；在向個(gè)人信息主體提供新聞、博客類(lèi)信息服務(wù)的過(guò)程中，網(wǎng)絡(luò)運(yùn)營(yíng)者利用算法自網(wǎng)絡(luò)運(yùn)營(yíng)者在開(kāi)展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過(guò)程中，是否存在可能危害國(guó)家安全公向他人提供個(gè)人信息，是否向個(gè)人信息主體告知接收方的名稱(chēng)、聯(lián)系方式、處理目的、處理方發(fā)生收購(gòu)、兼并、重組、破產(chǎn)時(shí)，數(shù)據(jù)接收方是否繼續(xù)履行了相關(guān)數(shù)據(jù)安全保護(hù)義務(wù)；沒(méi)有數(shù)網(wǎng)絡(luò)運(yùn)營(yíng)者利用所掌握的數(shù)據(jù)資源，公開(kāi)市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息時(shí)，是否危害即時(shí)通信等社交平臺(tái)運(yùn)營(yíng)者是否對(duì)以可轉(zhuǎn)發(fā)選項(xiàng)發(fā)送的信息，或者轉(zhuǎn)發(fā)此類(lèi)信息的，同時(shí)發(fā)送網(wǎng)絡(luò)運(yùn)營(yíng)者是否建立渠道和機(jī)制，及時(shí)響應(yīng)個(gè)人信息主體查閱、復(fù)制、更正、刪除其個(gè)人信息及注銷(xiāo)賬號(hào)的請(qǐng)求，是否對(duì)請(qǐng)求設(shè)置不合理?xiàng)l件，是否遵守GB/T3527收到通過(guò)其平臺(tái)編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識(shí)產(chǎn)權(quán)和其他合法權(quán)益信受理后是否進(jìn)行調(diào)查取證，對(duì)于查實(shí)的編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識(shí)產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報(bào)，是否依法對(duì)重要數(shù)據(jù)、個(gè)人信息的關(guān)鍵操作(例如批量修改、拷貝、刪除、下載等)，是否設(shè)置內(nèi)部審批存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息的介質(zhì)進(jìn)行報(bào)廢處理時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者是否采用物理?yè)p毀等方式銷(xiāo)毀介是否建立人力資源考核制度，明確數(shù)據(jù)安全管理考核指標(biāo)和問(wèn)責(zé)機(jī)制，對(duì)相關(guān)人員特別是重要崗位人員的履職情況是否進(jìn)行考核。出現(xiàn)數(shù)據(jù)安全重大事件時(shí)，是否對(duì)直接負(fù)責(zé)的主管人員和應(yīng)急響應(yīng)機(jī)制是否包括：數(shù)據(jù)安