數(shù)據(jù)安全重要數(shù)據(jù)風(fēng)險(xiǎn)評估報(bào)告

XXX系統(tǒng)重要數(shù)據(jù)一、評估報(bào)告摘要 4 42.1.評估背景 42.2.評估依據(jù) 42.3.評估原則 2.4.評估內(nèi)容 62.5.評估流程 2.6.評估方法 2.8.實(shí)施計(jì)劃 三、評估對象范圍 3.1.2.系統(tǒng)架構(gòu)圖 3.2.重要數(shù)據(jù)種類數(shù)量 3.3.重要數(shù)據(jù)處理場景 4.1.合規(guī)性評估 4.1.2.基線要求差異分析 4.2.安全風(fēng)險(xiǎn)分析 274.2.1.風(fēng)險(xiǎn)源識別 274.2.2.安全影響分析 五、數(shù)據(jù)安全風(fēng)險(xiǎn)分析與評價(jià) 5.1.數(shù)據(jù)安全風(fēng)險(xiǎn)分析 5.2.數(shù)據(jù)安全風(fēng)險(xiǎn)評價(jià) 5.2.2.風(fēng)險(xiǎn)發(fā)生可能性評價(jià) 315.2.3.安全風(fēng)險(xiǎn)等級評價(jià) 5.3.數(shù)據(jù)安全風(fēng)險(xiǎn)清單 3 347.2.殘余風(fēng)險(xiǎn)分析 34承載網(wǎng)絡(luò)環(huán)境施a.處理重要數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境是否為內(nèi)部網(wǎng)絡(luò)，如果為互聯(lián)網(wǎng)等非內(nèi)部網(wǎng)絡(luò)環(huán)境，將面臨更高的威脅。處理重要數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境在網(wǎng)管域，為內(nèi)部網(wǎng)絡(luò)b.處理重要數(shù)據(jù)的信息系統(tǒng)是否與其他系統(tǒng)隔離，是否與其他系統(tǒng)存在數(shù)據(jù)交互，交互方式是否為網(wǎng)絡(luò)接口，是否配備接口安全保障措施，如身份驗(yàn)證、流量監(jiān)控、數(shù)據(jù)加密。c.重要數(shù)據(jù)處理過程中是否實(shí)施嚴(yán)格的身份鑒的身份鑒別、訪問控制、權(quán)限管理。防護(hù)設(shè)備，配置了嚴(yán)格的安全防護(hù)測策略，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊、入侵、木馬病毒等的攔截防護(hù)。處理重要數(shù)據(jù)的信息系統(tǒng)邊界墻、入侵檢測等，配置了嚴(yán)格的安全防護(hù)測策略，實(shí)現(xiàn)對網(wǎng)絡(luò)攻護(hù)e.是否監(jiān)測和記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)，是否標(biāo)記、分析重要數(shù)據(jù)流轉(zhuǎn)狀態(tài)，及時(shí)發(fā)現(xiàn)重要數(shù)據(jù)異常流量和違規(guī)使用等情況。部署了檢測系統(tǒng)，監(jiān)測和記錄網(wǎng)異常流量和違規(guī)使用等理重要數(shù)據(jù)的系統(tǒng)和終端，實(shí)現(xiàn)對網(wǎng)絡(luò)、藍(lán)牙、USB、郵件等多渠道的重要數(shù)據(jù)泄露監(jiān)測預(yù)警與攔截處置。部署了數(shù)據(jù)防泄漏系統(tǒng)，全面覆蓋處理重要數(shù)據(jù)的系統(tǒng)和終端，實(shí)現(xiàn)對網(wǎng)絡(luò)、藍(lán)牙、USB、郵件等多渠道的重要數(shù)據(jù)泄露監(jiān)測要數(shù)據(jù)安全，加密方式是否安全有效。采用https,sftp等傳輸加密，數(shù)據(jù)加密存儲等新和安全加固。每月定期對處理重要數(shù)據(jù)的信息系統(tǒng)進(jìn)行安全檢查、評估、滲和安全加固i.是否對存儲重要數(shù)據(jù)的介質(zhì)進(jìn)行加強(qiáng)管理，實(shí)嚴(yán)格留存使用記錄。嚴(yán)格落實(shí)存儲重要數(shù)據(jù)的介質(zhì)管理要求，禁止非相關(guān)人員接j.是否對重要數(shù)據(jù)進(jìn)行定期備份與恢復(fù)，備份方式是否安全可靠是否實(shí)現(xiàn)異地容災(zāi)備份，保障數(shù)據(jù)可用性。重要數(shù)據(jù)進(jìn)行定期備份與恢復(fù)，配備重要數(shù)據(jù)銷毀技術(shù)手段，如消磁技術(shù)等，確保重要數(shù)據(jù)銷毀后的不可恢復(fù)。1.是否制定了數(shù)據(jù)安全審計(jì)策略，明確審計(jì)方法、內(nèi)容、流程等要求，實(shí)現(xiàn)對重要數(shù)據(jù)收集、存儲、傳輸、使用、提供、公開、銷毀等環(huán)節(jié)的實(shí)時(shí)審計(jì)，并對異常操作進(jìn)行預(yù)警。據(jù)全生命周期實(shí)時(shí)審計(jì)。管理制度和處理流程合作方管理、應(yīng)急響應(yīng)等相關(guān)管理要求。b.是否對數(shù)據(jù)授權(quán)訪問、批量復(fù)制、使用加工、出境、銷毀等重點(diǎn)環(huán)節(jié)進(jìn)行日志留存，留存時(shí)間是否不少于6個(gè)月，涉及出境環(huán)節(jié)日志記錄是否留存3年以上。進(jìn)行日志留存，留存時(shí)間大于6個(gè)月，不涉及出境。c.是否建立重要數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測報(bào)送機(jī)制，及時(shí)發(fā)現(xiàn)、識別和上報(bào)重要數(shù)據(jù)安全風(fēng)險(xiǎn)。建立了重要數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測重要數(shù)據(jù)安全風(fēng)險(xiǎn)。d.是否建立重要數(shù)據(jù)應(yīng)急響應(yīng)機(jī)制，制定應(yīng)急預(yù)案和處置流程，定期開展應(yīng)急演練。建立了重要數(shù)據(jù)應(yīng)急響應(yīng)機(jī)制，制定應(yīng)急預(yù)案和處置流程，定期開展應(yīng)急演練。參與人員a.是否設(shè)立數(shù)據(jù)管理機(jī)構(gòu)，明確內(nèi)部重要數(shù)據(jù)設(shè)立數(shù)據(jù)管理機(jī)構(gòu)明確內(nèi)部重處理關(guān)鍵崗位、職責(zé)以及任職要求，負(fù)責(zé)履行重要數(shù)據(jù)安全管理義務(wù)。數(shù)據(jù)安全相關(guān)培訓(xùn)和考核，確保其有相應(yīng)的數(shù)據(jù)安全保護(hù)專業(yè)知識和技能。知識和技能。c.是否與重要數(shù)據(jù)處理關(guān)鍵崗位從業(yè)人員簽訂保密協(xié)議，并進(jìn)行背景審查。員簽訂保密協(xié)議，并進(jìn)行背景審查。d.是否建立重要數(shù)據(jù)安全事件處罰問責(zé)機(jī)制。建立了重要數(shù)據(jù)安全事件處罰問責(zé)機(jī)制。e.是否建立重要數(shù)據(jù)第三方管理制度，形成第督管理。建立了重要數(shù)據(jù)第三方管理制理f.是否與涉及處重要數(shù)據(jù)的第三方簽署數(shù)據(jù)安務(wù)。涉及處重要數(shù)據(jù)的第三方簽署方處理使用重要數(shù)據(jù)的目的、方式、范圍、留存期限、超期處理的方式、再轉(zhuǎn)移限制、安全保障措施以及相應(yīng)的貴任義務(wù)定期對第三方履行合同或協(xié)議的情況進(jìn)行檢查、審計(jì)，確保其嚴(yán)格執(zhí)行合同約定業(yè)務(wù)特點(diǎn)勢a.業(yè)務(wù)對重要數(shù)據(jù)處理的依賴性。事件。3年內(nèi)未發(fā)生過數(shù)據(jù)安全事件c.重要數(shù)據(jù)保護(hù)相關(guān)執(zhí)法監(jiān)管動態(tài)。工信部通過每年考核進(jìn)行監(jiān)督過行政處罰、通報(bào)批評或約談。3年內(nèi)遭受網(wǎng)絡(luò)攻擊均已攔截，示信息。公開發(fā)布的警示信息。(2)風(fēng)險(xiǎn)源識別標(biāo)準(zhǔn)處理重要數(shù)據(jù)的信息系統(tǒng)與其他系統(tǒng)有大量數(shù)據(jù)交互，或處于互聯(lián)網(wǎng)壞境中，或采取的安全保護(hù)措施薄弱，無法有效保障重要數(shù)據(jù)安全。缺乏重要數(shù)據(jù)安全管理制度，基本未對重要數(shù)據(jù)處理流程進(jìn)行監(jiān)未對接觸到重要數(shù)據(jù)的相關(guān)人員進(jìn)行約束管理，或未與參與處相關(guān)協(xié)議/合同，未對第三方處理重要數(shù)據(jù)的行為進(jìn)行任何約束，或要數(shù)據(jù)的情形。威脅引發(fā)的相關(guān)安全事件已被重要數(shù)據(jù)處理者發(fā)現(xiàn)，或已收到相關(guān)主警報(bào)或通知，或3年內(nèi)處理重要數(shù)據(jù)的信息系統(tǒng)遭受過大量網(wǎng)絡(luò)攻擊。處理重要數(shù)據(jù)的信息系統(tǒng)與其他系統(tǒng)有較多交互，或采取的安全保護(hù)措施較為薄高重要數(shù)據(jù)安金管理制度不夠全面，無法有效對重要數(shù)據(jù)處理活動進(jìn)行全生命周期管理。對接觸到重要數(shù)據(jù)的相關(guān)人員的約束不足、管理松散、權(quán)限分配不合重要數(shù)據(jù)的第三方簽訂相關(guān)協(xié)議/合同條款設(shè)置不合理、全面，無法三方處理重要數(shù)據(jù)的行為。3年內(nèi)發(fā)生過威脅引發(fā)的重要數(shù)據(jù)相關(guān)安全事件，或收到過險(xiǎn)預(yù)警信息，或3年內(nèi)處理重要數(shù)據(jù)的信息系統(tǒng)遭受過較多的網(wǎng)絡(luò)攻擊。處理重要數(shù)據(jù)的信息系統(tǒng)與其他系統(tǒng)僅存在較少的交互情況的接口安全管控措施。采取的安全保護(hù)措施基本完中重要數(shù)據(jù)安全管理制度基本全面，基本實(shí)現(xiàn)對重要數(shù)據(jù)處理活動進(jìn)行全生命周期管理，僅部分管理要求尚不完善。對接觸到重要數(shù)據(jù)的相關(guān)人員的約束較為充分、權(quán)限分配較為合理。據(jù)的第三方簽訂的相關(guān)協(xié)議/合同條款設(shè)置基本合理、全面，基本可以數(shù)據(jù)的行為進(jìn)行約束，但尚未對第三方協(xié)議/合同履行情況進(jìn)行檢真實(shí)有效掌握第三方協(xié)議/合同履行情況。3年內(nèi)未發(fā)生過威脅引發(fā)的重要數(shù)據(jù)相關(guān)安全事件。3年內(nèi)處過較少的網(wǎng)絡(luò)攻擊。處理重要數(shù)據(jù)的信息系統(tǒng)與其他系統(tǒng)不存在交互情況，或僅對其進(jìn)行了嚴(yán)格的安全審批管理，并留存記錄。采取的安全保護(hù)措施完備。低重要數(shù)據(jù)安全管理制度完備，實(shí)現(xiàn)對重要數(shù)據(jù)處理活動進(jìn)行全生命明確、全面。對接觸到重要數(shù)據(jù)的相關(guān)人員的約束充分、權(quán)限分配合理。與參與處方簽訂相關(guān)協(xié)議/合同條款設(shè)置合理、全面，可以實(shí)現(xiàn)對第三方處理有效約束，且定期對第三方協(xié)議/合同履行情況進(jìn)行檢查、審計(jì)或評握第三方協(xié)議/合同履行情況。從未發(fā)生過威脅引發(fā)的重要數(shù)據(jù)相關(guān)安全事件。3年內(nèi)處理重受或僅遭受過極少的網(wǎng)絡(luò)攻擊，且攻擊危險(xiǎn)程度較低。為識別數(shù)據(jù)安全風(fēng)險(xiǎn)，數(shù)據(jù)安全風(fēng)險(xiǎn)評估內(nèi)容，既包括涉及數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)架如圖4所示。重要風(fēng)險(xiǎn)識別風(fēng)險(xiǎn)識別安全影響分析圖4數(shù)據(jù)安全風(fēng)險(xiǎn)評估內(nèi)容框架圖重要數(shù)據(jù)安全風(fēng)險(xiǎn)評估流程重要數(shù)據(jù)安全風(fēng)險(xiǎn)評估流程合法正當(dāng)性評估是重要數(shù)據(jù)映射安全風(fēng)險(xiǎn)分析否基線要求差異性理確定評估對象范圍是否接受風(fēng)險(xiǎn)處置否是數(shù)據(jù)安全風(fēng)險(xiǎn)姓名單位/部門計(jì)劃時(shí)間配合人員數(shù)據(jù)項(xiàng)名數(shù)量(條)網(wǎng)絡(luò)規(guī)劃域網(wǎng)絡(luò)規(guī)□紙質(zhì)文件□電子文檔□音視頻□圖片□數(shù)據(jù)庫表口其口直接收集口統(tǒng)計(jì)分析產(chǎn)生□系統(tǒng)運(yùn)維產(chǎn)生□業(yè)務(wù)運(yùn)營產(chǎn)生口其他：網(wǎng)絡(luò)運(yùn)行維護(hù)網(wǎng)絡(luò)與據(jù)析析展戰(zhàn)略規(guī)劃與重大決策域域信領(lǐng)域出口管制物項(xiàng)相關(guān)數(shù)據(jù)國家科技計(jì)劃等活動產(chǎn)生的網(wǎng)絡(luò)規(guī)劃域網(wǎng)絡(luò)規(guī)□是：(填寫接收方所在國家和地區(qū))口否口存儲□大數(shù)據(jù)口加工□其□直接對外提供查詢□提供個(gè)性化服務(wù)、開展?fàn)I銷口進(jìn)行市場調(diào)研、宏觀分析、報(bào)告□對外直接提供(如出售、委托、共享)口分析結(jié)果對外提供□為政府部門提供□其他：口否網(wǎng)絡(luò)運(yùn)行維護(hù)據(jù)據(jù)網(wǎng)絡(luò)與析規(guī)劃與重大決策出口管域相關(guān)數(shù)據(jù)國家科技計(jì)劃等活動產(chǎn)生的四、數(shù)據(jù)安全風(fēng)險(xiǎn)識別估得處理的情形。門要求，對經(jīng)營分析系統(tǒng)中產(chǎn)生的重要數(shù)據(jù)估公益事業(yè)等。評估經(jīng)營分析系統(tǒng)中活動目的和場景，其目的保障數(shù)據(jù)安全，以便估數(shù)據(jù)處理活動場景，評估處理的重要數(shù)據(jù)種類、數(shù)量、頻率是否為開展業(yè)務(wù)所必需。評估經(jīng)營分析系統(tǒng)的評估說明1.基分類分級1、已開展數(shù)據(jù)資產(chǎn)梳理，并形成數(shù)據(jù)資產(chǎn)分類分級清單，并定期更新。2、對數(shù)據(jù)的分類與分級正確，符合集團(tuán)信安統(tǒng)一要求。成重要數(shù)據(jù)清單。安全保護(hù)1、針對不同級別的數(shù)據(jù)資產(chǎn)，限管理已制定本單位賬號及權(quán)限管臺系統(tǒng)的用戶賬號分配、開保障要求，以及賬號操作的審批要求和操作流程等。1、建立了平臺系統(tǒng)權(quán)限分配系統(tǒng)不存在沉默賬號。符合最小權(quán)限原則。(抽查)3、平臺系統(tǒng)權(quán)限表中超級管理員權(quán)限賬號數(shù)量合理。(數(shù)量統(tǒng)計(jì)，原則只能為1個(gè))1、賬號權(quán)限分配表中安全管理人員、使用人員、審計(jì)人員的角色實(shí)現(xiàn)了角色分離設(shè)置。處理數(shù)據(jù)的由數(shù)據(jù)安全管理責(zé)任部門或數(shù)據(jù)安全責(zé)任人訪問控制1、系統(tǒng)配置了口令復(fù)雜度策略。2、系統(tǒng)配置了賬號鎖定策略，數(shù)進(jìn)行限制。3、系統(tǒng)對口令遺忘的申請和口令重置流程無業(yè)務(wù)邏輯設(shè)錄。4、賬號口令及加密密鑰已加密存儲。1、涉及數(shù)據(jù)重大操作的(如數(shù)據(jù)批量復(fù)制、傳輸、處理、開發(fā)共享和銷毀等)觸發(fā)金庫模式。(抽查)日志審計(jì)記錄。日志管理已制定日志留存管理相關(guān)制度，明確日志記錄范圍、規(guī)范、留存時(shí)間、訪問控制要求等。日志記錄1、對數(shù)據(jù)授權(quán)訪問、批量復(fù)口調(diào)用等重點(diǎn)環(huán)節(jié)實(shí)施網(wǎng)絡(luò)日志留存管理，日志記錄至少理方式、授權(quán)情況、IP地址、登錄信息等。2、日志留存時(shí)間滿足6個(gè)月要求。日志備份已定期對日志進(jìn)行備份。日志操作權(quán)限控制限制日志訪問操作權(quán)限。日志審計(jì)制度及審內(nèi)容、實(shí)施周期、結(jié)果規(guī)范、且審計(jì)權(quán)限與系統(tǒng)管理權(quán)限、定期形成數(shù)據(jù)安全審計(jì)報(bào)告以及問題改進(jìn)跟蹤記錄。(至少每半年形成一份)1.4合理合作方臺賬方企業(yè)名稱、合作業(yè)務(wù)或系更新。1、已與合作方全量簽訂服務(wù)合同和數(shù)據(jù)安全保密協(xié)議。及項(xiàng)目參與員工可接觸到的數(shù)據(jù)處理相關(guān)平臺系統(tǒng)范圍，以及數(shù)據(jù)使用權(quán)限、內(nèi)容、范圍及用途(應(yīng)符合最小化原則),合作方數(shù)據(jù)安全責(zé)任、后數(shù)據(jù)刪除要求，合作方違約責(zé)任和處罰等內(nèi)容。3、業(yè)務(wù)合作結(jié)束后，督促第三方依照合同約定及時(shí)關(guān)閉數(shù)據(jù)接口，刪除數(shù)據(jù)。急響應(yīng)1、制定了數(shù)據(jù)安全應(yīng)急預(yù)案，失)、數(shù)據(jù)濫用、數(shù)據(jù)被篡改、數(shù)據(jù)被損毀、數(shù)據(jù)違規(guī)使用等。件等級。1、典型事件場景至少每年開展一次演練。一次演練。1、如發(fā)生數(shù)據(jù)安全事件，進(jìn)告。2、發(fā)生大規(guī)模用戶個(gè)人信息告知用戶。育培訓(xùn)制定教育培訓(xùn)計(jì)劃案。開展教育培訓(xùn)1、教育培訓(xùn)教材滿足培訓(xùn)要求。培訓(xùn)人員進(jìn)行考核評定，培訓(xùn)內(nèi)容、培訓(xùn)范圍、學(xué)時(shí)等滿足數(shù)據(jù)安全教育培訓(xùn)要求。生命周期評估采集規(guī)則1、制定了內(nèi)部數(shù)據(jù)采集實(shí)施道、數(shù)據(jù)格式、采集流程和采集方式。業(yè)務(wù)系統(tǒng)執(zhí)行數(shù)據(jù)采集進(jìn)行合規(guī)審查，留存審查記錄。3、利用外部數(shù)據(jù)源采集數(shù)據(jù)時(shí)，對外部數(shù)據(jù)來源進(jìn)行合法性確認(rèn)，并要求提供方說明了體授權(quán)同意的范圍。正當(dāng)1、用戶協(xié)議有明確告知，公布數(shù)據(jù)收集、使用規(guī)則以明確數(shù)據(jù)采集目的用途。2、經(jīng)營或者服務(wù)場所、網(wǎng)站、則，告知用戶收集、使用信息的目的、方式和范圍，留存信息的期限，并獲得個(gè)人信息主體同意。原則1、明確了數(shù)據(jù)收集時(shí)的最小必要原則。品/服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。1、制定了數(shù)據(jù)傳輸?shù)南嚓P(guān)制則。2、根據(jù)業(yè)務(wù)流程、職責(zé)界面、合理劃分網(wǎng)絡(luò)系統(tǒng)安全域。不同數(shù)據(jù)傳輸場景，明確數(shù)據(jù)傳輸安全策略和操作規(guī)程。出境的場景、類別、數(shù)量級、頻率、接收方等進(jìn)行梳理匯總形成清單。(如有出境業(yè)務(wù))1、明確核心數(shù)據(jù)處理活動有段，數(shù)據(jù)存儲介質(zhì)安全策略和管理規(guī)定。密協(xié)議。移動介質(zhì)1、對接入數(shù)據(jù)存儲相關(guān)平臺系統(tǒng)接入移動存儲介質(zhì)有嚴(yán)格的審核機(jī)制。2、將數(shù)據(jù)下載到本地終端的行為有審批和日志記錄。1、制定了數(shù)據(jù)備份操作規(guī)程周期、備份方式、備份地點(diǎn)、數(shù)據(jù)恢復(fù)性驗(yàn)證機(jī)制等內(nèi)容。2、定期對數(shù)據(jù)進(jìn)行備份。驗(yàn)證備份數(shù)據(jù)的有效性。據(jù)使用1、已明確區(qū)分不同目的下(如開發(fā)測試、數(shù)據(jù)分析等)數(shù)據(jù)使用審批流程。2、已明確區(qū)分不同目的下(如開發(fā)測試、數(shù)據(jù)分析等)數(shù)據(jù)使用脫敏處理規(guī)則。1、處理個(gè)人信息時(shí)采用了脫敏手段，消除明確身份指向性，避免精確定位到特定個(gè)人。2、因業(yè)務(wù)需求，改變個(gè)人信息使用目的或改變個(gè)人信息使用規(guī)則時(shí)，再次征得用戶明示同意。據(jù)開放1、建立了數(shù)據(jù)對外開放共享的審核制度文件。出需求和授權(quán)范圍。簽訂合作協(xié)議，在合作協(xié)議中明確了對數(shù)據(jù)的使用目的、供應(yīng)方式、保密約定等。信息主體告知共享個(gè)人信息的目的、接收方情況等，并征不能復(fù)原的除外)。建立數(shù)據(jù)銷毀與刪除管理制和規(guī)程。1、建立了數(shù)據(jù)銷毀審批機(jī)制，設(shè)置了銷毀相關(guān)監(jiān)督角色，明確要求數(shù)據(jù)批量銷毀采用多2、執(zhí)行數(shù)據(jù)銷毀有審批記錄。3、執(zhí)行批量數(shù)據(jù)銷毀采用了多人操作模式。個(gè)人信息1、提供了個(gè)人信息刪除申請2、按要求及時(shí)刪除個(gè)人信息估估據(jù)識別資產(chǎn)掃描1、配備數(shù)據(jù)資產(chǎn)掃描工具且2、定期開展數(shù)據(jù)資產(chǎn)掃描。能力，定期對數(shù)據(jù)處理場景中審計(jì)能力能力的平臺系統(tǒng)，具備數(shù)據(jù)操作權(quán)限配置、異常操作告警與處置等核心功能。1、業(yè)務(wù)或系統(tǒng)已接入審計(jì)平臺，或有相關(guān)接入計(jì)劃和方案。2、數(shù)據(jù)操作審計(jì)內(nèi)容和平臺據(jù)防泄露漏能力1、涉及存儲、處理個(gè)人敏感信息和重要數(shù)據(jù)的有關(guān)平臺系統(tǒng)部署數(shù)據(jù)防泄漏產(chǎn)品/系統(tǒng)。點(diǎn)終端及網(wǎng)絡(luò)納入數(shù)據(jù)防泄3、防泄漏產(chǎn)品/系統(tǒng)具備對網(wǎng)作行為預(yù)警攔截?？诎踩嫦蚧ヂ?lián)網(wǎng)及合作方開放的日志記錄涉及個(gè)人信息和重要數(shù)據(jù)的審批記錄和接口日志。日志審計(jì)人信息保護(hù)息采取去標(biāo)識化、關(guān)鍵字段加密安全存儲措施。在跨安全域或者通過互聯(lián)網(wǎng)傳輸個(gè)人敏感信息時(shí)采用了相應(yīng)的加密措施。1、對用戶端前臺界面展示的理。擇。及金庫控覆蓋范圍管控場景1、所有敏感數(shù)據(jù)操作場景均場景清單形成管理臺賬，至少每半年進(jìn)行一次全量的更新2、金庫場景新增或刪除有審批記錄。關(guān)系和審批的1、金庫申請?zhí)顚懹泻侠淼臉I(yè)務(wù)需求，審批嚴(yán)格。授權(quán)時(shí)長不超過1小時(shí)。3、金庫申請審批有完整的日志記錄。(2)差異性分析證明材料(1)分類分級(2)權(quán)限管理(3)安全審計(jì)(4)合作方管理(5)應(yīng)急響應(yīng)(6)教育培訓(xùn)(1)數(shù)據(jù)采集(2)數(shù)據(jù)存儲(3)數(shù)據(jù)使用(4)數(shù)據(jù)開放共享(5)數(shù)據(jù)銷毀4.2.安全風(fēng)險(xiǎn)分析4.2.1.風(fēng)險(xiǎn)源識別(1)風(fēng)險(xiǎn)源識別內(nèi)容網(wǎng)絡(luò)環(huán)境和管理制度和低高中低√√√√低高中√低√√√數(shù)據(jù)使用中高中低√√√√高中低√√√√低高中√低√√√低高中低√√√√低高中低√√√√評估團(tuán)隊(duì)在進(jìn)行安全影響分析時(shí)候，可按照以下順序開展述可能影響國家安全的5個(gè)維度的對應(yīng)關(guān)系?？肌缎畔踩夹g(shù)網(wǎng)絡(luò)數(shù)據(jù)分類分級要求》,從數(shù)據(jù)分級角度衡量數(shù)據(jù)價(jià)值，數(shù)據(jù)級別越高高、極高5個(gè)級別。各級別數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度描述如下表所示。高一旦數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生，可能