數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告

[XXX公司]單位名稱(加蓋單位公章)目錄 I 1 1 1 1 2 22.1基本信息 2 32.3安全管理文檔 3 42.5一般數(shù)據(jù) 42.6前次評(píng)估情況 5 5 5 5 5 53.2.3一般數(shù)據(jù) 63.3重要數(shù)據(jù)、核心數(shù)據(jù)情況 73.3.1XX重要數(shù)據(jù)/XX核心數(shù)據(jù)情況 73.3.2XX重要數(shù)據(jù)/XX核心數(shù)據(jù)情況 9 93.4.1XX數(shù)據(jù)情況 9 4.1.1XX數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估環(huán)境 4.1.2XX數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估環(huán)境 4.2一般數(shù)據(jù)合規(guī)性評(píng)估環(huán)境 4.2.1XX數(shù)據(jù)合規(guī)性評(píng)估環(huán)境 4.2.2XX數(shù)據(jù)合規(guī)性評(píng)估環(huán)境 5.1.1XX數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果 5.2一般數(shù)據(jù)合規(guī)性評(píng)估結(jié)果 5.2.1XX數(shù)據(jù)合規(guī)性評(píng)估結(jié)果 5.2.2XX數(shù)據(jù)合規(guī)性評(píng)估結(jié)果 6評(píng)估結(jié)論 6.2評(píng)估結(jié)論 7.1.1XX數(shù)據(jù)安全風(fēng)險(xiǎn)及整改建議 7.1.2XX數(shù)據(jù)安全風(fēng)險(xiǎn)及整改建議 7.2一般數(shù)據(jù)合規(guī)性風(fēng)險(xiǎn)及整改建議 7.2.1XX數(shù)據(jù)安全風(fēng)險(xiǎn)及整改建議 A.1XX數(shù)據(jù)處理活動(dòng) B.1XX數(shù)據(jù)處理活動(dòng) 姓名所屬部門數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告概要[被評(píng)估單位]口工業(yè)□電信和互聯(lián)網(wǎng)□無(wú)線電[被評(píng)估單位]是一家XXXX公司，重要數(shù)據(jù)有XX、XX、XX,核心數(shù)據(jù)有XX、XX、XX,涉及數(shù)據(jù)處理活動(dòng)包括XXX、XXX、XXX等，主要用于XXX、XXX、超過(guò)400字?！咳罩罼XXX年X月X日對(duì)該對(duì)象進(jìn)行了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作。本次評(píng)估是依據(jù)《工業(yè)/電信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中的各項(xiàng)要求，對(duì)XX數(shù)據(jù)、XX數(shù)據(jù)等重要數(shù)據(jù)、核心數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，對(duì)XX、XX一般數(shù)據(jù)處XX數(shù)據(jù)涉及的數(shù)據(jù)處理活動(dòng)包括XX數(shù)據(jù)處理活動(dòng)1、XX數(shù)據(jù)在合規(guī)性評(píng)估中能夠滿足正當(dāng)必要性評(píng)估、性評(píng)估中存在XXXX,XXXX等問(wèn)題；安全風(fēng)險(xiǎn)分析中，存在XXX,XXX等問(wèn)題。2、XX數(shù)據(jù)述對(duì)XX單位XX、XX一般數(shù)據(jù)項(xiàng)開展了合規(guī)性評(píng)估，周期管理方面的各項(xiàng)評(píng)估要求。但是XX一般數(shù)據(jù)仍然存在一定的合規(guī)性風(fēng)險(xiǎn)，如XXXX、XXXX等問(wèn)論該[被評(píng)估單位]的綜合數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等級(jí)為X,存在X個(gè)高以上風(fēng)險(xiǎn)數(shù)據(jù)項(xiàng)。1.1評(píng)估目的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的目的是通過(guò)對(duì)[被評(píng)估單位]開展風(fēng)險(xiǎn)評(píng)估，以期發(fā)現(xiàn)可能存在的安全隱患風(fēng)險(xiǎn)，為后續(xù)的安全能力提升提供指導(dǎo)依據(jù)。1.2評(píng)估依據(jù)【填寫說(shuō)明：分類列出開展評(píng)估活動(dòng)所依據(jù)的標(biāo)準(zhǔn)、文1.3評(píng)估過(guò)程2.1基本信息統(tǒng)一社會(huì)信用參照GB/T20091-2021填寫說(shuō)明下屬公司情況，例如子公司及合并實(shí)體的總數(shù)、境外注冊(cè)說(shuō)明單位的最終實(shí)際控制方是誰(shuí)，并提供相應(yīng)支撐證據(jù)(如占絕對(duì)多數(shù)股份、擁有超級(jí)投票權(quán)等情況)說(shuō)明單位的員工總數(shù)，外籍員工數(shù)，在境外工經(jīng)營(yíng)范圍是否上市，如上市，說(shuō)明單位上市的地點(diǎn)、時(shí)間、上市業(yè)務(wù)范第2頁(yè)/共XX頁(yè)2.2組織架構(gòu)表2-2部門信息序號(hào)部門名稱部門職責(zé)部門負(fù)責(zé)人1(包括所負(fù)責(zé)業(yè)務(wù)種類、范圍、人員分工、責(zé)任分配等情況)2表2-3人員信息序號(hào)人員姓名崗位或角色名稱崗位職責(zé)所屬部門涉及的數(shù)據(jù)處理活動(dòng)是否專職國(guó)籍12表2-4安全管理文檔序號(hào)文檔名稱主要內(nèi)容適用范圍1涉及的重要數(shù)據(jù)、核心數(shù)據(jù)或一般數(shù)據(jù)處理活動(dòng)序號(hào)文檔名稱主要內(nèi)容適用范圍2序號(hào)數(shù)據(jù)類型數(shù)據(jù)項(xiàng)名稱數(shù)據(jù)級(jí)別數(shù)據(jù)量數(shù)據(jù)日均增量數(shù)據(jù)處理目的對(duì)應(yīng)數(shù)活動(dòng)數(shù)據(jù)來(lái)源是否涉及數(shù)據(jù)出境1填寫機(jī)構(gòu)所有的重要數(shù)據(jù)和核心數(shù)據(jù)22.5一般數(shù)據(jù)表2-6一般數(shù)據(jù)列表序號(hào)數(shù)據(jù)類型數(shù)據(jù)項(xiàng)名稱數(shù)據(jù)級(jí)別數(shù)據(jù)量數(shù)據(jù)日均增量數(shù)據(jù)處理目的對(duì)應(yīng)數(shù)活動(dòng)數(shù)據(jù)來(lái)源是否涉及數(shù)據(jù)出境1填寫機(jī)構(gòu)所有的一據(jù)22.6前次評(píng)估情況3.1被評(píng)估對(duì)象選擇方法3.2評(píng)估對(duì)象選擇結(jié)果3.2.1安全管理文檔表3-1安全管理文檔序號(hào)文檔名稱主要內(nèi)容適用范圍1涉及的重要數(shù)據(jù)、核心數(shù)據(jù)或一般數(shù)據(jù)處理活動(dòng)23.2.2重要數(shù)據(jù)/核心數(shù)據(jù)序號(hào)數(shù)據(jù)類型數(shù)據(jù)項(xiàng)名稱數(shù)據(jù)級(jí)別數(shù)據(jù)量數(shù)據(jù)日均增量數(shù)據(jù)處理目的對(duì)應(yīng)數(shù)活動(dòng)數(shù)據(jù)來(lái)源是否涉及數(shù)據(jù)出境1填寫機(jī)構(gòu)所有的重要數(shù)據(jù)和核心數(shù)據(jù)2表3-3一般數(shù)據(jù)抽樣情況表序號(hào)數(shù)據(jù)類型數(shù)據(jù)項(xiàng)名稱數(shù)據(jù)級(jí)別數(shù)據(jù)量數(shù)據(jù)日均增量數(shù)據(jù)處理目的對(duì)應(yīng)數(shù)活動(dòng)數(shù)據(jù)來(lái)源是否涉及數(shù)據(jù)出境1填寫抽樣的一般數(shù)據(jù)情況23.3重要數(shù)據(jù)、核心數(shù)據(jù)情況表3-4數(shù)據(jù)處理情況表序號(hào)數(shù)據(jù)項(xiàng)數(shù)據(jù)類型數(shù)據(jù)級(jí)別數(shù)據(jù)數(shù)量數(shù)據(jù)處理活動(dòng)處理目的數(shù)據(jù)處理方式處理頻率是否涉及數(shù)據(jù)出境涉及信息系統(tǒng)名稱填寫說(shuō)明發(fā)測(cè)數(shù)據(jù)核心數(shù)據(jù)每小非盈利組織等)示例圖書信息業(yè)務(wù)數(shù)據(jù)一般數(shù)據(jù)圖書管理圖書信息管理數(shù)據(jù)收集、傳輸、存每天不涉及圖書管理系統(tǒng)借閱管理讀者查詢圖書更新圖書狀態(tài)信息數(shù)據(jù)收集、傳輸、存按需不涉及借閱管理系統(tǒng)示例讀者借閱信息個(gè)人信息一般數(shù)據(jù)借閱管理閱圖書數(shù)據(jù)收集、傳輸、存儲(chǔ)按需不涉及借閱管理系統(tǒng)數(shù)據(jù)分析分析讀者讀書習(xí)慣，進(jìn)行書單推送數(shù)據(jù)使用加工、傳輸實(shí)時(shí)不涉及數(shù)據(jù)分析系統(tǒng)[評(píng)估機(jī)構(gòu)]序號(hào)數(shù)據(jù)項(xiàng)數(shù)據(jù)類型數(shù)據(jù)級(jí)別數(shù)據(jù)數(shù)量數(shù)據(jù)處理活動(dòng)處理目的數(shù)據(jù)處理方式處理頻率是否涉及數(shù)據(jù)出境涉及信息系統(tǒng)名稱示例信息信息一般數(shù)據(jù)管理辦理讀書卡數(shù)據(jù)收集、傳儲(chǔ)按需不涉及管理系統(tǒng)數(shù)據(jù)分析分析讀者讀書習(xí)慣，進(jìn)行書單推送數(shù)據(jù)使用加工、數(shù)實(shí)時(shí)不涉及數(shù)據(jù)分析系統(tǒng)確表示出數(shù)據(jù)流轉(zhuǎn)過(guò)程中所涉及的各個(gè)數(shù)據(jù)處XX重要數(shù)據(jù)的數(shù)據(jù)流轉(zhuǎn)情況如圖3-1所示。圖書管理員數(shù)據(jù)收集數(shù)據(jù)收集讀者圖書查詢借閱管理數(shù)據(jù)分析讀者資料庫(kù)4、不同顏色的文字表示對(duì)不同數(shù)據(jù)項(xiàng)的業(yè)務(wù)操作，在各操作下的黑色文字表示該操作所涉及的數(shù)據(jù)處理方式，例如圖書管理員在進(jìn)行圖書信息錄入操作中，涉及的數(shù)據(jù)處理方式包括數(shù)據(jù)收集、數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)表3-5部門及人員信息序號(hào)人員姓名崗位或角色名稱崗位職責(zé)所屬部門涉及的數(shù)據(jù)處理活動(dòng)是否專職國(guó)籍12表3-6XX數(shù)據(jù)處理情況表序號(hào)數(shù)據(jù)項(xiàng)名稱數(shù)據(jù)類型數(shù)據(jù)級(jí)別數(shù)據(jù)數(shù)量數(shù)據(jù)處理活動(dòng)處理目的數(shù)據(jù)處理方式處理頻率是否涉及數(shù)據(jù)出境涉及信息系統(tǒng)名稱填寫說(shuō)明(填寫主要的研發(fā)設(shè)計(jì)數(shù)據(jù)數(shù)據(jù)-1市場(chǎng)產(chǎn)品開發(fā)存存數(shù)據(jù)收使用每小時(shí)XX國(guó)家/地區(qū)-XX系1數(shù)據(jù)流轉(zhuǎn)過(guò)程中所涉及的各個(gè)數(shù)據(jù)處理活動(dòng)，若數(shù)XX一般數(shù)據(jù)的數(shù)據(jù)流轉(zhuǎn)情況如圖3-2所示。數(shù)據(jù)存儲(chǔ)借書、還書數(shù)據(jù)傳輸圖圖書管理員者借閱管理數(shù)據(jù)傳輸讀者資料庫(kù)讀者管理數(shù)據(jù)分析社報(bào)流轉(zhuǎn)圖中涉及數(shù)據(jù)處理主體，數(shù)據(jù)處理活動(dòng)(包含一種或多種數(shù)據(jù)涉及的亞務(wù)操作)、數(shù)據(jù)處理等理表3-7部門及人員信息序號(hào)人員姓名崗位或角色名稱崗位職責(zé)所屬部門涉及的數(shù)據(jù)處理活動(dòng)是否專職國(guó)籍12[評(píng)估機(jī)構(gòu)]第10頁(yè)/共XX頁(yè)序號(hào)人員姓名崗位或角色名稱崗位職責(zé)所屬部門涉及的數(shù)據(jù)處理活動(dòng)是否專職國(guó)籍4.1重要數(shù)據(jù)、核心數(shù)據(jù)評(píng)估環(huán)境xxx表4-1軟件項(xiàng)列表序號(hào)版本用途110家庭中文版21H2檢測(cè)終端操作系統(tǒng)2檢測(cè)手機(jī)終端操作系統(tǒng)序號(hào)硬件或固件項(xiàng)名稱型號(hào)用途1檢測(cè)終端內(nèi)存：40GB檢測(cè)終端2檢測(cè)手機(jī)終端內(nèi)存：12GB檢測(cè)手機(jī)終端4.1.2省級(jí)及以上XXX系統(tǒng)建設(shè)運(yùn)維情況的數(shù)據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估環(huán)境4.2.1音頻視頻互聯(lián)網(wǎng)內(nèi)容數(shù)據(jù)數(shù)據(jù)合規(guī)性評(píng)估環(huán)境【填寫說(shuō)明：針對(duì)XX數(shù)據(jù)，描述相應(yīng)的評(píng)估環(huán)境圖(網(wǎng)絡(luò)拓?fù)鋱D),要在網(wǎng)絡(luò)拓?fù)鋱D應(yīng)用1為由í-4為木>-應(yīng)用1序號(hào)軟件項(xiàng)名稱版本用途12表4-2硬件和固件項(xiàng)列表序號(hào)硬件或固件項(xiàng)名稱型號(hào)用途125.1重要數(shù)據(jù)、核心數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果性管理評(píng)估(工業(yè))和數(shù)據(jù)全生命周期安全評(píng)估結(jié)果如表1基礎(chǔ)性安全評(píng)估2數(shù)據(jù)全生命周期管理評(píng)估合計(jì)XYZN判定因素可能性等級(jí)人員載體操作判定因素可能性等級(jí)網(wǎng)絡(luò)環(huán)境和技術(shù)措施高管理制度和處理流程低低安全態(tài)勢(shì)低5.1.1.2.2安全影響分析[評(píng)估機(jī)構(gòu)]第15頁(yè)/共XX頁(yè)XX數(shù)據(jù)涉及XX數(shù)據(jù)處理活動(dòng)、YY數(shù)據(jù)處理活動(dòng)…性管理評(píng)估(工業(yè))和數(shù)據(jù)全生命周期安全評(píng)估結(jié)果如表[評(píng)估機(jī)構(gòu)]1基礎(chǔ)性安全評(píng)估2數(shù)據(jù)全生命周期管理評(píng)估合計(jì)XYZN5.1.2.2安全風(fēng)險(xiǎn)分析5.1.2.2.1風(fēng)險(xiǎn)源可能性等級(jí)判定結(jié)果判定因素可能性等級(jí)人員載體操作判定因素可能性等級(jí)網(wǎng)絡(luò)環(huán)境和技術(shù)措施高管理制度和處理流程低低安全態(tài)勢(shì)低5.1.2.2.2安全影響分析5.1.2.2.3綜合風(fēng)險(xiǎn)研判YY數(shù)據(jù)處理活動(dòng)的風(fēng)險(xiǎn)可能性等級(jí)判定結(jié)果為中，安全影響程度為一般，因此根性管理評(píng)估(工業(yè))和數(shù)據(jù)全生命周期安全評(píng)估結(jié)果如表1基礎(chǔ)性安全評(píng)估2數(shù)據(jù)全生命周期管理評(píng)估合計(jì)XYZNXX數(shù)據(jù)處理活動(dòng)的風(fēng)險(xiǎn)可能性等級(jí)判定結(jié)果如表5-2、表5-3所示。風(fēng)險(xiǎn)源識(shí)別分判定因素可能性等級(jí)人員載體操作判定因素可能性等級(jí)網(wǎng)絡(luò)環(huán)境和技術(shù)措施高管理制度和處理流程低低安全態(tài)勢(shì)低5.1.3.2.2安全影響分析5.1.3.2.3綜合風(fēng)險(xiǎn)研判W5.2.1音頻視頻互聯(lián)網(wǎng)內(nèi)容數(shù)據(jù)數(shù)據(jù)合規(guī)性評(píng)估結(jié)果5.2.1.1合規(guī)性評(píng)估結(jié)果1基礎(chǔ)性安全評(píng)估2數(shù)據(jù)全生命周期管理評(píng)估合計(jì)XYZN【填寫說(shuō)明：對(duì)照標(biāo)準(zhǔn)中的可能性等級(jí)判定表，分析研判數(shù)據(jù)XX數(shù)據(jù)涉及XX數(shù)據(jù)處理活動(dòng)、YY數(shù)據(jù)處理活動(dòng)....。XX數(shù)據(jù)的風(fēng)險(xiǎn)可能性等級(jí)判定結(jié)果如表5-6所示。風(fēng)險(xiǎn)源識(shí)別分析詳細(xì)結(jié)果見(jiàn)附件B.1.2.1。表5-6XX數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)可能性等級(jí)結(jié)果判定表(電信)判定因素可能性等級(jí)網(wǎng)絡(luò)環(huán)境和技術(shù)措施管理制度和處理流程參與人員和接收方管理安全態(tài)勢(shì)YY數(shù)據(jù)的風(fēng)險(xiǎn)可能性等級(jí)判定結(jié)果.....第22頁(yè)/共XX頁(yè)5.2.1.2.3綜合風(fēng)險(xiǎn)研判5.2.2.1合規(guī)性評(píng)估結(jié)果XX數(shù)據(jù)處理活動(dòng)的正當(dāng)必要性結(jié)果為滿足/不滿足，基礎(chǔ)性安全評(píng)估(電信)/基礎(chǔ)性管理評(píng)估(工業(yè))和數(shù)據(jù)全生命周期安全評(píng)估結(jié)果如表5-4所示。合規(guī)性評(píng)估詳細(xì)結(jié)12數(shù)據(jù)全生命周期管理評(píng)估合計(jì)XYZN5.2.2.2安全風(fēng)險(xiǎn)分析5.2.2.2.1風(fēng)險(xiǎn)源可能性等級(jí)判定結(jié)果判定因素可能性等級(jí)網(wǎng)絡(luò)環(huán)境和技術(shù)措施管理制度和處理流程參與人員和接收方管理安全態(tài)勢(shì)5.2.2.2.2安全影響分析5.2.2.2.3綜合風(fēng)險(xiǎn)研判[評(píng)估機(jī)構(gòu)]第24頁(yè)/共XX頁(yè)判別依據(jù)綜合得分計(jì)算公式綜合得分90分以上(含90分)。綜合得分綜合得分80分以上(含80分)。綜合得分70分以上(含70分)。參見(jiàn)表格下方。若本次評(píng)估包含了a(a≥0)項(xiàng)一般數(shù)據(jù)、b(b≥0)項(xiàng)重要數(shù)據(jù)、c(c≥0)項(xiàng)核心數(shù)A=(L?*1+L?*0.5+L?*0.1+LB=(M?*1+M?*0.5+M?*0.1+當(dāng)a*b*c≠0高表示該組織面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)越低。如果在對(duì)組織抽樣的樣本中存在一般數(shù)據(jù)和重要核心數(shù)據(jù)，那么重要核心數(shù)據(jù)占90分的比重(重要和核心占分比例為3:7,如果沒(méi)有核心數(shù)據(jù)處理活動(dòng)則重要數(shù)據(jù)處理活6.2評(píng)估結(jié)論第27頁(yè)/共XX頁(yè)表6-2安全風(fēng)險(xiǎn)匯總表數(shù)據(jù)級(jí)別極高風(fēng)險(xiǎn)數(shù)據(jù)項(xiàng)數(shù)量高風(fēng)險(xiǎn)數(shù)據(jù)項(xiàng)數(shù)量中風(fēng)險(xiǎn)數(shù)據(jù)項(xiàng)數(shù)量數(shù)據(jù)項(xiàng)數(shù)量核心數(shù)據(jù)重要數(shù)據(jù)一般數(shù)據(jù)表6-3高以上風(fēng)險(xiǎn)數(shù)據(jù)項(xiàng)序號(hào)數(shù)據(jù)項(xiàng)名稱風(fēng)險(xiǎn)等級(jí)1XXX數(shù)據(jù)高/極高2YYY數(shù)據(jù)高/極高37.1重要數(shù)據(jù)安全風(fēng)險(xiǎn)及整改建議合規(guī)性評(píng)估方面7.2一般數(shù)據(jù)安全風(fēng)險(xiǎn)及整改建議類別正當(dāng)a)合法開展業(yè)務(wù)所必需的；康、財(cái)產(chǎn)安全等所必需的；合/不適用類別正當(dāng)/圖A.1.1.1-1-1-1【填表說(shuō)明：評(píng)估結(jié)果記錄的佐證材料應(yīng)進(jìn)行脫敏處理?！繄DA.1.1.1-1-1-2第30頁(yè)/共XX頁(yè)類別1一般數(shù)據(jù)處理者基安全組織保障查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全管理辦法或數(shù)據(jù)處理者數(shù)據(jù)安全管理制度文檔，是否明確數(shù)據(jù)安全管理責(zé)任部門和相關(guān)執(zhí)行部門；是否明確安全管理責(zé)任部門與相關(guān)執(zhí)行部門的責(zé)任范圍；符合/部分符合/不符合/不適用2查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全崗位人員名單，是否根據(jù)需要配備一定數(shù)量的數(shù)據(jù)安全管理人員，崗位人員名單是否包括部門名稱、姓名、聯(lián)系方式和工作職責(zé)等；符合/部分符合/不符合/不適用3查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全管理制度文檔，是否明確數(shù)據(jù)安全基礎(chǔ)性管理和數(shù)據(jù)全生命周期各環(huán)節(jié)安全保護(hù)要求和操作規(guī)程；能覆蓋數(shù)據(jù)分類分級(jí)、權(quán)限管理、日志留存、風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、安全評(píng)估、教育培訓(xùn)等方面，并針對(duì)不同級(jí)別數(shù)據(jù)，明確數(shù)據(jù)生命周期各環(huán)節(jié)具體分級(jí)數(shù)據(jù)安全管理制度執(zhí)行落實(shí)情況監(jiān)督檢查和考核問(wèn)責(zé)制度，對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行安全監(jiān)督管理，并協(xié)助電信主管部門開展工作。符合/部分符合/不符合/不適用4數(shù)據(jù)分類分級(jí)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)分類分級(jí)管理制度，是否明確數(shù)據(jù)分類分級(jí)管理范圍、數(shù)據(jù)分類分級(jí)原則、標(biāo)準(zhǔn)及變更流程等內(nèi)容；是否綜合考慮業(yè)務(wù)需求、數(shù)據(jù)來(lái)源和用別；是否在數(shù)據(jù)分類的基礎(chǔ)上，按照電信主管部門要求以及相關(guān)標(biāo)準(zhǔn)規(guī)范制定數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)，明確各級(jí)數(shù)據(jù)界限，包括具體類別、子類、范圍、對(duì)應(yīng)的數(shù)據(jù)等，是否針對(duì)不同級(jí)別的數(shù)據(jù)制定差異化的保護(hù)策略；5查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)資產(chǎn)梳理相關(guān)制度文件，是否明確數(shù)據(jù)資產(chǎn)的安全管理目標(biāo)和原則，是否類別數(shù)據(jù)與非電子化數(shù)據(jù)要求，是否明確數(shù)據(jù)存儲(chǔ)情況梳理原則和梳理周期；6查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)資產(chǎn)梳理記錄、數(shù)據(jù)資產(chǎn)清單等有關(guān)文件是否完備：1)是否使用人工核對(duì)、自動(dòng)化識(shí)別等方式，定期梳理本單位電子化數(shù)據(jù)與非電子化數(shù)據(jù)，并留存梳理記錄；2)是否覆蓋數(shù)據(jù)處理者全范圍，涵蓋電子化數(shù)據(jù)與非電子化數(shù)據(jù)，全面掌握數(shù)據(jù)處理者數(shù)據(jù)資產(chǎn)分布、遷移、資產(chǎn)異常等情況；3)是否按照電子化數(shù)據(jù)與非電子化數(shù)據(jù)兩類分別形成數(shù)據(jù)資產(chǎn)清單，并根據(jù)規(guī)范要求對(duì)已形成的數(shù)資產(chǎn)變更記錄；4)是否針對(duì)數(shù)據(jù)實(shí)施動(dòng)態(tài)管理，及時(shí)調(diào)整數(shù)據(jù)分級(jí)結(jié)果。7查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)訪問(wèn)權(quán)限管理制度，是否明確各部門和相關(guān)人員權(quán)限管理要求，是否建立號(hào)回收等情況；8權(quán)限管理通過(guò)數(shù)據(jù)處理者演示賬號(hào)生命周期管理流程，驗(yàn)證針對(duì)開發(fā)、測(cè)和注銷系統(tǒng)賬號(hào)時(shí)，是否嚴(yán)格遵流程，并記錄審批過(guò)程和結(jié)果；查驗(yàn)數(shù)據(jù)處理者涉及授權(quán)特定人員超權(quán)限處理數(shù)據(jù)的，是否采取多人審批授權(quán)或操作監(jiān)督，是否第32頁(yè)/共XX頁(yè)類別留存審批并記錄；9查驗(yàn)數(shù)據(jù)處理者是否建立并定期更新數(shù)據(jù)處理相關(guān)系統(tǒng)權(quán)限分配表，是否對(duì)能夠處理相關(guān)數(shù)據(jù)的業(yè)務(wù)系統(tǒng)賬號(hào)進(jìn)行定期梳理；按照業(yè)務(wù)需求、安全策略、權(quán)責(zé)明確原則和最小授權(quán)原則等，合理界定本數(shù)據(jù)處理者的數(shù)據(jù)訪問(wèn)據(jù)安全管理、日志審計(jì)等崗位角色進(jìn)行分離設(shè)置，是否嚴(yán)格控制超級(jí)管理員角色賬號(hào)數(shù)量；查驗(yàn)一般數(shù)據(jù)處理活動(dòng)有關(guān)平臺(tái)系統(tǒng)，對(duì)涉及數(shù)據(jù)高風(fēng)險(xiǎn)操作的(如批量復(fù)制、批量傳輸、批量銷毀等操作),是否采取多人審批通過(guò)技術(shù)驗(yàn)證一般數(shù)據(jù)處理活動(dòng)有關(guān)平臺(tái)系統(tǒng)是否利用技術(shù)手段執(zhí)行權(quán)限配置要求，避免非授技術(shù)驗(yàn)證業(yè)務(wù)系統(tǒng)是否配置口令復(fù)雜度策略，如：口令長(zhǎng)度不少于8位，使用大寫字母、小寫字母、數(shù)字及特殊字符中至少三種的組合，且與用戶名、字符順序無(wú)相關(guān)性；2)通過(guò)技術(shù)驗(yàn)證對(duì)系統(tǒng)賬號(hào)口令輸入嘗試次數(shù)進(jìn)行限制；3)通過(guò)技術(shù)驗(yàn)證業(yè)務(wù)系統(tǒng)是否對(duì)口令遺忘的申請(qǐng)和重置流程實(shí)施嚴(yán)格管理。日志留存包括日志記錄范圍、留存時(shí)間、日志備份要求、日志審計(jì)職責(zé)劃分、人員配備與審計(jì)頻度等內(nèi)容查驗(yàn)數(shù)據(jù)處理者是否對(duì)數(shù)據(jù)處理日志及系統(tǒng)運(yùn)行日志進(jìn)行記錄；日志記錄信息是否包括執(zhí)行時(shí)..類別間、操作賬號(hào)、處理方式、授權(quán)情況、操作對(duì)象等，日志記錄保查驗(yàn)數(shù)據(jù)處理者是否定期開展日志審計(jì)，并形成審計(jì)報(bào)告：1)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)審計(jì)制度是否結(jié)合數(shù)據(jù)處理場(chǎng)景明確包含審計(jì)目的、審計(jì)對(duì)象、審計(jì)內(nèi)容、審計(jì)操作規(guī)程、審計(jì)頻度、審計(jì)結(jié)果、審計(jì)問(wèn)題整改跟蹤等內(nèi)容的審計(jì)策略，并根據(jù)實(shí)際情況動(dòng)態(tài)調(diào)整；2)查驗(yàn)審計(jì)報(bào)告是否包含操作時(shí)間、操作主體、操作類型、操作對(duì)象、操作結(jié)果、審計(jì)問(wèn)題、改進(jìn)方案、異常情況處置記錄等內(nèi)容，對(duì)審計(jì)發(fā)現(xiàn)問(wèn)題進(jìn)行整改跟蹤。風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警相關(guān)制度文件，是否明確數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作負(fù)責(zé)部門，是否明確風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警目的、方式、內(nèi)容、操作規(guī)程、頻度等內(nèi)容，是否定期開展風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警方案，是否明確風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作職責(zé)分工、實(shí)施流程、處置措施及總結(jié)通報(bào)等內(nèi)容。其中，實(shí)施流程是否對(duì)數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動(dòng)、網(wǎng)絡(luò)與系統(tǒng)設(shè)備、數(shù)據(jù)處理賬號(hào)、內(nèi)外部數(shù)據(jù)流動(dòng)等實(shí)施監(jiān)測(cè)巡查，對(duì)異常流動(dòng)等行為進(jìn)行排查預(yù)警與處置，形成處置記錄；的風(fēng)險(xiǎn)，應(yīng)按照有關(guān)要求向本地區(qū)行業(yè)監(jiān)管部門報(bào)告。應(yīng)急處置查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全事件應(yīng)急預(yù)案，是否充分考慮數(shù)據(jù)處理務(wù)場(chǎng)景，包括但不限于數(shù)據(jù)泄露(丟失)、數(shù)據(jù)被篡改、數(shù)據(jù)被損類別事件等級(jí)明確應(yīng)急響應(yīng)責(zé)任分工、查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全應(yīng)急演練工作記錄，核實(shí)是否制定數(shù)據(jù)安全事件應(yīng)急演練計(jì)劃；是否針對(duì)數(shù)據(jù)泄露(丟失)、數(shù)據(jù)被篡改、數(shù)據(jù)被損毀、數(shù)據(jù)違規(guī)使用等典型場(chǎng)景，至少每年開展一次全部場(chǎng)景的演練，并做好演練護(hù)措施，形成演練報(bào)告；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全應(yīng)急響應(yīng)處置記錄是否完備：1)是否急預(yù)案及時(shí)開展應(yīng)急處置，采取數(shù)據(jù)恢復(fù)、關(guān)閉違規(guī)人員賬號(hào)、下線相關(guān)系統(tǒng)接口等處置手段或補(bǔ)救措施；2)發(fā)生可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當(dāng)及時(shí)告知用戶，并提供減輕危害措施；3)事件處置完成后改、責(zé)任追究，在規(guī)定時(shí)限內(nèi)形成報(bào)告，每年向本地區(qū)行業(yè)監(jiān)管查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全相關(guān)制度文件，是否具有明確規(guī)定定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估或自查查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告或自查記錄，是否包括數(shù)據(jù)處理者基本情況、評(píng)估團(tuán)隊(duì)基本情況、數(shù)據(jù)處理活動(dòng)分析、合規(guī)性評(píng)估、安全風(fēng)險(xiǎn)分析、評(píng)估結(jié)論及應(yīng)對(duì)措施等內(nèi)容；安全查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告或自查記錄，是否對(duì)評(píng)估工作中發(fā)現(xiàn)的問(wèn)題進(jìn)行分析并明確對(duì)應(yīng)問(wèn)題所關(guān)聯(lián)的風(fēng)險(xiǎn)，是否具有明確的風(fēng)險(xiǎn)或問(wèn)題處理處第35頁(yè)/共XX頁(yè)類別置計(jì)劃及對(duì)應(yīng)的改進(jìn)措施：查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)或問(wèn)題跟蹤記錄，是否對(duì)評(píng)估或自查中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)或問(wèn)題進(jìn)行實(shí)際整改或改進(jìn)，是否對(duì)整改措施的有效性進(jìn)行復(fù)核。教育培訓(xùn)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全崗位人員教育和培訓(xùn)計(jì)劃，教育和培訓(xùn)是否涵蓋數(shù)據(jù)安全法律、行政法規(guī)、標(biāo)準(zhǔn)規(guī)范、本數(shù)據(jù)處理者數(shù)據(jù)安全管理制度和工作要求、數(shù)據(jù)安全領(lǐng)域知識(shí)技能、數(shù)據(jù)安全保護(hù)意識(shí)等內(nèi)容：查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全崗位人員教育培訓(xùn)工作記錄(如培訓(xùn)計(jì)劃、通知、議程、課件、簽到表、考核記錄等),培訓(xùn)對(duì)象是否覆蓋數(shù)據(jù)處理者數(shù)據(jù)安全崗位人員，年度培訓(xùn)時(shí)長(zhǎng)是否不少于10學(xué)時(shí)，培訓(xùn)后是否組織對(duì)培訓(xùn)內(nèi)容進(jìn)行考核評(píng)定，并留存考核評(píng)定記錄。重要數(shù)據(jù)和核心數(shù)組織查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全管理體系與制度文檔是否完備：1)是否建立完整的數(shù)據(jù)處理者否能覆蓋涉及數(shù)據(jù)安全保護(hù)和數(shù)據(jù)處理活動(dòng)的相關(guān)部門，聯(lián)合各明確各相關(guān)部門的責(zé)任與分工；2)是否明確數(shù)據(jù)安全管理機(jī)構(gòu)，定期組織召開數(shù)據(jù)安全相關(guān)工作會(huì)議，建立數(shù)據(jù)安全管理機(jī)構(gòu)與相關(guān)部門的協(xié)作機(jī)制；3)是否在數(shù)據(jù)安全管理責(zé)任部門至少配備一名數(shù)據(jù)安全專職人理者基礎(chǔ)性安估保障員，相關(guān)執(zhí)行部門至少配備一名數(shù)據(jù)安全責(zé)任人，負(fù)責(zé)組織開展部門內(nèi)數(shù)據(jù)安全相關(guān)工作。查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)處理關(guān)鍵崗類別位職責(zé)說(shuō)明文件或人員任命書內(nèi)1)是否指定數(shù)據(jù)處理者法定代表人或者主要負(fù)責(zé)人為數(shù)據(jù)安管數(shù)據(jù)安全的成員為直接責(zé)任人；相關(guān)崗位人員情況是否登記2)相關(guān)崗位人員是否簽署數(shù)據(jù)安全責(zé)任書或保密協(xié)議，內(nèi)容包括但不限于崗位職責(zé)、相關(guān)義務(wù)、處罰措施、注意事項(xiàng)等。數(shù)據(jù)分類分級(jí)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全管理相關(guān)制度文件，是否明確重要數(shù)據(jù)和核心數(shù)據(jù)目錄和目錄備案管理要求；查驗(yàn)數(shù)據(jù)處理者是否按照相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求形成重要數(shù)據(jù)和核心數(shù)據(jù)目錄；查驗(yàn)數(shù)據(jù)處理者備案登記記錄，是否按照有關(guān)規(guī)定開展目錄備案內(nèi)容發(fā)生重大變化時(shí)，在發(fā)生變查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)訪問(wèn)權(quán)限管理制度，是否明確重要數(shù)據(jù)和核據(jù)有關(guān)平臺(tái)系統(tǒng)是否精細(xì)化配置數(shù)據(jù)訪問(wèn)處理權(quán)限，訪問(wèn)主體精確到用戶、訪問(wèn)對(duì)象精確到文件或數(shù)據(jù)庫(kù)表，是否設(shè)置賬號(hào)最大使用期限。非電子化數(shù)據(jù)是否實(shí)施單次授權(quán)，對(duì)數(shù)據(jù)處理、權(quán)限管理攜帶方式和區(qū)域范圍等進(jìn)行限定；據(jù)處理活動(dòng)有關(guān)平臺(tái)系統(tǒng)是否具備權(quán)限管理配套保障功能：1)基于IP、MAC地址、服務(wù)路徑等方式對(duì)所有接入重要數(shù)據(jù)和核第37頁(yè)/共XX頁(yè)類別或業(yè)務(wù)進(jìn)行身份認(rèn)證和權(quán)限控制；2)通過(guò)技術(shù)驗(yàn)證業(yè)務(wù)系統(tǒng)是否限制非正常登錄次數(shù)，未正常登錄場(chǎng)景包括但不限于異常時(shí)間登錄行為、短時(shí)間內(nèi)在不同IP地址段登錄行為、非正常工作區(qū)域登陸等；3)通過(guò)技術(shù)驗(yàn)證數(shù)據(jù)處理者業(yè)務(wù)支撐系統(tǒng)是否配置會(huì)話失效策略，在登錄后長(zhǎng)時(shí)間無(wú)過(guò)技術(shù)驗(yàn)證業(yè)務(wù)系統(tǒng)是否對(duì)登陸的驗(yàn)證信息(例如口令鑒別信息)采取保護(hù)措施(如口令加密、時(shí)間截等方式),防止重放性攻擊，防止非授權(quán)的數(shù)據(jù)訪問(wèn)：5)通過(guò)技術(shù)手段驗(yàn)證業(yè)務(wù)系統(tǒng)是否存在不需要賬號(hào)繞過(guò)登陸的安全漏洞(例如遠(yuǎn)程代碼執(zhí)行漏洞)或者越權(quán)漏洞。日志留存查驗(yàn)數(shù)據(jù)處理者是否具備日志審計(jì)技術(shù)能力，將本數(shù)據(jù)處理者重要數(shù)據(jù)和核心數(shù)據(jù)處理活動(dòng)全量納入審計(jì)范圍，是否制定重要數(shù)據(jù)和核心數(shù)據(jù)的審計(jì)策略；是否對(duì)高風(fēng)險(xiǎn)操作的(如批量復(fù)制、批量傳輸、批量銷毀等操作)日志進(jìn)行備份，包含操作時(shí)間、操作賬號(hào)、處理方式、授權(quán)情況、句等內(nèi)容。是否對(duì)日志的備份證日志備份文件的可用性和真實(shí)是否每半年對(duì)重要數(shù)據(jù)處理操作度對(duì)核心數(shù)據(jù)處理操作進(jìn)行審計(jì)并形成審計(jì)報(bào)告。應(yīng)急處置查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全應(yīng)急響應(yīng)處置記錄，在發(fā)生重要數(shù)據(jù)和核心數(shù)據(jù)安全事件時(shí)，是否第一時(shí)間向本地區(qū)行業(yè)監(jiān)管部門報(bào)類別安全評(píng)估查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作相關(guān)管理制度，是否明確至少每年對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)處理活動(dòng)進(jìn)行一次全面的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)送機(jī)制，是否在規(guī)定期限內(nèi)向本地區(qū)行業(yè)監(jiān)管部門報(bào)送風(fēng)教育培訓(xùn)估的基礎(chǔ)上，進(jìn)一步開展以下評(píng)估工作：13查驗(yàn)數(shù)據(jù)處理者重要數(shù)據(jù)和核心數(shù)據(jù)處理崗位人員教育和培訓(xùn)計(jì)劃，是否針對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)處理崗位定期開展全員教育和培訓(xùn)，教育培訓(xùn)是否涵蓋安全意識(shí)、安全操作規(guī)程等內(nèi)容，年度培訓(xùn)時(shí)長(zhǎng)是否類別一般數(shù)據(jù)處理者基安全安全管理制度圖A.1.1.2-1-1-1【填表說(shuō)明：評(píng)估結(jié)果記錄的佐證材料應(yīng)進(jìn)行脫敏處理?！繄DA.1.1.2-1-1-2組織機(jī)構(gòu)圖A.1.1.2-1-2-1圖A.1.1.2-1-2-2重要數(shù)據(jù)和核心數(shù)理者基礎(chǔ)性安組織機(jī)構(gòu)圖A.1.1.2-2-1-1圖A.1.1.2-2-1-2類別類別1一般數(shù)據(jù)全生數(shù)據(jù)收集查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)收集相關(guān)制度文件是否完備；是否明確應(yīng)遵循合法、正當(dāng)原則，結(jié)合本數(shù)據(jù)處理者產(chǎn)品或服務(wù)業(yè)務(wù)功能需要開展數(shù)據(jù)收集活動(dòng)，是否明確數(shù)據(jù)收集渠道、數(shù)據(jù)格式、收集流程和收集方式、存儲(chǔ)期限，不得竊取或者以其他方式非法收集數(shù)據(jù)；符合/部分符合/不符合/不適用2查驗(yàn)數(shù)據(jù)處理者具體業(yè)務(wù)用戶協(xié)議或隱私政策文件中涉及收集的的目的、用途和范圍是否按照公開透明原則，將收集規(guī)則以通俗易懂、簡(jiǎn)單明了的文字向用戶3查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)存儲(chǔ)環(huán)節(jié)相關(guān)制度文件，數(shù)據(jù)處理者是否結(jié)合數(shù)據(jù)分類分級(jí)策略和管理要求明確數(shù)據(jù)存儲(chǔ)安全策略和操作規(guī)程，包括各類數(shù)據(jù)存儲(chǔ)平臺(tái)系統(tǒng)差異化的安全存儲(chǔ)保護(hù)手段(如加密、訪問(wèn)控制等)、數(shù)據(jù)存儲(chǔ)介質(zhì)安全策略和管理規(guī)定等；4命周期管理評(píng)估數(shù)據(jù)查驗(yàn)數(shù)據(jù)處理者是否與數(shù)據(jù)存儲(chǔ)平臺(tái)系統(tǒng)管理和運(yùn)維人員簽訂保密協(xié)議或數(shù)據(jù)安全責(zé)任承諾書，是否在保密協(xié)議中明確數(shù)據(jù)使用范圍、操作權(quán)限、違約責(zé)任等，有效約束相關(guān)人員行為，如對(duì)數(shù)據(jù)處理者各類數(shù)據(jù)進(jìn)行違規(guī)操作或非授權(quán)操作；類別5查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)存儲(chǔ)環(huán)節(jié)相關(guān)制度文件，數(shù)據(jù)處理者是否制定各類數(shù)據(jù)存儲(chǔ)系統(tǒng)的安全配限管理、訪問(wèn)控制、日志留存等方面的安全要求；6演示數(shù)據(jù)處理者數(shù)據(jù)存儲(chǔ)相關(guān)系統(tǒng)，是否落實(shí)差異化的安全存儲(chǔ)要求，是否配備對(duì)用戶或業(yè)務(wù)7數(shù)據(jù)使用加工查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)使用加工管理制度，是否符合網(wǎng)絡(luò)安全法等國(guó)家相關(guān)法律法規(guī)對(duì)數(shù)據(jù)使用是否結(jié)合數(shù)據(jù)分類分級(jí)策略和管和操作規(guī)程，是否制定不同目的下數(shù)據(jù)使用審批流程、數(shù)據(jù)使用結(jié)果發(fā)布和安全保護(hù)規(guī)則，以及相關(guān)流程中人員崗位職責(zé)等；8是否明確數(shù)據(jù)使用加工的導(dǎo)出需求、具體場(chǎng)景、導(dǎo)出范圍和相應(yīng)的權(quán)限規(guī)則，是否明確要求導(dǎo)出的數(shù)據(jù)類型及數(shù)量為當(dāng)前處理活動(dòng)場(chǎng)景所必需的最小數(shù)據(jù)集。9查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)傳輸相關(guān)制務(wù)需求、業(yè)務(wù)系統(tǒng)可用性、建設(shè)成本等要求，明確網(wǎng)絡(luò)安全域劃分策略，針對(duì)不同網(wǎng)絡(luò)安全域的防護(hù)級(jí)別明確相應(yīng)的數(shù)據(jù)安全防護(hù)策略；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)傳輸技術(shù)架構(gòu)是否充分考慮了各數(shù)據(jù)存儲(chǔ)平臺(tái)系統(tǒng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、部署、維數(shù)據(jù)護(hù)管理和運(yùn)營(yíng)中的安全風(fēng)險(xiǎn)；結(jié)合數(shù)據(jù)分類分級(jí)策略和管理要求明確數(shù)據(jù)傳輸安全策略和操作規(guī)程，是否制定不同網(wǎng)絡(luò)區(qū)域間數(shù)據(jù)傳輸安全保護(hù)規(guī)則，如身份鑒別、訪問(wèn)控制、加密等；類別查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)傳輸?shù)陌踩雷o(hù)技術(shù)措施的落實(shí)情況，是否防護(hù)技術(shù)措施，并查驗(yàn)技術(shù)措施的有效性。數(shù)據(jù)規(guī)程，明確數(shù)據(jù)提供范圍、類別、條件和程序；查驗(yàn)數(shù)據(jù)處理者是否建立數(shù)據(jù)提供清單，包含接收方數(shù)據(jù)處理者名稱、聯(lián)系人信息，以及提供形式、期限、涉及的業(yè)務(wù)或系統(tǒng)、數(shù)據(jù)安全保護(hù)措施等內(nèi)容，并定期對(duì)清單進(jìn)行更新；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)提供服務(wù)合同或協(xié)議，是否包含數(shù)據(jù)安全保護(hù)條款，按照最小必要的原則，結(jié)合數(shù)據(jù)提供情況，規(guī)定數(shù)據(jù)接收方可接觸到的數(shù)據(jù)范圍、使用數(shù)據(jù)出境查驗(yàn)數(shù)據(jù)處理者是否存在相關(guān)法律法規(guī)中規(guī)定的需要申報(bào)數(shù)據(jù)出一步查驗(yàn)數(shù)據(jù)處理者是否按要求開展數(shù)據(jù)出境風(fēng)險(xiǎn)評(píng)估，評(píng)估結(jié)果是否在有效期內(nèi)，評(píng)估內(nèi)容包括實(shí)際數(shù)據(jù)出境的規(guī)模、范圍、種類、敏感程度等要素及數(shù)據(jù)出境活動(dòng)可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)等風(fēng)險(xiǎn)；是否向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估，數(shù)據(jù)出境活動(dòng)是否得到工業(yè)和信息化部的批準(zhǔn)；查驗(yàn)數(shù)據(jù)處理者與境外接收方訂立的合同或者其他具有法律效力的文件，是否充分約定了數(shù)據(jù)類別安全保護(hù)責(zé)任義務(wù)、境外接收方承諾承擔(dān)的責(zé)任義務(wù)、以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等是否能保障出境數(shù)據(jù)的安全是否建立通暢的個(gè)人信息權(quán)益維護(hù)渠道；是否采取加密等技術(shù)措施保障數(shù)據(jù)出境安全。數(shù)據(jù)公開度文件，是否明確數(shù)據(jù)公開范圍、數(shù)據(jù)公開場(chǎng)景，對(duì)應(yīng)不同的數(shù)據(jù)公開場(chǎng)景建立相應(yīng)的數(shù)據(jù)公開安全策略和操作規(guī)程；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)公開相關(guān)業(yè)務(wù)系統(tǒng)的審批記錄，是否具有數(shù)重點(diǎn)內(nèi)容、審批記錄留存要求，公開數(shù)據(jù)的具體內(nèi)容是否僅滿足業(yè)務(wù)場(chǎng)景需求且未超出授權(quán)范查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)公開記錄，是否在數(shù)據(jù)公開前對(duì)數(shù)據(jù)公開場(chǎng)景、公開范圍、內(nèi)容等進(jìn)行風(fēng)險(xiǎn)評(píng)估，不得公可能對(duì)國(guó)家安全、查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)銷毀相關(guān)制度文件，是否結(jié)合數(shù)據(jù)分類分級(jí)管理制度和安全需求，建立數(shù)據(jù)銷毀安全策略和操作規(guī)程，明確銷毀對(duì)象、銷毀原因(如在數(shù)據(jù)業(yè)務(wù)下線、用戶退出服務(wù)、節(jié)點(diǎn)失效、過(guò)多備份、數(shù)據(jù)試用結(jié)束、數(shù)據(jù)超出保存期限等情況)和銷毀流程、數(shù)據(jù)銷毀技術(shù)處理策略等內(nèi)容；數(shù)據(jù)銷毀是否配備必要的數(shù)據(jù)銷毀工具，針對(duì)不同類型的存儲(chǔ)介質(zhì)(閃存、移動(dòng)硬盤、固態(tài)硬盤、硬盤、磁帶、光盤等),提供不同的銷毀措施。如針對(duì)用戶注銷服務(wù)、存儲(chǔ)介質(zhì)維護(hù)需要帶出機(jī)房等場(chǎng)景可類別采用多遍覆蓋、刪除密鑰、執(zhí)行固件擦除命令等安全數(shù)據(jù)刪除方式，針對(duì)介質(zhì)報(bào)廢等場(chǎng)景，可采取高壓擊穿、消磁、粉碎等物理?yè)p毀手段；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)銷毀工作記錄，是否對(duì)銷毀后所涉及的資源進(jìn)行回收，包括賬號(hào)、物理資集設(shè)備是否根據(jù)數(shù)據(jù)安全級(jí)別采墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、白名單接入控制等)防止數(shù)采集過(guò)程中數(shù)據(jù)不被泄露：重要數(shù)據(jù)和核心數(shù)據(jù)全生命周期管理評(píng)估數(shù)據(jù)收集通過(guò)技術(shù)驗(yàn)證數(shù)據(jù)收集設(shè)備安全管理措施是否完備：1)是否采用口令鑒別、生物鑒別、圖片驗(yàn)證碼、短信驗(yàn)證碼、證書鑒別等至少兩種以上的身份鑒別機(jī)制對(duì)接入用戶進(jìn)行身份認(rèn)證和訪問(wèn)控制；2)是否配置口令復(fù)雜度策略，如口令長(zhǎng)度不少于8位，使用大寫字母、小寫字母、數(shù)字及特殊字符中至少三種的組合，3)是否配置賬號(hào)鎖定策略，對(duì)系統(tǒng)賬號(hào)口令輸入嘗試次數(shù)進(jìn)行限制；4)是否對(duì)口令遺忘的申請(qǐng)和重置流程實(shí)施嚴(yán)格管理，口令重置流程是否存在業(yè)務(wù)邏輯設(shè)計(jì)缺陷，是否留存申請(qǐng)和重置記類別錄。據(jù)收集來(lái)源、時(shí)間、類型、數(shù)量、數(shù)據(jù)系統(tǒng)是否按照數(shù)據(jù)存儲(chǔ)安全策略配備校驗(yàn)技術(shù)、密碼技術(shù)等安全防護(hù)措施進(jìn)行安全存儲(chǔ)；查驗(yàn)數(shù)據(jù)處理者重要數(shù)據(jù)和核心數(shù)據(jù)備份恢復(fù)相關(guān)管理制度，是否包括數(shù)據(jù)容災(zāi)備份的規(guī)范和操作規(guī)程，是否明確規(guī)定數(shù)據(jù)容災(zāi)備份的周期、備份方式、備份是否提供重要數(shù)據(jù)和核心數(shù)據(jù)存防護(hù)能力，是否定期開展數(shù)據(jù)性和可用性進(jìn)行檢查和恢復(fù)驗(yàn)證；涉及數(shù)據(jù)存儲(chǔ)介質(zhì)(含云存儲(chǔ)形態(tài)與終端存儲(chǔ)形態(tài))的，查驗(yàn)企業(yè)相關(guān)安全管理制度，是否明確數(shù)據(jù)存儲(chǔ)介質(zhì)的獲取、使用、維護(hù)、升級(jí)、標(biāo)記和銷毀等流程和審批記錄要求，是否明確數(shù)數(shù)據(jù)使用加工查驗(yàn)數(shù)據(jù)處理者重要數(shù)據(jù)使用加工相關(guān)制度文件，是否明確數(shù)據(jù)處理活動(dòng)相關(guān)平臺(tái)系統(tǒng)的訪問(wèn)控制規(guī)范，從賬號(hào)身份管理原則、身份憑證保護(hù)、最小授權(quán)原則、數(shù)據(jù)權(quán)限默認(rèn)設(shè)置、權(quán)限申請(qǐng)和審批等方面提出數(shù)據(jù)使用安全管控要求：1)通過(guò)技術(shù)驗(yàn)證數(shù)據(jù)全管理人員、數(shù)據(jù)使用人員、日為內(nèi)部人員分配完成職責(zé)所需的最小數(shù)據(jù)使用權(quán)限；2)涉及類別是否由數(shù)據(jù)安全責(zé)任人進(jìn)行審批并記錄；3)通過(guò)技術(shù)驗(yàn)證數(shù)據(jù)處理者相關(guān)系統(tǒng)，是否及時(shí)清除數(shù)據(jù)處理活動(dòng)相關(guān)平臺(tái)系統(tǒng)中測(cè)試賬號(hào)、默認(rèn)賬號(hào)，杜絕多人共查驗(yàn)數(shù)據(jù)脫敏處理管理規(guī)范或制使用應(yīng)用場(chǎng)景，明確數(shù)據(jù)脫敏流程、涉及部門及人員的職責(zé)分工等：1)查驗(yàn)數(shù)數(shù)據(jù)脫敏處理管理規(guī)范或制度，數(shù)據(jù)處理者相關(guān)系統(tǒng)在數(shù)據(jù)權(quán)限和資源的申請(qǐng)階段，是否由該數(shù)據(jù)的數(shù)據(jù)安全管理負(fù)責(zé)人員評(píng)估使用真實(shí)數(shù)據(jù)的必要性，以及確定該場(chǎng)景下適用的數(shù)據(jù)脫敏規(guī)則及方法；152)查驗(yàn)數(shù)據(jù)脫敏處理管理規(guī)范和制度，是否建立數(shù)據(jù)脫敏處理技術(shù)應(yīng)用安全評(píng)估機(jī)制，對(duì)脫敏后的數(shù)據(jù)可恢復(fù)性進(jìn)行安全評(píng)估，是否對(duì)于可恢復(fù)形成原始數(shù)據(jù)的脫敏方法(含算法)進(jìn)行安全加強(qiáng)；3)演示數(shù)據(jù)處理者者是否使用未脫敏的數(shù)據(jù)用于業(yè)數(shù)據(jù)查驗(yàn)數(shù)據(jù)處理者是否建立相應(yīng)審聯(lián)網(wǎng)的重要數(shù)據(jù)和核心數(shù)據(jù)傳輸事項(xiàng)進(jìn)行前置審批；通過(guò)技術(shù)驗(yàn)證數(shù)據(jù)處理者是否在安全邊界配備數(shù)據(jù)訪問(wèn)控制、身者進(jìn)行數(shù)據(jù)傳輸時(shí)，是否有審批限制，審批通過(guò)后數(shù)據(jù)可傳輸，審批未通過(guò)不可傳輸：2)演示數(shù)據(jù)處理者的審批，是否留存類別查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)加密相關(guān)制是否在數(shù)據(jù)分類分級(jí)定義的基據(jù)庫(kù)字段、系統(tǒng)日志信息等的不同類型和級(jí)別的數(shù)據(jù)傳輸提出相匹配的數(shù)據(jù)加密要求(數(shù)據(jù)加密、數(shù)據(jù)簽名、散列等):通過(guò)技術(shù)驗(yàn)證數(shù)據(jù)處理者是否在傳輸重要數(shù)據(jù)時(shí)，采取適宜的安全措施保證傳輸數(shù)據(jù)的安全性，包括但不限于校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)接口技術(shù)管控措施是否完備：1)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)傳輸接口安全管理工作規(guī)范，是否明確規(guī)定使用數(shù)據(jù)接口的安全限制和安全控制措據(jù)接口的是否采取身份鑒別、訪問(wèn)控制、簽名等措施；3)查驗(yàn)數(shù)據(jù)處理者在跨安全域的接口調(diào)用采用安全通道、傳輸加密、時(shí)間截等安全措施；4)查詢數(shù)據(jù)處理者的安全接口清單，是否定期更新，包括接口名稱、接口參數(shù)、對(duì)端業(yè)務(wù)系統(tǒng)、接口方式等相關(guān)內(nèi)容。5)查詢數(shù)據(jù)處理者是否具備接口認(rèn)證鑒權(quán)能力，能夠通過(guò)MAC地址、IP地址或端口號(hào)綁定等方式限制非授權(quán)或違規(guī)設(shè)備接入，是否具備接口安或違規(guī)設(shè)備、系統(tǒng)接入，并及時(shí)數(shù)據(jù)是否明確對(duì)數(shù)據(jù)接收方安全能力進(jìn)行核驗(yàn)，并簽署數(shù)據(jù)安全協(xié)類別查驗(yàn)數(shù)據(jù)處理者針對(duì)數(shù)據(jù)提供接收方的安全管理記錄，是否按照合規(guī)性要求對(duì)數(shù)據(jù)接收方的資要求，并簽署數(shù)據(jù)安全協(xié)議，明確數(shù)據(jù)安全保護(hù)責(zé)任；查驗(yàn)數(shù)據(jù)處理者向數(shù)據(jù)接收方提技術(shù)驗(yàn)證數(shù)據(jù)處理者是否采取加協(xié)議、數(shù)據(jù)提供環(huán)境安全可控等跨主體提供核心數(shù)據(jù)時(shí)，是否已保護(hù)措施，并由本地區(qū)行業(yè)監(jiān)數(shù)據(jù)公開查驗(yàn)數(shù)據(jù)處理者重要數(shù)據(jù)公開相關(guān)制度文件是否全面充分：1)是否區(qū)分重要數(shù)據(jù)公開場(chǎng)景，對(duì)應(yīng)不同的數(shù)據(jù)公開場(chǎng)景建立相應(yīng)的數(shù)據(jù)公開安全策略和操作規(guī)程，明確重要數(shù)據(jù)公開范圍、內(nèi)容與有效控制機(jī)制；2)是否建立重要數(shù)據(jù)公開脫敏機(jī)制，明確對(duì)于法律、行政法規(guī)要求公開的數(shù)據(jù)場(chǎng)景(如網(wǎng)站、APP、業(yè)務(wù)登記單、顯示屏幕等展示場(chǎng)景),應(yīng)采用靜態(tài)脫敏等措施防止發(fā)生敏感數(shù)據(jù)泄露和濫用。是否明確核心數(shù)據(jù)不允許公開。數(shù)據(jù)銷毀查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)銷毀相關(guān)制度文件，是否設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程；系統(tǒng)是否針對(duì)數(shù)據(jù)銷毀建立完善的操作審批機(jī)制，采用多人操作模式，限制單人擁有完整操作類別手續(xù)。類別一般數(shù)據(jù)處理者基安全數(shù)據(jù)收集圖A.1.1.3-1-1-1【填表說(shuō)明：評(píng)估結(jié)果記錄的佐證材料應(yīng)進(jìn)行脫敏處理。】圖A.1.1.3-1-1-2圖A.1.1.3-1-1-3圖A.1.1.3-1-1-X數(shù)據(jù)數(shù)據(jù)圖A.1.1.3-1-2-1圖A.1.1.3-1-2-2重要數(shù)據(jù)命周期管理評(píng)估圖A.1.1.3-2-1-1圖A.1.1.3-2-1-2核心數(shù)據(jù)命周期管理評(píng)估圖A.1.1.3-3-1-1圖A.1.1.3-3-1-2表A-7風(fēng)險(xiǎn)源識(shí)別結(jié)果記錄表(電信)1網(wǎng)絡(luò)環(huán)境和技術(shù)措施1)處理重要數(shù)據(jù)、核心數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境是否為內(nèi)部網(wǎng)絡(luò)；22)處理重要數(shù)據(jù)、核心數(shù)據(jù)的信息系統(tǒng)是否與其他系統(tǒng)隔離，是否與其否存在未鑒權(quán)、未認(rèn)證接口，是否配備接口安全保障措施，如身份驗(yàn)證、流量監(jiān)控、數(shù)據(jù)加密等；33)處理重要數(shù)據(jù)、核心的識(shí)別發(fā)現(xiàn)；44)重要數(shù)據(jù)、核心數(shù)據(jù)權(quán)限管理等；55)處理重要數(shù)據(jù)、核心置嚴(yán)格的安全防護(hù)策略，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊、入侵、木馬病毒等的攔截防護(hù)；66)是否監(jiān)測(cè)和記錄網(wǎng)絡(luò)析重要數(shù)據(jù)、核心數(shù)據(jù)流轉(zhuǎn)狀態(tài)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)異常流量和違規(guī)使用等情77)是否配備數(shù)據(jù)防泄漏統(tǒng)和終端，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、藍(lán)牙、USB、郵件等多渠與攔截處置；88)是否采用加密傳輸、加密存儲(chǔ)等方式保障重要數(shù)據(jù)、核心數(shù)據(jù)安全，加密方式是否安全有效；99)是否定期對(duì)處理重要統(tǒng)進(jìn)行安全檢查、評(píng)估、否有效防范信息系統(tǒng)漏10)是否對(duì)存儲(chǔ)重要數(shù)據(jù)、核心數(shù)據(jù)的介質(zhì)進(jìn)行加強(qiáng)管理，實(shí)施多級(jí)權(quán)限審批管理，禁止非相關(guān)人員11)是否對(duì)重要數(shù)據(jù)、核備份，保障數(shù)據(jù)可用性；12)是否配備重要數(shù)據(jù)、核心數(shù)據(jù)銷毀技術(shù)手段，確保重要數(shù)據(jù)、核心數(shù)據(jù)銷毀后的不可恢復(fù)；13)是否制定重要數(shù)據(jù)、核心數(shù)據(jù)安全審計(jì)策略，管理制度和處理流程命周期，明確重要數(shù)據(jù)、第51頁(yè)/共XX頁(yè)理要求；2)是否對(duì)重要數(shù)據(jù)、核心數(shù)據(jù)授權(quán)訪問(wèn)、批量復(fù)制、使用加工、出境、銷毀等重點(diǎn)環(huán)節(jié)進(jìn)行日志留存，留存時(shí)間是否不少于6個(gè)月，涉及出境環(huán)節(jié)日志記錄是否按照國(guó)家有關(guān)規(guī)定留存；3)是否建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)報(bào)送機(jī)制，及時(shí)發(fā)現(xiàn)、識(shí)別和報(bào)送數(shù)據(jù)安全急預(yù)案和處置流程，定期開展應(yīng)急演練：5)是否建立內(nèi)部審批和登記等工作機(jī)制，對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)處理活動(dòng)進(jìn)行嚴(yán)格管理并留存參與人員1)是否設(shè)立數(shù)據(jù)安全管理機(jī)構(gòu)，明確內(nèi)部數(shù)據(jù)處理關(guān)鍵崗位、職責(zé)以及任職要求，負(fù)責(zé)履行數(shù)據(jù)安全管理義務(wù)；2)是否對(duì)數(shù)據(jù)處理關(guān)鍵崗位從業(yè)人員進(jìn)行數(shù)據(jù)安全相關(guān)培訓(xùn)和考核，確保其有相應(yīng)的數(shù)據(jù)安全保護(hù)專業(yè)知識(shí)和技能，能夠全面了解掌握數(shù)據(jù)安全政策法規(guī)有關(guān)要求；能管理組織配備的重要數(shù)據(jù)安全防護(hù)技術(shù)工具；3)是否與數(shù)據(jù)處理關(guān)鍵崗位從業(yè)人員簽訂署數(shù)據(jù)安全責(zé)任書，責(zé)任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責(zé)、義務(wù)、處罰措施、注意事項(xiàng)等內(nèi)容；員權(quán)限是否進(jìn)行區(qū)分，是同身份數(shù)據(jù)處理者權(quán)限；據(jù)使用情況的監(jiān)督管理；6)是否與涉及處理重要數(shù)據(jù)、核心數(shù)據(jù)的接收方簽署數(shù)據(jù)安全保護(hù)合同理使用重要數(shù)據(jù)的目的、方式、范圍、留存期限、限制、安全保障措施以及相應(yīng)的責(zé)任義務(wù)；7)是否對(duì)重要數(shù)據(jù)、核心數(shù)據(jù)接收方數(shù)據(jù)安全其采取有效的安全措施保障重要數(shù)據(jù)、核心數(shù)據(jù)安全。安全態(tài)勢(shì)1)重要數(shù)據(jù)、核心數(shù)據(jù)處理者是否曾發(fā)生過(guò)數(shù)據(jù)安全事件：2)重要數(shù)據(jù)、核心數(shù)據(jù)處理者是否受到數(shù)據(jù)安全監(jiān)管處罰；3)重要數(shù)據(jù)、核心數(shù)據(jù)處理者是否收到數(shù)據(jù)安安全影響分析1)影響國(guó)土安全，是否國(guó)國(guó)防建設(shè)、軍事部署、關(guān)鍵設(shè)施等情況，進(jìn)而2)影響經(jīng)濟(jì)安全，是否據(jù)外泄，致使我國(guó)經(jīng)濟(jì)利益遭受巨大損失，引發(fā)經(jīng)濟(jì)風(fēng)險(xiǎn)；3)影響網(wǎng)絡(luò)安全，是否網(wǎng)等公共服務(wù)中斷運(yùn)行或主要功能故障、重要數(shù)據(jù)和核心數(shù)據(jù)泄露，對(duì)我國(guó)網(wǎng)絡(luò)穩(wěn)定運(yùn)行造成巨大危害和損失；4)影響社會(huì)安全，是否會(huì)導(dǎo)致人民群眾公共利益遭受危害、引發(fā)公共安日常生活秩序，對(duì)我國(guó)社會(huì)穩(wěn)定產(chǎn)生重大影響；5)影響科技安全，是否域的國(guó)際領(lǐng)先地位。6)評(píng)估團(tuán)隊(duì)在進(jìn)行安全影響分析時(shí)候，可按照以下兩方面開展：7)在完成重要數(shù)據(jù)、核心數(shù)據(jù)種類、數(shù)量、級(jí)別等基本信息梳理的基礎(chǔ)上，對(duì)照上述可能影響國(guó)家安全的5個(gè)維度，初步分析重要數(shù)據(jù)、核心數(shù)或者非法獲取、非法利用后可能的影響范圍和內(nèi)容人員人員管理漏洞圖A.1.2-1-1-1【填表說(shuō)明：評(píng)估結(jié)果記錄的佐證材料應(yīng)進(jìn)行脫敏處理?！繄DA.1.2-1-1-2內(nèi)容人員能力漏洞圖A.1.2-1-2-1圖A.1.2-1-2-2安全漏洞圖A.1.2-2-1-1圖A.1.2-2-1-2漏洞圖A.1.2-2-2-1圖A.1.2-2-2-2安全保護(hù)圖A.1.2-2-3-1圖A.1.2-2-3-2操作圖A.1.2-3-1-1圖A.1.2-3-1-2圖A.1.2-4-1-1圖A.1.2-4-1-2A.2100萬(wàn)以上的個(gè)人信息……數(shù)據(jù)處理活動(dòng)分析A.2.2.1風(fēng)險(xiǎn)源上的個(gè)人信息第55頁(yè)/共XX頁(yè)A.3.1.2基礎(chǔ)性安全評(píng)估A.3.2安全風(fēng)險(xiǎn)分析A.4省級(jí)及以上xX系統(tǒng)建設(shè)運(yùn)維情況的數(shù)據(jù)……數(shù)據(jù)處理活動(dòng)A.4.1合規(guī)性評(píng)估詳細(xì)結(jié)果A.4.1.2基礎(chǔ)性安全評(píng)估A.4.2安全風(fēng)險(xiǎn)分析A.5……系統(tǒng)……數(shù)據(jù)……數(shù)據(jù)處理活動(dòng)A.5.1合規(guī)性評(píng)估詳細(xì)結(jié)果A.5.1.2基礎(chǔ)性安全評(píng)估A.6……系統(tǒng)……數(shù)據(jù)……數(shù)據(jù)處理活動(dòng)B.1音頻視頻互聯(lián)網(wǎng)內(nèi)容數(shù)據(jù)音屏視頻數(shù)據(jù)管理數(shù)據(jù)處理活動(dòng)表B-1正當(dāng)必要性評(píng)估結(jié)果記錄表類別正當(dāng)合/不適用類別a)合法開展業(yè)務(wù)所必需的；b)配合政府機(jī)構(gòu)工作所必需的；c)開展合法科學(xué)研究所必需的；d)開展合法新聞報(bào)道所必需的；e)履行合同義務(wù)所必需的；康、財(cái)產(chǎn)安全等所必需的；類別正當(dāng)圖B.1.1.1-1-1-1【填表說(shuō)明：評(píng)估結(jié)果記錄的佐證材料應(yīng)進(jìn)行脫敏處理。】圖B.1.1.1-1-1-2B.1.1.2基礎(chǔ)性安全評(píng)估類別法或數(shù)據(jù)處理者數(shù)據(jù)安全管理制責(zé)任部門和相關(guān)執(zhí)行部門；是否行部門的責(zé)任范圍；合/不適用2一般數(shù)據(jù)處理者基安全組織保障查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全崗位人員名單，是否根據(jù)需要配備一定數(shù)量的數(shù)據(jù)安全管理人員，崗位人員名單是否包括部門名稱、姓名、聯(lián)系方式和工作職責(zé)等；符合/部分符合/不符合/不適用3查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全管理制度文檔，是否明確數(shù)據(jù)安全基礎(chǔ)性管理和數(shù)據(jù)全生命周期各環(huán)節(jié)安全保護(hù)要求和操作規(guī)程；能覆蓋數(shù)據(jù)分類分級(jí)、權(quán)限管理、日志留存、風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、安全評(píng)估、教育培訓(xùn)等方符合/部分符合/不符合/不適用類別面，并針對(duì)不同級(jí)別數(shù)據(jù)，明確數(shù)據(jù)生命周期各環(huán)節(jié)具體分級(jí)數(shù)據(jù)安全管理制度執(zhí)行落實(shí)情況監(jiān)督檢查和考核問(wèn)責(zé)制度，對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行安全監(jiān)督管理，并協(xié)助電信主管部門開展工作。4查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)分類分級(jí)管理制度，是否明確數(shù)據(jù)分類分級(jí)管理范圍、數(shù)據(jù)分類分級(jí)原則、標(biāo)準(zhǔn)及變更流程等內(nèi)容；是否綜合考慮業(yè)務(wù)需求、數(shù)據(jù)來(lái)源和用別；是否在數(shù)據(jù)分類的基礎(chǔ)上，按照電信主管部門要求以及相關(guān)標(biāo)準(zhǔn)規(guī)范制定數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)，明確各級(jí)數(shù)據(jù)界限，包括具體類別、子類、范圍、對(duì)應(yīng)的數(shù)據(jù)等，是否針對(duì)不同級(jí)別的數(shù)據(jù)制定差異化的保護(hù)策略；5查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)資產(chǎn)梳理相關(guān)制度文件，是否明確數(shù)據(jù)資產(chǎn)的安全管理目標(biāo)和原則，是否數(shù)據(jù)與非電子化數(shù)據(jù)要求，是否明確數(shù)據(jù)存儲(chǔ)情況梳理原則和梳理周期；6數(shù)據(jù)分類分級(jí)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)資產(chǎn)梳理記錄、數(shù)據(jù)資產(chǎn)清單等有關(guān)文件是否完備：1)是否使用人工核對(duì)、自動(dòng)化識(shí)別等方式，定期梳理本單位電子化數(shù)據(jù)與非電子化數(shù)據(jù)，并留存梳理記錄；2)是否覆蓋數(shù)據(jù)處理者全范圍，涵蓋電子化數(shù)據(jù)與非電子化數(shù)據(jù)，全面掌握數(shù)據(jù)處理者數(shù)據(jù)資產(chǎn)分布、遷移、資產(chǎn)異常等情況；3)是否按照電子化數(shù)據(jù)與非電子化數(shù)類別并根據(jù)規(guī)范要求對(duì)已形成的數(shù)資產(chǎn)變更記錄；4)是否針對(duì)數(shù)據(jù)實(shí)施動(dòng)態(tài)管理，及時(shí)調(diào)整數(shù)據(jù)分級(jí)結(jié)果。7權(quán)限管理查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)訪問(wèn)權(quán)限管理制度，是否明確各部門和相關(guān)人員權(quán)限管理要求，是否建立號(hào)回收等情況；8通過(guò)數(shù)據(jù)處理者演示賬號(hào)生命周期管理流程，驗(yàn)證針對(duì)開發(fā)、測(cè)和注銷系統(tǒng)賬號(hào)時(shí)，是否嚴(yán)格遵循系統(tǒng)賬號(hào)創(chuàng)建和注銷申請(qǐng)審批流程，并記錄審批過(guò)程和結(jié)果；查驗(yàn)數(shù)據(jù)處理者涉及授權(quán)特定人員超權(quán)限處理數(shù)據(jù)的，是否采取多人審批授權(quán)或操作監(jiān)督，是否留存審批并記錄；9查驗(yàn)數(shù)據(jù)處理者是否建立并定期更新數(shù)據(jù)處理相關(guān)系統(tǒng)權(quán)限分配表，是否對(duì)能夠處理相關(guān)數(shù)據(jù)的業(yè)務(wù)系統(tǒng)賬號(hào)進(jìn)行定期梳理；按照業(yè)務(wù)需求、安全策略、權(quán)責(zé)明確原則和最小授權(quán)原則等，合理界定本數(shù)據(jù)處理者的數(shù)據(jù)訪問(wèn)據(jù)安全管理、日志審計(jì)等崗位角色進(jìn)行分離設(shè)置，是否嚴(yán)格控制超級(jí)管理員角色賬號(hào)數(shù)量；查驗(yàn)一般數(shù)據(jù)處理活動(dòng)有關(guān)平臺(tái)系統(tǒng)，對(duì)涉及數(shù)據(jù)高風(fēng)險(xiǎn)操作的(如批量復(fù)制、批量傳輸、批量銷毀等操作),是否采取多人審批授權(quán)或操作監(jiān)督；第60頁(yè)/共XX頁(yè)類別通過(guò)技術(shù)驗(yàn)證一般數(shù)據(jù)處理活動(dòng)有關(guān)平臺(tái)系統(tǒng)是否利用技術(shù)手段執(zhí)行權(quán)限配置要求，避免非授技術(shù)驗(yàn)證業(yè)務(wù)系統(tǒng)是否配置口令復(fù)雜度策略，如：口令長(zhǎng)度不少于8位，使用大寫字母、小寫字母、數(shù)字及特殊字符中至少三種的組合，且與用戶名、字符順序無(wú)相關(guān)性；2)通過(guò)技術(shù)驗(yàn)證對(duì)系統(tǒng)賬號(hào)口令輸入嘗試次數(shù)進(jìn)行限制；3)通過(guò)技術(shù)驗(yàn)證業(yè)務(wù)系統(tǒng)是否對(duì)口令遺忘的申請(qǐng)和重置流程實(shí)施嚴(yán)格管理。查驗(yàn)數(shù)據(jù)處理者日志管理相關(guān)制包括日志記錄范圍、留存時(shí)間、日志備份要求、日志審計(jì)職責(zé)劃分、人員配備與審計(jì)頻度等內(nèi)容；查驗(yàn)數(shù)據(jù)處理者是否對(duì)數(shù)據(jù)處理日志及系統(tǒng)運(yùn)行日志進(jìn)行記錄；日志記錄信息是否包括執(zhí)行時(shí)間、操作賬號(hào)、處理方式、授權(quán)情況、操作對(duì)象等，日志記錄保存時(shí)間是否不少于6個(gè)月；日志留存查驗(yàn)數(shù)據(jù)處理者是否定期開展日志審計(jì)，并形成審計(jì)報(bào)告：1)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)審計(jì)制度是否結(jié)合數(shù)據(jù)處理場(chǎng)景明確包含審計(jì)目的、審計(jì)對(duì)象、審計(jì)內(nèi)容、審計(jì)操作規(guī)程、審計(jì)頻度、審計(jì)結(jié)果、審計(jì)問(wèn)題整改跟蹤等內(nèi)容的審計(jì)策略，并根據(jù)實(shí)際情況動(dòng)態(tài)調(diào)整；2)查驗(yàn)審計(jì)報(bào)告是否包含操作時(shí)間、操作主體、操作類型、操作對(duì)象、操作結(jié)果、審計(jì)問(wèn)題、改進(jìn)方案、異常情況處置記錄等內(nèi)容，對(duì)審計(jì)發(fā)現(xiàn)問(wèn)題進(jìn)行整改跟蹤。風(fēng)險(xiǎn)監(jiān)測(cè)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警相關(guān)制度文件，是否明確第61頁(yè)/共XX頁(yè)類別預(yù)警數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作負(fù)責(zé)部門，是否明確風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警目的、方式、內(nèi)容、操作規(guī)程、頻度等內(nèi)容，是否定期開展風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警方案，是否明確風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作職責(zé)分工、實(shí)施流程、處置措施及總結(jié)通報(bào)等內(nèi)容。其中，實(shí)施流程是否對(duì)數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動(dòng)、網(wǎng)絡(luò)與系統(tǒng)設(shè)備、數(shù)據(jù)處理賬號(hào)、內(nèi)外部數(shù)據(jù)流動(dòng)等實(shí)施監(jiān)測(cè)巡查，對(duì)異常流動(dòng)等行為進(jìn)行排查預(yù)警與處置，形成處置記錄；的風(fēng)險(xiǎn)，應(yīng)按照有關(guān)要求向本地區(qū)行業(yè)監(jiān)管部門報(bào)告。應(yīng)急查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全事件應(yīng)急預(yù)案，是否充分考慮數(shù)據(jù)處理務(wù)場(chǎng)景，包括但不限于數(shù)據(jù)泄露(丟失)、數(shù)據(jù)被篡改、數(shù)據(jù)被損毀、數(shù)據(jù)違規(guī)使用等，是否根據(jù)事件等級(jí)明確應(yīng)急響應(yīng)責(zé)任分工、工作流程、處置措施等；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全應(yīng)急演練工作記錄，核實(shí)是否制定數(shù)據(jù)安全事件應(yīng)急演練計(jì)劃；是否針對(duì)數(shù)據(jù)泄露(丟失)、數(shù)據(jù)被篡改、數(shù)據(jù)被損毀、數(shù)據(jù)違規(guī)使用等典型場(chǎng)景，至少每年開展一次全部場(chǎng)景的演練，并做好演練護(hù)措施，形成演練報(bào)告：處置查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全應(yīng)急響應(yīng)處置記錄是否完備：1)是否急預(yù)案及時(shí)開展應(yīng)急處置，采取數(shù)據(jù)恢復(fù)、關(guān)閉違規(guī)人員賬號(hào)、下線相關(guān)系統(tǒng)接口等處置手段或第62頁(yè)/共XX頁(yè)類別補(bǔ)救措施；2)發(fā)生可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當(dāng)及時(shí)告知用戶，并提供減輕危害措施；3)事件處置完成后改、責(zé)任追究，在規(guī)定時(shí)限內(nèi)形成報(bào)告，每年向本地區(qū)行業(yè)監(jiān)管安全查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全相關(guān)制度文件，是否具有明確規(guī)定定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估或自查查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告或自查記錄，是否包括數(shù)據(jù)處理者基本情況、評(píng)估團(tuán)隊(duì)基本情況、數(shù)據(jù)處理活動(dòng)分析、合規(guī)性評(píng)估、安全風(fēng)險(xiǎn)分析、評(píng)估結(jié)論及應(yīng)對(duì)措施等內(nèi)容；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告或自查記錄，是否對(duì)評(píng)估工作中發(fā)現(xiàn)的問(wèn)題進(jìn)行分析并明確對(duì)應(yīng)問(wèn)題所關(guān)聯(lián)的風(fēng)險(xiǎn)，是否具有明確的風(fēng)險(xiǎn)或問(wèn)題處理處置計(jì)劃及對(duì)應(yīng)的改進(jìn)措施；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全風(fēng)險(xiǎn)或問(wèn)題跟蹤記錄，是否對(duì)評(píng)估或自查中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)或問(wèn)題進(jìn)行實(shí)際整改或改進(jìn)，是否對(duì)整改措施的有效性進(jìn)行復(fù)核。查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全崗位人員教育和培訓(xùn)計(jì)劃，教育和培訓(xùn)是否涵蓋數(shù)據(jù)安全法律、行政法規(guī)、標(biāo)準(zhǔn)規(guī)范、本數(shù)據(jù)處理者數(shù)據(jù)安全管理制度和工作要求、數(shù)據(jù)安全領(lǐng)域知識(shí)技能、數(shù)據(jù)安全保護(hù)意識(shí)等內(nèi)容；教育培訓(xùn)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)安全崗位人員教育培訓(xùn)工作記錄(如培訓(xùn)計(jì)劃、通知、議程、課件、簽到表、考核記錄等),培訓(xùn)對(duì)象是否覆蓋數(shù)據(jù)處理者數(shù)據(jù)安全崗位人員，年度培訓(xùn)時(shí)長(zhǎng)是否不少于10類別定記錄。類別一般數(shù)據(jù)處理者基安全安全管理制度圖B.1.1.2-1-1-1【填表說(shuō)明：評(píng)估結(jié)果記錄的佐證材料應(yīng)進(jìn)行脫敏處理。】圖B.1.1.2-1-1-2組織組織機(jī)構(gòu)圖B.1.1.2-1-2-1圖B.1.1.2-1-2-2重要數(shù)據(jù)和核心數(shù)理者基礎(chǔ)性安估組織機(jī)構(gòu)圖B.1.1.2-2-1-1圖B.1.1.2-2-1-2類別子類1命周數(shù)據(jù)收集數(shù)據(jù)處理者產(chǎn)品或服務(wù)業(yè)務(wù)功能需要開展數(shù)據(jù)收集活動(dòng)，是否明集流程和收集方式、存儲(chǔ)期限，不得竊取或者以其他方式非法收合/不適用類別2查驗(yàn)數(shù)據(jù)處理者具體業(yè)務(wù)用戶協(xié)議或隱私政策文件中涉及收集的的目的、用途和范圍是否按照公開透明原則，將收集規(guī)則以通俗易懂、簡(jiǎn)單明了的文字向用戶3數(shù)據(jù)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)存儲(chǔ)環(huán)節(jié)相關(guān)制度文件，數(shù)據(jù)處理者是否結(jié)合數(shù)據(jù)分類分級(jí)策略和管理要求明確數(shù)據(jù)存儲(chǔ)安全策略和操作規(guī)程，包括各類數(shù)據(jù)存儲(chǔ)平臺(tái)系統(tǒng)差異化的安全存儲(chǔ)保護(hù)手段(如加密、訪問(wèn)控制等)、數(shù)據(jù)存儲(chǔ)介質(zhì)安全策略和管理規(guī)定等；4查驗(yàn)數(shù)據(jù)處理者是否與數(shù)據(jù)存儲(chǔ)密協(xié)議或數(shù)據(jù)安全責(zé)任承諾書，是否在保密協(xié)議中明確數(shù)據(jù)使用范圍、操作權(quán)限、違約責(zé)任等，有效約束相關(guān)人員行為，如對(duì)數(shù)據(jù)處理者各類數(shù)據(jù)進(jìn)行違規(guī)操作或非授權(quán)操作；5查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)存儲(chǔ)環(huán)節(jié)相關(guān)制度文件，數(shù)據(jù)處理者是否制定各類數(shù)據(jù)存儲(chǔ)系統(tǒng)的安全配限管理、訪問(wèn)控制、日志留存等方面的安全要求；6演示數(shù)據(jù)處理者數(shù)據(jù)存儲(chǔ)相關(guān)系統(tǒng)，是否落實(shí)差異化的安全存儲(chǔ)要求，是否配備對(duì)用戶或業(yè)務(wù)7數(shù)據(jù)使用加工查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)使用加工管理制度，是否符合網(wǎng)絡(luò)安全法等國(guó)家相關(guān)法律法規(guī)對(duì)數(shù)據(jù)使用和操作規(guī)程，是否制定不同目的下數(shù)據(jù)使用審批流程、數(shù)據(jù)使用第65頁(yè)/共XX頁(yè)類別結(jié)果發(fā)布和安全保護(hù)規(guī)則，以及相關(guān)流程中人員崗位職責(zé)等；8是否明確數(shù)據(jù)使用加工的導(dǎo)出需求、具體場(chǎng)景、導(dǎo)出范圍和相應(yīng)的權(quán)限規(guī)則，是否明確要求導(dǎo)出的數(shù)據(jù)類型及數(shù)量為當(dāng)前處理活動(dòng)場(chǎng)景所必需的最小數(shù)據(jù)集。9數(shù)據(jù)查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)傳輸相關(guān)制務(wù)需求、業(yè)務(wù)系統(tǒng)可用性、建設(shè)成本等要求，明確網(wǎng)絡(luò)安全域劃分策略，針對(duì)不同網(wǎng)絡(luò)安全域的防護(hù)級(jí)別明確相應(yīng)的數(shù)據(jù)安全防護(hù)策略；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)傳輸技術(shù)架構(gòu)是否充分考慮了各數(shù)據(jù)存儲(chǔ)平臺(tái)系統(tǒng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、部署、維護(hù)管理和運(yùn)營(yíng)中的安全風(fēng)險(xiǎn)；結(jié)合數(shù)據(jù)分類分級(jí)策略和管理要求明確數(shù)據(jù)傳輸安全策略和操作規(guī)程，是否制定不同網(wǎng)絡(luò)區(qū)域間數(shù)據(jù)傳輸安全保護(hù)規(guī)則，如身份鑒別、訪問(wèn)控制、加密等；查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)傳輸?shù)陌踩雷o(hù)技術(shù)措施的落實(shí)情況，是否防護(hù)技術(shù)措施，并查驗(yàn)技術(shù)措施的有效性。規(guī)程，明確數(shù)據(jù)提供范圍、類別、條件和程序；數(shù)據(jù)查驗(yàn)數(shù)據(jù)處理者是否建立數(shù)據(jù)提供清單，包含接收方數(shù)據(jù)處理者名稱、聯(lián)系人信息，以及提供形式、期限、涉及的業(yè)務(wù)或系統(tǒng)、數(shù)據(jù)安全保護(hù)措施等內(nèi)容，并定期對(duì)清單進(jìn)行更新；類別查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)提供服務(wù)合同或協(xié)議，是否包含數(shù)據(jù)安全保護(hù)條款，按照最小必要的原則，結(jié)合數(shù)據(jù)提供情況，規(guī)定數(shù)據(jù)接收方可接觸到的數(shù)據(jù)范圍、使用的數(shù)據(jù)安全保護(hù)責(zé)任。數(shù)據(jù)出境查驗(yàn)數(shù)據(jù)處理者是否存在相關(guān)法律法規(guī)中規(guī)定的需要申報(bào)數(shù)據(jù)出一步查驗(yàn)數(shù)據(jù)處理者是否按要求開展數(shù)據(jù)出境風(fēng)險(xiǎn)評(píng)估，評(píng)估結(jié)果是否在有效期內(nèi)，評(píng)估內(nèi)容包括實(shí)際數(shù)據(jù)出境的規(guī)模、范圍、種類、敏感程度等要素及數(shù)據(jù)出境活動(dòng)可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)等風(fēng)險(xiǎn)；是否向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估，數(shù)據(jù)出境活動(dòng)是否得到工業(yè)和信息化部的批準(zhǔn)；查驗(yàn)數(shù)據(jù)處理者與境外接收方訂立的合同或者其他具有法律效力的文件，是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)、境外接收方力等是否能保障出境數(shù)據(jù)的安全；是否建立通暢的個(gè)人信息權(quán)益維護(hù)渠道：是否采取加密等技術(shù)措度文件，是否明確數(shù)據(jù)公開范圍、數(shù)據(jù)公開場(chǎng)景，對(duì)應(yīng)不同的數(shù)據(jù)公開場(chǎng)景建立相應(yīng)的數(shù)據(jù)公開安全策略和操作規(guī)程；數(shù)據(jù)公開查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)公開相關(guān)業(yè)務(wù)系統(tǒng)的審批記錄，是否具有數(shù)重點(diǎn)內(nèi)容、審批記錄留存要求，公開數(shù)據(jù)的具體內(nèi)容是否僅滿足第67頁(yè)/共XX頁(yè)類別業(yè)務(wù)場(chǎng)景需求且未超出授權(quán)范查驗(yàn)數(shù)據(jù)處理者數(shù)據(jù)公開記錄，是否在數(shù)據(jù)公開前對(duì)數(shù)據(jù)公開場(chǎng)景、公開范圍、內(nèi)容等進(jìn)行風(fēng)