目??次前言 II引言 III范圍 1規(guī)范性引用文件 1術(shù)語和定義 1概述 2評估原則 3評估實(shí)施方法 3評估實(shí)施過程 3數(shù)據(jù)安全治理能力總體要求 4評估等級(jí) 4第一級(jí)：基礎(chǔ)級(jí) 4第二級(jí)：優(yōu)秀級(jí) 4第三級(jí)：先進(jìn)級(jí) 5數(shù)據(jù)安全戰(zhàn)略 5數(shù)據(jù)安全規(guī)劃 5機(jī)構(gòu)人員管理 7數(shù)據(jù)全生命周期安全 10數(shù)據(jù)采集安全 10數(shù)據(jù)傳輸安全 12存儲(chǔ)安全 15數(shù)據(jù)備份與恢復(fù) 17使用安全 19數(shù)據(jù)處理環(huán)境安全 21數(shù)據(jù)內(nèi)部共享安全 23數(shù)據(jù)外部共享安全 25數(shù)據(jù)銷毀安全 28基礎(chǔ)安全 30數(shù)據(jù)分類分級(jí) 30合規(guī)管理 32合作方管理 34監(jiān)控審計(jì) 37鑒別與訪問 39風(fēng)險(xiǎn)和需求分析 41安全事件應(yīng)急 43參考文獻(xiàn) 46I引 言III數(shù)據(jù)安全治理能力評估方法范圍本文件適用于電信網(wǎng)和互聯(lián)網(wǎng)等企業(yè)開展數(shù)據(jù)治理工作，為其數(shù)據(jù)安全治理能力評估提供參考和指引。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，（包括所有的修改單適用于本文件。GB/T25069—2010信息安全技術(shù) 術(shù)語GB/T29765—2013信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價(jià)方法 術(shù)語和定GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系 概述和詞匯GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型 術(shù)語和定GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范 術(shù)語和定義術(shù)語和定義GB/T25069—2010、GB/T29765—2013、GB/T29246—2017、GB/T37988—2019和GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)安全datasecurity通過管理和技術(shù)措施，確保數(shù)據(jù)有效保護(hù)和合規(guī)使用的狀態(tài)。[來源：GB/T37988—2019，3.1]3.2保密性confidentiality使信息不泄漏給未授權(quán)的個(gè)人、實(shí)體、進(jìn)程，或不被其利用的特性。[來源：GB/T25069—2010，2.1.1]3.3完整性integrity準(zhǔn)確和完備的特性。[來源：GB/T29246—2017，2.40]3.41備份數(shù)據(jù)backupdata（通?？梢苿?dòng)的[來源：GB/T29765-2013，3.1]3.5備份backup創(chuàng)建備份數(shù)據(jù)的過程。[來源：GB/T29765-2013，3.2]3.6技術(shù)工具technicaltool通過技術(shù)手段或平臺(tái)工具等方式支撐組織數(shù)據(jù)安全治理能力的建設(shè)。3.7內(nèi)部共享internalsharing在單個(gè)組織內(nèi)部環(huán)境下的數(shù)據(jù)交換過程。3.8外部共享externalsharing在任意兩個(gè)或多個(gè)組織之間的數(shù)據(jù)交換過程。3.9數(shù)據(jù)血緣dataconsanguinity記錄了對原始數(shù)據(jù)的處理步驟，標(biāo)明了數(shù)據(jù)產(chǎn)生的鏈路關(guān)系。3.10個(gè)人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。注1賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。注2：個(gè)人信息控制者通過個(gè)人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標(biāo)簽，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的，屬于個(gè)人信息。[來源：GB/T35273-2020，3.1，有修改]3.11個(gè)人敏感信息personalsensitiveinformation一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。[來源：GB/T35273-2020，3.2]概述2評估原則標(biāo)準(zhǔn)性原則：評估工作應(yīng)依據(jù)本文件展開?？陀^公正原則：評估發(fā)現(xiàn)、評估結(jié)論和評估報(bào)告應(yīng)真實(shí)和準(zhǔn)確地反映評估活動(dòng)，不帶評估人員個(gè)人偏見，以確保評估發(fā)現(xiàn)和評估結(jié)論僅建立在評估證據(jù)的基礎(chǔ)上。保密原則：評估人員應(yīng)審慎使用和保護(hù)在評估過程獲得的信息，以保障被評估方數(shù)據(jù)安全?？梢栽谠u估前與被評估單位就數(shù)據(jù)安全保密責(zé)任義務(wù)進(jìn)行認(rèn)定與劃分，包括不限于保密協(xié)議簽署等。評估實(shí)施方法主要通過文檔查驗(yàn)、人員訪談、系統(tǒng)演示等方式對評估對象的實(shí)際建設(shè)情況進(jìn)行評估。系統(tǒng)演示是指由評估對象相關(guān)人員進(jìn)行展示，評估人員查看承載數(shù)據(jù)的應(yīng)用、系統(tǒng)等，以評估數(shù)據(jù)安全保障措施是否有效。評估對象需要安排相關(guān)人員進(jìn)行現(xiàn)場演示，評估人員根據(jù)系統(tǒng)演示情況進(jìn)行查驗(yàn)。評估實(shí)施過程評估實(shí)施過程主要包括評估準(zhǔn)備、評估執(zhí)行和評估審核三個(gè)階段，與評估對象的溝通和洽談貫穿整個(gè)過程，評估實(shí)施過程見圖1圖1評估實(shí)施過程3評估審核階段由評審專家通過評審會(huì)的形式對評估報(bào)告的編制進(jìn)行審核，以最終確定評估等級(jí)，并進(jìn)行評估的等級(jí)證書發(fā)放。數(shù)據(jù)安全治理能力總體要求數(shù)據(jù)安全治理能力包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全三部分，見圖2所示。數(shù)據(jù)安全戰(zhàn)略能力包括：數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理。數(shù)據(jù)全生命周期安全能力包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)使用安全、數(shù)據(jù)共享安全、數(shù)據(jù)銷毀安全?；A(chǔ)安全能力包括：數(shù)據(jù)分類分級(jí)、合規(guī)管理、合作方管理、監(jiān)控審計(jì)、鑒別與訪問、風(fēng)險(xiǎn)和需求分析、安全事件應(yīng)急。數(shù)據(jù)安全戰(zhàn)略數(shù)據(jù)生命周期安全基礎(chǔ)安全能力項(xiàng)數(shù)據(jù)安全規(guī)劃機(jī)構(gòu)人員管理數(shù)據(jù)采集安全數(shù)據(jù)傳輸安全存儲(chǔ)安全數(shù)據(jù)備份與恢復(fù)使用安全數(shù)據(jù)處理環(huán)境安全數(shù)據(jù)內(nèi)部共享安全數(shù)據(jù)外部共享安全數(shù)據(jù)銷毀安全數(shù)據(jù)分類分級(jí)合規(guī)管理合作方管理監(jiān)控審計(jì)鑒別與訪問風(fēng)險(xiǎn)和需求分析安全事件應(yīng)急圖2數(shù)據(jù)安全治理能力評估框架評估等級(jí)第一級(jí)：基礎(chǔ)級(jí)數(shù)據(jù)安全治理能力主要是體現(xiàn)在離散的項(xiàng)目中，建立了基本的管理流程和初步的體系，具體特征如下：一般由各業(yè)務(wù)團(tuán)隊(duì)人員負(fù)責(zé)數(shù)據(jù)安全相關(guān)工作；開始關(guān)注組織內(nèi)人員的數(shù)據(jù)安全意識(shí)，進(jìn)行定期培訓(xùn)。第二級(jí)：優(yōu)秀級(jí)4數(shù)據(jù)安全治理能力體現(xiàn)在組織層面，具備完善的標(biāo)準(zhǔn)化管理機(jī)制，能夠促進(jìn)數(shù)據(jù)安全的規(guī)范化落地，具體特征如下：第三級(jí)：先進(jìn)級(jí)數(shù)據(jù)安全治理能力體現(xiàn)在擁有完善的數(shù)據(jù)安全治理能力量化評估體系和持續(xù)優(yōu)化策略，具體特征如下：建立了統(tǒng)一的技術(shù)工具，能夠?yàn)榻M織的數(shù)據(jù)安全治理提供支撐；當(dāng)監(jiān)管要求、組織架構(gòu)、業(yè)務(wù)需求等發(fā)生變化時(shí)，能夠及時(shí)調(diào)整相應(yīng)的數(shù)據(jù)安全策略及規(guī)范。數(shù)據(jù)安全戰(zhàn)略數(shù)據(jù)安全規(guī)劃概述等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)核心業(yè)務(wù)的數(shù)據(jù)安全規(guī)劃，推進(jìn)規(guī)劃的開展實(shí)施。制度流程：應(yīng)對核心業(yè)務(wù)進(jìn)行數(shù)據(jù)安全規(guī)劃，明確基本的合規(guī)要求。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。組織建設(shè)：應(yīng)設(shè)置組織層面的數(shù)據(jù)安全管理部門、崗位和人員，負(fù)責(zé)協(xié)調(diào)安全管理、技術(shù)工具、推進(jìn)規(guī)劃開展執(zhí)行。制度流程：應(yīng)明確數(shù)據(jù)安全規(guī)劃活動(dòng)的執(zhí)行頻率、審核機(jī)制及發(fā)布流程等；應(yīng)制定數(shù)據(jù)保護(hù)計(jì)劃，明確需要執(zhí)行的活動(dòng)、所需資源、支持崗位、時(shí)間安排和實(shí)施步驟。技術(shù)工具：應(yīng)建立數(shù)據(jù)安全規(guī)劃分發(fā)及管理平臺(tái)在組織內(nèi)部對數(shù)據(jù)安全規(guī)劃進(jìn)行推廣。5人員能力：應(yīng)了解組織的業(yè)務(wù)發(fā)展目標(biāo)，能夠?qū)?shù)據(jù)安全工作的目標(biāo)和業(yè)務(wù)發(fā)展的目標(biāo)進(jìn)行有機(jī)結(jié)合；應(yīng)具備資源統(tǒng)籌協(xié)調(diào)能力，定期開展宣貫工作在組織內(nèi)推進(jìn)計(jì)劃實(shí)施；應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)對數(shù)據(jù)安全制度和規(guī)程進(jìn)行體系化的評估，制定數(shù)據(jù)安全治理能力提升計(jì)劃；評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)安全規(guī)劃的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)安全規(guī)劃相關(guān)制度文件：查驗(yàn)該文件是否明確了相關(guān)數(shù)據(jù)全生命周期的數(shù)據(jù)安全策略；查驗(yàn)該文件是否定義了合規(guī)要求。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)安全安全規(guī)劃的部門、崗位和人員，并規(guī)定了職責(zé)范圍。查驗(yàn)是否在組織層面制定了數(shù)據(jù)安全規(guī)劃相關(guān)制度文件：查驗(yàn)該文件的制定是否考慮了國家法律法規(guī)和監(jiān)管要求，以及組織的數(shù)據(jù)安全需求；查驗(yàn)該文件是否明確了數(shù)據(jù)保護(hù)機(jī)制；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)安全規(guī)劃制度的編制、評審、發(fā)布、更新流程。查驗(yàn)是否在組織層面制定了數(shù)據(jù)安全管理相關(guān)制度文件：查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)安全制度的分發(fā)機(jī)制；查驗(yàn)該文件是否明確了數(shù)據(jù)安全制度的編制、評審、發(fā)布、更新流程；由數(shù)據(jù)安全規(guī)劃組織對數(shù)據(jù)安全策略進(jìn)行統(tǒng)一規(guī)劃、發(fā)布、更新。查驗(yàn)組織技術(shù)工具：是否開展數(shù)據(jù)安全規(guī)劃研討會(huì)；6是否具備數(shù)據(jù)安全規(guī)劃推廣平臺(tái)，且能正常運(yùn)行。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)安全管理制度、規(guī)劃效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)安全規(guī)劃的優(yōu)化工作機(jī)制：是否支持根據(jù)政策變化、架構(gòu)調(diào)整、業(yè)務(wù)發(fā)展等需求優(yōu)化規(guī)劃制度；是否支持根據(jù)評估結(jié)果優(yōu)化管理制度。機(jī)構(gòu)人員管理概述建立負(fù)責(zé)組織內(nèi)部數(shù)據(jù)安全工作的部門、崗位和人員，并與人力資源管理部門進(jìn)行聯(lián)動(dòng)，防范機(jī)構(gòu)人員管理過程中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。制度流程：應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全違規(guī)的紀(jì)律處理制度；應(yīng)對核心業(yè)務(wù)崗位候選者從法律法規(guī)、行業(yè)道德準(zhǔn)則等層面執(zhí)行背景調(diào)查；應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全崗位的職責(zé)；應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全培訓(xùn)計(jì)劃，并按計(jì)劃對相關(guān)人員開展數(shù)據(jù)安全培訓(xùn)；應(yīng)與所有涉及數(shù)據(jù)服務(wù)的人員簽訂安全責(zé)任協(xié)議和保密協(xié)議。人員能力：應(yīng)能夠充分了解目前數(shù)據(jù)安全在組織整體業(yè)務(wù)目標(biāo)中的定位；應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。a)組織建設(shè)：應(yīng)建立組織的監(jiān)督管理職能部門，負(fù)責(zé)對組織內(nèi)部的數(shù)據(jù)操作行為進(jìn)行監(jiān)督；7應(yīng)制定組織的數(shù)據(jù)安全規(guī)劃、安全建設(shè)、安全運(yùn)營和系統(tǒng)維護(hù)工作的責(zé)任部門；制度流程：應(yīng)明確數(shù)據(jù)安全追責(zé)機(jī)制，定期對責(zé)任部門和安全崗位組織安全檢查，形成檢查報(bào)告；應(yīng)明確數(shù)據(jù)服務(wù)涉敏崗位的權(quán)限分離、多人共管等安全管理要求；技術(shù)工具：應(yīng)及時(shí)終止或變更離崗和轉(zhuǎn)崗員工的數(shù)據(jù)操作權(quán)限，并及時(shí)將人員的變更通知到相關(guān)方；員工入職時(shí)應(yīng)按最小必要原則分配初始權(quán)限；應(yīng)以公開信息且可查詢的形式，面向組織全員公布數(shù)據(jù)安全職能部門的組織架構(gòu)。d)人員能力：負(fù)責(zé)機(jī)構(gòu)人員管理的員工應(yīng)充分理解人力資源管理流程中可對安全風(fēng)險(xiǎn)進(jìn)行把控的環(huán)節(jié)；負(fù)責(zé)設(shè)置數(shù)據(jù)安全職能的人員應(yīng)能夠明確組織的數(shù)據(jù)安全工作目標(biāo)及組織的戰(zhàn)略發(fā)展方向。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。a)組織建設(shè)：應(yīng)根據(jù)職責(zé)分離原則設(shè)置數(shù)據(jù)安全管理的崗位和人員；應(yīng)建立覆蓋各業(yè)務(wù)部門的體系化的數(shù)據(jù)安全管理部門，且配備必要的管理人員和技術(shù)人員；b)制度流程：應(yīng)定期對數(shù)據(jù)安全培訓(xùn)內(nèi)容、計(jì)劃審核更新，對數(shù)據(jù)安全培訓(xùn)效果進(jìn)行量化評估；應(yīng)定期對機(jī)構(gòu)人員的管理效果進(jìn)行量化評估；技術(shù)工具：應(yīng)建立人員數(shù)據(jù)安全意識(shí)或能力的客觀評價(jià)工具，定期更新反饋結(jié)果。b)人員能力：應(yīng)具備較強(qiáng)的數(shù)據(jù)安全保護(hù)意識(shí)，形成組織的數(shù)據(jù)安全保護(hù)品牌；8有關(guān)領(lǐng)導(dǎo)匯報(bào)。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)數(shù)據(jù)安全管理的崗位和人員，及其職責(zé)范圍。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)安全管理辦法。查驗(yàn)是否制定了數(shù)據(jù)安全管理人員的培訓(xùn)計(jì)劃。查驗(yàn)組織是否明確了針對數(shù)據(jù)安全違規(guī)的處理制度。查驗(yàn)組織是否簽訂了數(shù)據(jù)安全泄露相關(guān)的保密協(xié)議。驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)是否在組織層面設(shè)立了數(shù)據(jù)安全管理責(zé)任部門、崗位及領(lǐng)導(dǎo)人員，明確規(guī)定了其職責(zé)范圍。查驗(yàn)組織是否在各部門配備了數(shù)據(jù)安全崗位和人員，具體執(zhí)行落實(shí)部門內(nèi)數(shù)據(jù)安全工作。查驗(yàn)組織是否建立了數(shù)據(jù)安全責(zé)任體系，包括安全規(guī)劃、建設(shè)、運(yùn)營等在內(nèi)的各責(zé)任部門。查驗(yàn)組織的技術(shù)工具：是否支持人員流動(dòng)與數(shù)據(jù)操作權(quán)限的聯(lián)動(dòng)管理；是否實(shí)現(xiàn)了安全規(guī)劃的公開查詢。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否支持職責(zé)分離的數(shù)據(jù)安全管理崗位和人員設(shè)置。查驗(yàn)組織是否明確了人員管理效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)安全培訓(xùn)效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織是否明確了人員管理的優(yōu)化工作機(jī)制：是否支持人員能力的定期考核；是否支持根據(jù)評估結(jié)果優(yōu)化培訓(xùn)、考核等管理制度；查驗(yàn)組織的技術(shù)工具：是否具備對人員數(shù)據(jù)安全意識(shí)或能力進(jìn)行客觀評價(jià)的工具。查驗(yàn)組織的人員能力：是否具備完善的人才培養(yǎng)體系。9數(shù)據(jù)全生命周期安全數(shù)據(jù)采集安全概述等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)采集安全的管理，配合推動(dòng)相關(guān)要求的執(zhí)行。制度流程：應(yīng)明確核心業(yè)務(wù)的數(shù)據(jù)采集合規(guī)性評估工作機(jī)制；應(yīng)明確個(gè)人信息的采集需要用戶授權(quán)同意。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)規(guī)定當(dāng)用戶注銷賬戶時(shí)，不得設(shè)置過多不合理的注銷條件。技術(shù)工具：應(yīng)建立數(shù)據(jù)采集工具，具備詳細(xì)的日志記錄功能，保障數(shù)據(jù)采集授權(quán)過程的完整記錄；應(yīng)采取相應(yīng)的技術(shù)手段，保證數(shù)據(jù)采集過程中個(gè)人信息不被泄漏。人員能力：10決方案，能就具體業(yè)務(wù)場景開展評估；應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)規(guī)定數(shù)據(jù)采集安全管理效果的量化評估方式；技術(shù)工具：應(yīng)根據(jù)制度流程的更新，不斷升級(jí)優(yōu)化數(shù)據(jù)采集工具；應(yīng)基于合規(guī)評估的數(shù)據(jù)采集策略（如原則、頻度、范圍等），實(shí)現(xiàn)數(shù)據(jù)合規(guī)性監(jiān)控與告警；應(yīng)具備對采集工具進(jìn)行統(tǒng)一管理的平臺(tái)。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)采集安全管理的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)采集安全相關(guān)制度文件：查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)采集的合規(guī)性評估流程；查驗(yàn)該文件是否規(guī)定了個(gè)人敏感信息的采集應(yīng)明確必要性及對個(gè)人的影響查驗(yàn)該文件是否明確了未滿十四周歲未成年人的個(gè)人信息采集規(guī)范，及監(jiān)護(hù)人的授權(quán)同意。查驗(yàn)該業(yè)務(wù)的隱私政策文件及用戶協(xié)議：是否符合國家法律法規(guī)和監(jiān)管要求；查驗(yàn)該文件是否規(guī)定了個(gè)人敏感信息的采集應(yīng)明確必要性及對個(gè)人的影響。查驗(yàn)該文件是否明確了未滿十四周歲未成年人的個(gè)人信息采集規(guī)范，及監(jiān)護(hù)人的授權(quán)同意。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)采集安全管理的部門、崗位、人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)采集安全相關(guān)制度文件：查驗(yàn)該文件是否覆蓋了組織內(nèi)涉及采集活動(dòng)的全部業(yè)務(wù)；查驗(yàn)該文件是否對直接和間接采集進(jìn)行區(qū)分管理；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)采集的合規(guī)性評估流程。11查驗(yàn)組織隱私政策文件及用戶協(xié)議：是否符合國家法律法規(guī)和監(jiān)管要求；是否規(guī)定了涉及個(gè)人信息采集授權(quán)同意及合規(guī)性評估流程；是否規(guī)定了個(gè)人信息采集過程中防泄漏措施；是否規(guī)定了用戶提出終止服務(wù)時(shí)的停止采集要求。查驗(yàn)組織的技術(shù)工具：是否支持?jǐn)?shù)據(jù)采集過程的自動(dòng)化實(shí)現(xiàn)及日志記錄；是否實(shí)現(xiàn)了對采集環(huán)境，如采集設(shè)備、采集接口等的安全管控，防止數(shù)據(jù)泄露；是否采用了有效的防護(hù)手段，保障用戶個(gè)人信息采集的安全性。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)采集安全管理效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)采集安全的優(yōu)化工作機(jī)制：是否支持根據(jù)政策變化、業(yè)務(wù)發(fā)展等需求優(yōu)化管理制度；是否支持根據(jù)評估結(jié)果優(yōu)化管理制度。驗(yàn)證組織的技術(shù)工具：是否定期對采集工具進(jìn)行安全測試、適用性評估、合規(guī)性評估等；是否支持?jǐn)?shù)據(jù)合規(guī)性的監(jiān)控與告警；是否具備統(tǒng)一的數(shù)據(jù)采集工具管理平臺(tái)。數(shù)據(jù)傳輸安全概述根據(jù)組織對內(nèi)和對外的數(shù)據(jù)傳輸需求，建立不同的數(shù)據(jù)加密保護(hù)策略和安全防護(hù)措施，防止傳輸過程中的數(shù)據(jù)泄漏。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)傳輸安全的管理，配合推動(dòng)相關(guān)要求的執(zhí)行。技術(shù)工具：應(yīng)實(shí)現(xiàn)對傳輸通道兩端的主體身份鑒別和認(rèn)證；（如采用12TLS/SSL方式），及對傳輸數(shù)據(jù)內(nèi)容進(jìn)行加密等；傳輸個(gè)人敏感信息時(shí)，應(yīng)實(shí)施加密技術(shù)進(jìn)行保護(hù)。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確境內(nèi)或跨境傳輸個(gè)人信息，尤其是個(gè)人敏感信息時(shí)的安全管理規(guī)范；應(yīng)建立數(shù)據(jù)傳輸接口安全管理工作規(guī)范，包括安全域內(nèi)、安全域間等數(shù)據(jù)傳輸接口規(guī)范；應(yīng)建立對數(shù)據(jù)傳輸安全策略變更進(jìn)行審核和監(jiān)控的制度。技術(shù)工具應(yīng)提供對數(shù)據(jù)傳輸安全策略的變更進(jìn)行審核和監(jiān)控的技術(shù)方案和工具；應(yīng)部署對通道安全配置、密碼算法配置等保護(hù)措施進(jìn)行審核及監(jiān)控的技術(shù)工具。應(yīng)提供對數(shù)據(jù)傳輸接口的審核及監(jiān)控手段。人員能力：應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)規(guī)定數(shù)據(jù)傳輸安全效果的量化評估方式；應(yīng)規(guī)定根據(jù)政策變化和業(yè)務(wù)需求等對數(shù)據(jù)傳輸制度進(jìn)行優(yōu)化的機(jī)制；應(yīng)制定密鑰管理規(guī)范，對不同場景的密鑰使用，明確全生命周期的安全管理措施。技術(shù)工具：應(yīng)提供全鏈路的數(shù)據(jù)流轉(zhuǎn)的監(jiān)控體系，能夠?qū)崟r(shí)了解數(shù)據(jù)的流向，傳輸情況。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。13查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)傳輸安全管理的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)傳輸安全相關(guān)制度文件：查驗(yàn)該文件是否明確規(guī)定了數(shù)據(jù)傳輸?shù)募用芤蠹凹用芊桨?；查?yàn)該文件規(guī)定的加密要求及加密方案是否結(jié)合了合規(guī)要求及業(yè)務(wù)性能需求；查驗(yàn)該文件是否規(guī)定了傳輸通道兩側(cè)的身份鑒別與認(rèn)證。查驗(yàn)組織的技術(shù)工具：是否支持對傳輸數(shù)據(jù)（尤其是個(gè)人敏感信息）、傳輸通道的加密；是否支持對傳輸通道兩側(cè)的身份驗(yàn)證。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)整體數(shù)據(jù)傳輸安全防護(hù)的部門、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)傳輸安全相關(guān)制度文件：查驗(yàn)該文件是否對組織內(nèi)、外的傳輸場景進(jìn)行了區(qū)分，并規(guī)定了差異化的加密措施；查驗(yàn)該文件是否定義了傳輸策略變更的審批和監(jiān)控機(jī)制；查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)傳輸接口安全管理規(guī)范：查驗(yàn)該文件是否規(guī)定了新增接口、變更接口、廢棄接口等的處理流程；查驗(yàn)該文件是否定義了傳輸流程的技術(shù)管控及安全防護(hù)措施；查驗(yàn)該文件是否規(guī)定了接口梳理的工作制度；查看該文件是否規(guī)定了對涉及個(gè)人信息傳輸?shù)慕涌趹?yīng)實(shí)施調(diào)用監(jiān)控制度。查驗(yàn)組織的技術(shù)工具：是否支持對接口調(diào)用的監(jiān)控，尤其是涉及個(gè)人信息傳輸?shù)慕涌冢?quán)限控制、流量監(jiān)控、調(diào)用過載保護(hù)等；是否支持接口調(diào)用的自動(dòng)化的日志記錄；是否支持定期對接口權(quán)限控制等相關(guān)功能的安全評估；是否支持安全通道、可信通道、加密算法等多種安全控制措施；是否支持系統(tǒng)間接口的身份鑒別與認(rèn)證；是否支持對傳輸通道緩存的自動(dòng)刪除；是否支持對傳輸安全策略變更的審核及監(jiān)控。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)傳輸安全防護(hù)效果的量化評估方式：是否定義了傳輸數(shù)據(jù)、傳輸通道加密效果的量化評估指標(biāo)；是否規(guī)定了傳輸數(shù)據(jù)、傳輸通道加密效果的量化評估頻率。查驗(yàn)組織是否明確了根據(jù)評估結(jié)果、業(yè)務(wù)需要、監(jiān)管要求等進(jìn)行傳輸方案優(yōu)化的制度。14查驗(yàn)相關(guān)數(shù)據(jù)安全傳輸制度文件是否明確了密鑰全生命周期管理的相關(guān)要求。查驗(yàn)組織的技術(shù)工具：是否實(shí)現(xiàn)了分?jǐn)?shù)據(jù)類型、分重要級(jí)別的數(shù)據(jù)加密模塊；是否實(shí)現(xiàn)了全鏈路的數(shù)據(jù)流轉(zhuǎn)監(jiān)控體系；是否支持?jǐn)?shù)據(jù)傳輸過程的安全問題自動(dòng)發(fā)現(xiàn)及處理。存儲(chǔ)安全等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)存儲(chǔ)安全工作，負(fù)責(zé)各項(xiàng)制度的推進(jìn)落實(shí)。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)建立存儲(chǔ)介質(zhì)的環(huán)境變更機(jī)制、邏輯存儲(chǔ)資源的配置變更機(jī)制，對配置規(guī)則、操作流程、發(fā)布要求、授權(quán)管理等標(biāo)準(zhǔn)進(jìn)行規(guī)范；應(yīng)定義存儲(chǔ)介質(zhì)、邏輯存儲(chǔ)、存儲(chǔ)系統(tǒng)架構(gòu)的設(shè)計(jì)及安全要求。技術(shù)工具：應(yīng)提供邏輯存儲(chǔ)的安全配置掃描工具，并定期掃描；存儲(chǔ)空間應(yīng)根據(jù)數(shù)據(jù)的保密性提供完善的加密存儲(chǔ)能力。人員能力：應(yīng)熟悉存儲(chǔ)結(jié)構(gòu)，組織應(yīng)定期對人員進(jìn)行培訓(xùn)，并考核人員能力與崗位的匹配程度。先進(jìn)級(jí)15在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)制定數(shù)據(jù)存儲(chǔ)安全的量化評估機(jī)制，定期對存儲(chǔ)安全管理效果進(jìn)行量化評估。技術(shù)工具：應(yīng)提供平臺(tái)化工具支撐存儲(chǔ)介質(zhì)管理，支持存儲(chǔ)介質(zhì)的使用授權(quán)、傳遞追蹤等；應(yīng)采用可擴(kuò)展的數(shù)據(jù)存儲(chǔ)架構(gòu)；應(yīng)根據(jù)數(shù)據(jù)敏感度，提供不同的安全存儲(chǔ)管理能力。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)存儲(chǔ)安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)存儲(chǔ)策略相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)安全存儲(chǔ)的配置規(guī)則；查驗(yàn)該文件是否明確了存儲(chǔ)媒體的購買、標(biāo)記、使用等安全制度。查驗(yàn)組織的技術(shù)工具：是否實(shí)現(xiàn)了存儲(chǔ)系統(tǒng)的訪問控制、身份鑒別、運(yùn)維管理等。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了整體負(fù)責(zé)數(shù)據(jù)存儲(chǔ)安全的部門、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)存儲(chǔ)策略相關(guān)制度文件：查驗(yàn)該文件是否規(guī)定了邏輯存儲(chǔ)資源的配置變更機(jī)制，對操作流程、安全配置進(jìn)行規(guī)范；查驗(yàn)該文件是否明確了個(gè)人信息存儲(chǔ)的相關(guān)規(guī)定，以符合國家法律法規(guī)和監(jiān)管要求。查驗(yàn)是否在組織層面制定了數(shù)據(jù)存儲(chǔ)介質(zhì)安全相關(guān)制度文件：查驗(yàn)該文件是否明確了存儲(chǔ)介質(zhì)的安全配置規(guī)則、配置變更流程及授權(quán)管理規(guī)范等；查驗(yàn)該文件是否定義了存儲(chǔ)介質(zhì)的獲?。ㄙ徺I）、使用、維護(hù)、銷毀等流程。查驗(yàn)組織的技術(shù)工具：是否實(shí)現(xiàn)了邏輯存儲(chǔ)系統(tǒng)和存儲(chǔ)介質(zhì)的權(quán)限管理、訪問控制等技術(shù)手段；（是否支持分類分級(jí)的差異化數(shù)據(jù)存儲(chǔ)管理；16是否能夠?qū)Υ鎯?chǔ)系統(tǒng)的安全配置進(jìn)行定期掃描。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)存儲(chǔ)安全管理效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)存儲(chǔ)安全的優(yōu)化工作機(jī)制：是否支持根據(jù)政策變化、業(yè)務(wù)發(fā)展等需求優(yōu)化管理制度；是否支持根據(jù)評估結(jié)果優(yōu)化管理制度。查驗(yàn)組織的技術(shù)工具：是否具備存儲(chǔ)介質(zhì)的統(tǒng)一管理工具，對存儲(chǔ)介質(zhì)的使用授權(quán)等進(jìn)行管理；是否支持可擴(kuò)展的數(shù)據(jù)存儲(chǔ)架構(gòu)；是否支持根據(jù)數(shù)據(jù)的敏感度，提供不同的安全存儲(chǔ)管理能力；是否支持定期更新加密密鑰；是否具備敏感數(shù)據(jù)識(shí)別、保護(hù)的工具或平臺(tái)。數(shù)據(jù)備份與恢復(fù)概述規(guī)范數(shù)據(jù)存儲(chǔ)的冗余管理流程，實(shí)現(xiàn)定期數(shù)據(jù)備份與恢復(fù)，保障數(shù)據(jù)可用性。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。制度流程：應(yīng)建立關(guān)于核心業(yè)務(wù)的數(shù)據(jù)存儲(chǔ)冗余策略和恢復(fù)管理機(jī)制。技術(shù)工具：存儲(chǔ)系統(tǒng)應(yīng)具備數(shù)據(jù)備份與恢復(fù)功能。人員能力：應(yīng)了解數(shù)據(jù)備份和恢復(fù)的重要性。應(yīng)熟練操作系統(tǒng)自身備份與恢復(fù)功能。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)制定數(shù)據(jù)備份與恢復(fù)的管理制度，以滿足數(shù)據(jù)服務(wù)可靠性、可用性等安全目標(biāo)；應(yīng)制定數(shù)據(jù)備份與恢復(fù)的操作規(guī)程，明確定義數(shù)據(jù)備份和恢復(fù)的范圍、頻率、工具、過程、17日志記錄、數(shù)據(jù)保存時(shí)長等；應(yīng)建立數(shù)據(jù)備份與恢復(fù)的定期檢查和更新工作規(guī)程，包括數(shù)據(jù)副本的更新頻率、保存期限、一致性檢查等；應(yīng)根據(jù)數(shù)據(jù)生命周期和業(yè)務(wù)規(guī)范，建立數(shù)據(jù)生命周期各階段數(shù)據(jù)歸檔的操作流程；應(yīng)明確組織適用的合規(guī)要求，按照法律法規(guī)和監(jiān)管規(guī)定對相關(guān)數(shù)據(jù)予以記錄和保存。技術(shù)工具：應(yīng)部署數(shù)據(jù)備份與恢復(fù)的技術(shù)工具，保證相關(guān)工作的有效執(zhí)行；應(yīng)建立備份數(shù)據(jù)安全的技術(shù)手段，包括但不限于對備份數(shù)據(jù)的訪問控制、壓縮或加密管理、應(yīng)采取必要的技術(shù)措施定期查驗(yàn)備份數(shù)據(jù)完整性和可用性；應(yīng)確保存儲(chǔ)架構(gòu)具備數(shù)據(jù)存儲(chǔ)跨機(jī)柜或跨機(jī)房容錯(cuò)部署能力。人員能力：應(yīng)了解數(shù)據(jù)備份介質(zhì)的性能和相關(guān)數(shù)據(jù)的業(yè)務(wù)特性，能夠確定有效的數(shù)據(jù)備份和恢復(fù)機(jī)制；應(yīng)了解數(shù)據(jù)存儲(chǔ)時(shí)效性相關(guān)的合規(guī)性要求，并具備對合規(guī)要求的解讀能力和實(shí)施能力；應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：技術(shù)工具：存儲(chǔ)系統(tǒng)應(yīng)具備數(shù)據(jù)存儲(chǔ)跨地域的容災(zāi)能力；應(yīng)具備數(shù)據(jù)時(shí)效性的檢測能力，以保證數(shù)據(jù)的及時(shí)刪除、更新和有效性。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)備份與恢復(fù)的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)備份與恢復(fù)相關(guān)制度文件。查驗(yàn)存儲(chǔ)系統(tǒng)是否具備自動(dòng)備份與恢復(fù)的功能。驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。18優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了整體負(fù)責(zé)數(shù)據(jù)備份與恢復(fù)的部門、崗位和人員。查驗(yàn)是否在組織層面制定了數(shù)據(jù)備份與恢復(fù)的相關(guān)制度文件：規(guī)定了生命周期各階段的數(shù)據(jù)歸檔操作流程；查驗(yàn)該文件是否規(guī)定了使用第三方備份服務(wù)時(shí)的協(xié)同工作機(jī)制；查驗(yàn)該文件是否明確了備份數(shù)據(jù)的壓縮或加密要求；查驗(yàn)該文件是否結(jié)合國家法律法規(guī)和監(jiān)管要求等，規(guī)定了個(gè)人信息的備份制度。查驗(yàn)組織的技術(shù)工具：是否支持?jǐn)?shù)據(jù)的備份和恢復(fù)；（是否支持備份數(shù)據(jù)的完整性和可用性驗(yàn)證；是否支持誤刪除的恢復(fù)機(jī)制；是否具備數(shù)據(jù)存儲(chǔ)跨機(jī)柜/機(jī)房的容錯(cuò)部署能力。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)備份與恢復(fù)的管理效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織的技術(shù)工具：是否具備按照時(shí)效性分層的自動(dòng)數(shù)據(jù)備份與快速恢復(fù)系統(tǒng)；是否支持跨地域容災(zāi)；是否支持備份數(shù)據(jù)的時(shí)效性檢測。使用安全根據(jù)數(shù)據(jù)分析、數(shù)據(jù)挖掘過程面臨的安全風(fēng)險(xiǎn)，建立有效的安全管控措施，防止數(shù)據(jù)泄露。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。19制度流程：應(yīng)明確業(yè)務(wù)平臺(tái)在不同目的下數(shù)據(jù)使用審批要求，留存審批記錄。人員能力：針對核心業(yè)務(wù)場景需求，應(yīng)能提出有效的數(shù)據(jù)安全合規(guī)使用的解決方案。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。組織建設(shè)：制度流程：（例如數(shù)據(jù)脫敏、訪問控制）、數(shù)據(jù)使用限制等；應(yīng)建立數(shù)據(jù)權(quán)限申請審核流程，對數(shù)據(jù)源、數(shù)據(jù)使用場景、數(shù)據(jù)使用范圍、數(shù)據(jù)使用邏輯、個(gè)人信息安全影響情況進(jìn)行審核，以確保數(shù)據(jù)使用的真實(shí)性、必要性、合規(guī)性；應(yīng)建立業(yè)務(wù)結(jié)果數(shù)據(jù)輸出的安全審核、合規(guī)評估的流程。技術(shù)工具應(yīng)部署數(shù)據(jù)脫敏工具，確保脫敏有效性；應(yīng)記錄、保存數(shù)據(jù)使用過程中對個(gè)人信息等敏感數(shù)據(jù)的操作行為；應(yīng)部署數(shù)據(jù)權(quán)限管控工具，依據(jù)安全使用規(guī)范的要求建立相應(yīng)強(qiáng)度或粒度的訪問控制機(jī)制，限定用戶可訪問數(shù)據(jù)范圍；應(yīng)支持對違規(guī)使用行為的有效識(shí)別和監(jiān)控。人員能力：應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確數(shù)據(jù)使用安全的量化評估機(jī)制。技術(shù)工具：應(yīng)具備技術(shù)手段或機(jī)制，對數(shù)據(jù)濫用行為進(jìn)行有效的自動(dòng)識(shí)別、監(jiān)控和預(yù)警；應(yīng)采取必要的技術(shù)手段，避免輸出的業(yè)務(wù)結(jié)果數(shù)據(jù)包含可恢復(fù)的個(gè)人信息數(shù)據(jù)和結(jié)構(gòu)標(biāo)識(shí)；評估方法基礎(chǔ)級(jí)20根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)使用安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)使用安全相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)的脫敏規(guī)范；查驗(yàn)該文件是否明確了數(shù)據(jù)使用的范圍、權(quán)限、合規(guī)要求等；查驗(yàn)該文件是否明確了不同目的下的數(shù)據(jù)使用審批流程；查驗(yàn)該文件是否明確了數(shù)據(jù)使用者的權(quán)限管理及訪問控制機(jī)制。驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)整體數(shù)據(jù)使用安全的部門、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)使用安全相關(guān)制度文件：查驗(yàn)該文件的制定是否結(jié)合了組織數(shù)據(jù)分類分級(jí)策略；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)使用相關(guān)平臺(tái)系統(tǒng)的訪問控制措施；查驗(yàn)該文件是否定義了違規(guī)使用數(shù)據(jù)的操作；查驗(yàn)該文件是否明確了個(gè)人信息的使用安全保護(hù)規(guī)范，以符合國家法律法規(guī)及監(jiān)管要求。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)脫敏規(guī)范：查驗(yàn)該文件是否明確了脫敏處理使用場景；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)脫敏規(guī)則、方法、處理流程等。查驗(yàn)組織的技術(shù)工具：是否部署了脫敏工具，并對敏感數(shù)據(jù)的脫敏操作進(jìn)行日志記錄；是否支持賬號(hào)權(quán)限管理、訪問控制等管控要求；是否支持?jǐn)?shù)據(jù)脫敏處理的安全審計(jì)；是否支持?jǐn)?shù)據(jù)違規(guī)使用行為的有效識(shí)別、監(jiān)控。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)使用安全的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織的技術(shù)工具：是否具備相應(yīng)管理平臺(tái)，支持?jǐn)?shù)據(jù)血緣分析，構(gòu)建數(shù)據(jù)使用鏈路；是否支持對輸出信息的檢測，避免存在可恢復(fù)的個(gè)人信息；是否具備對數(shù)據(jù)濫用行為的自動(dòng)監(jiān)控和預(yù)警功能。數(shù)據(jù)處理環(huán)境安全概述21根據(jù)組織內(nèi)部數(shù)據(jù)處理過程面臨的安全威脅，建立適用的數(shù)據(jù)處理環(huán)境建立安全保護(hù)機(jī)制，確保數(shù)據(jù)處理過程的安全管控和技術(shù)支撐。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)工作崗位和人員負(fù)責(zé)數(shù)據(jù)處理環(huán)境安全工作，配合推動(dòng)相關(guān)要求的執(zhí)行。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。組織建設(shè)：各業(yè)務(wù)團(tuán)隊(duì)?wèi)?yīng)明確相關(guān)人員負(fù)責(zé)數(shù)據(jù)處理環(huán)境安全管控實(shí)施工作。制度流程：應(yīng)明確數(shù)據(jù)處理環(huán)境的安全管理要求；技術(shù)工具應(yīng)基于核心業(yè)務(wù)場景、數(shù)據(jù)重要性等，對數(shù)據(jù)、系統(tǒng)功能、運(yùn)營環(huán)境等資源實(shí)現(xiàn)隔離控制；應(yīng)建立數(shù)據(jù)處理日志管理工具，記錄用戶在數(shù)據(jù)處理系統(tǒng)上的加工操作；應(yīng)建立處理過程中的數(shù)據(jù)防泄漏技術(shù)工具，防止數(shù)據(jù)處理過程中的敏感數(shù)據(jù)的泄露。人員能力：應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。技術(shù)工具：應(yīng)建立不同環(huán)境下的數(shù)據(jù)防泄漏技術(shù)工具。評估方法基礎(chǔ)級(jí)22根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)處理環(huán)境安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)處理環(huán)境安全相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)處理過程中的身份鑒別、訪問控制等要求；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)在不同使用場景下的環(huán)境安全；查驗(yàn)該文件是否規(guī)定了終端環(huán)境的管理要求。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)處理環(huán)境安全的部門、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)處理環(huán)境安全相關(guān)制度文件：查驗(yàn)該文件是否明確了系統(tǒng)設(shè)計(jì)、開發(fā)、運(yùn)維階段的安全控制措施；查驗(yàn)該文件是否規(guī)定了身份鑒別、訪問控制、安全配置等環(huán)境管理要求；查驗(yàn)該文件是否規(guī)定了終端環(huán)境的管理規(guī)范；查驗(yàn)該文件是否規(guī)定了分布式處理場景下的環(huán)境安全要求。查驗(yàn)組織的技術(shù)工具：具備數(shù)據(jù)處理的日志管理工具；具備數(shù)據(jù)處理過程的防泄漏工具；支持不同業(yè)務(wù)場景下的資源隔離控制。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)處理環(huán)境安全的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織的技術(shù)工具：是否支持終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫等不同環(huán)境下的數(shù)據(jù)防泄漏工具；是否支持分布式處理節(jié)點(diǎn)的服務(wù)監(jiān)測與修復(fù)。數(shù)據(jù)內(nèi)部共享安全概述通過對組織的數(shù)據(jù)內(nèi)部共享進(jìn)行安全性管理，防止數(shù)據(jù)內(nèi)部共享中可能對數(shù)據(jù)自身的可用性和完整性構(gòu)成的危害，降低可能存在的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)對數(shù)據(jù)內(nèi)部共享執(zhí)行安全管理。制度流程：應(yīng)建立核心業(yè)務(wù)數(shù)據(jù)內(nèi)部共享原則、范圍、安全制度或?qū)徟鞒獭?3技術(shù)工具：應(yīng)采取技術(shù)措施記錄組織的數(shù)據(jù)內(nèi)部共享行為，確保數(shù)據(jù)內(nèi)部共享行為可追溯。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)建立數(shù)據(jù)內(nèi)部共享清單，定期對各項(xiàng)數(shù)據(jù)內(nèi)部共享進(jìn)行安全審查。技術(shù)工具：應(yīng)建立對導(dǎo)出生產(chǎn)系統(tǒng)的敏感數(shù)據(jù)進(jìn)行脫敏、溯源的技術(shù)能力。人員能力：定期開展數(shù)據(jù)內(nèi)部共享規(guī)程等相關(guān)培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。技術(shù)工具：應(yīng)建立統(tǒng)一的數(shù)據(jù)內(nèi)部共享管理系統(tǒng)，提示數(shù)據(jù)內(nèi)部共享的安全風(fēng)險(xiǎn)并進(jìn)行在線審核；應(yīng)配置規(guī)范的數(shù)據(jù)內(nèi)部共享機(jī)制或服務(wù)組件，明確數(shù)據(jù)內(nèi)部共享域最低安全防護(hù)要求；評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。24查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)內(nèi)部共享安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)內(nèi)部共享安全相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)內(nèi)部共享的原則、范圍、審批流程、共享流程等；查驗(yàn)該文件是否規(guī)定了內(nèi)部共享的安全策略。查驗(yàn)組織的技術(shù)工具：是否支持共享行為的日志記錄功能。驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)內(nèi)部共享安全的部門、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)內(nèi)部共享安全相關(guān)制度文件：查驗(yàn)該文件的制定是否結(jié)合了組織數(shù)據(jù)分類分級(jí)策略；查驗(yàn)該文件是否明確了使用存儲(chǔ)介質(zhì)導(dǎo)出數(shù)據(jù)時(shí)的管理規(guī)范及操作規(guī)程；查驗(yàn)該文件是否規(guī)定了內(nèi)容共享審計(jì)和日志管理策略；查驗(yàn)該文件是否規(guī)定建立數(shù)據(jù)內(nèi)部共享清單。查驗(yàn)組織的技術(shù)工具：是否具備數(shù)據(jù)內(nèi)部共享清單；是否支持對共享兩側(cè)的設(shè)備、用戶、系統(tǒng)之間的身份鑒別與訪問控制；是否支持內(nèi)部共享的風(fēng)險(xiǎn)評估；是否對導(dǎo)出的敏感數(shù)據(jù)采取了脫敏措施；是否支持對導(dǎo)出數(shù)據(jù)文件的溯源；是否支持共享通道的緩存刪除。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)內(nèi)部共享安全管理效果的量化評估方式：是否定義了共享服務(wù)組件、共享通道的量化評估指標(biāo)；是否規(guī)定了共享服務(wù)組件、共享通道的量化評估頻率。查驗(yàn)組織的技術(shù)工具：是否建立了統(tǒng)一的數(shù)據(jù)內(nèi)部共享管理系統(tǒng)；提供配置規(guī)范的服務(wù)組件和共享機(jī)制；是否支持共享流轉(zhuǎn)過程的監(jiān)控記錄。數(shù)據(jù)外部共享安全概述25根據(jù)組織對外提供或交換數(shù)據(jù)的需求，建立有效的外部共享數(shù)據(jù)的安全防護(hù)措施，以降低數(shù)據(jù)共享場景下的安全風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。制度流程：應(yīng)保證共享內(nèi)容符合數(shù)據(jù)合規(guī)和監(jiān)管要求，明確數(shù)據(jù)挖掘和應(yīng)用范圍。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確共享的數(shù)據(jù)留存期限，并提供有效方式，證明數(shù)據(jù)的銷毀情況。技術(shù)工具：應(yīng)對外部共享數(shù)據(jù)及數(shù)據(jù)外部共享過程進(jìn)行監(jiān)控審計(jì)，避免超范圍共享；應(yīng)對跨安全域間的數(shù)據(jù)接口調(diào)用采用安全通道、加密傳輸、時(shí)間戳等安全措施；應(yīng)支持對外共享場景下的數(shù)據(jù)溯源技術(shù)。人員能力：應(yīng)能充分理解組織的數(shù)據(jù)外部共享規(guī)程，并根據(jù)數(shù)據(jù)外部共享的業(yè)務(wù)執(zhí)行相應(yīng)的風(fēng)險(xiǎn)評估，從而提出實(shí)際的解決方案；26應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：在數(shù)據(jù)外部共享時(shí)，應(yīng)對數(shù)據(jù)接收方的數(shù)據(jù)安全防護(hù)能力開展評估工作。技術(shù)工具應(yīng)建立長線的數(shù)據(jù)外部共享溯源能力；應(yīng)對數(shù)據(jù)外部共享接口進(jìn)行異常監(jiān)控及自動(dòng)化處理。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)外部共享安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)外部共享安全相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)外部共享的原則、范圍、審批流程、共享流程、審計(jì)流程等；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)外部共享的安全策略；查驗(yàn)該文件是否明確了與外部共享方的保密合作協(xié)議；查驗(yàn)該文件是否明確了共享安全合規(guī)評估機(jī)制；查驗(yàn)該文件是否明確了個(gè)人信息對外共享的操作規(guī)范，以符合國家法律法規(guī)和監(jiān)管要求。驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)外部共享安全的部門、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)外部共享安全相關(guān)制度文件：查驗(yàn)該文件的制定是否結(jié)合了組織數(shù)據(jù)分類分級(jí)策略；查驗(yàn)該文件是否明確了分組織機(jī)構(gòu)、分共享場景的外部數(shù)據(jù)共享安全策略；查驗(yàn)該文件是否規(guī)定了對數(shù)據(jù)共享需求、共享范圍、共享內(nèi)容、共享流程的審核控制機(jī)制；查驗(yàn)該文件是否規(guī)定了共享操作的審計(jì)規(guī)范及日志規(guī)范；查驗(yàn)該文件是否規(guī)定了共享雙方的安全責(zé)任；查驗(yàn)該文件是否明確了數(shù)據(jù)共享接口的安全控制策略；對個(gè)人信息的對外共享提出了明確要求，以符合國家法律法規(guī)和監(jiān)管要求；明確了數(shù)據(jù)共享接口的安全控制策略。查驗(yàn)組織的技術(shù)工具：是否支持對外共享場景下的數(shù)據(jù)溯源技術(shù)，如數(shù)字簽名、數(shù)字水??；是否支持個(gè)人信息在不同場景下的共享安全防護(hù)；是否支持對共享過程的監(jiān)控審計(jì)；27是否實(shí)現(xiàn)了對數(shù)據(jù)接口調(diào)用的安全管控。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)外部共享安全管理效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)接收方的數(shù)據(jù)安全防護(hù)能力定期評估機(jī)制。查驗(yàn)組織的技術(shù)工具：是否支持引入新的加密技術(shù)，并能夠進(jìn)行引入風(fēng)險(xiǎn)評估；是否支持?jǐn)?shù)據(jù)外部共享長線溯源能力；是否支持對共享接口異常的有效監(jiān)控，并實(shí)現(xiàn)自動(dòng)關(guān)停。數(shù)據(jù)銷毀安全概述通過制定數(shù)據(jù)銷毀機(jī)制，實(shí)現(xiàn)有效的數(shù)據(jù)刪除管控，防止因?qū)Υ鎯?chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行恢復(fù)而導(dǎo)致的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)工作崗位和人員負(fù)責(zé)核心業(yè)務(wù)的數(shù)據(jù)銷毀和存儲(chǔ)介質(zhì)銷毀工作。技術(shù)工具：應(yīng)采用數(shù)據(jù)銷毀技術(shù)手段，保證刪除數(shù)據(jù)的不可恢復(fù)。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。組織建設(shè)：應(yīng)設(shè)置數(shù)據(jù)銷毀監(jiān)督角色，監(jiān)督數(shù)據(jù)銷毀過程。制度流程：28體銷毀的場景、銷毀對象、銷毀方式和銷毀結(jié)果；應(yīng)建立規(guī)范的數(shù)據(jù)銷毀、存儲(chǔ)介質(zhì)銷毀流程和審批機(jī)制，對審批和銷毀過程進(jìn)行記錄控制；針對不同的存儲(chǔ)介質(zhì)，應(yīng)建立針對性的銷毀流程和檢驗(yàn)標(biāo)準(zhǔn)；應(yīng)按國家相關(guān)法律和標(biāo)準(zhǔn)銷毀個(gè)人信息等敏感數(shù)據(jù)；應(yīng)明確已共享或者已被其他用戶使用的數(shù)據(jù)銷毀管控措施。技術(shù)工具：應(yīng)針對存儲(chǔ)數(shù)據(jù)、存儲(chǔ)介質(zhì)等，建立硬銷毀和軟銷毀的銷毀方法和技術(shù)；應(yīng)提供存儲(chǔ)介質(zhì)銷毀工具，包括但不限于物理銷毀、消磁設(shè)備等工具；先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確數(shù)據(jù)銷毀、媒體銷毀效果的量化評估指標(biāo)和機(jī)制，定期對銷毀效果進(jìn)行抽樣認(rèn)定。技術(shù)工具：應(yīng)持續(xù)更新組織的數(shù)據(jù)銷毀、存儲(chǔ)媒體銷毀工具，以保證銷毀的效果；應(yīng)提供銷毀記錄歸檔手段，記錄銷毀過程及驗(yàn)證結(jié)果。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)銷毀安全和存儲(chǔ)介質(zhì)銷毀安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)銷毀和存儲(chǔ)介質(zhì)銷毀相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)銷毀的原則、流程、方式、工具、有效性驗(yàn)證等；查驗(yàn)該文件是否規(guī)定了存儲(chǔ)介質(zhì)的銷毀機(jī)制和管控措施。驗(yàn)證組織的技術(shù)工具：是否支持對存儲(chǔ)介質(zhì)的擦除；是否支持對涉及核心業(yè)務(wù)的存儲(chǔ)介質(zhì)進(jìn)行物理銷毀；是否實(shí)現(xiàn)了不可恢復(fù)的數(shù)據(jù)銷毀。驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織的部門、崗位和人員：是否設(shè)立了負(fù)責(zé)數(shù)據(jù)銷毀安全部門、崗位和人員；29是否設(shè)置的數(shù)據(jù)銷毀的監(jiān)督人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)銷毀安全相關(guān)制度文件：查驗(yàn)該文件的制定是否結(jié)合了組織的數(shù)據(jù)分類分級(jí)制度；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)銷毀的審批機(jī)制；查驗(yàn)該文件是否規(guī)定了個(gè)人信息的銷毀安全保護(hù)措施，以符合國家法律法規(guī)和監(jiān)管要求；查驗(yàn)該文件是否明確了第三方存儲(chǔ)的銷毀規(guī)范；查驗(yàn)該文件是否明確了已外部共享的數(shù)據(jù)的銷毀機(jī)制。查驗(yàn)是否在組織層級(jí)制定了存儲(chǔ)介質(zhì)的銷毀機(jī)制和管控措施：查驗(yàn)該文件是否明確了對存儲(chǔ)不同重要性內(nèi)容的各類介質(zhì)的銷毀方法；查驗(yàn)該文件是否規(guī)定了不同的銷毀措施（硬銷毀和軟銷毀等）；查驗(yàn)該文件是否規(guī)范了登記、審批、交接等介質(zhì)銷毀流程；是否規(guī)定了銷毀后的核驗(yàn)和資源回收措施。查驗(yàn)組織的技術(shù)工具：是否具備銷毀工具；是否提供存儲(chǔ)介質(zhì)銷毀工具；是否支持銷毀效果驗(yàn)證；是否支持銷毀過程日志記錄。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)銷毀安全管理效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織的技術(shù)工具：是否支持銷毀工具的迭代更新；是否支持銷毀過程的日志記錄及結(jié)果驗(yàn)證?；A(chǔ)安全數(shù)據(jù)分類分級(jí)概述根據(jù)法律法規(guī)以及業(yè)務(wù)需求明確組織內(nèi)部的數(shù)據(jù)分類分級(jí)原則及方法，并對數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)。等級(jí)要求基礎(chǔ)級(jí)30從組織建設(shè)、制度流程方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)核心業(yè)務(wù)的數(shù)據(jù)分類分級(jí)。制度流程：應(yīng)根據(jù)業(yè)務(wù)特性和外部合規(guī)要求，對核心業(yè)務(wù)的數(shù)據(jù)進(jìn)行分類分級(jí)管理；優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)結(jié)合數(shù)據(jù)類型特點(diǎn)、業(yè)務(wù)運(yùn)營需求等，明確數(shù)據(jù)分類分級(jí)原則、方法和操作指南；應(yīng)對組織的數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)和管理，建立數(shù)據(jù)保護(hù)清單；技術(shù)工具：應(yīng)建立數(shù)據(jù)分類分級(jí)工具，保證組織數(shù)據(jù)分類分級(jí)管理的準(zhǔn)確性和一致性；應(yīng)具備對數(shù)據(jù)分類分級(jí)結(jié)果進(jìn)行標(biāo)識(shí)的技術(shù)手段；應(yīng)具備數(shù)據(jù)分類分級(jí)策略變更的監(jiān)控手段。人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)了解數(shù)據(jù)分類分級(jí)的合規(guī)要求，能夠識(shí)別哪些數(shù)據(jù)屬于敏感數(shù)據(jù)；組織的數(shù)據(jù)安全教育培訓(xùn)中包含了對數(shù)據(jù)分級(jí)分類管理安全要求的宣貫內(nèi)容；應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：規(guī)定了數(shù)據(jù)分類管理效果的量化評估方式；規(guī)定了數(shù)據(jù)分級(jí)管理效果的量化評估方式。技術(shù)工具：應(yīng)建立相應(yīng)的技術(shù)手段，保證一定類別和一定敏感級(jí)別的數(shù)據(jù)在被使用時(shí)不被泄露。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)分類分級(jí)的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)分類分級(jí)相關(guān)制度文件：31查驗(yàn)該文件是否明確了不同類別不同級(jí)別數(shù)據(jù)的安全管理要求；查驗(yàn)該文件是否定義了數(shù)據(jù)資產(chǎn)的標(biāo)識(shí)規(guī)范。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)分類分級(jí)工作的部門、崗位和人員。查驗(yàn)是否在組織層面制定了數(shù)據(jù)分類分級(jí)相關(guān)制度文件：查驗(yàn)該文件的制定是否考慮了國家法律法規(guī)和監(jiān)管要求；查驗(yàn)該文件的制定是否結(jié)合了業(yè)務(wù)需求、數(shù)據(jù)的重要性、敏感程度以及安全防護(hù)需求；查驗(yàn)該文件是否定義了分類分級(jí)的原則、方法、操作指南等；查驗(yàn)該文件的制定是否完整覆蓋組織的業(yè)務(wù)需求及數(shù)據(jù)全生命周期的處理活動(dòng)；查驗(yàn)該文件是否明確了分類分級(jí)策略實(shí)施及變更流程；查驗(yàn)該文件是否對分類分級(jí)數(shù)據(jù)設(shè)置了不同的安全管理要求及技術(shù)保障措施，如數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份與恢復(fù)、訪問控制權(quán)限等技術(shù)能力和措施。查驗(yàn)組織技術(shù)工具：是否支持?jǐn)?shù)據(jù)的分類分級(jí)；是否建立了數(shù)據(jù)分類分級(jí)保護(hù)清單；是否支持對分類分級(jí)策略變更的監(jiān)控；是否支持分類分級(jí)數(shù)據(jù)的打標(biāo)。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)分類分級(jí)管理效果的量化評估方式：是否定義了分類、分級(jí)的量化評估指標(biāo)；是否規(guī)定了分類、分級(jí)的量化評估頻率。查驗(yàn)組織的技術(shù)工具：是否支持?jǐn)?shù)據(jù)資產(chǎn)的自動(dòng)分類分級(jí)；是否支持分類分級(jí)結(jié)果數(shù)據(jù)的量化統(tǒng)計(jì)。合規(guī)管理根據(jù)組織內(nèi)部的業(yè)務(wù)需求和業(yè)務(wù)開展場景，明確相關(guān)法律法規(guī)要求，通過制定管理措施降低組織面臨的合規(guī)風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)工作崗位和人員，根據(jù)業(yè)務(wù)需求開展合規(guī)管理工作。制度流程：應(yīng)明確個(gè)人信息保護(hù)、跨境數(shù)據(jù)傳輸?shù)确矫娴臄?shù)據(jù)安全合規(guī)管理制度規(guī)范。32優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)在業(yè)務(wù)功能上線、個(gè)人數(shù)據(jù)共享、跨境數(shù)據(jù)傳輸?shù)汝P(guān)鍵環(huán)節(jié)實(shí)施前開展合規(guī)風(fēng)險(xiǎn)評估。技術(shù)工具：建立有對個(gè)人信息的監(jiān)控機(jī)制，防范數(shù)據(jù)安全事件發(fā)生；建立合規(guī)要求清單，支持清單的定期更新。人員能力：應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)建立整改和考核規(guī)范，用于指導(dǎo)發(fā)現(xiàn)和整改情況追蹤、報(bào)告管理、問題管理等；應(yīng)規(guī)定發(fā)生數(shù)據(jù)安全合規(guī)事件的量化方式，通過數(shù)據(jù)指標(biāo)定義安全事件風(fēng)險(xiǎn)的嚴(yán)重程度。技術(shù)工具：建立合規(guī)資料庫或提供外部合規(guī)資料庫查詢渠道。評估方法33基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)合規(guī)管理的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)合規(guī)管理的相關(guān)制度文件：查驗(yàn)該文件是否明確了用戶個(gè)人信息和核心業(yè)務(wù)數(shù)據(jù)保護(hù)的合規(guī)要求；查驗(yàn)該文件是否明確了數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求；查驗(yàn)該文件是否明確了合規(guī)評估流程。驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)合規(guī)管理的部門、崗位和人員。查驗(yàn)是否在組織層面制定了合規(guī)管理相關(guān)制度文件：查驗(yàn)該文件的制定是否參考了法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、監(jiān)管要求；查驗(yàn)該文件是否明確了個(gè)人信息保護(hù)、跨境數(shù)據(jù)傳輸?shù)仍跀?shù)據(jù)全生命周期的合規(guī)管理要求；查驗(yàn)該文件是否明確要求建立合規(guī)清單，定期進(jìn)行更新和宣貫；查驗(yàn)該文件是否規(guī)定了合規(guī)培訓(xùn)的計(jì)劃；查驗(yàn)該文件是否明確了合規(guī)性評估的業(yè)務(wù)場景；查驗(yàn)該文件是否規(guī)定了合規(guī)性評估的開展時(shí)機(jī)、頻次等內(nèi)容。查驗(yàn)組織的技術(shù)工具：是否記錄了各業(yè)務(wù)場景的數(shù)據(jù)安全合規(guī)性評估報(bào)告；是否支持對個(gè)人信息使用過程的合規(guī)監(jiān)控機(jī)制，以及使用過程的安全保護(hù)；是否建立了可定期更新的合規(guī)要求清單。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了合規(guī)管理效果的量化評估方式：是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估的時(shí)機(jī)、頻率。查驗(yàn)組織是否明確了合規(guī)管理的優(yōu)化工作機(jī)制：是否明確了合規(guī)管理的考核規(guī)范；是否明確了評估后的整改措施及復(fù)核機(jī)制。查驗(yàn)組織的技術(shù)工具：是否具備合規(guī)風(fēng)險(xiǎn)的自動(dòng)監(jiān)控預(yù)警能力；是否建立了數(shù)據(jù)合規(guī)資料庫。合作方管理概述34通過建立組織的合作方管理機(jī)制，防范組織對外合作中的數(shù)據(jù)安全風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。人員能力：負(fù)責(zé)該項(xiàng)過程的人員應(yīng)具備對具體數(shù)據(jù)合作場景的風(fēng)險(xiǎn)評估能力。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確數(shù)據(jù)安全主管部門、人力資源部門、合作方管理部門等的聯(lián)動(dòng)機(jī)制，對合作方引入、現(xiàn)場工作等環(huán)節(jié)進(jìn)行管理，明確規(guī)范及監(jiān)督流程。技術(shù)工具：應(yīng)建立對合作方的風(fēng)險(xiǎn)評估工具，支持業(yè)務(wù)開展前的風(fēng)險(xiǎn)評估。人員能力：應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：能夠定期對數(shù)據(jù)合作方數(shù)據(jù)活動(dòng)的安全風(fēng)險(xiǎn)和數(shù)據(jù)合作方的數(shù)據(jù)安全管理能力進(jìn)行評估；應(yīng)建立組織整體的數(shù)據(jù)合作方庫，用于管理數(shù)據(jù)合作方目錄、清單和相關(guān)數(shù)據(jù)源數(shù)據(jù)字典，35便于及時(shí)查看并更新合作方的整體情況，并用于事后追蹤分析數(shù)據(jù)合作方合規(guī)情況；組織整體的數(shù)據(jù)合作方管理方案能夠根據(jù)國內(nèi)外數(shù)據(jù)合作方管理領(lǐng)域的監(jiān)管動(dòng)態(tài)和行業(yè)時(shí)間進(jìn)行及時(shí)調(diào)整。應(yīng)規(guī)定合作方管理效果的量化評估方式，通過數(shù)據(jù)指標(biāo)定義合作方管理的安全效果。技術(shù)工具：應(yīng)建立合作方管理資料庫，相關(guān)人員可以通過該資料庫查詢合作方評估考核情況；應(yīng)建立應(yīng)急響應(yīng)機(jī)制，對合作過程中數(shù)據(jù)安全事件及時(shí)響應(yīng)。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)合作方管理的崗位和人員。查驗(yàn)是否對核心業(yè)務(wù)的數(shù)據(jù)合作制定了合作方管理的相關(guān)制度文件：查驗(yàn)該文件是否明確了合作方的數(shù)據(jù)使用目的、保密約定等；驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)合作方管理的部門、崗位和人員。查驗(yàn)是否在組織層面制定了相關(guān)合作方管理制度文件：查驗(yàn)該文件是否規(guī)定了合作方數(shù)據(jù)安全管理的責(zé)任部門、管理機(jī)制、監(jiān)督機(jī)制；查驗(yàn)該文件是否規(guī)定了對合作方的數(shù)據(jù)安全保護(hù)能力進(jìn)行資質(zhì)審核；查驗(yàn)該文件是否規(guī)定了合作期間的數(shù)據(jù)安全定期風(fēng)險(xiǎn)評估機(jī)制；查驗(yàn)該文件是否規(guī)定了涉及個(gè)人信息時(shí)的合規(guī)性評估工作；查驗(yàn)該文件是否規(guī)定了合作方的管理臺(tái)賬機(jī)制；查驗(yàn)組織的技術(shù)工具：是否建立合作方管理平臺(tái)；是否支持合作方接口的監(jiān)控審核；是否支持對合作方的風(fēng)險(xiǎn)評估。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了合作方管理效果的量化評估方式：是否定義了量化評估指標(biāo)；36是否規(guī)定了量化評估頻率。查驗(yàn)組織的合作方管理機(jī)制：是否對合作方的數(shù)據(jù)安全治理能力等開展持續(xù)了評估、審核，并記錄評估、審核結(jié)果。是否支持根據(jù)政策變化、業(yè)務(wù)發(fā)展等需求優(yōu)化合作方管理制度；是否規(guī)定了對合作方的持續(xù)化監(jiān)控審計(jì)機(jī)制。查驗(yàn)組織的技術(shù)工具：是否建立了合作方管理資料庫；是否具備合作方發(fā)生安全事件時(shí)的應(yīng)急響應(yīng)能力；是否支持對合作方數(shù)據(jù)安全治理、合規(guī)等內(nèi)容的持續(xù)監(jiān)控。監(jiān)控審計(jì)通過建立監(jiān)控審計(jì)的工作機(jī)制，有效防范不正當(dāng)?shù)臄?shù)據(jù)訪問和操作行為，降低數(shù)據(jù)全生命周期未授權(quán)訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等安全風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)工作崗位和人員，負(fù)責(zé)數(shù)據(jù)全生命周期流轉(zhuǎn)過程的安全監(jiān)控。技術(shù)工具：應(yīng)提供技術(shù)手段對數(shù)據(jù)的高風(fēng)險(xiǎn)操作進(jìn)行監(jiān)控。人員能力：應(yīng)了解數(shù)據(jù)訪問和操作涉及的數(shù)據(jù)范圍，具備對安全風(fēng)險(xiǎn)的判斷能力。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確對組織內(nèi)部各類數(shù)據(jù)訪問和操作的日志記錄要求、安全監(jiān)控要求和審計(jì)要求；應(yīng)記錄數(shù)據(jù)操作事件，并制定數(shù)據(jù)安全風(fēng)險(xiǎn)行為識(shí)別和評估規(guī)則；應(yīng)定期對組織內(nèi)部員工數(shù)據(jù)操作行為進(jìn)行人工審計(jì)。技術(shù)工具：應(yīng)采用技術(shù)工具對數(shù)據(jù)交換服務(wù)流量數(shù)據(jù)進(jìn)行安全監(jiān)控和分析。人員能力：應(yīng)充分理解數(shù)據(jù)監(jiān)控和審計(jì)的要求，能夠識(shí)別數(shù)據(jù)泄漏風(fēng)險(xiǎn)，并及時(shí)應(yīng)對；應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)37在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。技術(shù)工具：應(yīng)具備對數(shù)據(jù)的異?；蚋唢L(fēng)險(xiǎn)操作進(jìn)行自動(dòng)識(shí)別和預(yù)警的能力。評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)監(jiān)控審計(jì)的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了監(jiān)控審計(jì)的相關(guān)制度文件：查驗(yàn)該文件是否規(guī)定了全生命周期的監(jiān)控審計(jì)的規(guī)則；查驗(yàn)該文件是否規(guī)定了對異常操作的監(jiān)控審計(jì)；查驗(yàn)該文件是否規(guī)定了監(jiān)控審計(jì)的工作流程、工作方案。查驗(yàn)組織的技術(shù)工具：是否建立了數(shù)據(jù)高風(fēng)險(xiǎn)操作清單，并定期更新；是否支持對數(shù)據(jù)高風(fēng)險(xiǎn)操作的監(jiān)控。驗(yàn)證組織的人員能力：通過培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)監(jiān)控審計(jì)的部門、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了監(jiān)控審計(jì)相關(guān)制度文件：查驗(yàn)該文件是否明確了監(jiān)控審計(jì)工作的牽頭及配合執(zhí)行部門；查驗(yàn)該文件是否明確了數(shù)據(jù)安全風(fēng)險(xiǎn)行為的識(shí)別和評估規(guī)則；查驗(yàn)該文件是否明確了數(shù)據(jù)相關(guān)操作的日志記錄和安全監(jiān)控要求；（異常操作的定義）查驗(yàn)該文件是否覆蓋了對組織全業(yè)務(wù)數(shù)據(jù)處理活動(dòng)的審計(jì)操作；查驗(yàn)該文件是否規(guī)定了對員工數(shù)據(jù)操作行為的定期審計(jì)。查驗(yàn)組織的技術(shù)工具：是否建立了異常操作清單，并定期更新；是否支持異常操作的監(jiān)控分析；是否留存相關(guān)監(jiān)控審計(jì)報(bào)告。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了監(jiān)控審計(jì)效果的量化評估方式：38是否定義了量化評估指標(biāo)；是否規(guī)定了量化評估頻率。查驗(yàn)組織的技術(shù)工具：是否具備統(tǒng)一的監(jiān)控審計(jì)系統(tǒng)或平臺(tái)；是否支持對異常或高風(fēng)險(xiǎn)操作的自動(dòng)識(shí)別與預(yù)警。鑒別與訪問概述根據(jù)組織的安全合規(guī)要求，建立用戶身份鑒別和訪問控制管理機(jī)制，防止對數(shù)據(jù)的未授權(quán)訪問風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行要求。組織建設(shè)：應(yīng)明確核心業(yè)務(wù)系統(tǒng)的用戶身份管理及數(shù)據(jù)權(quán)限管理的崗位和人員。制度流程：核心業(yè)務(wù)應(yīng)明確重要系統(tǒng)和數(shù)據(jù)庫的身份鑒別、訪問控制和權(quán)限管理的安全要求。技術(shù)工具：應(yīng)提供核心業(yè)務(wù)系統(tǒng)的訪問控制功能，對登錄的用戶分配賬戶和權(quán)限；應(yīng)提供并啟用核心業(yè)務(wù)系統(tǒng)的登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要的保護(hù)措施；優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確對身份標(biāo)識(shí)與鑒別、訪問控制及權(quán)限的分配、變更、撤銷等方面管理的要求；應(yīng)明確數(shù)據(jù)權(quán)限授權(quán)審批流程，對數(shù)據(jù)權(quán)限申請和變更進(jìn)行審核；技術(shù)工具：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)；訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)，客體為系統(tǒng)、文件、數(shù)據(jù)庫表級(jí)。人員能力：39應(yīng)定期對人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)建立敏感數(shù)據(jù)權(quán)限清單，明確了數(shù)據(jù)權(quán)限的安全要求、分配策略、授權(quán)機(jī)制和權(quán)限范圍；應(yīng)定期對組織的鑒別和訪問控制效果進(jìn)行量化評估。技術(shù)工具：應(yīng)建立定期更新和審核的敏感數(shù)據(jù)權(quán)限清單；評估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)用戶身份和權(quán)限管理的崗位和人員。查驗(yàn)組織的技術(shù)工具：是否支持用戶登錄身份鑒別；是否支持核心業(yè)務(wù)的訪問權(quán)限控制；是否支持身份鑒別和權(quán)限管理的聯(lián)動(dòng)控制；是否支持對訪問控制時(shí)效的管理和驗(yàn)證。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)鑒別與訪問控制安全部門、崗位和人員。查驗(yàn)是否在組織層面制定了鑒別與訪問控制相關(guān)制度文件：查驗(yàn)該文件是否明確了權(quán)限申請和分配原則、變更制度、撤銷流程等內(nèi)容；查驗(yàn)該文件是否規(guī)定了賬號(hào)權(quán)限等的定期審核制度；查驗(yàn)該文件是否規(guī)定了賬號(hào)口令的訪問控制復(fù)雜度要求；查驗(yàn)該文件是否規(guī)定了不同業(yè)務(wù)數(shù)據(jù)的訪問控制粒度。查驗(yàn)組織的技術(shù)手段和工具：是否具備身份鑒別管理系統(tǒng)；是否具備權(quán)限管理系統(tǒng)；是否提供口令、密碼技術(shù)、生