网络数据安全监督检查流程图、检查点权重表、检查记录单.pdf

DB XX/T XXXXXXXX11AA附录A（规范性）监督检查流程图图A.1规定了监督检查的流程图 A.1 监督检查流程图DB XX/T XXXXXXXX12BB附录B（规范性）网络数据安全监督检查点权重表表B.1 规定了网络数据安全监督检查点权重表 B.1 网络数据安全监督检查点权重序号过程域检查项检查类检查点权重值1数据通用安全要求数据安全合规管理-检查者应对数据处理者的安全能力、个人信息保护能力、数据跨境安全保护能力开展检查工作基本要求a)应定期开展数据安全自查与评估工作；12b)应定期开展网络安全等级保护测评工作， 并按照测评报告要求，开展整改建设工作；13c)应建立密码安全管理制度， 定期开展密码应用安全性评估；0.54d)应制定覆盖数据生存周期、个人信息保护、数据跨境相关的安全规范，明确审批制度、流程、管理范围、安全策略和管控措施；15e)应填报数据安全备案信息， 并及时更新相关数据；16f)应明确数据安全管理机构、 管理岗位及相关职责，定期开展数据安全培训工作；0.57g)应明确数据安全事件应急预案， 定期开展数据安全应急演练活动0.58h)相关信息系统应采用国家密码管理局认证核准的密码技术和产品；19d)应对数据跨境传输进行安全评估， 确保数据跨境传输的合法性和正当性；110e)应具备对数据跨境传输、使用、操作等行为的合规性分析能力。

0.511增强要求a)应建立符合GB/T35273 个人信息保护安全规范第 5 至 11 章节要求的安全策略、规范和管控措施；0.512b)应在收集使用个人信息时遵循合法、正当、必要的原则，采取措施确保个人信息在委托使用、共享、转让、公开披露等环节安全合规，定期开展个人信息安全影响评估；0.213c)应在收集使用儿童个人信息时， 在符合个人信息保护的基础上，按照儿童个人信息网络保护规定第七至二十三条的规定，加强对儿童个人信息的保护；1DB XX/T XXXXXXXX13序号过程域检查项检查类检查点权重值14数据通用安全要求数据供应链安全-检查者应对数据供应链管理机制和数据供应过程中的安全风险进行检查基本要求a)应制定数据供应链安全管理规范， 定义数据供应链安全目标、原则和范围；115b)应明确数据供应链上下游保护的义务和责任、保护范围、使用目的、供应方式、保密约定等0.516增强要求a)应对数据供应链上下游的行为进行合规性审核和分析；0.517b)应建立数据供应链库， 并及时更新数据供应链目录和相关数据源数据字典， 便于供应链上下游合规情况的事后追踪0.218鉴别与访问控制-检查者应基于检查对象的数据安全合规性进行检查，防止对数据的未授权访问基本要求a)应指定专人负责管理核心业务系统的用户身份及数据权限管理；0.519b)应制定核心业务系统和数据库的身份鉴别、 访问控制和权限管理制度及要求。

120c)应对业务系统登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求并定期更换；121增强要求a)应提供业务系统的访问控制功能， 为登录的用户分配账户和权限；122b)应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别， 且其中一种鉴别技术至少应使用密码技术来实现0.223终端数据安全-检查者应基于检查对象终端设备层面的数据保护进行检查，核验内部工作终端采取的技术和管理方案基本要求a)应制定面向终端的数据安全管理的规范和要求；124b)应建立设置数据安全管理岗位和人员， 并指定专人对终端数据安全进行统一管理0.225c)应为在网络环境的终端设备， 安装统一的防病毒软件；126增强要求a)应为进入内部网络环境的终端设备， 分配终端识别号， 并实现计算机终端设备与用户账号的一对一绑定；0.527b)应部署终端数据防泄漏方案， 通过技术手段对终端上传输的数据进行风险监测0.2DB XX/T XXXXXXXX14序号过程域检查项检查类检查点权重值28数据通用安全要求监控与审计-检查者应针对数据生存周期各阶段可能存在的未授权访问、 数据滥用、数据泄漏等安全风险以及检查对象的监控和审计工作进行检查基本要求a)应明确对内部各类数据访问和操作的日志记录要求、安全监控要求和审计要求。

129增强要求a)应采用自动和人工审计相结合的方式对网络传输数据的高风险操作进行监测0.530数据收集安全数据分类分级-检查者应检查基于法律法规及业务需求生成或收集的数据分类分级标识基本要求a)应建立数据资产分类分级制度、规程、操作指南131b)应按照数据资产建立分类分级策略并开展数据分类分级标识和管理工作；132增强要求a)应按照数据分类分级的要求建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施0.533数据收集安全-检查者应对数据收集的合规性、 正当性、一致性进行检查基本要求a)应制定符合业务的数据收集原则、 收集流程和方法；0.534b)应明确收集数据的目的和用途， 确保数据收集和获取的合法性和正当性；135c)涉及个人信息收集的， 应明确个人信息收集的目的、方式和范围，并经被收集者同意收集不满十四周岁未成年人个人信息的， 应当取得未成年人的父母或者其他监护人的同意136增强要求a)应采取技术手段或管控措施， 对收集和获取到的数据进行完整性和一致性校验；137b)应采取技术手段或管控措施， 确保数据在收集和获取过程中个人信息和重要数据不被泄露138数据传输安全检查者应对加密保护措施、传输通道、传输节点和传输数据的安全进行检查，防止传输过程中的数据泄漏基本要求a)应制定数据安全传输管理规范， 明确数据传输安全要求；139b)应具备对传输通道两端进行主体身份鉴别和认证的技术方案和工具。

140增强要求a)应明确业务中需要加密传输的数据范围和加密算法1DB XX/T XXXXXXXX15序号过程域检查项检查类检查点权重值41数据存储安全检查者应对数据存储载体访问和使用场景的技术和管理手段进行检查，防止存储数据的丢失及泄露风险基本要求a)应建立数据存储管理制度，规范存储媒体使用、购买和标记流程；0.542b)应执行定期的数据备份和恢复， 实现对存储数据的冗余管理，保护数据的可用性；143c)应具备数据备份与恢复技术， 建立数据存储冗余策略和存储安全管理制度， 确保数据服务的可靠性与可用性0.544增强要求a)应具备对存储载体性能监控措施， 包括使用历史、性能指标、错误或损坏情况，对超过安全阈值的存储载体进行预警；0.245b)应具备存储媒体访问和使用的安全管理规范，并对存储媒体使用行为进行记录和审计；146c)应具备对个人敏感数据、 重要数据存储加密的能力0.547数据使用安全数据脱敏安全-检查者应对敏感数据的脱敏需求、 规则、处理结果进行检查，根据安全需求及业务需求，检查数据可用性和安全性的平衡基本要求a)应建立数据脱敏制度、流程和方法，指导数据脱敏操作148b)应具备数据脱敏软件或工具， 满足敏感数据传输、共享、发布等环节敏感信息隐藏、模糊化处理要求。

0.549增强要求a)应对脱敏处理过程进行记录， 并满足安全审计的要求0.250数据分析安全-检查组应对数据分析过程采取的安全控制措施进行检查，防止因数据挖掘和分析导致重要数据和个人信息的泄漏基本要求a)应建立数据分析相关数据源获取规范和使用机制， 明确数据获取方式、 访问接口、 授权机制、数据使用等151增强要求a)应建立多源数据聚合、 关联分析等数据分析过程中的数据资源操作规范和实施指南；0.552b)应建立数据分析结果输出的安全审查机制和授权控制机制， 并采取必要的技术手段和管控措施，保证数据分析结果不泄露个人信息、重要数据等敏感信息0.2DB XX/T XXXXXXXX16序号过程域检查项检查类检查点权重值53数据使用安全数据正当使用-检查者应对数据使用过程的责任机制、评估机制进行检查，保护国家秘密、商业秘密和个人隐私，防止数据资源被用于不正当目的基本要求a)应建立数据使用正当性的管理制度， 保证数据使用声明的目的和范围内对受保护的个人信息、重要数据进行使用和分析处理0.554增强要求a)应采用技术手段的记录和管理数据使用操作行为155数据导入导出安全-检查者应对数据导入、导出过程的安全性进行检查，防止数据导入导出过程中可能对数据自身可用性和完整性构成的危害，降低可能存在的数据泄漏风险基本要求a)应建立数据导入导出安全制度或审批流程；156b)如采用存储媒体进行数据导出， 应建立存储媒体的标识规范；0.257c)应对导入导出的终端、 用户或服务组件等执行身份鉴别，验证其身份的真实性和合法性。

0.558增强要求a)应定期验证导出数据的完整性和可用性0.259数据交换安全数据共享安全-检查者应对通过业务系统、产品对外部提供数据的行为，以及通过合作方式交换数据时的安全风险进行检查，降低数据共享场景下的安全风险基本要求a)应制定数据共享内容、范围、安全管理制度；160b)应明确数据提供者与数据共享使用者的数据保护责任；0.561c)应明确数据共享最低安全防护要求或技术保护措施；162d)应采取数据脱敏、 数据加密、 安全通道等措施，保证数据共享的安全合规0.563增强要求a)应对共享数据及数据共享过程进行监控审计，确保数据共享范围没有超出使用授权0.2DB XX/T XXXXXXXX17序号过程域检查项检查类检查点权重值64数据交换安全数据发布安全-检查者应对数据发布过程中发布数据的格式、适用范围、发布者与使用者权利和义务进行检查，实现数据发布过程中数据的安全可控与合规基本要求a)应建立数据资源公开发布的审核制度， 严格审核数据发布业务符合相关的法律法规；165b)应指定专人负责数据发布信息的披露， 并对数据披露人员进行安全培训0.566增强要求a)应采取技术措施，确保发布数据使用的合规性；0.567b)应建立公开数据登记、 用户注册等发布数据和发布组件的验证机制。

0.268数据接口安全-检查者应对数据接口安全进行检查基本要求a)应建立数据接口安全制度与技术规范；169b)应制定数据接口安全控制策略， 明确规定使用服务接口的安全限制和安全控制措施 （如身份鉴别、授权策略、访问控制机制、签名、安全协议等）0.570增强要求a)应制定服务接口安全规范，包括接口名称、接口参数、接口安全要求等，具备对接口不安全输入参数进行限制或过滤等能力；171b)应具备服务接口访问的审计能力172数据销毁安全检查者应对数据的删除、净化机制进行检查，实现数据的有效销毁，防止因存储媒体数据恢复而导致的数据泄漏风险基本要求a)应建立数据销毁策略和管理制度， 明确销毁对象和流程；173b)应建立数据销毁审批机制， 设置销毁相关监督角色，监督操作过程；174c)应按照分类分级建立相应的数据销毁机制， 明确销毁方式和销毁要求；0.575d)应采用技术工具擦除销毁核心业务存储媒体的数据内容176增强要求a)应针对闪存、硬盘、磁带、光盘等存储媒体建立数据销毁方法和技术0.5DB XX/T XXXXXXXX18CC附录C（规范性）网络数据安全监督检查记录单网络数据安全监督检查记录单见表C.1。

表 C.1 网络数据安全监督检查记录单检查日期：单位名称：系统名称：1.检查结论年月日，检查组对单位开展监督检查工作本次监督检查涉及个过程域，共计个检查点，经统计，其中符合项有项，基本符合项有，不符合项有项，不适用项有项2.检查清单序号过程域检查项检查类检查点检查描述检查结果1数据通用安全要求数据安全合规管理基本要求a)应定期开展数据安全自查与评估工作；2b)应定期开展网络安全等级保护测评工作，并按照测评报告要求，开展整改建设工作；3c)应建立密码安全管理制度， 定期开展密码应用安全性评估；4d)应制定覆盖数据生存周期、 个人信息保护、数据跨境相关的安全规范，明确审批制度、流程、管理范围、安全策略和管控措施；5e)应填报数据安全备案信息， 并及时更新相关数据；6f)应明确数据安全管理机构、 管理岗位及相关职责， 定。