報(bào)告編號(hào)：重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告附件1 報(bào)告編號(hào)：重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告模板（2024年版）被測(cè)單位：XX單位評(píng)估單位：XX單位報(bào)告時(shí)間：20XX年XX月XX日III聲明【填寫說明：聲明是評(píng)估機(jī)構(gòu)對(duì)評(píng)估報(bào)告的有效性前提、評(píng)估結(jié)論的適用范圍以及使用方式等有關(guān)事項(xiàng)的陳述，評(píng)估機(jī)構(gòu)可參考以下建議書寫內(nèi)容編制。】本報(bào)告是[被評(píng)估方]的重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告。本報(bào)告評(píng)估結(jié)論的有效性建立在被評(píng)估方提供相關(guān)證據(jù)的真實(shí)性基礎(chǔ)之上。本報(bào)告中給出的評(píng)估結(jié)論僅對(duì)被評(píng)估方當(dāng)時(shí)的安全狀態(tài)有效。當(dāng)評(píng)估工作完成后，由于被評(píng)估方發(fā)生變更而涉及到的數(shù)據(jù)或數(shù)據(jù)理活動(dòng)本報(bào)告不再適用。在任何情況下，若需引用本報(bào)告中的評(píng)估結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對(duì)相關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽造或掩蓋事實(shí)。單位名稱（加蓋單位公章）年月日

重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估基本信息表被評(píng)估單位信息單位名稱統(tǒng)一社會(huì)信用代碼單位地址郵政編碼評(píng)估對(duì)象聯(lián)系人姓名職務(wù)/職稱聯(lián)系方式所屬部門真實(shí)性聲明被評(píng)估方承諾：提供的所有材料準(zhǔn)確、真實(shí)、合法、有效，并愿為此承擔(dān)有關(guān)法律責(zé)任。網(wǎng)絡(luò)安全責(zé)任人評(píng)估單位信息單位名稱單位地址郵政編碼聯(lián)系人姓名聯(lián)系方式審核批準(zhǔn)評(píng)估組長(zhǎng)日期審核人日期報(bào)告概述[評(píng)估方]受[被評(píng)估方]的委托于XX年XX月XX日至XX年XX月XX日開展重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)[被評(píng)估方]的XX系統(tǒng)進(jìn)行重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，通過評(píng)估項(xiàng)目的實(shí)施根據(jù)被測(cè)信息系統(tǒng)當(dāng)前的安全狀況，給出評(píng)估結(jié)果并提出改進(jìn)建議，為后續(xù)的整改工作提供參考依據(jù)。本次評(píng)估工作主要采用人員訪談、文檔查驗(yàn)、配置核查、工具測(cè)試等方法，評(píng)估范圍涉及數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)及數(shù)據(jù)安全技術(shù)等方面。通過對(duì)[被評(píng)估方]以及XX系統(tǒng)綜合評(píng)估，評(píng)估人員發(fā)現(xiàn)：[被評(píng)估方]……（根據(jù)實(shí)際情況闡述被評(píng)估方在網(wǎng)絡(luò)安全工作方面值得肯定的成績(jī)）【示例：[被評(píng)估方]高度重視數(shù)據(jù)安全防護(hù)工作，為安全保障工作投入了大量時(shí)間、人力和精力；制定有較為完善的安全策略、安全規(guī)范及操作細(xì)則等相關(guān)管理制度；在合規(guī)管理層面完善數(shù)據(jù)安全內(nèi)控管理，在技術(shù)防護(hù)層面通過防泄露、數(shù)據(jù)加密、數(shù)據(jù)脫敏等技術(shù)提升數(shù)據(jù)安全防護(hù)能力；在運(yùn)營(yíng)監(jiān)測(cè)層面實(shí)現(xiàn)了數(shù)據(jù)安全風(fēng)險(xiǎn)感知】。通過進(jìn)一步評(píng)估發(fā)現(xiàn)，[被評(píng)估方]……（根據(jù)實(shí)際情況闡述被評(píng)估方在網(wǎng)絡(luò)安全工作方面存在的安全風(fēng)險(xiǎn)）【示例：[被評(píng)估方]仍存在一些安全風(fēng)險(xiǎn)，需要進(jìn)一步完善和加強(qiáng)。本次評(píng)估過程中歸納總結(jié)出問題項(xiàng)共XX個(gè)，其中重大安全風(fēng)險(xiǎn)XX個(gè)、高安全風(fēng)險(xiǎn)XX個(gè)、中安全風(fēng)險(xiǎn)XX個(gè)、低安全風(fēng)險(xiǎn)XX個(gè)、輕微安全風(fēng)險(xiǎn)XX個(gè)。其中主要問題表現(xiàn)為XXXXXX。在此基礎(chǔ)上，我們強(qiáng)化問題的整改跟蹤并提出下一步工作建議，逐步提升數(shù)據(jù)安全保障能力，持續(xù)完善數(shù)據(jù)安全機(jī)制，確保數(shù)據(jù)安全風(fēng)險(xiǎn)可控。建議及時(shí)根據(jù)報(bào)告中提出的風(fēng)險(xiǎn)進(jìn)行確認(rèn)和整改】。目錄TOC\o"1-2"\h\z\u聲明 I重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估基本信息表 II報(bào)告概述 III目錄 V一、評(píng)估概述 11.1評(píng)估目的 11.2評(píng)估依據(jù) 11.3評(píng)估對(duì)象和范圍 11.4報(bào)告分發(fā)范圍 2二、評(píng)估方法 32.1評(píng)估原理 32.2評(píng)估手段 8三、評(píng)估工作開展情況 93.1評(píng)估人員情況 93.2評(píng)估時(shí)間安排情況 103.3評(píng)估測(cè)試工具情況 11四、信息調(diào)研情況 124.1數(shù)據(jù)處理者基本情況 124.2業(yè)務(wù)和信息系統(tǒng)情況 124.3數(shù)據(jù)資產(chǎn)情況 164.4數(shù)據(jù)處理活動(dòng)情況 174.5數(shù)據(jù)流程圖 244.6安全措施情況 24五、風(fēng)險(xiǎn)識(shí)別情況 255.1數(shù)據(jù)安全管理風(fēng)險(xiǎn)識(shí)別 255.2數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)識(shí)別 255.3數(shù)據(jù)安全技術(shù)風(fēng)險(xiǎn)識(shí)別 26六、安全問題整改建議 266.1風(fēng)險(xiǎn)分析與評(píng)價(jià) 266.2工具測(cè)試問題描述 26七、安全問題整改建議 27附錄A重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估記錄表 28附錄B漏洞掃描結(jié)果記錄 49附錄C典型數(shù)據(jù)安全風(fēng)險(xiǎn)類別 50附錄D評(píng)估結(jié)果證明記錄 52第51頁(yè)|共=NUMPAGES61-952頁(yè)評(píng)估概述1.1評(píng)估目的為落實(shí)《數(shù)據(jù)安全法》等法律法規(guī)要求或安全監(jiān)管需要，對(duì)數(shù)據(jù)處理者的數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)和數(shù)據(jù)安全技術(shù)情況等進(jìn)行安全評(píng)估，發(fā)現(xiàn)存在的安全問題和風(fēng)險(xiǎn)隱患，督促數(shù)據(jù)處理者健全安全制度、改進(jìn)安全措施、堵塞安全漏洞，進(jìn)一步提高數(shù)據(jù)安全能力。1.2評(píng)估依據(jù)TC260-PG-20231A《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》GB/TXXXXX-XXXX《信息安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見稿）》GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》《政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全評(píng)估實(shí)施指南》1.3評(píng)估對(duì)象和范圍【評(píng)估對(duì)象選擇原則：根據(jù)GB/TXXXXX—XXXX《信息安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見稿）》5.2風(fēng)險(xiǎn)要素關(guān)系，需將“數(shù)據(jù)”和“數(shù)據(jù)處理活動(dòng)”作為評(píng)估對(duì)象?！勘鞸EQ表格\*ARABIC1評(píng)估對(duì)象表序號(hào)評(píng)估對(duì)象1XX數(shù)據(jù)2XX數(shù)據(jù)處理活動(dòng)3…1.4報(bào)告分發(fā)范圍本次重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告正本一式3份，其中[被評(píng)估方]1份，[評(píng)估機(jī)構(gòu)]1份，被評(píng)估方同級(jí)網(wǎng)信部門1份。

評(píng)估方法2.1評(píng)估原理2.1.1風(fēng)險(xiǎn)歸類根據(jù)數(shù)據(jù)安全問題清單，分析數(shù)據(jù)安全風(fēng)險(xiǎn)源可能引發(fā)的安全風(fēng)險(xiǎn)，按照風(fēng)險(xiǎn)類型對(duì)風(fēng)險(xiǎn)源歸類，典型數(shù)據(jù)安全風(fēng)險(xiǎn)類別見附錄C。2.1.2風(fēng)險(xiǎn)危害程度分析風(fēng)險(xiǎn)危害程度分析，主要分析數(shù)據(jù)的價(jià)值、重要性、規(guī)模、種類，以及數(shù)據(jù)處理目的、方式、范圍等要素，綜合評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)一旦發(fā)生，對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度。風(fēng)險(xiǎn)危害程度從低到高可分為很低、低、中、高、很高5個(gè)級(jí)別。風(fēng)險(xiǎn)危害程度分析遵循就高從嚴(yán)、整體分析原則，如果該風(fēng)險(xiǎn)涉及多個(gè)數(shù)據(jù)資產(chǎn)，應(yīng)進(jìn)行累加判斷，將涉及數(shù)據(jù)的風(fēng)險(xiǎn)按照最高危害等級(jí)判斷。風(fēng)險(xiǎn)危害程度評(píng)價(jià)，主要考慮數(shù)據(jù)價(jià)值、數(shù)據(jù)重要性、風(fēng)險(xiǎn)源嚴(yán)重程度三個(gè)因素，分析方法如下：a）數(shù)據(jù)價(jià)值主要從數(shù)據(jù)資產(chǎn)的經(jīng)濟(jì)效益、業(yè)務(wù)效益、投入成本計(jì)量等方面分析。b）數(shù)據(jù)重要性主要從數(shù)據(jù)分級(jí)角度衡量，數(shù)據(jù)級(jí)別越高代表數(shù)據(jù)重要性越高，數(shù)據(jù)安全級(jí)別可參考《信息安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》確定。數(shù)據(jù)敏感程度可以作為數(shù)據(jù)重要性判斷的衡量因素。c）風(fēng)險(xiǎn)源嚴(yán)重程度，主要考慮風(fēng)險(xiǎn)源對(duì)數(shù)據(jù)處理者帶來的危害程度。數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度的判斷標(biāo)準(zhǔn)如下表所示。表SEQ表格\*ARABIC2數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度等級(jí)參考表影響對(duì)象危害程度參考說明國(guó)家安全很高直接危害國(guó)家安全重點(diǎn)領(lǐng)域，如政治安全。高關(guān)系國(guó)家安全重點(diǎn)領(lǐng)域，或者對(duì)國(guó)土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、電磁空間、網(wǎng)絡(luò)、生態(tài)、資源、核、海外利益、太空、極地、深海、生物、人工智能等任一領(lǐng)域國(guó)家安全造成嚴(yán)重威脅。中對(duì)國(guó)土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、電磁空間、網(wǎng)絡(luò)、生態(tài)、資源、核、海外利益、太空、極地、深海、生物、人工智能等任一領(lǐng)域國(guó)家安全造成威脅。經(jīng)濟(jì)運(yùn)行很高1.直接影響涉及國(guó)家安全的行業(yè)、支柱產(chǎn)業(yè)和高新技術(shù)產(chǎn)業(yè)中的重要骨干企業(yè)、提供重要公共產(chǎn)品的行業(yè)、重大基礎(chǔ)設(shè)施和重要礦產(chǎn)資源行業(yè)等關(guān)系國(guó)民經(jīng)濟(jì)命脈行業(yè)的運(yùn)行和發(fā)展。2.關(guān)系國(guó)民經(jīng)濟(jì)命脈，嚴(yán)重危害對(duì)社會(huì)經(jīng)濟(jì)發(fā)展具有重大影響的行業(yè)領(lǐng)域、部門、企業(yè)、資源、區(qū)域等的生產(chǎn)運(yùn)營(yíng)和經(jīng)濟(jì)利益。3.對(duì)一個(gè)或多個(gè)行業(yè)領(lǐng)域的發(fā)展態(tài)勢(shì)、業(yè)務(wù)經(jīng)營(yíng)、技術(shù)進(jìn)步、產(chǎn)業(yè)生態(tài)造成特別嚴(yán)重危害，如對(duì)核心業(yè)務(wù)造成重大損害，導(dǎo)致大面積業(yè)務(wù)中斷、大量業(yè)務(wù)處理能力喪失等。4.對(duì)一個(gè)或多個(gè)省(自治區(qū)、直轄市)的經(jīng)濟(jì)運(yùn)行造成特別嚴(yán)重影響，例如導(dǎo)致大范圍停工停產(chǎn)、大規(guī)?；A(chǔ)設(shè)施長(zhǎng)時(shí)間中斷運(yùn)行等。高1.直接影響宏觀經(jīng)濟(jì)運(yùn)行狀況和發(fā)展趨勢(shì)，如社會(huì)總供給和總需求、國(guó)民經(jīng)濟(jì)總值和增長(zhǎng)速度、國(guó)民經(jīng)濟(jì)主要比例關(guān)系、物價(jià)總水平、勞動(dòng)就業(yè)總水平與失業(yè)率、貨幣發(fā)行總規(guī)模與增長(zhǎng)速度、進(jìn)出口貿(mào)易總規(guī)模與變動(dòng)等。2.直接影響一個(gè)或多個(gè)地級(jí)市、行業(yè)內(nèi)多個(gè)企業(yè)或大規(guī)模用戶，對(duì)行業(yè)發(fā)展態(tài)勢(shì)、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響，或者直接影響行業(yè)領(lǐng)域核心競(jìng)爭(zhēng)力、核心業(yè)務(wù)運(yùn)行、關(guān)鍵產(chǎn)業(yè)鏈、核心供應(yīng)鏈等。中1.對(duì)單個(gè)行業(yè)領(lǐng)域發(fā)展、業(yè)務(wù)經(jīng)營(yíng)、技術(shù)進(jìn)步、產(chǎn)業(yè)生態(tài)等造成一般危害，如受影響的用戶和企業(yè)數(shù)量較小、生產(chǎn)生活區(qū)域范圍較小、持續(xù)時(shí)間較短、社會(huì)負(fù)面影響較小。2.對(duì)單個(gè)行業(yè)領(lǐng)域的經(jīng)濟(jì)運(yùn)行秩序造成一般危害，如市場(chǎng)準(zhǔn)入、市場(chǎng)行為、市場(chǎng)結(jié)構(gòu)、商品銷售、交換關(guān)系、生產(chǎn)經(jīng)營(yíng)秩序等。社會(huì)秩序很高1.關(guān)系重要民生，直接影響人民群眾重要民生保障的事項(xiàng)、物資、工程或項(xiàng)目等。2.直接導(dǎo)致特別重大突發(fā)事件、特別重大群體性事件、暴力恐怖活動(dòng)等，引起一個(gè)或多個(gè)省(自治區(qū)、直轄市)大部分地區(qū)的社會(huì)恐慌，嚴(yán)重影響社會(huì)正常運(yùn)行。高1.直接導(dǎo)致重大突發(fā)事件、重大群體性事件等，影響一個(gè)或多個(gè)地市大部分地區(qū)的社會(huì)穩(wěn)定。2.嚴(yán)重影響人民群眾的日常生活秩序。3.嚴(yán)重影響各級(jí)政務(wù)部門履行公共管理和服務(wù)職能。4.嚴(yán)重影響法治和社會(huì)倫理道德規(guī)范。中1.對(duì)人民群眾的日常生活秩序造成一般影響。2.直接影響企事業(yè)單位、社會(huì)團(tuán)體的生產(chǎn)秩序、經(jīng)營(yíng)秩序、教學(xué)科研秩序、醫(yī)療衛(wèi)生秩序。3.直接影響公共場(chǎng)所的活動(dòng)秩序、公共交通秩序。公共利益很高1.關(guān)系重大公共利益，導(dǎo)致一個(gè)或多個(gè)省(自治區(qū)、直轄市)大部分地區(qū)的社會(huì)公共資源供應(yīng)長(zhǎng)期、大面積癱瘓，大范圍社會(huì)成員(如1000萬(wàn)人以上)無法使用公共設(shè)施、獲取公開數(shù)據(jù)資源、接受公共服務(wù)。2.可能導(dǎo)致特別重大網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件，或者導(dǎo)致特別重大事故級(jí)別的安全生產(chǎn)事故，對(duì)公共利益造成特別嚴(yán)重影響，社會(huì)負(fù)面影響大。3.可能導(dǎo)致特別重大突發(fā)公共衛(wèi)生事件(Ⅰ級(jí))，造成社會(huì)公眾健康特別嚴(yán)重?fù)p害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等嚴(yán)重影響公眾健康的事件。高1.直接危害公共健康和安全，如嚴(yán)重影響疫情防控、傳染病的預(yù)防監(jiān)控和治療等。2.可能導(dǎo)致重大突發(fā)公共衛(wèi)生事件(Ⅱ級(jí))，造成社會(huì)公眾健康嚴(yán)重?fù)p害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等嚴(yán)重影響公眾健康的事件。3.導(dǎo)致一個(gè)或多個(gè)地市大部分地區(qū)的社會(huì)公共資源供應(yīng)較長(zhǎng)期中斷，較大范圍社會(huì)成員(如100萬(wàn)人以上)無法使用公共設(shè)施、獲取公開數(shù)據(jù)資源、接受公共服務(wù)。中對(duì)公共利益產(chǎn)生一般危害，影響小范圍社會(huì)成員使用公共設(shè)施、獲取公開數(shù)據(jù)資源、接受公共服務(wù)等。組織權(quán)益中可能導(dǎo)致組織遭到監(jiān)管部門嚴(yán)重處罰(包括取消經(jīng)營(yíng)資格、長(zhǎng)期暫停相關(guān)業(yè)務(wù)等)，或者影響重要/關(guān)鍵業(yè)務(wù)無法正常開展的情況，造成重大經(jīng)濟(jì)或技術(shù)損失，嚴(yán)重破壞機(jī)構(gòu)聲譽(yù)，企業(yè)面臨破產(chǎn)。低可能導(dǎo)致組織遭到監(jiān)管部門處罰(包括一段時(shí)間內(nèi)暫停經(jīng)營(yíng)資格或業(yè)務(wù)等)，或者影響部分業(yè)務(wù)無法正常開展的情況，造成較大經(jīng)濟(jì)或技術(shù)損失，破壞機(jī)構(gòu)聲譽(yù)。很低可能導(dǎo)致個(gè)別訴訟事件，或在某一時(shí)間造成部分業(yè)務(wù)中斷，使組織的經(jīng)濟(jì)利益、聲譽(yù)、技術(shù)等輕微受損。注：數(shù)據(jù)處理者可根據(jù)數(shù)據(jù)對(duì)自身的價(jià)值、重要性，結(jié)合風(fēng)險(xiǎn)源嚴(yán)重程度，將僅影響組織權(quán)益等的風(fēng)險(xiǎn)危害程度自行定為或調(diào)整為“很高”“高”等級(jí)別，及時(shí)進(jìn)行風(fēng)險(xiǎn)處置。2.1.3風(fēng)險(xiǎn)發(fā)生可能性分析風(fēng)險(xiǎn)發(fā)生可能性分析，主要考慮風(fēng)險(xiǎn)源發(fā)生頻率、安全措施有效性和完備性、風(fēng)險(xiǎn)源關(guān)聯(lián)性等因素。分析方法如下：a）風(fēng)險(xiǎn)源發(fā)生頻率，可從被評(píng)估對(duì)象發(fā)生相關(guān)數(shù)據(jù)安全事件的次數(shù)及頻率、同行業(yè)或業(yè)務(wù)模式相似的單位發(fā)生相關(guān)數(shù)據(jù)安全事件的次數(shù)及頻率、相似數(shù)據(jù)安全事件發(fā)生次數(shù)及頻率、輕微安全問題累計(jì)發(fā)生次數(shù)等方面，綜合分析同類風(fēng)險(xiǎn)源發(fā)生可能性。一般風(fēng)險(xiǎn)源或安全事件發(fā)生頻率越高，風(fēng)險(xiǎn)發(fā)生可能性越高。b）安全措施有效性、完備性，主要通過識(shí)別數(shù)據(jù)安全措施應(yīng)對(duì)風(fēng)險(xiǎn)源的有效性、全面性等。核心數(shù)據(jù)、重要數(shù)據(jù)及相關(guān)數(shù)據(jù)處理活動(dòng)，需采取更嚴(yán)格的安全防護(hù)措施才能降低風(fēng)險(xiǎn)發(fā)生可能性。c）風(fēng)險(xiǎn)源關(guān)聯(lián)性，主要通過風(fēng)險(xiǎn)源清單關(guān)聯(lián)分析，發(fā)現(xiàn)多個(gè)風(fēng)險(xiǎn)源組合后可能引發(fā)數(shù)據(jù)安全風(fēng)險(xiǎn)，則將其與其他風(fēng)險(xiǎn)源合并分析，綜合判斷風(fēng)險(xiǎn)發(fā)生可能性。在綜合分析風(fēng)險(xiǎn)源發(fā)生頻率、安全措施有效性和完備性、風(fēng)險(xiǎn)源關(guān)聯(lián)性的基礎(chǔ)上，將數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生的可能性從低到高分為低、中、高3個(gè)級(jí)別，如下表所示。等級(jí)越高代表措施完備性、有效性越低，風(fēng)險(xiǎn)越可能發(fā)生。表SEQ表格\*ARABIC3風(fēng)險(xiǎn)發(fā)生可能性等級(jí)參考表等級(jí)風(fēng)險(xiǎn)發(fā)生可能性描述高涉及違法違規(guī)行為、缺少數(shù)據(jù)安全措施或安全措施有效性較弱，被評(píng)估對(duì)象或同類組織多次高頻發(fā)生相關(guān)風(fēng)險(xiǎn)源，或容易與其他風(fēng)險(xiǎn)源結(jié)合引發(fā)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)隱患發(fā)生可能性高（例如出現(xiàn)頻率高、在大多數(shù)情況下幾乎不可避免、可以證實(shí)經(jīng)常發(fā)生過）。中有一定數(shù)據(jù)安全措施，但有效性不足，被評(píng)估對(duì)象或同類組織發(fā)生相關(guān)風(fēng)險(xiǎn)源，或有一定概率與其他風(fēng)險(xiǎn)源結(jié)合引發(fā)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)隱患發(fā)生可能性一般（例如出現(xiàn)頻率中等，在某種情況下可能發(fā)生，或被證實(shí)曾經(jīng)發(fā)生）。低數(shù)據(jù)安全措施比較到位、完備，被評(píng)估對(duì)象或同類組織很少發(fā)生相關(guān)風(fēng)險(xiǎn)源，或很難與其他風(fēng)險(xiǎn)源結(jié)合引發(fā)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)隱患發(fā)生可能性低（例如幾乎不可能發(fā)生，或僅可能在非常罕見和例外的情況下發(fā)生）。2.1.4風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)一般結(jié)合評(píng)估對(duì)象實(shí)際情況，基于風(fēng)險(xiǎn)危害程度和風(fēng)險(xiǎn)發(fā)生可能性的分析結(jié)果，綜合風(fēng)險(xiǎn)危害程度及風(fēng)險(xiǎn)發(fā)生可能性對(duì)安全風(fēng)險(xiǎn)進(jìn)行綜合評(píng)價(jià)。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果包括：a）重大安全風(fēng)險(xiǎn)：一般指可能直接影響國(guó)家安全的數(shù)據(jù)安全風(fēng)險(xiǎn)。b）高安全風(fēng)險(xiǎn)：一般指可能直接影響經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康安全，以及較為廣泛的公眾權(quán)益，或?qū)?guó)家安全造成間接影響的數(shù)據(jù)安全風(fēng)險(xiǎn)。c）中安全風(fēng)險(xiǎn)：一般指可能直接對(duì)企業(yè)合法權(quán)益造成較為嚴(yán)重的影響，或直接對(duì)自然人的人格尊嚴(yán)受到嚴(yán)重侵害或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害，或?qū)?jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公眾利益造成較為嚴(yán)重間接影響的數(shù)據(jù)安全風(fēng)險(xiǎn)。d）低安全風(fēng)險(xiǎn)：一般指可能直接對(duì)企業(yè)合法權(quán)益造成一般影響，或直接對(duì)自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害，或?qū)ι鐣?huì)、公眾權(quán)益有一定或較小影響的數(shù)據(jù)安全風(fēng)險(xiǎn)。e）輕微安全風(fēng)險(xiǎn)：一般指可能直接對(duì)企業(yè)合法權(quán)益造成一般或較小影響，或?qū)ψ匀蝗巳烁褡饑?yán)、人身安全、財(cái)產(chǎn)安全不造成侵害或僅產(chǎn)生較輕微的危害，或?qū)π》秶慕M織或公民個(gè)體權(quán)益造成影響的數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)處理者可根據(jù)自身情況，將僅影響組織權(quán)益、個(gè)人權(quán)益等的風(fēng)險(xiǎn)自行定為或調(diào)整為“重大”“高”等級(jí)別，及時(shí)進(jìn)行風(fēng)險(xiǎn)處置。本文件提出了定性和定量評(píng)價(jià)風(fēng)險(xiǎn)的方法，表4提供了一種風(fēng)險(xiǎn)等級(jí)定性評(píng)價(jià)方法。表SEQ表格\*ARABIC4數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)價(jià)矩陣表危害程度可能性很高高中低很低高重大安全風(fēng)險(xiǎn)重大安全風(fēng)險(xiǎn)中安全風(fēng)險(xiǎn)低安全風(fēng)險(xiǎn)輕微安全風(fēng)險(xiǎn)中重大安全風(fēng)險(xiǎn)高安全風(fēng)險(xiǎn)低安全風(fēng)險(xiǎn)低安全風(fēng)險(xiǎn)輕微安全風(fēng)險(xiǎn)低中安全風(fēng)險(xiǎn)中安全風(fēng)險(xiǎn)輕微安全風(fēng)險(xiǎn)輕微安全風(fēng)險(xiǎn)輕微安全風(fēng)險(xiǎn)2.2評(píng)估手段開展重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估時(shí)，綜合采取下列手段進(jìn)行評(píng)估：b）文檔查驗(yàn)：查驗(yàn)安全管理制度、風(fēng)險(xiǎn)評(píng)估報(bào)告、等保測(cè)評(píng)報(bào)告等有關(guān)材料及制度落實(shí)情況的證明材料；c）安全核查：核查網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)庫(kù)和大數(shù)據(jù)平臺(tái)等相關(guān)系統(tǒng)和設(shè)備安全策略、配置、防護(hù)措施情況；d）技術(shù)測(cè)試：應(yīng)用技術(shù)工具、滲透測(cè)試等手段查看數(shù)據(jù)資產(chǎn)情況、檢測(cè)防護(hù)措施有效性。

評(píng)估工作開展情況3.1評(píng)估人員情況3.1.1被評(píng)估方項(xiàng)目組被評(píng)估方項(xiàng)目組職責(zé):（1）向評(píng)估方介紹本單位基本業(yè)務(wù)情況、組織情況、數(shù)據(jù)情況及數(shù)據(jù)安全現(xiàn)狀等；（2）準(zhǔn)備評(píng)估單位需要的資料；（3）為評(píng)估項(xiàng)目實(shí)施提供支持和協(xié)調(diào)；（4）對(duì)評(píng)估文檔及評(píng)估結(jié)果進(jìn)行確認(rèn)簽字。被評(píng)估項(xiàng)目組人員構(gòu)成：【示例】可根據(jù)項(xiàng)目情況，自行設(shè)計(jì)表格。表SEQ表格\*ARABIC5被評(píng)估方項(xiàng)目組人員構(gòu)成表序號(hào)部門姓名職務(wù)項(xiàng)目角色聯(lián)系方式123.1.2評(píng)估團(tuán)隊(duì)組成評(píng)估方項(xiàng)目組職責(zé):（1）組建評(píng)估項(xiàng)目組；（2）指出被評(píng)估單位應(yīng)提供的基本資料（基本資料：凡涉及數(shù)據(jù)收集、傳輸、存儲(chǔ)、使用和加工、提供、公開和刪除等數(shù)據(jù)安全相關(guān)的制度文檔；組織架構(gòu)圖；已開展的測(cè)評(píng)報(bào)告）；（3）向被評(píng)估單位介紹評(píng)估工作流程和方法；（4）了解被評(píng)估單位的數(shù)據(jù)安全現(xiàn)狀，以及單位選定業(yè)務(wù)情況、組織情況、數(shù)據(jù)情況等與評(píng)估相關(guān)的信息；（5）準(zhǔn)備評(píng)估相關(guān)文檔；（6）實(shí)施現(xiàn)場(chǎng)評(píng)估工作；（7）編制評(píng)估報(bào)告。評(píng)估方項(xiàng)目組人員構(gòu)成：本次重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的具體角色和職責(zé)分工如下：表SEQ表格\*ARABIC6評(píng)估方項(xiàng)目組人員構(gòu)成表序號(hào)姓名人員角色工作職責(zé)123.2評(píng)估時(shí)間安排情況本次評(píng)估活動(dòng)分為四個(gè)階段：評(píng)估準(zhǔn)備階段、信息調(diào)研階段、風(fēng)險(xiǎn)分析階段和報(bào)告編制階段。各階段的實(shí)施過程說明如下：20XX年XX月XX日～XX月XX日，評(píng)估準(zhǔn)備階段：由[被評(píng)估方]牽頭組織本次重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，協(xié)調(diào)對(duì)應(yīng)人員。[評(píng)估方]階段所需材料以及各個(gè)業(yè)務(wù)部門準(zhǔn)備材料清單。20XX年XX月XX日～XX月XX日，信息調(diào)研階段：通過項(xiàng)目啟動(dòng)會(huì)[被評(píng)估方]宣貫項(xiàng)目背景，介紹工作內(nèi)容，下發(fā)準(zhǔn)備資料，并啟動(dòng)訪談?wù){(diào)研、資料查驗(yàn)、技術(shù)測(cè)試，采集獲取相關(guān)信息。20XX年XX月XX日～XX月XX日，風(fēng)險(xiǎn)分析階段：針對(duì)目標(biāo)范圍包括組織層面以及XX個(gè)重點(diǎn)系統(tǒng)，評(píng)估小組基于獲取的相關(guān)信息，通過人員訪談、資料查驗(yàn)、技術(shù)測(cè)試等方式進(jìn)行風(fēng)險(xiǎn)發(fā)現(xiàn)。20XX年XX月XX日～XX月XX日，報(bào)告編制階段：根據(jù)評(píng)估活動(dòng)的開展情況，完成重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。3.3評(píng)估測(cè)試工具情況本次風(fēng)險(xiǎn)評(píng)估采用的測(cè)試工具主要包括：表SEQ表格\*ARABIC7測(cè)試工具信息表序號(hào)工具名稱型號(hào)系統(tǒng)版本規(guī)則庫(kù)版本1注：因測(cè)試工具系統(tǒng)版本和漏洞規(guī)則庫(kù)版本可能更新，正式測(cè)評(píng)中使用的測(cè)試工具系統(tǒng)版本和漏洞規(guī)則庫(kù)版本以實(shí)際為準(zhǔn)。圖SEQ圖表\*ARABIC1工具接入點(diǎn)圖如圖所示，“接入點(diǎn)”標(biāo)注表示進(jìn)行工具測(cè)試時(shí)，需要從該接入點(diǎn)接入，對(duì)應(yīng)的箭頭路線表示工具測(cè)試數(shù)據(jù)的主要流向示意。

信息調(diào)研情況4.1數(shù)據(jù)處理者基本情況表SEQ表格\*ARABIC8數(shù)據(jù)處理者基本情況表數(shù)據(jù)處理者基本情況表單位名稱組織機(jī)構(gòu)代碼單位類型￡黨政機(jī)關(guān)￡國(guó)有及國(guó)有控股企業(yè)￡事業(yè)單位￡外資（含港澳臺(tái)）投資企業(yè)￡民營(yíng)企業(yè)￡其他：辦公地址開展數(shù)據(jù)處理活動(dòng)所在地法人信息姓名：，國(guó)籍：數(shù)據(jù)安全負(fù)責(zé)人姓名：經(jīng)營(yíng)范圍經(jīng)營(yíng)范圍：【填寫說明：以營(yíng)業(yè)執(zhí)照為準(zhǔn)】主營(yíng)業(yè)務(wù)：數(shù)據(jù)處理相關(guān)服務(wù)行政許可【填寫說明：例如，互聯(lián)網(wǎng)新聞信息服務(wù)許可】是否境外上市或計(jì)劃赴境外上市是，上市地區(qū)和交易所￡計(jì)劃上市，計(jì)劃上市地區(qū)和交易所否人員規(guī)模約人單位所屬行業(yè)￡工業(yè)￡電信￡交通￡金融￡自然資源￡衛(wèi)生健康￡教育￡科技￡其他：上級(jí)主管部門主管部門一：主管部門二：4.2業(yè)務(wù)和信息系統(tǒng)情況4.2.1XX系統(tǒng)【示例1】可根據(jù)項(xiàng)目情況，自行設(shè)計(jì)表格【示例1】或采用【示例2】文字描述。1.網(wǎng)絡(luò)結(jié)構(gòu)圖XXX單位XX系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖XXX系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D所示，XX系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)主要包括：互聯(lián)網(wǎng)接入?yún)^(qū)、核心區(qū)、安全管理區(qū)、終端接入?yún)^(qū)和服務(wù)器區(qū)。2.業(yè)務(wù)和信息系統(tǒng)情況表SEQ表格\*ARABIC9業(yè)務(wù)和信息系統(tǒng)情況表業(yè)務(wù)和信息系統(tǒng)情況業(yè)務(wù)和信息系統(tǒng)名稱業(yè)務(wù)功能描述業(yè)務(wù)服務(wù)對(duì)象業(yè)務(wù)用戶規(guī)模業(yè)務(wù)覆蓋地域業(yè)務(wù)涉及數(shù)據(jù)類型￡重要數(shù)據(jù)￡核心數(shù)據(jù)￡其他：業(yè)務(wù)對(duì)外提供對(duì)象￡政府部門￡其他：￡境外用戶網(wǎng)絡(luò)安全等級(jí)保護(hù)備案【填寫說明：以上報(bào)備案信息為準(zhǔn)】業(yè)務(wù)相關(guān)部門信息【填寫說明：什么部門負(fù)責(zé)此業(yè)務(wù)數(shù)據(jù)安全，給出聯(lián)系方式】業(yè)務(wù)訪問IP地址業(yè)務(wù)訪問其他地址（如有，請(qǐng)說明）應(yīng)用訪問路徑（URL）系統(tǒng)管理員姓名：；聯(lián)系方式：【示例2】可根據(jù)項(xiàng)目情況，自行采用文字描述1.網(wǎng)絡(luò)結(jié)構(gòu)圖XXX單位XX系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖XXX系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D所示，XX系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)主要包括：非信創(chuàng)辦公后臺(tái)區(qū)、非核心業(yè)務(wù)區(qū)、辦公接入?yún)^(qū)、運(yùn)維后臺(tái)區(qū)、數(shù)據(jù)中心互聯(lián)區(qū)、下聯(lián)接入?yún)^(qū)、核心交換區(qū)、網(wǎng)上交易區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)。2.業(yè)務(wù)情況業(yè)務(wù)情況需要列舉組織開展的主要業(yè)務(wù)名稱，以及對(duì)應(yīng)的業(yè)務(wù)功能、應(yīng)用場(chǎng)景、業(yè)務(wù)流程、服務(wù)對(duì)象、用戶規(guī)模、覆蓋地域、相關(guān)部門信息。（1）業(yè)務(wù)名稱1介紹業(yè)務(wù)功能、應(yīng)用場(chǎng)景、業(yè)務(wù)流程、服務(wù)對(duì)象、用戶規(guī)模、覆蓋地域、相關(guān)部門等情況。（2）業(yè)務(wù)名稱2……3.信息系統(tǒng)情況業(yè)務(wù)涉及信息系統(tǒng)的情況需要針對(duì)不同業(yè)務(wù)，列舉所涉及的信息系統(tǒng)名稱、系統(tǒng)介紹、系統(tǒng)功能介紹、系統(tǒng)的等保級(jí)別、IP地址范圍、信息系統(tǒng)資產(chǎn)表、信息系統(tǒng)負(fù)責(zé)人等信息，并提供網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。表SEQ表格\*ARABIC10信息系統(tǒng)情況表資產(chǎn)名稱系統(tǒng)說明系統(tǒng)等保級(jí)別系統(tǒng)服務(wù)對(duì)象IP地址其它地址（請(qǐng)說明）管理員聯(lián)系方式應(yīng)用訪問路徑（URL）備注【填寫說明】a）網(wǎng)絡(luò)和信息系統(tǒng)基本情況，包括網(wǎng)絡(luò)規(guī)模、拓?fù)浣Y(jié)構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施等信息系統(tǒng)情況及其對(duì)外連接、運(yùn)營(yíng)維護(hù)等情況；b）業(yè)務(wù)基本信息，包括業(yè)務(wù)描述、業(yè)務(wù)類型、服務(wù)對(duì)象、業(yè)務(wù)流程、用戶規(guī)模、覆蓋地域、相關(guān)部門等基本信息；c）業(yè)務(wù)涉及重要數(shù)據(jù)或核心數(shù)據(jù)處理情況；d）業(yè)務(wù)為政務(wù)部門或境外用戶提供服務(wù)情況；e）信息系統(tǒng)、App和小程序情況，包括系統(tǒng)功能、網(wǎng)絡(luò)安全等級(jí)保護(hù)備案和測(cè)評(píng)結(jié)論、入口地址、系統(tǒng)連接關(guān)系、數(shù)據(jù)接口、App及小程序名稱和版本等；f）接入的外部第三方產(chǎn)品、服務(wù)或SDK的情況，包括名稱、版本、提供方、使用目的、合同協(xié)議等。4.3數(shù)據(jù)資產(chǎn)情況4.3.1數(shù)據(jù)資產(chǎn)內(nèi)容【示例】在以下2種形式中任選其一，描述數(shù)據(jù)資產(chǎn)內(nèi)容。一是表格式描述，二是文字性描述?！臼纠?】表1格式（重要數(shù)據(jù)）表SEQ表格\*ARABIC11數(shù)據(jù)資產(chǎn)內(nèi)容表序號(hào)數(shù)據(jù)類型內(nèi)容描述載體形式數(shù)據(jù)規(guī)模存儲(chǔ)區(qū)域/信息系統(tǒng)現(xiàn)有管理政策重要性描述是否涉及出境傳輸或訪問備注用途影響存儲(chǔ)時(shí)效12【示例2】文字描述，圍繞以下方面進(jìn)行簡(jiǎn)述。資產(chǎn)類別。梳理結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)（如數(shù)據(jù)庫(kù)表等）和非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)（如圖表文件等），摸清數(shù)據(jù)底數(shù)。數(shù)據(jù)資產(chǎn)總量、數(shù)據(jù)庫(kù)表和字段規(guī)模、數(shù)據(jù)量變化情況、境外存儲(chǔ)量、數(shù)據(jù)分布、數(shù)據(jù)存儲(chǔ)情況等。數(shù)據(jù)重要性。已完成分類分級(jí)的，介紹數(shù)據(jù)分級(jí)結(jié)果；未完成分類分級(jí)的，結(jié)合業(yè)務(wù)重要性、數(shù)據(jù)應(yīng)用模式、數(shù)據(jù)敏感度等因素，描述數(shù)據(jù)重要性，給出建議的數(shù)據(jù)分級(jí)級(jí)別。數(shù)據(jù)資產(chǎn)類型。按照分類分級(jí)情況進(jìn)行梳理，如重要數(shù)據(jù)、核心數(shù)據(jù)、其他數(shù)據(jù)等類型，對(duì)應(yīng)的種類、規(guī)模、敏感程度、行業(yè)領(lǐng)域、數(shù)據(jù)來源、與信息系統(tǒng)的對(duì)應(yīng)關(guān)系。4.3.2數(shù)據(jù)分類分級(jí)情況【示例】介紹被評(píng)估單位、行業(yè)的數(shù)據(jù)分類分級(jí)工作部署情況、開展進(jìn)展情況、分類分級(jí)結(jié)果。目前，XX行業(yè)未出臺(tái)明確的數(shù)據(jù)分類分級(jí)行業(yè)規(guī)范。[被評(píng)估方]參照《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》、國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)重要數(shù)據(jù)識(shí)別規(guī)則（征求意見稿）》的規(guī)定，開展數(shù)據(jù)分類分級(jí)工作。共識(shí)別出重要數(shù)據(jù)XX項(xiàng)，累計(jì)規(guī)模XXGB，詳情如下。4.4數(shù)據(jù)處理活動(dòng)情況4.4.1數(shù)據(jù)收集針對(duì)“數(shù)據(jù)資產(chǎn)內(nèi)容”中的內(nèi)容，逐項(xiàng)說明數(shù)據(jù)收集情況。如數(shù)據(jù)收集渠道、收集方式、數(shù)據(jù)范圍、收集目的、收集頻率、外部數(shù)據(jù)源、合同協(xié)議、相關(guān)系統(tǒng)，以及在被評(píng)估方外部公共場(chǎng)所安裝圖像采集的情況等；【示例】在以下2種形式中任選其一，描述數(shù)據(jù)收集情況。一是表格式描述，二是文字性描述?！臼纠?】表SEQ表格\*ARABIC12收集掌握數(shù)據(jù)情況表序號(hào)數(shù)據(jù)類型內(nèi)容描述載體形式收集方式數(shù)據(jù)來源業(yè)務(wù)場(chǎng)景用途12【示例2】文字描述，圍繞以下方面進(jìn)行簡(jiǎn)述。數(shù)據(jù)收集渠道、收集方式、數(shù)據(jù)范圍、收集目的、收集頻率、外部數(shù)據(jù)源、合同協(xié)議、相關(guān)系統(tǒng)，以及在被評(píng)估方外部公共場(chǎng)所安裝圖像采集的情況等；4.4.2數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)情況，如數(shù)據(jù)存儲(chǔ)方式、數(shù)據(jù)中心、存儲(chǔ)系統(tǒng)（如數(shù)據(jù)庫(kù)、大數(shù)據(jù)平臺(tái)、云存儲(chǔ)、網(wǎng)盤、存儲(chǔ)介質(zhì)等）、外部存儲(chǔ)機(jī)構(gòu)、存儲(chǔ)地點(diǎn)、存儲(chǔ)期限、備份冗余策略等。【示例】在以下2種形式中任選其一，描述數(shù)據(jù)存儲(chǔ)情況。一是表格式描述，二是文字性描述?！臼纠?】總體數(shù)據(jù)資產(chǎn)規(guī)模：表SEQ表格\*ARABIC13總體數(shù)據(jù)資產(chǎn)規(guī)模表數(shù)據(jù)總量日均增量用戶數(shù)據(jù)量用戶數(shù)據(jù)日均增量統(tǒng)計(jì)截至?xí)r間數(shù)據(jù)中心情況：?jiǎn)挝凰芯硟?nèi)、境外數(shù)據(jù)中心名稱，及各數(shù)據(jù)中心所處地理位置、IP地址段、規(guī)模（服務(wù)器數(shù)/存儲(chǔ)容量）、數(shù)據(jù)服務(wù)模式（自建/租用機(jī)房/公有云/私有云）、運(yùn)維方式（自主/第三方運(yùn)維）、網(wǎng)絡(luò)服務(wù)商等。表SEQ表格\*ARABIC14數(shù)據(jù)中心情況表序號(hào)數(shù)據(jù)中心名稱地理位置IP地址段規(guī)模數(shù)據(jù)服務(wù)模式運(yùn)維方式網(wǎng)絡(luò)服務(wù)商統(tǒng)計(jì)截至?xí)r間12數(shù)據(jù)中心的存儲(chǔ)情況：具體說明截至Time\@"yyyy年M月d日"2024年8月16日,單位所有境內(nèi)、境外的數(shù)據(jù)中心名稱，及各數(shù)據(jù)中心存儲(chǔ)的數(shù)據(jù)類型（包括但不限于用戶身份數(shù)據(jù)、行為數(shù)據(jù)、音視頻數(shù)據(jù)、定位數(shù)據(jù)等）、數(shù)據(jù)量、涉及的業(yè)務(wù)、數(shù)據(jù)來源（自身業(yè)務(wù)收集/第三方共享/外部購(gòu)買等），是否涉及重要數(shù)據(jù)及其數(shù)據(jù)內(nèi)容或字段，（數(shù)據(jù)中心名稱應(yīng)與上表一致）。表SEQ表格\*ARABIC15數(shù)據(jù)中心存儲(chǔ)情況表序號(hào)數(shù)據(jù)中心名稱存儲(chǔ)數(shù)據(jù)類型涉及業(yè)務(wù)數(shù)據(jù)量數(shù)據(jù)來源重要數(shù)據(jù)情況統(tǒng)計(jì)截至?xí)r間12【示例2】文字描述，圍繞以下方面進(jìn)行簡(jiǎn)述。如數(shù)據(jù)存儲(chǔ)方式、數(shù)據(jù)中心、存儲(chǔ)系統(tǒng)（如數(shù)據(jù)庫(kù)、大數(shù)據(jù)平臺(tái)、云存儲(chǔ)、網(wǎng)盤、存儲(chǔ)介質(zhì)等）、外部存儲(chǔ)機(jī)構(gòu)、存儲(chǔ)地點(diǎn)、存儲(chǔ)期限、備份冗余策略等。4.4.3數(shù)據(jù)使用數(shù)據(jù)使用情況，如數(shù)據(jù)使用目的、方式、范圍、場(chǎng)景、算法規(guī)則、相關(guān)系統(tǒng)和部門，應(yīng)用算法推薦技術(shù)提供互聯(lián)網(wǎng)信息服務(wù)的情況，核心數(shù)據(jù)、重要數(shù)據(jù)委托處理、共同處理的情況等。請(qǐng)說明被評(píng)估單位在業(yè)務(wù)開展中，是否存在利用核心數(shù)據(jù)、重要數(shù)據(jù)進(jìn)行算法推薦的情況？如有，請(qǐng)說明：算法推薦類型（合成類/個(gè)推類/排序類/調(diào)度類等）、應(yīng)用場(chǎng)景、用戶特征使用的數(shù)據(jù)字段、數(shù)據(jù)來源（用戶填寫/埋點(diǎn)自動(dòng)采集等）、調(diào)用更新頻率（實(shí)時(shí)/X分鐘/X小時(shí)/）；表SEQ表格\*ARABIC16算法推薦情況表序號(hào)算法推薦類型應(yīng)用場(chǎng)景用戶特征使用的數(shù)據(jù)字段數(shù)據(jù)來源調(diào)用更新頻率12是否提供算法推薦開關(guān)、選擇或刪除個(gè)人特征標(biāo)簽的功能，以及有關(guān)操作路徑。大數(shù)據(jù)利用：請(qǐng)說明被評(píng)估單位利用收集掌握的用戶數(shù)據(jù)，進(jìn)行大數(shù)據(jù)關(guān)聯(lián)分析后對(duì)外發(fā)布數(shù)據(jù)分析報(bào)告或支撐政府部門決策的情況。并分別說明：各項(xiàng)報(bào)告的名稱、發(fā)布時(shí)間、發(fā)布對(duì)象（公眾/XX企業(yè)/XX政府部門）、報(bào)告主要內(nèi)容、使用的用戶數(shù)據(jù)字段、內(nèi)部審批部門。表SEQ表格\*ARABIC17報(bào)告發(fā)布情況表序號(hào)報(bào)告名稱發(fā)布時(shí)間發(fā)布對(duì)象報(bào)告主要內(nèi)容使用的用戶數(shù)據(jù)字段內(nèi)部審批部門124.4.4數(shù)據(jù)加工數(shù)據(jù)加工情況，如數(shù)據(jù)清洗、轉(zhuǎn)換、標(biāo)注等加工情況，是否對(duì)外委托加工等。表SEQ表格\*ARABIC18數(shù)據(jù)加工情況表序號(hào)加工數(shù)據(jù)類型加工目的加工方式加工場(chǎng)所是否委托加工124.4.5數(shù)據(jù)傳輸數(shù)據(jù)傳輸情況，如數(shù)據(jù)傳輸途徑和方式（如互聯(lián)網(wǎng)、VPN、物理專線等在線通道情況，采用介質(zhì)等離線傳輸情況）、傳輸協(xié)議、內(nèi)部數(shù)據(jù)共享、數(shù)據(jù)接口等。表SEQ表格\*ARABIC19數(shù)據(jù)傳輸情況表序號(hào)傳輸數(shù)據(jù)類型源傳輸節(jié)點(diǎn)目的傳輸節(jié)點(diǎn)中間節(jié)點(diǎn)傳輸途徑和方式124.4.6數(shù)據(jù)提供數(shù)據(jù)提供情況，如數(shù)據(jù)提供（數(shù)據(jù)共享、數(shù)據(jù)交易，因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)等）的范圍、合同協(xié)議、各數(shù)據(jù)接收方的名稱、提供方式（SDK/API/系統(tǒng)接口/郵件等數(shù)據(jù)傳輸方式）、提供目的、提供頻率、數(shù)據(jù)字段、數(shù)據(jù)量、涉及的業(yè)務(wù)、用戶是否單獨(dú)同意，對(duì)外提供的重要數(shù)據(jù)的種類、數(shù)量、范圍、敏感程度、保存期限等。表SEQ表格\*ARABIC20數(shù)據(jù)提供情況表序號(hào)數(shù)據(jù)接收方提供方式提供目的提供頻率數(shù)據(jù)字段數(shù)據(jù)量涉及的業(yè)務(wù)用戶是否單獨(dú)同意124.4.7數(shù)據(jù)公開數(shù)據(jù)公開情況，如數(shù)據(jù)公開的目的、方式、對(duì)象范圍、受眾數(shù)量、行業(yè)、組織、地域等。表SEQ表格\*ARABIC21數(shù)據(jù)公開情況表序號(hào)公開數(shù)據(jù)類型目的方式對(duì)象范圍受眾數(shù)量其他124.4.8數(shù)據(jù)刪除從在線數(shù)據(jù)、離線數(shù)據(jù)兩個(gè)維度，分別說明[被評(píng)估方]各類數(shù)據(jù)的留存和刪除機(jī)制。具體包括：各項(xiàng)數(shù)據(jù)類型（[被評(píng)估方]及第三方處理數(shù)據(jù)、身份信息/位置信息行為記錄）、具體字段、存儲(chǔ)形式（在線/離線）、保存時(shí)限（X天/永久/）、觸發(fā)刪除操作的條件（用戶主動(dòng)刪除/重置/注銷賬戶/系統(tǒng)定期刪除）、后臺(tái)刪除方式（物理刪除/邏輯刪除）、刪除后的可恢復(fù)性等。表SEQ表格\*ARABIC22數(shù)據(jù)刪除情況表序號(hào)數(shù)據(jù)類型具體字段存儲(chǔ)形式保存時(shí)限刪除條件刪除方式能否恢復(fù)12說明被評(píng)估單位后臺(tái)系統(tǒng)數(shù)據(jù)刪除流程。分別說明用戶注銷賬戶、用戶請(qǐng)求刪除數(shù)據(jù)、超出數(shù)據(jù)保存期限三種場(chǎng)景下，后臺(tái)系統(tǒng)刪除、銷毀數(shù)據(jù)的流程和系統(tǒng)處理措施，并以附件形式提供相應(yīng)的證據(jù)材料及驗(yàn)證方法手段。表SEQ表格\*ARABIC23數(shù)據(jù)刪除流程情況表用戶注銷賬戶、用戶請(qǐng)求刪除數(shù)據(jù)、超出數(shù)據(jù)保存期限三種場(chǎng)景下數(shù)據(jù)處理措施刪除場(chǎng)景系統(tǒng)處理數(shù)據(jù)的措施相關(guān)截圖(正常)相關(guān)截圖(刪除)4.4.9數(shù)據(jù)出境情況數(shù)據(jù)出境情況，是否存在重要數(shù)據(jù)出境，如跨境業(yè)務(wù)、跨境辦公、境外上市、使用境外云服務(wù)或數(shù)據(jù)中心、國(guó)際交流合作等場(chǎng)景的數(shù)據(jù)出境情況。（注：數(shù)據(jù)出境方式包括但不限于使用境外云服務(wù)、員工和用戶境外遠(yuǎn)程訪問、企業(yè)跨境專線、境外緩存加速、境外第三方機(jī)構(gòu)認(rèn)證、境外機(jī)構(gòu)數(shù)據(jù)合作等。）4.5數(shù)據(jù)流程圖【示例】數(shù)據(jù)流圖應(yīng)描述數(shù)據(jù)流轉(zhuǎn)各環(huán)節(jié)經(jīng)過的相關(guān)方、信息系統(tǒng)，以及每個(gè)流動(dòng)環(huán)節(jié)涉及的數(shù)據(jù)類型等。圖X數(shù)據(jù)流程圖4.6安全措施情況4.6.1已開展的安全測(cè)評(píng)已開展的等級(jí)保護(hù)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、安全認(rèn)證、合規(guī)審計(jì)情況核實(shí)介紹。4.6.2安全管理情況數(shù)據(jù)安全管理機(jī)構(gòu)、人員及制度情況介紹。4.6.3安全技術(shù)情況防火墻、入侵檢測(cè)、入侵防御等網(wǎng)絡(luò)安全設(shè)備及策略情況。VPN等遠(yuǎn)程管理軟件的用戶及管理情況介紹。設(shè)備、系統(tǒng)及用戶的賬號(hào)口令管理情況介紹。加密、脫敏、去標(biāo)識(shí)化等安全技術(shù)應(yīng)用情況。4.6.4網(wǎng)絡(luò)和數(shù)據(jù)安全事件情況3年內(nèi)發(fā)生的網(wǎng)絡(luò)和數(shù)據(jù)安全事件及處置情況。表SEQ表格\*ARABIC24網(wǎng)絡(luò)和數(shù)據(jù)安全事件情況表序號(hào)事件名稱發(fā)生時(shí)間事件內(nèi)容簡(jiǎn)述事件臨時(shí)處理措施事件最終處理措施事件影響等級(jí)社會(huì)面影響等級(jí)事件結(jié)果12風(fēng)險(xiǎn)識(shí)別情況5.1數(shù)據(jù)安全管理風(fēng)險(xiǎn)識(shí)別數(shù)據(jù)安全管理主要從安全管理制度、安全組織機(jī)構(gòu)、分類分級(jí)管理、人員安全管理、合作外包管理、安全威脅和應(yīng)急管理、開發(fā)運(yùn)維管理和云數(shù)據(jù)安全等方面進(jìn)行評(píng)估，下表為發(fā)現(xiàn)的風(fēng)險(xiǎn)問題項(xiàng)描述。表SEQ表格\*ARABIC25數(shù)據(jù)安全管理問題表序號(hào)評(píng)估類評(píng)估項(xiàng)問題問題描述危害分析涉及的數(shù)據(jù)及類型涉及的處理活動(dòng)125.2數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)識(shí)別數(shù)據(jù)處理活動(dòng)主要從數(shù)據(jù)收集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)加工、數(shù)據(jù)提供、數(shù)據(jù)公開、數(shù)據(jù)刪除等環(huán)節(jié)進(jìn)行評(píng)估，下表為發(fā)現(xiàn)的風(fēng)險(xiǎn)問題項(xiàng)描述。表SEQ表格\*ARABIC26數(shù)據(jù)處理活動(dòng)問題表序號(hào)評(píng)估類評(píng)估項(xiàng)問題問題描述涉及的數(shù)據(jù)及類型涉及的處理活動(dòng)125.3數(shù)據(jù)安全技術(shù)風(fēng)險(xiǎn)識(shí)別數(shù)據(jù)安全技術(shù)主要從網(wǎng)絡(luò)安全防護(hù)、身份鑒別與訪問控制、監(jiān)測(cè)預(yù)警、數(shù)據(jù)脫敏、數(shù)據(jù)防泄露和數(shù)據(jù)接口安全、備份恢復(fù)、安全審計(jì)等方面進(jìn)行評(píng)估，下表為發(fā)現(xiàn)的風(fēng)險(xiǎn)問題項(xiàng)描述。表SEQ表格\*ARABIC27數(shù)據(jù)安全技術(shù)問題表序號(hào)評(píng)估類評(píng)估項(xiàng)問題問題描述涉及的數(shù)據(jù)及類型涉及的處理活動(dòng)12安全問題整改建議6.1風(fēng)險(xiǎn)分析與評(píng)價(jià)通過對(duì)問題的風(fēng)險(xiǎn)類型、風(fēng)險(xiǎn)危害程度和可能性進(jìn)行綜合分析，當(dāng)前各項(xiàng)安全問題的風(fēng)險(xiǎn)等級(jí)結(jié)果如下表所示：表SEQ表格\*ARABIC28數(shù)據(jù)安全風(fēng)險(xiǎn)表序號(hào)問題風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)危害程度風(fēng)險(xiǎn)發(fā)生的可能性風(fēng)險(xiǎn)等級(jí)126.2工具測(cè)試問題描述通過對(duì)漏洞掃描結(jié)果進(jìn)行分析，XX系統(tǒng)存在的主要安全漏洞匯總?cè)缦卤硭?。表SEQ表格\*ARABIC29主要安全漏洞匯總表序號(hào)安全漏洞名稱關(guān)聯(lián)資產(chǎn)/IP嚴(yán)重程度安全問題整改建議表SEQ表格\*ARABIC30安全問題整改建議表序號(hào)問題問題描述危害分析風(fēng)險(xiǎn)等級(jí)整改建議12

附錄A重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估記錄表A1.數(shù)據(jù)安全管理風(fēng)險(xiǎn)評(píng)估記錄表A1-1.管理制度流程內(nèi)容分類訪談內(nèi)容結(jié)果記錄（組織）數(shù)據(jù)安全制度體系a）數(shù)據(jù)安全總體策略、方針、目標(biāo)和原則制定情況；1.通過XX評(píng)估的方法、思路或使用的技術(shù)，發(fā)現(xiàn)存在具體XX問題，結(jié)論為XX；2.核查情況如圖（圖D-1）b）數(shù)據(jù)安全管理工作規(guī)劃或工作方案制定情況；c）數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)訪問權(quán)限管理、數(shù)據(jù)全生命周期管理、數(shù)據(jù)安全應(yīng)急響應(yīng)、數(shù)據(jù)合作方管理、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)資產(chǎn)管理、大數(shù)據(jù)平臺(tái)安全等制度建設(shè)情況；d）關(guān)鍵崗位的數(shù)據(jù)安全管理操作規(guī)程建設(shè)情況；e）制度內(nèi)容與國(guó)家和行業(yè)數(shù)據(jù)安全法律法規(guī)和監(jiān)管要求的符合情況。數(shù)據(jù)安全制度落實(shí)a）網(wǎng)絡(luò)安全責(zé)任制、數(shù)據(jù)安全責(zé)任制落實(shí)情況，網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件責(zé)任查處情況；b）數(shù)據(jù)安全制度的制定、評(píng)審、發(fā)布流程建設(shè)情況；c）數(shù)據(jù)安全制度的定期審核和更新情況；d）制度發(fā)布范圍是否覆蓋全面，發(fā)布方式是否正規(guī)、有效；e）數(shù)據(jù)安全制度落實(shí)情況，是否具備操作規(guī)程、記錄表單等制度落實(shí)證明材料；f）制度落實(shí)監(jiān)督檢查機(jī)制。針對(duì)重要數(shù)據(jù)處理者，還應(yīng)當(dāng)評(píng)估以下內(nèi)容：a）對(duì)數(shù)據(jù)處理活動(dòng)定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的情況；b）向有關(guān)部門報(bào)送評(píng)估報(bào)告情況，風(fēng)險(xiǎn)評(píng)估報(bào)告至少應(yīng)包含處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。A1-2.安全組織機(jī)構(gòu)內(nèi)容分類訪談內(nèi)容結(jié)果記錄（組織）數(shù)據(jù)安全組織架構(gòu)a）數(shù)據(jù)安全管理機(jī)構(gòu)和職能設(shè)置情況；b）數(shù)據(jù)安全負(fù)責(zé)人和職能設(shè)置情況；c）單位高層人員參與數(shù)據(jù)安全決策情況；d）對(duì)組織內(nèi)部的數(shù)據(jù)安全管理執(zhí)行情況、數(shù)據(jù)操作行為等進(jìn)行安全監(jiān)督的情況；e）數(shù)據(jù)安全人員和資源投入情況與組織數(shù)據(jù)安全保護(hù)需求適應(yīng)性。數(shù)據(jù)安全崗位設(shè)置a）數(shù)據(jù)庫(kù)管理員、操作員及安全審計(jì)人員、安全運(yùn)維人員等數(shù)據(jù)安全關(guān)鍵崗位設(shè)置情況，及職責(zé)分離、專人專崗等原則落實(shí)情況；b）業(yè)務(wù)部門、信息系統(tǒng)建設(shè)部門、信息系統(tǒng)運(yùn)維部門數(shù)據(jù)安全人員設(shè)置情況，數(shù)據(jù)安全管理要求執(zhí)行情況；c）特權(quán)賬戶所有者、關(guān)鍵數(shù)據(jù)處理崗位等數(shù)據(jù)安全關(guān)鍵崗位設(shè)立雙人雙崗情況。A1-3.分類分級(jí)管理內(nèi)容分類訪談內(nèi)容結(jié)果記錄（組織）數(shù)據(jù)資產(chǎn)管理a）數(shù)據(jù)資產(chǎn)臺(tái)賬建設(shè)、更新、維護(hù)情況；b）數(shù)據(jù)資產(chǎn)梳理是否全面，是否能夠覆蓋數(shù)據(jù)庫(kù)、大數(shù)據(jù)存儲(chǔ)組件、云上對(duì)象存儲(chǔ)或網(wǎng)盤等存儲(chǔ)工具及辦公計(jì)算機(jī)、U盤、光盤等存儲(chǔ)媒體中的數(shù)據(jù)；c）通過數(shù)據(jù)資產(chǎn)管理等工具對(duì)數(shù)據(jù)資產(chǎn)清單及時(shí)更新、維護(hù)的情況；d）采用技術(shù)手段定期對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行掃描的情況，及發(fā)現(xiàn)識(shí)別重要數(shù)據(jù)的能力；數(shù)據(jù)分類分級(jí)制度a）數(shù)據(jù)分類分級(jí)保護(hù)制度建設(shè)情況，是否符合國(guó)家、行業(yè)和地方的數(shù)據(jù)分類分級(jí)規(guī)范要求；b）數(shù)據(jù)分類分級(jí)管理情況，及核心數(shù)據(jù)和重要數(shù)據(jù)目錄維護(hù)情況；c）是否在相關(guān)制度中明確了數(shù)據(jù)分類管理、分級(jí)保護(hù)策略，數(shù)據(jù)分類分級(jí)保護(hù)措施是否落實(shí)在數(shù)據(jù)訪問權(quán)限申請(qǐng)、保護(hù)措施部署等方面；d）數(shù)據(jù)分類分級(jí)變更和審核流程情況；數(shù)據(jù)分類分級(jí)保護(hù)a）是否對(duì)處理的重要數(shù)據(jù)進(jìn)行明確標(biāo)識(shí)；b）按照數(shù)據(jù)級(jí)別建設(shè)覆蓋全流程數(shù)據(jù)處理活動(dòng)的安全措施情況；c）數(shù)據(jù)分類分級(jí)打標(biāo)或數(shù)據(jù)資產(chǎn)管理工具建設(shè)情況，是否具有自動(dòng)化標(biāo)識(shí)能力，是否具有數(shù)據(jù)標(biāo)識(shí)結(jié)果發(fā)布、審核等能力；d）按照相關(guān)重要數(shù)據(jù)目錄或規(guī)定，評(píng)估重要數(shù)據(jù)并進(jìn)行重點(diǎn)保護(hù)的情況；e）按照相關(guān)核心數(shù)據(jù)目錄或規(guī)定，評(píng)估核心數(shù)據(jù)并進(jìn)行嚴(yán)格管理的情況。A1-4.人員安全管理內(nèi)容分類訪談內(nèi)容結(jié)果記錄（組織）人員錄用a）員工錄用前背景調(diào)查情況；b）數(shù)據(jù)處理關(guān)鍵崗位人員錄用，對(duì)其數(shù)據(jù)安全意識(shí)或?qū)I(yè)能力進(jìn)行考核的情況。保密協(xié)議a）員工工作紀(jì)律和工作要求，是否對(duì)數(shù)據(jù)安全相關(guān)員工禁止行為有明確規(guī)定；b）是否與所有涉及數(shù)據(jù)服務(wù)的人員簽訂安全責(zé)任承諾或保密協(xié)議，與數(shù)據(jù)安全關(guān)鍵崗位人員簽訂數(shù)據(jù)安全崗位責(zé)任協(xié)議；c）在重要崗位人員調(diào)離或終止勞動(dòng)合同前，是否明確并告知其繼續(xù)履行有關(guān)信息的保密義務(wù)要求，并簽訂保密承諾書。轉(zhuǎn)崗離崗a）在人員轉(zhuǎn)崗或離崗時(shí)，是否及時(shí)終止或變更完成相關(guān)人員數(shù)據(jù)操作權(quán)限，并明確有關(guān)人員后續(xù)的數(shù)據(jù)保護(hù)管理權(quán)限和保密責(zé)任；b）對(duì)終止勞動(dòng)合同的人員，是否及時(shí)終止并收回其系統(tǒng)權(quán)限及數(shù)據(jù)權(quán)限，明確告知其繼續(xù)履行有關(guān)信息的保密義務(wù)要求。數(shù)據(jù)安全培訓(xùn)a）數(shù)據(jù)安全培訓(xùn)計(jì)劃制定、更新情況；b）對(duì)全體人員開展數(shù)據(jù)安全意識(shí)教育培訓(xùn)，并保留相關(guān)記錄情況；c）是否對(duì)數(shù)據(jù)安全崗位人員每年至少進(jìn)行1次數(shù)據(jù)安全專項(xiàng)培訓(xùn)，對(duì)關(guān)鍵崗位人員進(jìn)行定期數(shù)據(jù)安全技能考核情況。A1-5.合作外包管理內(nèi)容分類訪談內(nèi)容結(jié)果記錄（組織）合作方管理機(jī)制a）數(shù)據(jù)合作方安全管理機(jī)制建設(shè)情況，如對(duì)合作方或外包服務(wù)機(jī)構(gòu)的選擇、評(píng)價(jià)、管理、監(jiān)督機(jī)制；b）是否對(duì)數(shù)據(jù)合作方或外包服務(wù)機(jī)構(gòu)的安全能力進(jìn)行評(píng)估；c）對(duì)外包服務(wù)機(jī)構(gòu)、人員履行安全責(zé)任義務(wù)的監(jiān)督檢查情況；d）外包人員現(xiàn)場(chǎng)服務(wù)安全管理情況；e）對(duì)外包服務(wù)商的技術(shù)依賴程度，對(duì)委托處理數(shù)據(jù)的控制和管理能力。合作協(xié)議約束a）服務(wù)合同、承諾及安全保密協(xié)議情況，是否通過合同協(xié)議等方式對(duì)接收、使用本單位數(shù)據(jù)的合作方的數(shù)據(jù)使用行為進(jìn)行約束；b）是否在合作協(xié)議中明確了數(shù)據(jù)處理目的、方式、范圍，安全保護(hù)責(zé)任、保密約定及違約責(zé)任和處罰條款等；c）合同、協(xié)議中，數(shù)據(jù)處理者與合作方、外包服務(wù)商間的數(shù)據(jù)安全責(zé)任界定情況。外包訪問權(quán)限a）外包人員對(duì)數(shù)據(jù)與系統(tǒng)的訪問、修改權(quán)限是否限于最小必要范圍；b）能夠在測(cè)試環(huán)境下或使用測(cè)試數(shù)據(jù)完成的，是否向外包人員開放了生產(chǎn)環(huán)境權(quán)限或真實(shí)數(shù)據(jù)；c）外包人員數(shù)據(jù)導(dǎo)出操作或數(shù)據(jù)外發(fā)操作的監(jiān)督管理情況；d）外包人員對(duì)敏感數(shù)據(jù)的訪問及操作能否被實(shí)時(shí)監(jiān)督或監(jiān)測(cè)；e）數(shù)據(jù)外包服務(wù)賬號(hào)及訪問權(quán)限管理情況；f）外包人員遠(yuǎn)程訪問操作系統(tǒng)或數(shù)據(jù)的情況。第三方接入與數(shù)據(jù)回收a）是否對(duì)合作方接入的系統(tǒng)、使用的技術(shù)工具進(jìn)行了技術(shù)檢測(cè)，避免引入木馬、后門等；b）為完成技術(shù)或服務(wù)目的向合作方提供的數(shù)據(jù)，在合作結(jié)束后是否進(jìn)行了回收，是否要求合作方對(duì)數(shù)據(jù)進(jìn)行刪除；c）外包服務(wù)到期后，賬號(hào)注銷、數(shù)據(jù)回收、數(shù)據(jù)刪除銷毀等管理情況。d）為完成技術(shù)或服務(wù)目的向合作方提供的系統(tǒng)權(quán)限和接口，在合作結(jié)束后是否進(jìn)行了停用或下線。政務(wù)數(shù)據(jù)委托處理a）委托他人建設(shè)、維護(hù)電子政務(wù)系統(tǒng)，存儲(chǔ)、加工政務(wù)數(shù)據(jù)，是否經(jīng)過嚴(yán)格的批準(zhǔn)程序，并監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)；b）政務(wù)數(shù)據(jù)受托方依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)的情況，是否擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)；c）支撐電子政務(wù)相關(guān)系統(tǒng)運(yùn)行的相關(guān)服務(wù)或系統(tǒng)的安全措施，是否滿足電子政務(wù)系統(tǒng)管理和相關(guān)安全要求。A1-6.安全威脅和應(yīng)急管理內(nèi)容分類訪談內(nèi)容結(jié)果記錄（組織）安全威脅和事件a）近3年發(fā)生的網(wǎng)絡(luò)安全或數(shù)據(jù)安全事件信息及其處置、記錄、整改和上報(bào)情況，如事件名稱、影響對(duì)象、發(fā)生時(shí)間和頻次、發(fā)生原因、外部威脅、事件級(jí)別、處置措施、整改措施等，重大事件需提供事件調(diào)查評(píng)估報(bào)告；b）近1年通過安全工具、日志審計(jì)、安全測(cè)評(píng)、合規(guī)自查等發(fā)現(xiàn)的安全威脅、違規(guī)行為及其頻率統(tǒng)計(jì)；c）實(shí)際環(huán)境中通過監(jiān)測(cè)系統(tǒng)、檢測(cè)工具等發(fā)現(xiàn)的攻擊威脅情況；d）近期公布或曝光的同行業(yè)、類似業(yè)務(wù)模式的威脅事件、威脅預(yù)警。安全應(yīng)急管理a）數(shù)據(jù)安全事件應(yīng)急預(yù)案制定和修訂情況，是否定義數(shù)據(jù)安全事件類型，明確不同類別事件的處置流程和方法；b）數(shù)據(jù)安全應(yīng)急響應(yīng)及處置機(jī)制建設(shè)情況，發(fā)生數(shù)據(jù)安全事件時(shí)是否立即采取處置措施，是否按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告；c）數(shù)據(jù)安全事件應(yīng)急演練情況；d）數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)監(jiān)測(cè)情況，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，是否立即采取補(bǔ)救措施；e）安全事件對(duì)個(gè)人、其他組織造成危害的，是否將安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施等通知利害關(guān)系人，無法通知的是否采取公告等其他方式告知；f）面向社會(huì)提供服務(wù)的數(shù)據(jù)處理者是否建立便捷的數(shù)據(jù)安全投訴舉報(bào)渠道，以及近3年的數(shù)據(jù)安全投訴舉報(bào)處置、記錄和整改情況。A1-7.開發(fā)運(yùn)維管理內(nèi)容分類訪談內(nèi)容結(jié)果記錄（組織）開發(fā)運(yùn)維管理a）新應(yīng)用開發(fā)審核流程建設(shè)情況，進(jìn)行數(shù)據(jù)處理需求安全合規(guī)審核情況；b）開發(fā)程序的修改、更新、發(fā)布的批準(zhǔn)授權(quán)和版本控制流程；c）工程實(shí)施、驗(yàn)收、交付的安全管理情況；d）對(duì)開發(fā)代碼、測(cè)試數(shù)據(jù)的安全管理情況；e）產(chǎn)品或業(yè)務(wù)上線前進(jìn)行安全評(píng)估的情況；f）開發(fā)測(cè)試環(huán)境和實(shí)際運(yùn)行環(huán)境的隔離情況、測(cè)試數(shù)據(jù)和測(cè)試結(jié)果的控制情況；g）開發(fā)測(cè)試中使用真實(shí)核心數(shù)據(jù)、重要數(shù)據(jù)情況，開發(fā)測(cè)試前對(duì)相關(guān)數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化、脫敏處理（測(cè)試確需信息除外）情況；h）對(duì)開發(fā)和運(yùn)維人員行為的監(jiān)督和審計(jì)情況；i）遠(yuǎn)程運(yùn)維的審批、管理和安全防護(hù)措施；j）第三方SDK或開源軟件的中文版運(yùn)行維護(hù)、二次開發(fā)等技術(shù)資料完備性。A1-8.云數(shù)據(jù)安全內(nèi)容分類訪談內(nèi)容結(jié)果記錄（組織）使用云計(jì)算服務(wù)云服務(wù)提供者、第三方廠商、云租戶的安全責(zé)任劃分和落實(shí)情況；上云數(shù)據(jù)的安全審核和管理情況；云安全產(chǎn)品服務(wù)的使用和配置情況；對(duì)云上操作行為的安全審計(jì)情況；云用戶賬號(hào)和權(quán)限管理情況；私有云遠(yuǎn)程運(yùn)維安全管理情況；g)云上承載用戶重要數(shù)據(jù)、核心數(shù)據(jù)情況，是否對(duì)重要數(shù)據(jù)實(shí)施增強(qiáng)的安全防護(hù)；云計(jì)算服務(wù)提供方公有云、社區(qū)云等不同類型云平臺(tái)間隔離防護(hù)情況；租戶與云平臺(tái)、數(shù)據(jù)中心間數(shù)據(jù)傳輸安全防護(hù)情況；針對(duì)不同服務(wù)模式（IaaS、PaaS、SaaS）、部署模式（公有云、社區(qū)云、私有云等）、產(chǎn)品和服務(wù)，云平臺(tái)對(duì)相關(guān)方的數(shù)據(jù)安全責(zé)任界面劃定情況及合法合規(guī)性；是否通過合同協(xié)議等方式，與租戶劃清云數(shù)據(jù)安全責(zé)任邊界，并履行相應(yīng)數(shù)據(jù)安全責(zé)任；發(fā)生數(shù)據(jù)安全風(fēng)險(xiǎn)或事件時(shí)，為租戶提供事件報(bào)告、應(yīng)急處置等協(xié)同保障措施情況；收集租戶數(shù)據(jù)情況，是否識(shí)別重要數(shù)據(jù)，收集方式是否安全合理，是否存在超范圍收集；計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、安全等產(chǎn)品安全配置情況；第三方組件安全核查、漏洞修復(fù)情況；云產(chǎn)品漏洞更新和推送情況，是否會(huì)及時(shí)提供補(bǔ)丁推送、跟進(jìn)用戶漏洞更新等情況；云平臺(tái)提供的基礎(chǔ)安全防護(hù)能力情況；云產(chǎn)品對(duì)用戶高風(fēng)險(xiǎn)操作的提示情況；對(duì)云租戶的身份管理和訪問控制情況；云平臺(tái)保障租戶數(shù)據(jù)安全的相關(guān)制度和安全措施；約定服務(wù)到期、欠費(fèi)、提前終止等情形下，云數(shù)據(jù)刪除等情況；云數(shù)據(jù)備份和恢復(fù)機(jī)制是否完善，數(shù)據(jù)備份策略、備份周期、備份存儲(chǔ)、數(shù)據(jù)恢復(fù)策略，恢復(fù)驗(yàn)證等是否符合安全需要；云平臺(tái)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、云計(jì)算服務(wù)安全評(píng)估等情況；云平臺(tái)基礎(chǔ)設(shè)施部署和運(yùn)維情況；云安全管理中心管控情況；云數(shù)據(jù)遷移安全保障情況；云平臺(tái)數(shù)據(jù)出境安全情況。A2.數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)評(píng)估記錄表A2-1.數(shù)據(jù)收集安全內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）數(shù)據(jù)收集合法正當(dāng)性a）數(shù)據(jù)收集的合法性、正當(dāng)性，是否存在竊取、超范圍收集、未經(jīng)合法授權(quán)收集或者以其他非法方式獲取數(shù)據(jù)的情況，數(shù)據(jù)收集目的和范圍是否合法；b）違反法律、行政法規(guī)關(guān)于收集使用數(shù)據(jù)目的、范圍相關(guān)要求，收集數(shù)據(jù)的情況。通過第三方收集數(shù)據(jù)a）通過合同協(xié)議等合法方式，約定從外部機(jī)構(gòu)采集的數(shù)據(jù)范圍、收集方式、使用目的和授權(quán)同意情況；b）對(duì)外部數(shù)據(jù)源和外部收集數(shù)據(jù)進(jìn)行鑒別和記錄的情況；c）數(shù)據(jù)的真實(shí)性及來源的可靠性；d）對(duì)外部數(shù)據(jù)源和外部收集數(shù)據(jù)的合法性、安全性和授權(quán)同意情況進(jìn)行審核的情況。數(shù)據(jù)質(zhì)量管理a）數(shù)據(jù)質(zhì)量管理制度建設(shè)情況，對(duì)采集數(shù)據(jù)質(zhì)量和管理措施是否進(jìn)行明確要求；b）安全管理和操作規(guī)范對(duì)數(shù)據(jù)清洗、轉(zhuǎn)換和加載等行為是否進(jìn)行明確要求；c）數(shù)據(jù)質(zhì)量管理和監(jiān)控的情況，對(duì)異常數(shù)據(jù)及時(shí)告警或更正采取的手段措施；d）收集數(shù)據(jù)監(jiān)控、過程記錄等情況，以及安全措施應(yīng)用情況；e）采用人工檢查、自動(dòng)檢查或其他技術(shù)手段對(duì)數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、完整性校驗(yàn)情況；收集方式a）采用自動(dòng)化工具訪問、收集數(shù)據(jù)的，違反法律、行政法規(guī)或者行業(yè)自律公約情況，侵犯他人知識(shí)產(chǎn)權(quán)等合法權(quán)益情況；b）采用自動(dòng)化工具收集時(shí)，對(duì)數(shù)據(jù)收集范圍、數(shù)量和頻率的明確情況，收集與提供服務(wù)無關(guān)數(shù)據(jù)的情況；c）采用自動(dòng)化工具收集數(shù)據(jù)以及該方式對(duì)網(wǎng)絡(luò)服務(wù)的性能、功能帶來的影響情況；d）通過人工方式采集數(shù)據(jù)的，是否對(duì)數(shù)據(jù)采集人員嚴(yán)格管理，要求將采集數(shù)據(jù)直接報(bào)送到相關(guān)人員或系統(tǒng)，采集任務(wù)完成后及時(shí)刪除采集人員留存的數(shù)據(jù)。數(shù)據(jù)收集設(shè)備及環(huán)境安全a）采集終端數(shù)據(jù)泄露風(fēng)險(xiǎn)，檢測(cè)采集終端或設(shè)備的安全漏洞，是否存在數(shù)據(jù)泄露風(fēng)險(xiǎn)；b）人工采集數(shù)據(jù)泄露風(fēng)險(xiǎn)，通過人員權(quán)限管控、信息碎片化等方式，對(duì)人工采集數(shù)據(jù)環(huán)境進(jìn)行安全管控情況；c）客戶端敏感信息留存風(fēng)險(xiǎn)，檢測(cè)App、Web等客戶端完成相關(guān)業(yè)務(wù)后，是否及時(shí)對(duì)緩存數(shù)據(jù)進(jìn)行清理，是否留存重要數(shù)據(jù)。A2-2.數(shù)據(jù)存儲(chǔ)安全內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）數(shù)據(jù)存儲(chǔ)適當(dāng)性a）數(shù)據(jù)存儲(chǔ)安全策略和操作規(guī)程的建設(shè)落實(shí)情況；b）存儲(chǔ)位置、期限、方式的適當(dāng)性；c）永久存儲(chǔ)數(shù)據(jù)類型的必要性；邏輯存儲(chǔ)安全a）數(shù)據(jù)庫(kù)的賬號(hào)權(quán)限管理、訪問控制、日志管理、加密管理、版本升級(jí)等方面要求的落實(shí)情況；b）檢測(cè)邏輯存儲(chǔ)系統(tǒng)安全漏洞，查看安全漏洞修復(fù)、處置情況；c）實(shí)施限制數(shù)據(jù)庫(kù)管理、運(yùn)維等人員操作行為的安全管理措施情況；d）脫敏后的數(shù)據(jù)與可用于恢復(fù)數(shù)據(jù)的信息分開存儲(chǔ)的情況；e）對(duì)敏感重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)情況及加密措施有效性；f）數(shù)據(jù)存儲(chǔ)在第三方云平臺(tái)、數(shù)據(jù)中心等外部區(qū)域的安全管理、訪問控制情況；g）根據(jù)安全級(jí)別、重要性、量級(jí)、使用頻率等因素，對(duì)數(shù)據(jù)分域分級(jí)差異化存儲(chǔ)安全管控情況。h）重要數(shù)據(jù)和核心數(shù)據(jù)存儲(chǔ)的防勒索檢測(cè)機(jī)制情況。存儲(chǔ)介質(zhì)安全a）存儲(chǔ)介質(zhì)（含移動(dòng)存儲(chǔ)介質(zhì)，下同）的使用、管理及資產(chǎn)標(biāo)識(shí)情況；b）存儲(chǔ)介質(zhì)安全管理規(guī)范建設(shè)情況，是否明確對(duì)存儲(chǔ)介質(zhì)存儲(chǔ)數(shù)據(jù)的安全要求；c）對(duì)存儲(chǔ)介質(zhì)進(jìn)行定期或隨機(jī)性安全檢查情況；d）存儲(chǔ)介質(zhì)訪問和使用行為的記錄和審計(jì)情況。A2-3.數(shù)據(jù)傳輸安全內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）傳輸鏈路安全性a）數(shù)據(jù)傳輸安全策略和操作規(guī)程的建設(shè)落實(shí)情況；b）重要數(shù)據(jù)傳輸加密情況及加密措施有效性，是否選用安全的密碼算法；c）重要數(shù)據(jù)傳輸進(jìn)行完整性保護(hù)情況；d）數(shù)據(jù)傳輸通道部署身份鑒別、安全配置、密碼算法配置、密鑰管理等防護(hù)措施情況；e）數(shù)據(jù)傳輸、接收的記錄和安全審計(jì)情況；f）采取安全傳輸協(xié)議等安全措施情況；g）數(shù)據(jù)異常傳輸檢測(cè)發(fā)現(xiàn)及處置情況。h）制定數(shù)據(jù)跨組織傳輸管理規(guī)則，及跨組織數(shù)據(jù)傳輸安全技術(shù)措施建立情況。傳輸鏈路的健壯性a）網(wǎng)絡(luò)傳輸鏈路的可用情況，包括對(duì)關(guān)鍵網(wǎng)絡(luò)傳輸鏈路、網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)實(shí)行冗余建設(shè)，建立容災(zāi)方案和宕機(jī)替代方案等情況；b）點(diǎn)對(duì)點(diǎn)傳輸中是否存在傳輸經(jīng)過第三方、被第三方緩存情況。A2-4.數(shù)據(jù)使用和加工內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）數(shù)據(jù)使用和加工合法性a）使用和加工數(shù)據(jù)時(shí)，遵守法律、行政法規(guī)，尊重社會(huì)公德和倫理，遵守商業(yè)道德和職業(yè)道德等情況；b）是否存在危害國(guó)家安全、公共利益的數(shù)據(jù)使用和加工行為，損害個(gè)人、組織合法權(quán)益的數(shù)據(jù)使用和加工行為；c）是否制作、發(fā)布、復(fù)制、傳播違法信息。d）應(yīng)用算法推薦技術(shù)、深度合成技術(shù)提供互聯(lián)網(wǎng)信息服務(wù)、生成式AI技術(shù)提供服務(wù)的，是否按照《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》等規(guī)定開展相關(guān)工作。數(shù)據(jù)正當(dāng)使用a）數(shù)據(jù)使用加工安全策略和操作規(guī)程的建設(shè)落實(shí)情況；b）數(shù)據(jù)使用是否獲得數(shù)據(jù)提供方、數(shù)據(jù)主體等相關(guān)方授權(quán)；c）數(shù)據(jù)使用行為與承諾或用戶協(xié)議的一致性；d）除為實(shí)現(xiàn)法定職責(zé)或依法開展數(shù)據(jù)共享等情況外，變更數(shù)據(jù)使用目的或規(guī)則時(shí)，是否以合理明確的方式再次征得用戶明示同意；e）開展數(shù)據(jù)處理活動(dòng)以及研究開發(fā)數(shù)據(jù)新技術(shù)，是否有利于促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展，增進(jìn)人民福祉，符合社會(huì)公德和倫理；f）使用數(shù)據(jù)開展用戶畫像、信息推送、內(nèi)容呈現(xiàn)等業(yè)務(wù)，造成用戶受不公平的價(jià)格待遇、平臺(tái)公共競(jìng)爭(zhēng)秩序受影響、平臺(tái)內(nèi)勞動(dòng)者正當(dāng)權(quán)益受損害等風(fēng)險(xiǎn)情況；g）數(shù)據(jù)使用加工目的、方式、范圍，與行政許可、合同授權(quán)等的一致性；h）是否存在重要數(shù)據(jù)濫用情況。數(shù)據(jù)導(dǎo)入導(dǎo)出a）數(shù)據(jù)導(dǎo)出安全評(píng)估和授權(quán)審批流程建設(shè)情況；b）導(dǎo)入導(dǎo)出審計(jì)策略和日志管理機(jī)制建設(shè)情況；c）導(dǎo)出權(quán)限管理、導(dǎo)出操作記錄情況；d）導(dǎo)出數(shù)據(jù)的存儲(chǔ)介質(zhì)的標(biāo)識(shí)、加密、使用、銷毀管理情況；e）定期對(duì)重要數(shù)據(jù)導(dǎo)出行為進(jìn)行安全審計(jì)情況；f）對(duì)導(dǎo)入數(shù)據(jù)的格式、安全性和完整性校驗(yàn)情況。數(shù)據(jù)處理環(huán)境a）數(shù)據(jù)處理環(huán)境設(shè)置身份鑒別、訪問控制、隔離存儲(chǔ)、加密、脫敏等安全措施情況；b）大數(shù)據(jù)平臺(tái)等處理組件按照基線要求進(jìn)行安全配置、配置核查情況；c）處理環(huán)境中的安全漏洞情況，已發(fā)現(xiàn)漏洞的處置情況。數(shù)據(jù)使用和加工安全措施a）在數(shù)據(jù)清洗、轉(zhuǎn)換、建模、分析、挖掘等加工過程中，對(duì)數(shù)據(jù)特別是重要數(shù)據(jù)的保護(hù)情況；b）數(shù)據(jù)防泄漏措施建設(shè)情況；c）數(shù)據(jù)使用加工過程中采取的數(shù)據(jù)脫敏、水印溯源等安全保護(hù)措施情況；d）數(shù)據(jù)訪問與操作行為的最小化授權(quán)、訪問控制、審批等管理情況；e）數(shù)據(jù)使用權(quán)限管理情況，如是否存在未授權(quán)訪問、超范圍授權(quán)、權(quán)限未及時(shí)收回、特權(quán)賬號(hào)設(shè)置不合理等情況；f）數(shù)據(jù)加工過程中對(duì)重要數(shù)據(jù)等敏感數(shù)據(jù)的操作行為記錄、定期審計(jì)情況；g）高風(fēng)險(xiǎn)行為審計(jì)及回溯工作開展情況；h）委托加工數(shù)據(jù)的，是否明確約定受托方的安全保護(hù)義務(wù)，并采取技術(shù)措施或其他約束手段防止受托方非法留存、擴(kuò)散數(shù)據(jù)。A2-5.數(shù)據(jù)提供安全內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）數(shù)據(jù)提供合法正當(dāng)必要性數(shù)據(jù)對(duì)外提供的目的、方式、范圍的合法性、正當(dāng)性、必要性；數(shù)據(jù)提供的依據(jù)和目的是否合理、明確；數(shù)據(jù)提供是否遵守法律法規(guī)和監(jiān)管政策要求，是否存在非法買賣、提供重要數(shù)據(jù)行為；對(duì)外提供的重要數(shù)據(jù)范圍，是否限于實(shí)現(xiàn)處理目的的最小范圍。數(shù)據(jù)提供管理a）數(shù)據(jù)提供安全策略和操作規(guī)程的建設(shè)落實(shí)情況；b）數(shù)據(jù)對(duì)外提供的審批情況；c）對(duì)外提供數(shù)據(jù)前，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估情況；d）簽訂合同協(xié)議情況，是否在合同協(xié)議中明確了處理數(shù)據(jù)的目的、方式、范圍、數(shù)據(jù)安全保護(hù)措施、安全責(zé)任義務(wù)及罰則；e）開展共享、交易、委托處理、向境外提供數(shù)據(jù)等高風(fēng)險(xiǎn)數(shù)據(jù)處理活動(dòng)前的安全評(píng)估情況；f）監(jiān)督數(shù)據(jù)接收方到期返還、刪除數(shù)據(jù)的情況；g）向境外執(zhí)法機(jī)構(gòu)提供境內(nèi)數(shù)據(jù)的情況；h）核心數(shù)據(jù)跨主體流動(dòng)前是否經(jīng)國(guó)家有關(guān)部門評(píng)估。數(shù)據(jù)提供技術(shù)措施a）對(duì)外提供的敏感數(shù)據(jù)是否進(jìn)行加密及加密有效性；b）對(duì)所提供數(shù)據(jù)及數(shù)據(jù)提供過程的監(jiān)控審計(jì)情況；c）對(duì)外提供數(shù)據(jù)時(shí)采取簽名、添加水印、脫敏等安全措施情況；d）跟蹤記錄數(shù)據(jù)流量、接收者信息及處理操作信息情況，記錄日志是否完備、是否能夠支撐數(shù)據(jù)安全事件溯源；e）數(shù)據(jù)對(duì)外提供的安全保障措施及有效性；f）多方安全計(jì)算、聯(lián)邦學(xué)習(xí)等安全技術(shù)應(yīng)用情況。數(shù)據(jù)接受方a）數(shù)據(jù)接收方的誠(chéng)信狀況、違法違規(guī)等情況；b）數(shù)據(jù)接收方處理數(shù)據(jù)的目的、方式、范圍等的合法性、正當(dāng)性、必要性；c）接收方是否承諾具備保障數(shù)據(jù)安全的管理、技術(shù)措施和能力并履行責(zé)任義務(wù)；d）是否考核接收方的數(shù)據(jù)保護(hù)能力，掌握其發(fā)生的歷史網(wǎng)絡(luò)安全、數(shù)據(jù)安全事件處置情況；e）對(duì)接收方數(shù)據(jù)使用、再轉(zhuǎn)移、對(duì)外提供和安全保護(hù)的監(jiān)督情況。數(shù)據(jù)轉(zhuǎn)移安全a）是否向有關(guān)主管部門報(bào)告；b）是否制定數(shù)據(jù)轉(zhuǎn)移方案；c）接收方數(shù)據(jù)安全保障能力，是否滿足數(shù)據(jù)轉(zhuǎn)移后數(shù)據(jù)接收方不降低現(xiàn)有數(shù)據(jù)安全保護(hù)水平風(fēng)險(xiǎn)；d）沒有接收方的，對(duì)相關(guān)數(shù)據(jù)刪除處理情況。數(shù)據(jù)出境安全a）數(shù)據(jù)出境場(chǎng)景梳理是否合理、完整，是否覆蓋全部業(yè)務(wù)場(chǎng)景和產(chǎn)品類別；b）出境線路梳理是否合理、完整，是否覆蓋公網(wǎng)出境、專線出境等情形；c）涉及數(shù)據(jù)出境的，按照有關(guān)規(guī)定開展數(shù)據(jù)出境安全評(píng)估的情況；d)針對(duì)公網(wǎng)出境場(chǎng)景，監(jiān)測(cè)核查實(shí)際出境數(shù)據(jù)是否與申報(bào)內(nèi)容一致。A2-6.數(shù)據(jù)公開安全內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）數(shù)據(jù)公開適當(dāng)性a）數(shù)據(jù)公開目的、方式、范圍的適當(dāng)性；b）數(shù)據(jù)公開目的、方式、范圍與行政許可、合同授權(quán)的一致性；c）公開的數(shù)據(jù)內(nèi)容與法律法規(guī)要求的符合程度；d）對(duì)公開的數(shù)據(jù)進(jìn)行必要的脫敏處理、數(shù)據(jù)水印、防爬取、權(quán)限控制情況；e）數(shù)據(jù)公開是否會(huì)帶來聚合性風(fēng)險(xiǎn)；基于被評(píng)估對(duì)象的已公開數(shù)據(jù)，結(jié)合社會(huì)經(jīng)驗(yàn)、自然知識(shí)或其他公開信息，嘗試是否可以推斷出涉密信息、被評(píng)估對(duì)象其他未曾公開的關(guān)聯(lián)信息，或其他對(duì)國(guó)家安全、社會(huì)公共利益有影響的信息。數(shù)據(jù)公開管理a）數(shù)據(jù)公開的安全制度、策略、操作規(guī)程和審核流程的建設(shè)落實(shí)情況；b）數(shù)據(jù)公開的條件、批準(zhǔn)程序，涉及重大基礎(chǔ)設(shè)施的信息公開是否經(jīng)過主管部門批準(zhǔn)，涉及重要數(shù)據(jù)公開是否取得同意；c）數(shù)據(jù)公開前的安全評(píng)估情況，是否事前評(píng)估數(shù)據(jù)公開條件、環(huán)境、權(quán)限、內(nèi)容等風(fēng)險(xiǎn)；d）因法律法規(guī)、監(jiān)管政策的更新，對(duì)不宜公開的已公開數(shù)據(jù)的處置情況；e）對(duì)公開數(shù)據(jù)的脫敏處理、防爬取、數(shù)字水印等控制措施。A2-7.數(shù)據(jù)刪除安全內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）數(shù)據(jù)刪除管理a）數(shù)據(jù)刪除流程和審批機(jī)制的建設(shè)落實(shí)情況；b）數(shù)據(jù)刪除安全策略和操作規(guī)程，是否明確數(shù)據(jù)銷毀對(duì)象、原因、銷毀方式和銷毀要求及對(duì)應(yīng)操作規(guī)程；c）是否按照法律法規(guī)、合同約定、隱私政策等及時(shí)刪除數(shù)據(jù)；d）委托第三方進(jìn)行數(shù)據(jù)處理的，是否在委托結(jié)束后監(jiān)督第三方刪除或返還數(shù)據(jù)；e）數(shù)據(jù)刪除有效性、徹底性驗(yàn)證情況，以及可能存在的多副本同步刪除情況；f）是否明確數(shù)據(jù)存儲(chǔ)期限，并于存儲(chǔ)期限到期后按期刪除數(shù)據(jù)，明確不可刪除數(shù)據(jù)的類型及原因；g）緩存數(shù)據(jù)、到期備份數(shù)據(jù)的刪除情況。存儲(chǔ)介質(zhì)銷毀a）存儲(chǔ)介質(zhì)銷毀管理制度和審批機(jī)制的建設(shè)落實(shí)情況；b）介質(zhì)銷毀策略和操作規(guī)程，是否明確各類介質(zhì)的銷毀流程、方式和要求，是否妥善處置銷毀的存儲(chǔ)介質(zhì)；c）存儲(chǔ)介質(zhì)銷毀過程的監(jiān)控、記錄情況；d)軟硬件資產(chǎn)維護(hù)、報(bào)廢、銷毀管理情況等；e）介質(zhì)銷毀措施有效性，是否對(duì)被銷毀的存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)恢復(fù)驗(yàn)證。f)是否按照數(shù)據(jù)分類分級(jí)，明確不同級(jí)別數(shù)據(jù)適當(dāng)?shù)膭h除措施，核心數(shù)據(jù)刪除是否采用存儲(chǔ)介質(zhì)銷毀方式。其他對(duì)于即時(shí)通信、快遞物流、網(wǎng)上購(gòu)物、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)音視頻、汽車、網(wǎng)絡(luò)預(yù)約汽車服務(wù)等數(shù)據(jù)處理活動(dòng)的評(píng)估，可參照相應(yīng)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的具體細(xì)化要求評(píng)估風(fēng)險(xiǎn)。A3.數(shù)據(jù)安全技術(shù)風(fēng)險(xiǎn)評(píng)估記錄表A3-1.網(wǎng)絡(luò)安全防護(hù)內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）網(wǎng)絡(luò)安全防護(hù)a）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)區(qū)域劃分、IP地址分配、網(wǎng)絡(luò)帶寬設(shè)置等網(wǎng)絡(luò)資源管理情況；b）網(wǎng)絡(luò)隔離、邊界防護(hù)等措施的有效性；c）安全策略和配置核查情況；d）網(wǎng)絡(luò)訪問控制、安全審計(jì)情況；e）安全漏洞發(fā)現(xiàn)及常見漏洞修復(fù)、處置情況；f）異常流量、惡意代碼和釣魚郵件發(fā)現(xiàn)及處置情況；g）外部攻擊、內(nèi)部攻擊、新型攻擊的發(fā)現(xiàn)和處置情況；h）未授權(quán)連接內(nèi)網(wǎng)、外網(wǎng)、無線網(wǎng)等情況；i）通信鏈路、網(wǎng)絡(luò)設(shè)備、計(jì)算設(shè)備等關(guān)鍵設(shè)備的冗余情況；j）對(duì)第三方組件進(jìn)行安全核查、修復(fù)、更新的情況；k）服務(wù)器、數(shù)據(jù)庫(kù)、端口、數(shù)據(jù)資源在互聯(lián)網(wǎng)的暴露及管理情況；j）處理重要數(shù)據(jù)、核心數(shù)據(jù)的信息系統(tǒng)，應(yīng)當(dāng)按照有關(guān)規(guī)定滿足相應(yīng)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求；屬于關(guān)鍵信息基礎(chǔ)設(shè)施的，還應(yīng)當(dāng)符合關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求。A3-2.身份鑒別與訪問控制內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）身份鑒別a）建立用戶、設(shè)備、應(yīng)用系統(tǒng)的身份鑒別機(jī)制情況，身份標(biāo)識(shí)是否具有唯一性；b）身份鑒別信息是否具有復(fù)雜度要求并定期更換；c）是否存在可繞過鑒別機(jī)制的訪問方式；d）登錄失敗時(shí)采取結(jié)束會(huì)話、限制非法登錄次數(shù)、設(shè)置抑制時(shí)間和網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施的情況；e）當(dāng)遠(yuǎn)程管理時(shí)，是否采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽；f）處理重要數(shù)據(jù)的信息系統(tǒng)，采用口令技術(shù)、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行鑒別的情況。訪問控制a）建立與數(shù)據(jù)類別級(jí)別相適應(yīng)的訪問控制機(jī)制情況，是否限定用戶可訪問數(shù)據(jù)范圍；b）是否在數(shù)據(jù)訪問前設(shè)置身份認(rèn)證等措施，防止數(shù)據(jù)的非授權(quán)訪問；c）數(shù)據(jù)訪問權(quán)限與訪問者的身份關(guān)聯(lián)情況；d）數(shù)據(jù)訪問權(quán)限申請(qǐng)、審批機(jī)制的建設(shè)落實(shí)情況；e）是否以滿足業(yè)務(wù)實(shí)際需要的最小化權(quán)限原則進(jìn)行授權(quán)。授權(quán)管理a）數(shù)據(jù)權(quán)限授權(quán)審批流程建設(shè)落實(shí)情況，是否明確用戶賬號(hào)分配、開通、使用、變更、注銷等安全保障要求，是否對(duì)數(shù)據(jù)權(quán)限申請(qǐng)和變更進(jìn)行審核，是否嚴(yán)格控制管理員權(quán)限賬號(hào)數(shù)量；b）系統(tǒng)管理員、安全管理員、安全審計(jì)員等人員角色分離設(shè)置和權(quán)限管理情況；c）系統(tǒng)權(quán)限分配表建設(shè)及更新情況，用戶賬號(hào)實(shí)際權(quán)限是否滿足最少夠用、職權(quán)分離原則；d）是否存在與權(quán)限申請(qǐng)審批結(jié)果不一致的情況；e）是否存在多余、重復(fù)、過期的賬戶和角色；f）是否存在共享賬戶和角色權(quán)限沖突的情況；g）是否存在離職人員賬號(hào)未及時(shí)回收、存在沉默賬號(hào)、權(quán)限違規(guī)變更等安全問題；h）數(shù)據(jù)批量復(fù)制、下載、導(dǎo)出、修改、刪除等數(shù)據(jù)敏感操作是否采取多人審批授權(quán)或操作監(jiān)督，并進(jìn)行日志審計(jì)。A3-3.監(jiān)測(cè)預(yù)警內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）監(jiān)測(cè)預(yù)警a）安全監(jiān)測(cè)預(yù)警和信息報(bào)告機(jī)制的建設(shè)落實(shí)情況，是否明確對(duì)組織內(nèi)部各類數(shù)據(jù)訪問操作的日志記錄要求、安全監(jiān)控要求；b）異常行為監(jiān)測(cè)指標(biāo)建設(shè)情況，包括IP地址、賬號(hào)、數(shù)據(jù)、使用場(chǎng)景等，對(duì)異常行為事件進(jìn)行識(shí)別、發(fā)現(xiàn)、跟蹤和監(jiān)控等；c）對(duì)批量傳輸、下載、導(dǎo)出等敏感數(shù)據(jù)操作的安全監(jiān)控和分析的情況，是否實(shí)現(xiàn)對(duì)數(shù)據(jù)異常訪問和操作進(jìn)行告警；d）對(duì)數(shù)據(jù)交換網(wǎng)絡(luò)流量進(jìn)行安全監(jiān)控和分析的情況，是否具備對(duì)異常流量和行為進(jìn)行告警的能力；e）風(fēng)險(xiǎn)信息的獲取、分析、研判、通報(bào)、處置工作開展情況；f）數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)的監(jiān)測(cè)預(yù)警能力建設(shè)情況。A3-4.數(shù)據(jù)脫敏內(nèi)容分類訪談內(nèi)容結(jié)果記錄（系統(tǒng)/平臺(tái)名稱）數(shù)據(jù)脫敏a）數(shù)據(jù)脫敏規(guī)則、脫敏方法和脫敏數(shù)據(jù)的使用限制情況；b）需要進(jìn)行數(shù)據(jù)脫敏處理的應(yīng)用場(chǎng)景、處理流程及操作記錄情況；c）靜態(tài)數(shù)據(jù)脫敏和動(dòng)態(tài)數(shù)據(jù)脫敏技術(shù)能力建設(shè)情況；d）開發(fā)測(cè)試、人員信息公示等應(yīng)用場(chǎng)景的數(shù)據(jù)脫敏效果驗(yàn)證情況