典型敗據(jù)女全風(fēng)險(xiǎn)類別示例

數(shù)據(jù)安全風(fēng)險(xiǎn)類別數(shù)據(jù)安全風(fēng)險(xiǎn)定義數(shù)據(jù)安全風(fēng)險(xiǎn)具體補(bǔ)充說明

未經(jīng)授權(quán)接觸或修改數(shù)據(jù)由于數(shù)據(jù)注入、中間人攻擊等安全威脅，或者缺乏有效的安全措施、人員

數(shù)據(jù)篡改風(fēng)險(xiǎn)

有意或無意操作等,導(dǎo)致數(shù)據(jù)被未授權(quán)篡改等影響數(shù)據(jù)完整性的風(fēng)險(xiǎn).

非法或未經(jīng)許可使用、為造數(shù)據(jù)由于數(shù)據(jù)源欺膽、深度偽造等安全威脅，或者缺乏有效的安全措施、人員

數(shù)據(jù)假冒（偽造）風(fēng)險(xiǎn)行意或無意操作等.導(dǎo)致數(shù)據(jù)或數(shù)據(jù)源被偽迨、數(shù)據(jù)主體被仿自等安全風(fēng)

險(xiǎn).

無意或惡意通過技術(shù)手段使數(shù)據(jù)或敏感個(gè)人信息對(duì)外公開泄由于數(shù)據(jù)竊取、.爬取、脫庫(kù)、搔庫(kù)等安全威脅，或者缺乏有效的安全措施

數(shù)據(jù)泄露風(fēng)險(xiǎn)露、人仍操作失誤或有意盜取等，W致數(shù)據(jù)泄寤、惡意竊取、未授權(quán)訪問等

影響數(shù)據(jù)保密性的風(fēng)險(xiǎn)。

通過非技術(shù)手段（如心理學(xué)、話術(shù)等）誘導(dǎo)他人泄題數(shù)據(jù)或執(zhí)

社會(huì)工程風(fēng)險(xiǎn)

行行動(dòng)

數(shù)據(jù)攔截風(fēng)險(xiǎn)在數(shù)據(jù)到達(dá)目標(biāo)接收者之前非法捕獲數(shù)據(jù)

位置檢測(cè)風(fēng)險(xiǎn)非法檢測(cè)系統(tǒng)、個(gè)人的地理位置信息或敏感數(shù)據(jù)的存儲(chǔ)位置

干預(yù)深度學(xué)習(xí)訓(xùn)練數(shù)據(jù)集，在訓(xùn)練數(shù)據(jù)中加入精心構(gòu)造的異

數(shù)據(jù)投毒風(fēng)險(xiǎn)常數(shù)據(jù)，破壞原有訓(xùn)練數(shù)據(jù)的概率分布，導(dǎo)致模型在某些特

定條件下產(chǎn)生分類或聚類錯(cuò)誤

意或惡意濫用數(shù)據(jù)由于缺乏授權(quán)訪問控制、權(quán)限管控等有效的安全管控措施、人員有意或無

數(shù)據(jù)法用風(fēng)險(xiǎn)

意操作等，導(dǎo)致數(shù)據(jù)被未授權(quán)或超出授權(quán)范圍使用、加工的風(fēng)險(xiǎn)。

隱私侵犯其險(xiǎn)無意或惡意侵犯網(wǎng)絡(luò)中存在的敏感個(gè)人信息

因誤操作、人為都患或軟硬件缺陷等因素導(dǎo)致數(shù)據(jù)損失由于數(shù)據(jù)過我、軟硬件故障、備份失效、鏈路過我等問題，或者缺乏有效

數(shù)據(jù)損失《丟失）風(fēng)險(xiǎn)

的安全措施、人員有意或無意操作等，導(dǎo)致數(shù)據(jù)丟失'難以恢更等安全風(fēng)

數(shù)據(jù)安全風(fēng)險(xiǎn)類別效據(jù)安全風(fēng)除定義數(shù)據(jù)安全風(fēng)險(xiǎn)具帕卜充說明

險(xiǎn)

由于拒絕服務(wù)攻擊、自然災(zāi)害、嵌入惡意代碼、數(shù)據(jù)污染、設(shè)備故障等安

數(shù)據(jù)破壞風(fēng)險(xiǎn)全威脅,或者缺乏有效的安全措施、人員有毒或無意操作等,導(dǎo)致數(shù)據(jù)被

破壞、毀損、數(shù)據(jù)質(zhì)盤下降等影響數(shù)據(jù)可用性的風(fēng)險(xiǎn)。

違反法律、行政法規(guī)等有關(guān)規(guī)定，非法或違規(guī)（未經(jīng)授權(quán)利用技術(shù)手段，例

如竊聽、間課等））獲取、收集或脩竊數(shù)據(jù)的風(fēng)臉。數(shù)據(jù)

違法違規(guī)獲取風(fēng)險(xiǎn)

:App違反個(gè)人信息監(jiān)管政策或標(biāo)準(zhǔn)規(guī)范,存在違法違規(guī)收集使用個(gè)人信

息行為的風(fēng)險(xiǎn)。

違反法律、行政法規(guī)等有關(guān)規(guī)定，非法或違規(guī)向他人出售、交易數(shù)據(jù)的風(fēng)

違法違規(guī)出管數(shù)據(jù)

%

違反法律、行政法規(guī)等有關(guān)規(guī)定，非法或違規(guī)留存數(shù)據(jù)的風(fēng)險(xiǎn)，如送期留

違法違規(guī)保存數(shù)據(jù)

違法連規(guī)茨取、出售、保存、存、違規(guī)境外存儲(chǔ)等。

利用、提供、公開、購(gòu)買和違反法律、行政法規(guī)等有關(guān)規(guī)定，非法或違規(guī)使用、加工、委托處理數(shù)據(jù)

違法違規(guī)利用數(shù)據(jù)

出境數(shù)據(jù)的風(fēng)險(xiǎn)。

違反法律、行政法規(guī)等有關(guān)規(guī)定，非法或違規(guī)向他人提供、共享、交換、

違法違規(guī)提供數(shù)據(jù)

轉(zhuǎn)移數(shù)據(jù)的風(fēng)險(xiǎn).

違法違規(guī)公開數(shù)據(jù)違反法律、行政法規(guī)等有關(guān)規(guī)定,作法或違嫌公開數(shù)據(jù)的風(fēng)險(xiǎn).

違法違規(guī)購(gòu)買數(shù)據(jù)

違反法律、行政法規(guī)等有關(guān)規(guī)定，非法或違規(guī)購(gòu)買、收受數(shù)據(jù)的風(fēng)險(xiǎn).

違法違規(guī)出境數(shù)據(jù)違反法律、行政法規(guī)等行關(guān)規(guī)定，非法或違嫌向境外提供數(shù)據(jù)的風(fēng)險(xiǎn)。

2

數(shù)據(jù)安全風(fēng)險(xiǎn)類別效據(jù)安全風(fēng)除定義數(shù)據(jù)安全風(fēng)險(xiǎn)具帕卜充說明

超范圍處理數(shù)據(jù)數(shù)據(jù)處理活動(dòng)違反必要性原則，超范圍或過度收集使用個(gè)人信息或重要

數(shù)據(jù)的風(fēng)險(xiǎn)。

數(shù)據(jù)處理缺乏正當(dāng)性違反正當(dāng)性原則，數(shù)據(jù)處理活動(dòng)缺乏明確、合理的處理目的。

數(shù)據(jù)處理缺乏公平公正曰于缺乏安全管控措施、人員有意或無意操車等.

數(shù)據(jù)處理風(fēng)險(xiǎn)

導(dǎo)致數(shù)據(jù)處理違反公平公正、誠(chéng)實(shí)守信原則，侵犯其他組織或個(gè)人合法

權(quán)益的風(fēng)險(xiǎn)。

由于外部攻擊威脅、缺乏有效安全管控措施、人員肛意或無意操作等

數(shù)據(jù)處理抵賴風(fēng)險(xiǎn).導(dǎo)致處理者或第三方否認(rèn)數(shù)據(jù)處理行為或繞過數(shù)據(jù)安全措施等風(fēng)險(xiǎn)。

由于未采取有效的個(gè)人信息保護(hù)措施、人員操作或外部威

未有效保障個(gè)人信息主體權(quán)脅等，導(dǎo)致未能有效保障個(gè)人信息主體的知情權(quán)、決定

利權(quán)、限制或者拒絕個(gè)人信息處理等個(gè)人信息主體合法權(quán)利

由于第三方數(shù)據(jù)安全能力不足、缺乏有效的第三方管控措

施、合同協(xié)議缺失、外包人員操作等，導(dǎo)致委托處理或合

數(shù)據(jù)不可控風(fēng)險(xiǎn)作的笫三方違反法律法規(guī)或合同協(xié)議約定處理數(shù)據(jù).造成

第三方超范用處理數(shù)據(jù)、逾期留存數(shù)據(jù)、違規(guī)再轉(zhuǎn)移等數(shù)

據(jù)不可控風(fēng)險(xiǎn)

數(shù)據(jù)推斷風(fēng)險(xiǎn)由于未考慮數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系,導(dǎo)致從公開數(shù)據(jù)可推斷

出核心數(shù)據(jù)、重要數(shù)據(jù)、未公開的個(gè)人數(shù)據(jù)等，包括但不

限于面向人工智能模型的推理攻擊、面向基礎(chǔ)設(shè)施的跨域

推斷攻擊第

數(shù)據(jù)安全風(fēng)險(xiǎn)類別效據(jù)安全風(fēng)除定義數(shù)據(jù)安全風(fēng)險(xiǎn)具帕卜充說明

其他可能影響國(guó)家安全、公共利益或組織、個(gè)人合法權(quán)益的數(shù)

其他數(shù)據(jù)安全風(fēng)險(xiǎn)

據(jù)安全風(fēng)險(xiǎn)。

4

5

安全數(shù)指生命周期分類的敗據(jù)安全風(fēng)險(xiǎn)清單

安全數(shù)據(jù)生命周期階段安全數(shù)據(jù)風(fēng)險(xiǎn)分類安全數(shù)據(jù)風(fēng)險(xiǎn)描述

惡意代碼注入數(shù)據(jù)入庫(kù)時(shí)，惡意代碼隨數(shù)據(jù)注入到數(shù)據(jù)庫(kù)或信息系統(tǒng)，危害數(shù)據(jù)機(jī)密性、完整性、可用性。

數(shù)據(jù)無效寫入數(shù)據(jù)入庫(kù)時(shí)，數(shù)據(jù)不符合規(guī)范或無效.

數(shù)據(jù)污染！數(shù)據(jù)入陣時(shí)，攻擊者接入聚集系統(tǒng)污染待寫入的原始數(shù)據(jù)，破壞數(shù)據(jù)完整性，

數(shù)據(jù)分類分級(jí)或標(biāo)記錯(cuò)誤數(shù)據(jù)分類分級(jí)判斷錯(cuò)誤或打標(biāo)記錯(cuò)誤，導(dǎo)致數(shù)據(jù)受保護(hù)級(jí)別降低。

數(shù)據(jù)采集

數(shù)據(jù)源不在目前的管理目錄或者數(shù)據(jù)接口管理目錄中，造成采集過期數(shù)據(jù)源或非法數(shù)據(jù)源。

頻度不能否滿足數(shù)據(jù)共享的要求，數(shù)據(jù)產(chǎn)生部門匯集數(shù)據(jù)與大數(shù)據(jù)管理平臺(tái)采集數(shù)據(jù)頻度不一改。

數(shù)據(jù)范圍需求小于最初的數(shù)據(jù)共享范困，共享內(nèi)容不合規(guī).

數(shù)據(jù)切取攻擊者偽裝成外部地伯代理、國(guó)信對(duì)淅、處佑姓珞網(wǎng)夫，通過偽造溫級(jí)請(qǐng)求或1R定向竊取數(shù)據(jù)。

數(shù)據(jù)監(jiān)聽有權(quán)限的員工、第三方運(yùn)維與服務(wù)人員接入，或攻擊者越權(quán)接入內(nèi)部通信鏈路與網(wǎng)關(guān)、通信代理監(jiān)聽數(shù)據(jù).

數(shù)據(jù)傳輸

攻擊者接入外部通信鏈路與網(wǎng)關(guān)、通信代理、通信對(duì)端監(jiān)聽數(shù)據(jù)。

數(shù)據(jù)篡改攻擊者偽裝成通信代理或通信對(duì)端篡改數(shù)據(jù)。

數(shù)據(jù)破壞由于信息系統(tǒng)自身故障、物理環(huán)境變化或自然災(zāi)害導(dǎo)致的數(shù)據(jù)破壞，影響數(shù)據(jù)完整性和可耗性。

數(shù)據(jù)篡改算改網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息、安全配置信息、用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等，破版數(shù)據(jù)完整性和可用性.

數(shù)據(jù)分類分級(jí)或標(biāo)記錯(cuò)誤數(shù)據(jù)分類分級(jí)或相關(guān)標(biāo)記被篡改，導(dǎo)致數(shù)據(jù)受俁護(hù)級(jí)別降低。

數(shù)據(jù)存儲(chǔ)

數(shù)據(jù)竊取在贊據(jù)底服務(wù)器、文件服務(wù)器、辦公終端等對(duì)象上安裝惡意工具竊取數(shù)據(jù)。

惡意代碼執(zhí)行故意在數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、辦公終端等對(duì)象上安裝惡意工具慌取數(shù)據(jù).

安全數(shù)據(jù)生命周期階段安全數(shù)據(jù)風(fēng)險(xiǎn)分類安全數(shù)據(jù)風(fēng)險(xiǎn)描述

依托第三方云平臺(tái)、數(shù)據(jù)中心等存儲(chǔ)數(shù)據(jù)，沒有有效的約束與控制手段。

數(shù)據(jù)不可控在使用云計(jì)算.或其他技術(shù)時(shí)，數(shù)據(jù)存放位置不可控，導(dǎo)致數(shù)據(jù)存儲(chǔ)在境外數(shù)據(jù)中心，數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系發(fā)生改

變.

共享數(shù)據(jù)未脫敏與第三方機(jī)構(gòu)共享數(shù)據(jù)時(shí)，第三方機(jī)構(gòu)及其人員可以直接獲取敏礴無數(shù)據(jù)的調(diào)取、杳擰權(quán)限。

共享權(quán)限混亂與第三方機(jī)構(gòu)共享數(shù)據(jù)時(shí)，接口權(quán)限混亂，導(dǎo)致第三方能訪問共他未開放的數(shù)據(jù).

由于業(yè)務(wù)對(duì)數(shù)據(jù)需求不明確，或未實(shí)現(xiàn)基于業(yè)務(wù)人員與所需要數(shù)據(jù)的關(guān)系的訪問控制，業(yè)務(wù)人員獲取超過業(yè)務(wù)所需的數(shù)

數(shù)據(jù)共享

數(shù)據(jù)過度獲取據(jù)，容易造成數(shù)據(jù)泄露。

數(shù)據(jù)可被內(nèi)部員工獲取.組織對(duì)內(nèi)部員工所獲數(shù)據(jù)的保存、處理、再轉(zhuǎn)移等活動(dòng)不可控.

數(shù)據(jù)不可控?cái)?shù)據(jù)可被第三方服務(wù)商、合作商獲取，組織對(duì)第三方機(jī)構(gòu)及其員工所獲藪據(jù)的使用、留存、再轉(zhuǎn)移等活動(dòng)未約束或不掌

握

注入攻擊數(shù)據(jù)處理系統(tǒng)可能遭到惡意代碼注入、SQL注入等攻擊，造成信息泄海.危擊數(shù)據(jù)機(jī)密性、完整性、可用性。

數(shù)據(jù)訪問抵蝮人員訪問數(shù)據(jù)后，不承認(rèn)在某時(shí)刻用某賬號(hào)訪問過數(shù)據(jù)。

使用權(quán)限混亂處理系統(tǒng)調(diào)用數(shù)據(jù)接口權(quán)限混亂，導(dǎo)致能訪問其他未開放的數(shù)據(jù)，

數(shù)據(jù)過度獲取由于相關(guān)業(yè)務(wù)對(duì)數(shù)據(jù)需求不明畫，或未實(shí)現(xiàn)基于業(yè)務(wù)人員、系統(tǒng)與所需數(shù)據(jù)的關(guān)系的訪問控制，導(dǎo)致業(yè)務(wù)人員或處理系

數(shù)據(jù)加工統(tǒng)荻取蛤過業(yè)務(wù)所需數(shù)據(jù)，容易造成數(shù)據(jù)泄露。

數(shù)據(jù)不可控依托第三方機(jī)構(gòu)或外部處理系統(tǒng)處理數(shù)據(jù)，沒有有效的約束與控制手段.

敏f3源數(shù)甥未脫敏處理系統(tǒng)可直接調(diào)取鉞破元數(shù)據(jù)，容切導(dǎo)致信息泄露，

7

安全數(shù)據(jù)生命周期階段安全數(shù)據(jù)風(fēng)險(xiǎn)分類安全數(shù)據(jù)風(fēng)險(xiǎn)描述

數(shù)據(jù)到期未銷毀數(shù)據(jù)失效或業(yè)務(wù)關(guān)閉后，遺留的敏感數(shù)據(jù)仍然可以被訪問，破壞了數(shù)據(jù)的機(jī)密性。

數(shù)據(jù)植毀

數(shù)據(jù)未正確銷毀被轉(zhuǎn)毀數(shù)據(jù)通過技術(shù)手段可恢匏，破壞了數(shù)據(jù)的機(jī)密性。

按數(shù)據(jù)生命周期編制的數(shù)據(jù)安全風(fēng)險(xiǎn)（脆弱性）清單

敬捐生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)〈脆弱性》描述

數(shù)據(jù)采集采集終端未對(duì)用戶進(jìn)行身份鑒別

數(shù)據(jù)采集采集終端存在弱口令用戶

數(shù)據(jù)采集采集終端存在多人共用同一賬號(hào)的情況

數(shù)據(jù)采集采集終端未配置登錄失敗處理功能

數(shù)據(jù)采集采集終端用戶的口令未定期更換

數(shù)據(jù)采集采集終端未對(duì)用戶進(jìn)行訪問控制

數(shù)據(jù)采集采集終端未及時(shí)清理多余、過期的賬戶

數(shù)據(jù)采集采集終端存在超級(jí)管理員尊特權(quán)賬戶

數(shù)據(jù)采集采集終端未對(duì)用戶進(jìn)行安全審計(jì)

數(shù)據(jù)采集采集終端的安全審計(jì)未陵洲到所行用戶

數(shù)據(jù)采集未對(duì)采集終端的審計(jì)記錄進(jìn)行保護(hù)和備份

數(shù)據(jù)采集未對(duì)采集終端的審計(jì)進(jìn)程進(jìn)行保護(hù)，用戶可中斷進(jìn)程

數(shù)據(jù)采桀采集終眺所在的物理環(huán)境安全不可控，易受到破壞

數(shù)據(jù)采集采集終端所在的物理環(huán)境溫濕度指標(biāo)不可調(diào)節(jié),存在不符合終端「?作要求的情況

數(shù)據(jù)采集采集終端未對(duì)數(shù)據(jù)源的真實(shí)性（如名稱、IP等）進(jìn)行鑒別

數(shù)據(jù)采集采集終端存在安全漏洞或未及時(shí)安裝補(bǔ)丁程序

數(shù)據(jù)采集采集終端未對(duì)采集的數(shù)據(jù)注行分類分級(jí)標(biāo)識(shí)

數(shù)據(jù)采集未定期核查用于收集數(shù)據(jù)的軟硬件功能、接口功能、安全基線配置是否正常，并及時(shí)處理異常情況

數(shù)據(jù)采集未在采集設(shè)備的軟段件更渺、接口升皴、配置變更前，在測(cè)試環(huán)境中充分驗(yàn)證新版本的可用性，并制定變更失敗回退方案

數(shù)據(jù)采集采集終端不具備采集失效報(bào)警的功能，并能夠根據(jù)采集日志追溯至失效的采集部件

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)采集未建立采集設(shè)備過裁報(bào)警機(jī)制，應(yīng)根據(jù)預(yù)計(jì)的采集設(shè)番1:作負(fù)荷設(shè)計(jì)報(bào)警的閾值

:數(shù)據(jù)采集未計(jì)算實(shí)際業(yè)務(wù)的數(shù)據(jù)采集城，并依據(jù)設(shè)計(jì)文檔判斷實(shí)際的采集量是否大于預(yù)期的采集里

數(shù)據(jù)采集未使用密碼技術(shù)或校驗(yàn)技術(shù)對(duì)采臾的數(shù)據(jù)進(jìn)行完整性的校驗(yàn)

未建立數(shù)據(jù)分類分級(jí)審核機(jī)制,對(duì)策略進(jìn)行審核和批準(zhǔn)，并對(duì)數(shù)據(jù)的分級(jí)分類進(jìn)行監(jiān)控糾正，建立分級(jí)分類清單保護(hù)機(jī)制

數(shù)據(jù)采集,記錄數(shù)據(jù)分類分級(jí)清單的操作

載據(jù)采集未對(duì)無效數(shù)據(jù)建立審查回溯機(jī)制

數(shù)據(jù)采集大數(shù)據(jù)采集系統(tǒng)不具備冗余機(jī)制

數(shù)據(jù)采集未在分類的基礎(chǔ)上困繞數(shù)據(jù)損壞、丟失、泄露等建立數(shù)據(jù)分級(jí)

數(shù)據(jù)采集數(shù)據(jù)分類分級(jí)工具不具有敏修數(shù)據(jù)識(shí)別、敏感數(shù)據(jù)類型發(fā)現(xiàn)、自定義分類和分級(jí)、數(shù)據(jù)標(biāo)記管理、過程記錄、過程分析能

力

數(shù)據(jù)采集未留存數(shù)據(jù)分類分級(jí)清單

找據(jù)采集數(shù)據(jù)分類分級(jí)制度中未映射了業(yè)務(wù)屬性

數(shù)據(jù)采集未建立數(shù)據(jù)清洗、轉(zhuǎn)換操作相關(guān)的管理規(guī)范

依據(jù)采集未建立數(shù)據(jù)采集的規(guī)范和標(biāo)準(zhǔn)，包括采集的數(shù)據(jù)格式標(biāo)準(zhǔn)、采集范圍最小化原則、數(shù)據(jù)采集分級(jí)分類規(guī)范等

徽據(jù)采集當(dāng)業(yè)務(wù)變更時(shí)，未重新評(píng)估預(yù)計(jì)的業(yè)務(wù)采集量，并根據(jù)業(yè)務(wù)采集量重新設(shè)計(jì)數(shù)據(jù)采集設(shè)備的承載量

數(shù)據(jù)采集未在設(shè)計(jì)文檔中明確數(shù)據(jù)清洗、轉(zhuǎn)換過程中使用的規(guī)則、手段、方法

在數(shù)據(jù)清洗、轉(zhuǎn)換過程中，未保爾詳細(xì)的審計(jì)記錄，記錄內(nèi)容應(yīng)至少包括轉(zhuǎn)換/清洗前的數(shù)據(jù)、轉(zhuǎn)換/清洗后的數(shù)據(jù)、轉(zhuǎn)換/清

數(shù)據(jù)采集洗使用的手段和方法、轉(zhuǎn)換/清洗的時(shí)間等

數(shù)據(jù)采集未圍繞數(shù)據(jù)脫敏、數(shù)據(jù)加密、鏈路加密等建立數(shù)據(jù)采集過程保護(hù)

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)采集未圍統(tǒng)采集周期、采集頻率、采集內(nèi)容等設(shè)置統(tǒng)一數(shù)據(jù)采集策略

數(shù)據(jù)采集未對(duì)數(shù)據(jù)采集范圍進(jìn)行檢直、反饋和更新

數(shù)據(jù)采集未對(duì)數(shù)據(jù)采集過程進(jìn)行記錄與留存

數(shù)據(jù)采集未限制數(shù)據(jù)采集系統(tǒng)的訪位方式（如登錄地址限制、終端接入方式等），建立訪問權(quán)限管控機(jī)制，防止未預(yù)期的訪問者竊取

采集的數(shù)據(jù)

數(shù)據(jù)采集未建“.數(shù)據(jù)采集冊(cè)址管理規(guī)范、數(shù)據(jù)質(zhì)量管理潦程、實(shí)施數(shù)據(jù)質(zhì)培校驗(yàn)、數(shù)據(jù)質(zhì)量監(jiān)管，強(qiáng)化數(shù)據(jù)采集質(zhì)械能力

數(shù)據(jù)采集未建立數(shù)據(jù)源接入的申請(qǐng)和審核機(jī)制

數(shù)據(jù)采集未對(duì)接入數(shù)據(jù)源實(shí)現(xiàn)生命盾期管理，建立準(zhǔn)入準(zhǔn)出機(jī)制，并對(duì)數(shù)據(jù)源狀態(tài)進(jìn)行監(jiān)控

數(shù)據(jù)采集不具有數(shù)據(jù)源鑒別、數(shù)據(jù)海管理、數(shù)據(jù)源安全認(rèn)證能力

數(shù)據(jù)采集未困繞d網(wǎng)絡(luò)安仝法》￡數(shù)據(jù)安仝法》《個(gè)人信總保護(hù)法》等國(guó)家法律法規(guī)及行業(yè)規(guī)范，制定數(shù)據(jù)采集安仝合規(guī)管理規(guī)范

載據(jù)采集未以數(shù)據(jù)采集安全合規(guī)管理.規(guī)范為基礎(chǔ)，建立數(shù)據(jù)采集的風(fēng)險(xiǎn)評(píng)估流程

數(shù)據(jù)傳輸未借助負(fù)我均衡、防入侵攻擊等設(shè)備建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范

散據(jù)傳輸數(shù)據(jù)鏈路中部署的安全設(shè)備的性能（如支持的最大網(wǎng)絡(luò)并發(fā)連接量、接口最大帶寬量等）不能滿足業(yè)務(wù)高脩期數(shù)據(jù)傳輸?shù)男?/p>

求

散據(jù)傳輸未建立對(duì)加密算法配置、變更、管理等操作過程的審核機(jī)制和監(jiān)管手段

數(shù)據(jù)傳輸數(shù)據(jù)傳輸節(jié)點(diǎn)的性能（如支持的址大網(wǎng)絡(luò)并發(fā)連接量、接口最大帶寬量等）不能滿足業(yè)務(wù)高峰期數(shù)據(jù)傳輸?shù)男枨?/p>

數(shù)據(jù)傳輸未對(duì)密鑰進(jìn)行安全管理

數(shù)據(jù)傳輸未對(duì)密鑰系統(tǒng)管理人員建立審核監(jiān)怦機(jī)制

「據(jù)傳輸數(shù)據(jù)傳輸方未梳理需要保證傳輸完整性的場(chǎng)景

數(shù)據(jù)傳輸數(shù)據(jù)傳輸過程中.未采取有效措施保證數(shù)據(jù)完整性

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)傳輸數(shù)據(jù)傳輸方未梳理需要保證傳輸保密性的場(chǎng)累

數(shù)據(jù)傳輸數(shù)據(jù)傳輸過程中.未采取有效措施保證數(shù)據(jù)保密性

數(shù)據(jù)傳輸未根據(jù)數(shù)據(jù)分類分級(jí)管理規(guī)定制定相應(yīng)等級(jí)的數(shù)據(jù)傳輸策略

我據(jù)傳輸未對(duì)數(shù)據(jù)傳輸策略進(jìn)行檢查，對(duì)不符合規(guī)定的傳輸方式給予警告并整改

數(shù)據(jù)傳輸未對(duì)涉及國(guó)家重要信息、企業(yè)機(jī)密信息和個(gè)人除私信息的數(shù)據(jù)場(chǎng)聶進(jìn)行加密

數(shù)據(jù)傳輸未采用加密等安全方式對(duì)大數(shù)據(jù)平臺(tái)進(jìn)行遠(yuǎn)程管理，防止數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被竊聽

數(shù)據(jù)傳未對(duì)不同級(jí)別數(shù)據(jù)建立不同等級(jí)的加密傳輸能力

輸

姓據(jù)傳輸未在數(shù)據(jù)通信兩端采取身份鑒別機(jī)制來保證數(shù)據(jù)傳輸?shù)筋A(yù)期目標(biāo)

數(shù)據(jù)傳輸未對(duì)通過人機(jī)接口輸入或通過通信接「1榆人的內(nèi)容是否符合系統(tǒng)設(shè)定要求進(jìn)行檢行,不具有數(shù)據(jù)有效性檢蠟功能

教據(jù)傳輸不具備校驗(yàn)功能仃效性審計(jì)措施.當(dāng)發(fā)生功能失效的情況時(shí)，能夠及時(shí)向管理員提供警報(bào)或提示

數(shù)據(jù)傳輸數(shù)據(jù)傳愴方未提供通信線路、傳輸節(jié)點(diǎn)的硬件冗余

我據(jù)傳輸未對(duì)網(wǎng)絡(luò)設(shè)備的負(fù)載情況和網(wǎng)絡(luò)帶寬使用情況進(jìn)行監(jiān)控，并在不滿足業(yè)務(wù)高峰期需要時(shí)進(jìn)行告警

數(shù)據(jù)傳輸網(wǎng)絡(luò)總帶寬量和各傳輸鏈路帶寬量不能滿足業(yè)務(wù)高峰期數(shù)據(jù)傳輸?shù)男枨?/p>

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未對(duì)用戶進(jìn)行身份鑒別

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體存在弱口令用戶

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體存在多人共用同一賬號(hào)的情況

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未配置登錄失敗處理功能

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體用戶的口令未定期更換

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未對(duì)用戶進(jìn)行訪何控制

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未及時(shí)清理多余、過期的賬戶

費(fèi)據(jù)存儲(chǔ)存儲(chǔ)媒體存在超級(jí)管理由尊特權(quán)賬戶

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未對(duì)用戶迸行安全審計(jì)

我據(jù)存儲(chǔ)存儲(chǔ)媒體的安全審計(jì)未酸蠱到所有用戶

數(shù)據(jù)存儲(chǔ)組織未對(duì)存儲(chǔ)媒儂的審計(jì)記錄進(jìn)行保護(hù)和備份

數(shù)據(jù)存儲(chǔ)組織未對(duì)存儲(chǔ)媒體的審計(jì)進(jìn)程進(jìn)行保護(hù)，用戶可中斷進(jìn)程

數(shù)據(jù)存儲(chǔ)關(guān)鍵存儲(chǔ)媒體所在的物理環(huán)境未進(jìn)行電磁屏蔽

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體所在的物理環(huán)境安全不可控，易受到破壞

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體所在的物理環(huán)境溫濕度指標(biāo)不可調(diào)節(jié)，存在不符合終端工作要求的情況

然據(jù)存儲(chǔ)存儲(chǔ)媒體存在安全漏洞或未及時(shí)安裝補(bǔ)丁程序

鼓據(jù)存儲(chǔ)存儲(chǔ)媒體未配置安全的遠(yuǎn)程連接協(xié)議

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未關(guān)閉高危端口或非使用的端口

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體的網(wǎng)絡(luò)時(shí)仲未進(jìn)行同步

數(shù)據(jù)存儲(chǔ)組織未采取技術(shù)工具對(duì)存儲(chǔ)媒體的使用歷史、性能指標(biāo)、錯(cuò)決或損壞情況等性能進(jìn)行監(jiān)控

數(shù)據(jù)存儲(chǔ)未對(duì)備份數(shù)據(jù)定期開展檢查

數(shù)據(jù)存儲(chǔ)未對(duì)備份數(shù)據(jù)電立安全管控能力

數(shù)據(jù)存儲(chǔ)未定期對(duì)數(shù)據(jù)備份文件進(jìn)行恢復(fù)測(cè)試并記錄和保存測(cè)試結(jié)果

數(shù)據(jù)存儲(chǔ)未建立數(shù)據(jù)現(xiàn)制、備份與飯豆的操作規(guī)程

數(shù)據(jù)存儲(chǔ)未建立數(shù)據(jù)存儲(chǔ)冗余策略和設(shè)計(jì)指導(dǎo)

數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未進(jìn)行用戶-終端一對(duì)一綁定或限制遠(yuǎn)程連接網(wǎng)絡(luò)地址范圍

必?fù)?jù)存儲(chǔ)未對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)更要節(jié)點(diǎn)的入侵仃為進(jìn)行檢判井對(duì)產(chǎn)里事n進(jìn)H報(bào)警

數(shù)據(jù)存儲(chǔ)未對(duì)存儲(chǔ)介質(zhì)進(jìn)行分類分級(jí)

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)存儲(chǔ)未建立存儲(chǔ)介質(zhì)使用審批制度

費(fèi)據(jù)存儲(chǔ)未定期對(duì)存儲(chǔ)介質(zhì)開展測(cè)試

數(shù)據(jù)存儲(chǔ)未刻存儲(chǔ)介質(zhì)配置安全能力（如：認(rèn)證鑒權(quán)、訪問控制、通信舉證、文件防病毒等）

數(shù)據(jù)存儲(chǔ)未定期對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)進(jìn)行安全基線配置檢查

數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)系統(tǒng)不具備對(duì)多副本?致性進(jìn)行掃描自檢并對(duì)不一致數(shù)據(jù)嘗試進(jìn)行修藥和告警的機(jī)制

對(duì)委托第三方云平臺(tái)、數(shù)據(jù)中心等存儲(chǔ)數(shù)據(jù)的情況，第三方數(shù)據(jù)存儲(chǔ)服務(wù)供應(yīng)商未通過相應(yīng)等級(jí)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)

數(shù)據(jù)存儲(chǔ)或其他相關(guān)測(cè)評(píng)

對(duì)委托第三方云平臺(tái)、數(shù)據(jù)中心等存儲(chǔ)數(shù)據(jù)的情況，未與第三方數(shù)據(jù)存儲(chǔ)服務(wù)供應(yīng)商簽野了正式的數(shù)據(jù)存諸服務(wù)協(xié)議，并對(duì)

數(shù)據(jù)存儲(chǔ)其賁任、義務(wù)及地約后果邊行明確約定

數(shù)據(jù)存儲(chǔ)不具備對(duì)于如刪除數(shù)據(jù)、更改數(shù)據(jù)存儲(chǔ)系統(tǒng)配置等高危操作進(jìn)行授權(quán)審批的機(jī)制和技術(shù)手段

數(shù)據(jù)存儲(chǔ)未采用分布式存儲(chǔ)、容災(zāi)備份及恢發(fā)、業(yè)務(wù)快照等保證數(shù)據(jù)可用性的技術(shù)手段

數(shù)據(jù)存儲(chǔ)存儲(chǔ)的數(shù)據(jù)未自動(dòng)進(jìn)行分類分級(jí)

數(shù)據(jù)存儲(chǔ)組織未依據(jù)安全筑珞保證曳要數(shù)據(jù)的存儲(chǔ)完整性

數(shù)據(jù)存儲(chǔ)組織未依據(jù)安全策略保證電要數(shù)據(jù)的存儲(chǔ)機(jī)密性

基據(jù)存儲(chǔ)組織未對(duì)數(shù)據(jù)進(jìn)行本地備份和異地備份

盤據(jù)存儲(chǔ)未采用對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)的前入輸出接「1進(jìn)行安全管控并對(duì)接入設(shè)備進(jìn)行安全掃描的技術(shù)手段

組織未依據(jù)數(shù)據(jù)的大小、性質(zhì)（如結(jié)構(gòu)化、非結(jié)構(gòu)化等）等選擇合適的邏輯存儲(chǔ)方式（如集中存儲(chǔ)、分散存儲(chǔ)等）

數(shù)據(jù)存儲(chǔ)

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)存儲(chǔ)未定期對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)的運(yùn)維人員進(jìn)行培訓(xùn)和考核

數(shù)據(jù)處理不具備對(duì)個(gè)人信息去標(biāo)識(shí)化的處理能力

數(shù)據(jù)處理個(gè)人信息和重要數(shù)據(jù)在使用前，未進(jìn)行安全影響評(píng)估

我據(jù)處理未建立敏感數(shù)據(jù)訪問控制機(jī)制

數(shù)據(jù)處理未定期查看數(shù)據(jù)處理活動(dòng)操作審計(jì)記錄

數(shù)據(jù)處理未審核數(shù)據(jù)處理的日常操作行為，對(duì)違規(guī)行為予以提醒

數(shù)據(jù)處理組織未依據(jù)脫敏策珞對(duì)數(shù)據(jù)進(jìn)行脫板

數(shù)據(jù)處理未困繞損壞、丟失、竊取等建立數(shù)據(jù)處理環(huán)境保護(hù)機(jī)制

數(shù)據(jù)處理未圍繞訪問控制、監(jiān)管審計(jì)、職費(fèi)分離等建立數(shù)據(jù)處理安全能力

數(shù)據(jù)處理未對(duì)數(shù)據(jù)處理過程建立適當(dāng)?shù)氖跈?quán)審批機(jī)制

數(shù)據(jù)處理未制定數(shù)據(jù)處理過程操作垃范

數(shù)據(jù)處理計(jì)對(duì)數(shù)據(jù)處理結(jié)果訪問與使用，木建立過當(dāng)?shù)臋?quán)限背拄和申i1機(jī)制

基據(jù)處理組織未對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出過程進(jìn)行監(jiān)控和審計(jì)

數(shù)據(jù)處理組織未對(duì)數(shù)據(jù)分析過程進(jìn)行監(jiān)控和審計(jì)

數(shù)據(jù)處理未制定數(shù)據(jù)分析過程中數(shù)據(jù)資源操作規(guī)范和實(shí)施指南

數(shù)據(jù)處理未建立對(duì)數(shù)據(jù)分析結(jié)果進(jìn)行審核的機(jī)制

數(shù)據(jù)處理組織未對(duì)數(shù)據(jù)使用過程進(jìn)行監(jiān)控和審計(jì)

數(shù)據(jù)處理未建立數(shù)據(jù)使用者安全貨任制度

數(shù)據(jù)處理使用個(gè)人信息，未建立在明示同意的基礎(chǔ)上

數(shù)據(jù)處理組織未對(duì)數(shù)據(jù)脫敏過程進(jìn)行監(jiān)控和審計(jì)

轂據(jù)處理未制定數(shù)據(jù)脫敏處理規(guī)范和流程

數(shù)據(jù)處理木建立適當(dāng)?shù)臄?shù)據(jù)脫敬效果評(píng)估機(jī)制

數(shù)據(jù)處理未明瑜需要數(shù)據(jù)脫敏的業(yè)務(wù)場(chǎng)景

數(shù)據(jù)處理不具備統(tǒng)一數(shù)據(jù)脫敏工具1包括：瞪態(tài)脫敏、動(dòng)態(tài)脫敏）

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)處理數(shù)據(jù)脫敏1:具未與數(shù)據(jù)權(quán)限管理平臺(tái)實(shí)現(xiàn)聯(lián)動(dòng)

數(shù)據(jù)處理未對(duì)數(shù)據(jù)脫敏操作過程進(jìn)行記錄

數(shù)據(jù)處理未制定特權(quán)賬戶的使用規(guī)范

我據(jù)處理未建立審核違規(guī)使用和惡意行為的機(jī)制

數(shù)據(jù)處理組織未對(duì)用戶可執(zhí)行的操作進(jìn)行時(shí)間和網(wǎng)絡(luò)范用上的限制

數(shù)據(jù)處理未定期審計(jì)不同賬戶的使用情況

數(shù)據(jù)交換未建立數(shù)據(jù)導(dǎo)入導(dǎo)出安全保障制度規(guī)范

數(shù)據(jù)交換未基于數(shù)據(jù)分類分級(jí)要求在立數(shù)據(jù)導(dǎo)入導(dǎo)出安全策略

數(shù)據(jù)交換未對(duì)導(dǎo)入導(dǎo)出行為進(jìn)行記永

數(shù)據(jù)交換不具有導(dǎo)入導(dǎo)出權(quán)限管理能力

數(shù)據(jù)交換不具有導(dǎo)入導(dǎo)出身份認(rèn)證能力

數(shù)據(jù)文換不具有導(dǎo)入導(dǎo)出完性性驗(yàn)證能力

數(shù)據(jù)交換組織未明確數(shù)據(jù)發(fā)布公開的內(nèi)容、范圍和規(guī)葩

數(shù)據(jù)交換組織未定期審查發(fā)布數(shù)據(jù)中是否包含非公開信息

數(shù)據(jù)交換組織未對(duì)數(shù)據(jù)發(fā)布行為進(jìn)行安全審計(jì)

數(shù)據(jù)交換不具有數(shù)據(jù)資源公開應(yīng)急處置能力

數(shù)據(jù)交換組織未明確數(shù)據(jù)共享的內(nèi)容葩困

.數(shù)據(jù)交換組織未明確數(shù)據(jù)共享的管理措施和安全規(guī)范

依據(jù)交換組織未明確數(shù)據(jù)共享涉及的各部門和崗位的職貢與權(quán)限

依據(jù)交換組織未對(duì)數(shù)據(jù)共享行為進(jìn)行安全審計(jì)

數(shù)據(jù)交換數(shù)據(jù)共享范用，不符合國(guó)家、政務(wù)行業(yè)及區(qū)域相關(guān)規(guī)定

散據(jù)交換數(shù)據(jù)共享策略，不滿足相關(guān)法律法規(guī)和數(shù)據(jù)保護(hù)要求

數(shù)據(jù)交換未制定數(shù)據(jù)共享流程規(guī)范

數(shù)據(jù)交換數(shù)據(jù)共享接口未配置必要的訪問權(quán)限控制

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)交換未建立適當(dāng)?shù)墓蚕頂?shù)據(jù)湖源機(jī)制

數(shù)據(jù)交換未建立數(shù)據(jù)共享場(chǎng)嵬的規(guī)范要求

數(shù)據(jù)交換未建立數(shù)據(jù)共享審核流程

數(shù)據(jù)交換不具有數(shù)據(jù)共享審計(jì)策略

數(shù)據(jù)交換未利用數(shù)據(jù)加密、安全通道等措施保護(hù)共享數(shù)據(jù)

數(shù)據(jù)交換不具有API數(shù)據(jù)接口安全防范能力

數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)未建立防數(shù)據(jù)槌取機(jī)制

數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)用戶在登錄時(shí)未采用身份鑒別措施

數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)用戶列表里的用戶身份標(biāo)識(shí)不具有唯一性

數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)存在空口令用戶

數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)未根據(jù)業(yè)務(wù)需求和安全要求建立適當(dāng)?shù)脑L問控制機(jī)制

數(shù)據(jù)交換針對(duì)數(shù)據(jù)開放平臺(tái)未對(duì)特權(quán)賬戶、驚時(shí)賬戶等特殊用戶進(jìn)行管控

鎖據(jù)交換未定期對(duì)數(shù)據(jù)開放平臺(tái)的安全性進(jìn)行驗(yàn)證

鼓據(jù)銷毀組織未明確存儲(chǔ)媒體銷毀處理策略、管理制度和機(jī)制，以及銷毀對(duì)象和流程

「據(jù)銷毀組織未對(duì)存儲(chǔ)媒體的銷毀行為進(jìn)行記錄

裁據(jù)銷毀組織未對(duì)存儲(chǔ)媒體的銷毀過程進(jìn)行監(jiān)控

數(shù)據(jù)銷毀組織未依據(jù)存儲(chǔ)媒體類型的不同,建立軟銷毀和硬銷毀的銷毀策略

數(shù)據(jù)銷毀未設(shè)置數(shù)據(jù)銷毀的監(jiān)怦角色

數(shù)據(jù)銷毀未建立數(shù)據(jù)銷毀審批機(jī)制

數(shù)據(jù)銷毀組織未明確數(shù)據(jù)銷毀場(chǎng)景、銷毀刻象、銷毀方式、銷毀要求

數(shù)據(jù)銷毀組織未依據(jù)國(guó)家法律法規(guī)要求，銷毀個(gè)人信息、重要數(shù)據(jù)等敏感數(shù)據(jù)

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

數(shù)據(jù)銷毀未配備必要的數(shù)據(jù)銷毀1:其

姓據(jù)銷毀不具備識(shí)別并銷毀全部數(shù)據(jù)副本及備份數(shù)據(jù)的機(jī)制和技術(shù)手段

數(shù)據(jù)銷毀不具備確保被銷毀數(shù)據(jù)及其副本內(nèi)容不可被恢復(fù)的措施和技術(shù)手段

數(shù)據(jù)銷毀未建立針對(duì)數(shù)據(jù)銷毀效果的評(píng)估機(jī)制

數(shù)據(jù)銷毀關(guān)于個(gè)人信息的銷毀策略及管理制度，不滿足國(guó)家相關(guān)法律和標(biāo)準(zhǔn)的要求

數(shù)據(jù)銷毀關(guān)于重要數(shù)據(jù)的捐毀策略及管理制度，不滿足國(guó)家相關(guān)法律和標(biāo)準(zhǔn)的要求

通用階段組線未指定或授權(quán)業(yè)務(wù)部門或人員負(fù)資數(shù)據(jù)安全管理制度的制定

通用階段組織未編制和更新數(shù)據(jù)安全合規(guī)活電

通用階段組織未及時(shí)更新數(shù)據(jù)處理制度流程以及技術(shù)工具

通用階段組織未對(duì)非授權(quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制

通用階段組織未對(duì)內(nèi)部用戶非授權(quán)連接到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制

通用階段網(wǎng)絡(luò)區(qū)域邊界隔離策略不合理或未設(shè)置邊界隔離

城用階段組織未及時(shí)變更或終止數(shù)據(jù)安全溝位轉(zhuǎn)離崗人員的數(shù)據(jù)訪問權(quán)限

延用階段組織未定期對(duì)數(shù)據(jù)安全崗也人員進(jìn)行安全意識(shí)和崗位技能培訓(xùn)和考核

跡用階段組織未對(duì)外部訪問人員進(jìn)行安全管控，如訪問受控區(qū)域管理、數(shù)據(jù)訪問權(quán)限控制、涉密時(shí)簽署保?密協(xié)議等

通用階段組織未建立數(shù)據(jù)安全領(lǐng)導(dǎo)小組,指定機(jī)構(gòu)最高管理者或授權(quán)代表?yè)?dān)任小組組長(zhǎng),并明確組長(zhǎng)與小組各戊員的崗位職員

適用階段組織未開展數(shù)據(jù)安全需求分析

好用階段組織未對(duì)數(shù)據(jù)供應(yīng)商的數(shù)據(jù)安全能力進(jìn)行評(píng)估

盜用階段組織未形成數(shù)據(jù)資產(chǎn)清單并定期更新維護(hù)

27

數(shù)據(jù)生命周期安全數(shù)據(jù)風(fēng)險(xiǎn)（脆弱性）描述

遴用階段組織未采取可靠技術(shù)措施將更要業(yè)務(wù)網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域進(jìn)行隔離

通用階段無線接入設(shè)備未開啟接入認(rèn)證功能

冠用階段組織未限制無線⑼絡(luò)的使用，或無線網(wǎng)絡(luò)未通過安全網(wǎng)關(guān)接入內(nèi)部網(wǎng)絡(luò)

通用階段業(yè)務(wù)系統(tǒng)在建設(shè)的過程中耒遵循數(shù)據(jù)安全“三同步”原則，設(shè)計(jì)偏向功能實(shí)現(xiàn)，忽視數(shù)據(jù)安全建設(shè)

盜用階段組織缺乏快速有效的數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制和溯源機(jī)制

通用階段組織缺乏各部門之間聯(lián)動(dòng)的數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)警和應(yīng)急響應(yīng)機(jī)制

通用階段組織未明確元數(shù)據(jù)語(yǔ)義的統(tǒng)一格式和管理規(guī)則

延用階段數(shù)據(jù)安全管理制度未通過正式、有效的方式進(jìn)行發(fā)布，并進(jìn)行版本控制

通用階段組織未依據(jù)實(shí)際執(zhí)行情況對(duì)數(shù)據(jù)安全管理制度的合理性和適用性進(jìn)行論證和審定

27

安全敷is安全威脅與脆的性的利用關(guān)系示例

數(shù)據(jù)安全風(fēng)險(xiǎn)（威

數(shù)據(jù)安全風(fēng)險(xiǎn)（威脅）行為風(fēng)險(xiǎn)（脆弱性）描述

脅）類別

越權(quán)訪問與數(shù)據(jù)資源

任何用戶在任何網(wǎng)絡(luò)環(huán)境下可登錄進(jìn)行任何操作

濫用采集終端未對(duì)用戶進(jìn)行身份鑒

越權(quán)訪問與數(shù)據(jù)資源

任何用戶在破解授權(quán)用戶口令后可在任何時(shí)間進(jìn)行越權(quán)操作

濫用采集終端存在弱口令用戶

授權(quán)用戶在登錄之后，在任何時(shí)間可目充他人進(jìn)行任何操作，造成

采集終端存在多人共用同一賬號(hào)的情況

身份假日追貨困難

任何用戶可在任何網(wǎng)絡(luò)環(huán)境下對(duì)授權(quán)用戶的口令進(jìn)行暴力破解，進(jìn)

身份假目而登錄進(jìn)行任何操作采集終端未配置登錄失敗處理功

身份假目任何用戶在破解授權(quán)用戶口令后可在任何時(shí)間進(jìn)行越權(quán)操作采集終端用戶的口令未定期更換

越權(quán)訪問與數(shù)據(jù)資源

授權(quán)用戶在任何網(wǎng)絡(luò)環(huán)境卜.，可登錄進(jìn)行任何操作

濫用采集終端未對(duì)用戶進(jìn)行訪問控

越權(quán)訪問與數(shù)據(jù)資源

非授權(quán)用戶在任何網(wǎng)絡(luò)式境下，可登錄進(jìn)行任何操作采集終端未及時(shí)清理多余、過期的賬戶

濫用

越權(quán)訪問與數(shù)據(jù)資源

授權(quán)用戶在任何網(wǎng)絡(luò)環(huán)境下，可登錄進(jìn)行任何操作采集終端存在超縱管理員等特權(quán)賬戶

濫用

46

數(shù)據(jù)安全風(fēng)險(xiǎn)（威

數(shù)據(jù)安全風(fēng)險(xiǎn)（威脅）行為風(fēng)險(xiǎn)（脆弱性）描述

脅）類別

越權(quán)訪問與數(shù)據(jù)資源

授權(quán)用戶可在任何網(wǎng)絡(luò)仄境下，聯(lián)錄進(jìn)行越權(quán)操作

濫用采集終端未對(duì)用戶進(jìn)行安全審計(jì)

越權(quán)訪問與數(shù)據(jù)資滁

部分授權(quán)用戶可在任何忖絡(luò)環(huán)境下，登錄進(jìn)行越權(quán)操作采先終端的安全審計(jì)未SI蓋到所有用戶

濫用

越權(quán)訪問與數(shù)據(jù)資源

任何用戶可在任何網(wǎng)絡(luò)衣境下對(duì)審計(jì)記錄進(jìn)行刪除.口無法恢究未對(duì)采集終端的審計(jì)記錄進(jìn)行保護(hù)和備份

濫用

越權(quán)訪問與數(shù)據(jù)資源

授權(quán)用戶可在任何網(wǎng)絡(luò)方境下,中斷南“進(jìn)程而進(jìn)行越權(quán)操作未對(duì)聚集終端的審訂進(jìn)程進(jìn)行保護(hù)?用戶可中斷進(jìn)程

濫用

任何用戶或小蟻鼠害等"I?在任何時(shí)間對(duì)采集終端進(jìn)行破壞采集終端所在的物理環(huán)境安全不可控，易受到破壞

物理破壞

采集終端所在的物理環(huán)境溫濕度指標(biāo)不可調(diào)節(jié)，存在

任何時(shí)間下,采集終端由丁?溫濕度不符合條件而停止1:作

物理環(huán)境變化不符合終端工作要求的情況

采集終端未對(duì)數(shù)據(jù)源的真實(shí)性（如名稱、IP等）進(jìn)行鑒

身份假耳非授權(quán)用戶可在任何網(wǎng)絡(luò)環(huán)境下冒充授權(quán)采集源提交數(shù)據(jù)

別

任何用戶可在任何網(wǎng)絡(luò)壞境下，對(duì)采集終端進(jìn)行任何攻擊行為采集終端存在安全漏洞或未及時(shí)安裝撲丁程序

惡意代碼注入

46

數(shù)據(jù)安全風(fēng)險(xiǎn)（威

數(shù)據(jù)安全風(fēng)險(xiǎn)（威脅）行為風(fēng)險(xiǎn)（脆弱性）描述

脅）類別

授權(quán)用戶在配置安全策略時(shí)，無任何參考，隨意配置或一致性配冏采集終端未對(duì)采集的數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)

分類分級(jí)標(biāo)記

未定期核查用于收集數(shù)據(jù)的軟硬件功能、接口功能、

采集終端可能由于異常原因停止1:作

業(yè)務(wù)中斷/緩慢安全基線配置是否正常，并及時(shí)處理異常情況

未在采集設(shè)備的軟硬件更新、接口升級(jí)、配置變更前

.在測(cè)試環(huán)境中充分驗(yàn)沛新版本的可用件.并制定在

業(yè)務(wù)中斷/緩慢采集終端可能由于升級(jí)、更新等操作而停止工作

更失敗同退方案

采集終端不具備采集失效報(bào)警的功能,并能夠根據(jù)采

聚集終端可能由于某些原因停止工作，而相關(guān)人員無法及時(shí)發(fā)現(xiàn)

業(yè)務(wù)中斷/緩慢集H志追溯至失效的采集部件

業(yè)務(wù)中斷/緩慢數(shù)據(jù)采集業(yè)務(wù)可能由于采集系統(tǒng)發(fā)生故障而被迫中斷大數(shù)據(jù)采集系統(tǒng)不具備冗余機(jī)制

未計(jì)算實(shí)際業(yè)務(wù)的數(shù)據(jù)采集量，并依據(jù)設(shè)計(jì)文檔判斷實(shí)

實(shí)際采集的數(shù)據(jù)可能超出項(xiàng)期量，造成數(shù)據(jù)采集存儲(chǔ)設(shè)備性俄浪費(fèi)

采集過數(shù)際的采集量是否大于預(yù)期的采集量

46

數(shù)據(jù)安全風(fēng)險(xiǎn)（威

數(shù)據(jù)安全風(fēng)險(xiǎn)（威脅）行為風(fēng)險(xiǎn)（脆弱性）描述

脅）類別

當(dāng)業(yè)務(wù)變更時(shí)，未重新評(píng)估預(yù)計(jì)的業(yè)務(wù)采集被，并根

實(shí)際采集的數(shù)據(jù)可能超出預(yù)期量,造成數(shù)據(jù)采集存儲(chǔ)設(shè)備性能浪費(fèi)

采集過載據(jù)業(yè)務(wù)采集量重新設(shè)計(jì)數(shù)據(jù)采集設(shè)備的承載量

未建立采集設(shè)需過菽報(bào)警機(jī)制,應(yīng)根據(jù)預(yù)計(jì)的采集設(shè)備

業(yè)務(wù)中斷/緩慢采集設(shè)備可能由于過裁而停止工作工作負(fù)荷設(shè)計(jì)報(bào)警的閾值

任何人員可在任何時(shí)間，通過任何終端隨意地進(jìn)行數(shù)據(jù)清洗、轉(zhuǎn)換

未建立數(shù)據(jù)清洗、轉(zhuǎn)換操作相關(guān)的管理規(guī)范

清洗轉(zhuǎn)換錯(cuò)誤等操作

任何人員可在任何時(shí)間，通過任何終端隙意地進(jìn)行數(shù)據(jù)清洗、轉(zhuǎn)換未在設(shè)計(jì)文檔中明確數(shù)據(jù)清洗、轉(zhuǎn)換過程中使用的規(guī)

清洗能換錯(cuò)誤等操作則、手段、方法

在數(shù)據(jù)清洗、轉(zhuǎn)換過程中，未保留詳細(xì)的審計(jì)記錄，

記錄內(nèi)容應(yīng)至少包括何換/清洗前的數(shù)據(jù)、轉(zhuǎn)換/清洗

后的數(shù)據(jù)、轉(zhuǎn)換/清洗使用的手段和方法、轉(zhuǎn)換/清洗

清洗轉(zhuǎn)換錯(cuò)誤無法對(duì)數(shù)據(jù)清洗、轉(zhuǎn)換過程進(jìn)行追溯

的時(shí)間等