SZSD 0068-2024數(shù)據(jù)安全管理評估規(guī)范

SZSDdatasecuritymanagementevaluationI 2 2 3 34.4現(xiàn)場評估階段 34.5報告編制階段 4 4 4 4 5 5 5 5 6 66.4數(shù)據(jù)加工 66.5數(shù)據(jù)傳輸 66.6數(shù)據(jù)提供 7 76.8信息發(fā)送 7 7 8 8 8 8 8 9 97.4體系資質(zhì) 9 8.4專家評審 本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定島）信息科技有限公司、青島場外市場清算中心有限1數(shù)據(jù)安全管理評估規(guī)范GB/T5271.1-2000信息技術(shù)詞匯第1部分：基GB/T20984-2022信息安全技術(shù)信息安全風(fēng)GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護GB/T33770.2-2019信息技術(shù)服務(wù)外包第2部分：數(shù)GB/T35273-2020信息安全技術(shù)個人信息GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處ISO/IEC27001:2013信息技術(shù)安全技術(shù)3.13.23.33.43.523.6注：敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康3.73.83.93.103.113.124評估流程信息和核心網(wǎng)絡(luò)數(shù)據(jù)的業(yè)務(wù)支撐系統(tǒng)時，應(yīng)開展數(shù)據(jù)安全管理b)網(wǎng)絡(luò)運營者驗收新的存儲用戶個人信息和核心網(wǎng)絡(luò)數(shù)據(jù)的業(yè)務(wù)支撐系統(tǒng)時，應(yīng)開展數(shù)據(jù)安全數(shù)據(jù)出境等）前對涉及到的數(shù)據(jù)相關(guān)管理措施、技術(shù)措施3f)業(yè)務(wù)運營階段，在管理責(zé)任主體變更時，應(yīng)開展數(shù)據(jù)安全管理評估；g)行業(yè)主管部門要求網(wǎng)絡(luò)運營者進行周期性數(shù)據(jù)安全管理評估的，應(yīng)定期開展數(shù)據(jù)安全管理評h)在遇到客戶嚴重投訴或發(fā)生重大網(wǎng)絡(luò)安全事件后，應(yīng)開展數(shù)據(jù)安全管理評估；i)滿足國家法律法規(guī)有關(guān)情形時，應(yīng)開4.2.1工作啟動發(fā)運營單位，編制項目計劃書，收集被評估單位及評估對象4.2.2信息收集和分析4.2.3工具和表單準備4.3方案編制階段4.3.1評估對象確定4.3.2評估工具確定4.3.3評估指導(dǎo)書編制參照GB/T41479第4章內(nèi)容明確的評估內(nèi)容以及附錄A，編制數(shù)據(jù)安全管理評估指導(dǎo)書，包括評估4.3.4評估方案編制4,4現(xiàn)場評估階段4.4.1現(xiàn)場評估準備4.4.2現(xiàn)場評估實施和結(jié)果記錄注：現(xiàn)場評估結(jié)束后，評估人員與評估配合人員須及時確認評4.4.3結(jié)果確認和資料歸還44.5報告編制階段4.5.1數(shù)據(jù)安全管理基本情況4.5.2數(shù)據(jù)安全管理評估流程及內(nèi)容4.5.4整改建議4.5.5評估報告編制形成數(shù)據(jù)安全管理評估報告。數(shù)據(jù)安全管理評估報告格式應(yīng)符合附錄Bc)問題總結(jié)，根據(jù)評估結(jié)論梳理評估指標項中不合規(guī)項，指出數(shù)據(jù)安全管理中存在的問題；d)整改建議，依據(jù)存在問題逐項提出針對性整改建議；5基礎(chǔ)性評估5.1.1評估依據(jù)應(yīng)符合GB/T41479-2022中4.5.1.2評估內(nèi)容5.2分類分級5.2.1評估依據(jù)應(yīng)符合GB/T41479-2022中4.5.2.2評估內(nèi)容5應(yīng)符合GB/T41479-2022中4.5.3.2.1查驗網(wǎng)絡(luò)運營者開展數(shù)據(jù)處理時，是否按照合同約定履行數(shù)據(jù)安全保護義務(wù)，開展數(shù)據(jù)處理5.3.2.2查驗網(wǎng)絡(luò)運營者是否對重要數(shù)據(jù)和敏感個人信息進行重點保護，是否按照規(guī)定對其數(shù)據(jù)處理5.3.2.3查驗網(wǎng)絡(luò)運營者是否建立了數(shù)據(jù)安全管理責(zé)任和評價考核制度，制定數(shù)據(jù)安全保護計劃，開展安全風(fēng)險評估，及時處置安全事件，組織開展5.4審計追溯應(yīng)符合GB/T41479-2022中4.查驗網(wǎng)絡(luò)運營者是否對數(shù)據(jù)處理的全生存周期進行記錄，確保數(shù)據(jù)處理可審計、應(yīng)符合GB/T41479-2022中5.a)是否制定和公開個人信息保護策并嚴格遵守，個人信息保護政策是或撤回同意，提供該產(chǎn)品或服務(wù)所必需個人信息以外的信息，而拒絕提供該產(chǎn)品g)收集不滿十四周歲未成年人個人信息前獲得的個人信息處理授權(quán)同意范圍，并按照本文件的要求履行安66.2數(shù)據(jù)存儲應(yīng)符合GB/T41479-2022中5.6.2.2.1查驗網(wǎng)絡(luò)運營者是否對數(shù)據(jù)存儲活動采b)存儲重要數(shù)據(jù)和個人信息，是否超過與重要數(shù)據(jù)和個人信息主體約定的存儲期限或個人信息6.2.2.2數(shù)據(jù)接收方存儲數(shù)據(jù)時，是否按6.3數(shù)據(jù)使用應(yīng)符合GB/T41479-2022中5.查驗網(wǎng)絡(luò)運營者在為用戶提供定向推送或信息合成服務(wù)時是否滿足a)網(wǎng)絡(luò)運營者利用個人信息和算法為用戶提供定向推送信息服務(wù)時，是否提供了非定向推送信a)是否通過合同等形式明確雙方的數(shù)據(jù)安全保護責(zé)任和義務(wù)；6,4數(shù)據(jù)加工應(yīng)符合GB/T41479-2022中5.應(yīng)符合GB/T41479-2020中5.7b)向數(shù)據(jù)接收方傳輸數(shù)據(jù)時，是否按要求采取安全措施并以合同進行約定。應(yīng)符合GB/T41479-2020中5.全、經(jīng)濟安全和社會穩(wěn)定的，不應(yīng)向他人提供。要求c)委托第三方開展數(shù)據(jù)處理活動的，是否通過合同等形式明確約定委托處理的目的期限處理方第三方以合同中約定的形式返還、刪除接收和產(chǎn)生的數(shù)據(jù)，并對數(shù)據(jù)處理活動進行監(jiān)督；——網(wǎng)絡(luò)運營者向境外提供個人信息或者重要數(shù)據(jù)的，是否遵循國家相關(guān)規(guī)定和相關(guān)標準的要——境內(nèi)用戶在境內(nèi)訪問境內(nèi)網(wǎng)絡(luò)的，其流量是否路由至境外。6.7數(shù)據(jù)公開應(yīng)符合GB/T41479-2020中5.6.8信息發(fā)送應(yīng)符合GB/T41479-2020中5.即時通信等社交平臺運營者是否為用戶提供發(fā)送私人信息和可轉(zhuǎn)發(fā)信息的選項，并按照以下方式a)是否對以私人選項發(fā)送的信息予以嚴格保護，不提供轉(zhuǎn)發(fā)功能；6.9個人信息處理8應(yīng)符合GB/T41479-2020中5.106.10投訴舉報處理應(yīng)符合GB/T41479-2020中5.11——網(wǎng)絡(luò)運營者是否建立投訴、舉報受理處置制度；——收到通過其平臺編造、傳播虛假信息，發(fā)布侵害他人名譽、隱私、知識產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報的，自接受投訴舉報起，受理——受理后是否進行調(diào)查取證，對于查實的編造、傳播虛假信息，發(fā)布侵害識產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報6.11訪問控制與審計應(yīng)符合GB/T41479-2020中5.12查驗網(wǎng)絡(luò)運營者開展數(shù)據(jù)處理活動時，是否采——對重要數(shù)據(jù)、個人信息的關(guān)鍵操作(例如批量修改、拷貝、應(yīng)符合GB/T41479-2020中5.13——網(wǎng)絡(luò)產(chǎn)品和服務(wù)停止運營；——個人信息主體注銷賬號，或者當(dāng)用戶撤回同意。6.12.2.2存儲重要數(shù)據(jù)和個人信息的介質(zhì)進行報廢處理時，網(wǎng)絡(luò)運營者是否采用物理損毀等方式銷9應(yīng)符合GB/T41479-2020中理工作經(jīng)歷，參與有關(guān)數(shù)據(jù)處的重要決策，履——是否組織受理和處置數(shù)據(jù)安全投訴、舉報。7.2人力資源保障與考核應(yīng)符合GB/T41479-2020中6.——是否明確數(shù)據(jù)安全保護崗位及職責(zé)，并提供人力資源保障；——是否建立人力資源考核制度，明確數(shù)據(jù)安全管理考核指標和問責(zé)機制，對相關(guān)人員特別是重要崗位人員的履職情況是否進行考核。出現(xiàn)數(shù)據(jù)安全重大事件時，是否對直接負責(zé)的主7.3事件應(yīng)急處置應(yīng)符合GB/T41479-2020中6.?啟動所需的資源，如人員、設(shè)備、場所、工具、資金等，——是否制定應(yīng)急演練計劃，按計劃或者在應(yīng)急響應(yīng)機制發(fā)生變化后，組織開展應(yīng)急演練，檢驗家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的按相關(guān)要求向有關(guān)部7,4體系資質(zhì)網(wǎng)絡(luò)運營者是否按GB/T22239-2019估，網(wǎng)絡(luò)運營者是否獲得信息安全管理體系資質(zhì)，信息安全管理體系建設(shè)是否按照ISO/IEC27001組織8.2核查8.3.1根據(jù)評估指導(dǎo)書，利用技術(shù)工具對評估范圍內(nèi)的目標系統(tǒng)進行測試，包括基于網(wǎng)絡(luò)探測和基于8.4專家評審評估網(wǎng)絡(luò)運營者或評估對象是否已經(jīng)配套數(shù)據(jù)安全管理措施和數(shù)據(jù)安全技術(shù)措施，滿足數(shù)據(jù)安全基線9評估報告根據(jù)評估情況出具數(shù)據(jù)安全管理評估報告，評估報告模板見附123456網(wǎng)絡(luò)運營者是否對重要數(shù)據(jù)和敏感個人信息進行重點保護，是否按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)包括處理的重要數(shù)據(jù)7網(wǎng)絡(luò)運營者是否建立了數(shù)據(jù)安全管理責(zé)任和評價考核制度，制定數(shù)據(jù)安全保護計劃，開展安全89是否制定和公開個人信息保護策并嚴格遵守策；是否明示所提供產(chǎn)品或服務(wù)的類型，以及該產(chǎn)品或服務(wù)所必需的個人信息，不應(yīng)因用戶不同意或撤回同意，提供該產(chǎn)品或服務(wù)所必需個人信息以外的信息，而拒絕提供該產(chǎn)品或服務(wù)；是否僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為目的，強制要求、誤收集個人信息前，是否明示個人信息保護政策，并征得個人信息主體同意，改變處理個人信息得個人信息主體同意；收集敏感個人信息前，是否取得個人信息主體的單獨同意，確保單獨同意是在完全知情的基礎(chǔ)上自主給出的、具體的清晰明確的意愿表示；收集不滿十四周歲未成年從個人信息主體以外的其他途徑獲得個人信息的，是否了解個人信息來源、個人信息提供方已存儲重要數(shù)據(jù)和個人信息等敏感網(wǎng)絡(luò)數(shù)據(jù)，是否采用加密、安全存儲、訪問控制、安全審計等存儲重要數(shù)據(jù)和個人信息，是否超過與重要數(shù)據(jù)和個人信息主體約定的存儲期限或個人信息主網(wǎng)絡(luò)運營者利用個人信息和算法為用戶提供定向推送信息服務(wù)時，是否提供了非定向推送信息的服務(wù)選項；在向個人信息主體提供新聞、博客類信息服務(wù)的過程中，網(wǎng)絡(luò)運營者利用算法自網(wǎng)絡(luò)運營者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動的過程中，是否存在可能危害國家安全公向他人提供個人信息，是否向個人信息主體告知接收方的名稱、聯(lián)系方式、處理目的、處理方發(fā)生收購、兼并、重組、破產(chǎn)時，數(shù)據(jù)接收方是否繼續(xù)履行了相關(guān)數(shù)據(jù)安全保護義務(wù)；沒有數(shù)網(wǎng)絡(luò)運營者利用所掌握的數(shù)據(jù)資源，公開市場預(yù)測、統(tǒng)計等信息時，是否危害即時通信等社交平臺運營者是否對以可轉(zhuǎn)發(fā)選項發(fā)送的信息，或者轉(zhuǎn)發(fā)此類信息的，同時發(fā)送網(wǎng)絡(luò)運營者是否建立渠道和機制，及時響應(yīng)個人信息主體查閱、復(fù)制、更正、刪除其個人信息及注銷賬號的請求，是否對請求設(shè)置不合理條件，是否遵守GB/T3527收到通過其平臺編造、傳播虛假信息，發(fā)布侵害他人名譽、隱私、知識產(chǎn)權(quán)和其他合法權(quán)益信受理后是否進行調(diào)查取證，對于查實的編造、傳播虛假信息，發(fā)布侵害他人名譽、隱私、知識產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報，是否依法對重要數(shù)據(jù)、個人信息的關(guān)鍵操作(例如批量修改、拷貝、刪除、下載等)，是否設(shè)置內(nèi)部審批存儲重要數(shù)據(jù)和個人信息的介質(zhì)進行報廢處理時，網(wǎng)絡(luò)運營者是否采用物理損毀等方式銷毀介是否建立人力資源考核制度，明確數(shù)據(jù)安全管理考核指標和問責(zé)機制，對相關(guān)人員特別是重要崗位人員的履職情況是否進行考核。出現(xiàn)數(shù)據(jù)安全重大事件時，是否對直接負責(zé)的主管人員和應(yīng)急響應(yīng)機制是否包括：數(shù)據(jù)安