数据安全自查表

　附件 4

　数据安全自查表

　 单位名称:

　填报人员:

　联系方式:

　 填 写 说 明 一、范围 《数据安全自查表》是依据国家法律法规、技术标准和地方法规文件要求制定。本表针对数据安全和个人信息保护进行自查，分为管理类与技术类两类共计 23 个自查项，其中管理类自查 10 项，技术类自查13 项。从单位基本情况、管理制度落实情况、技术防护能力保障情况等方面进行综合评估，确保数据在全生命周期安全可靠。

　二、规范性引用文件 本自查表内容参照下列文件相关要求制定。下述文件中，标注年份、日期的文件，仅所注年份、日期的版本适用于本文件；未标注年份、日期的文件，其最新版本适用于本文件。

　《中华人民共和国网络安全法》 《儿童个人信息网络保护规定》 《App 违法违规收集使用个人信息行为认定方法》 《天津市促进大数据发展应用条例》

　《天津市数据安全管理办法（暂行）》 《GB/T37988-2019 数据安全成熟度模型》 《GB/T35273-2020 个人信息安全规范》 三、工作要求 各相关单位应按照以下要求开展数据安全和个人信息保护自查工作：

　一是客观。针对本单位数据安全和个人信息保护面临的威胁、存在的安全风险等客观公正地进行分析评价。

　二是真实。各单位需认真、负责地开展数据安全和个人信息保护自查评估工作，不得弄虚作假、隐瞒问题，自查表中填报的信息及上传的佐证材料应确保真实、可信。

　三是全面。各单位需对所属应用系统的数据资产、数据管理、数据服务、个人隐私保护、数据出境等情况进行全面自查，不得瞒报、漏报。

　四是突出重点。针对各单位的重点业务，从数据生命周期、系统平台安全、数据安全管理等方面进行深入自查。

　四、自查要求 党政机关、事业单位和国有企业对照管理类自查项和技术类自查项进行自查，其他单位对照技术类自

　查项进行自查。各相关单位应将数据安全和个人信息保护自查信息进行提交并准备相关佐证材料备查。

　管理类自查项 序号

　自查项

　自查点

　自查结果

　1 核查网络安全工作责任制落实情况 访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

　1.本单位网络安全责任分工文件，明确网络安全第一责任人与直接责任人； 2.网络安全责任制建立落实情况，包括但不限于明确工作机构、对网络安全工作在人、财、物方面的支持、组织领导网络安全保护和重大事件处置工作情况、组织开展网络安全宣传教育等； 3.主管监管部门对本行业、本地区依法开展网络安全检查、通报、处置网络安全事件情况； 4.网络安全责任制检查考核情况，包括但不限于考核内容、方法、程序。

　□符合 □部分符合 □不符合 □不适用 2 核查是否建立并落实网络安全、数据安全等相关管理制度，框架是否合理，是否符合现有业务需求。

　访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

　1.网络安全、数据安全管理制度建设情况； 2.工作部署落实情况，岗位分工、组织建设是否合理明晰，相关记录是否完善； □符合 □部分符合 □不符合 □不适用

　3.是否将网络及数据安全工作纳入年度考核等。

　3 核查信息化资金投入情况及网络安全、数据安全保障资金投入占比情况。

　访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

　1. 本单位上一年度信息化资金投入总体情况和用于网络安全、数据安全的建设、加固、整改的资金总额及占比； 2. 本单位本年度信息化资金预算和用于网络安全、数据安全的建设、加固、整改的资金预算及占比； 3.应提供相关的合同、协议、预算批复材料作为佐证； □符合 □部分符合 □不符合 □不适用 4 核查网络安全等级保护工作落实情况。

　访谈相关责任人,查阅佐证材料符合情况，其中应包含：

　1.等级保护备案证明、测评报告； 2.针对等级保护测评报告提出的整改建议的实际整改落实情况。

　□符合 □部分符合 □不符合 □不适用 5 核查是否建立并落实密码安全管理制度。

　访谈相关责任人,查阅佐证材料符合情况，其中应包含：

　1.相关系统应用以及所采用的产品是否符合国家密码管理局认证核准的密码技术和产品； 2.定期开展密码测评工作。

　□符合 □部分符合 □不符合 □不适用

　6 核查是否建立并落实网络安全、数据安全应急预案。

　访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

　1.应急预案要点、预案手册及相关文档； 2.应急保障支撑队伍及人员联系方式； 3.应急演练文档记录等。

　□符合 □部分符合 □不符合 □不适用 7 核查是否建立落实个人信息保护制度。

　访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

　1.个人信息保护制度应包括但不限于开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动的相关制度规范。

　□符合 □部分符合 □不符合 □不适用 8 核查是否开展网络及数据安全、个人信息安全的教育和培训工作。

　访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

　1.安全教育培训大纲； 2.培训记录（学员签到表）； 3.培训课件等。

　□符合 □部分符合 □不符合 □不适用 9 核查电子邮件安全管理情况。

　访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

　1.本单位清理、停用传输工作邮件的互联网邮箱情况； 2.本单位电子邮件安全管理制度； □符合 □部分符合 □不符合

　3.本单位政务安全邮箱的使用情况。

　□不适用 10 核查疫情防控相关系统或应用的安全保护情况。

　访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

　1. 相关系统收集使用个人信息获得有关部门的授权或批复文件； 2. 相关数据是否与第三方进行共享交换； 3. 相关数据是否用于商业用途； 4.相关系统是否针对数据安全、个人信息保护制定相关防护措施和预案。

　□符合 □部分符合 □不符合 □不适用 技术类自查项

　序号

　评估项

　评估点

　自查结果

　1 核查是否建立并落实数据备份恢复措施。

　采用人工或技术工具的方式核验: 1.核查评估是否具备数据备份恢复功能； 2.核查数据备份方式。

　□符合 □部分符合 □不符合 □不适用 2 核查是否按规定留存日志。

　采用人工或技术工具的方式核验:

　1.核查评估网络运行状态、操作系统日志、数据库日志、网络安全设备日志以及相关应用的日志留存情况； □符合 □部分符合 □不符合

　2.相关日志是否满足留存不少于六个月要求。

　□不适用 3 核查是否建立并落实数据安全防护技术措施 采用人工或技术工具的方式核验:

　1. 核查是否针对数据全生命周期采取相应防护措施或技术手段，（如数据库审计、数据防泄漏、数据脱敏等设备类型、型号、部署位置、相关功能作用）； 2. 核查是否具备数据安全访问控制的策略（控制粒度级别，库、实例、表、行、列、字段、文件等）； 3. 核查日常安全设备巡检记录情况。

　□符合 □部分符合 □不符合 □不适用 4 核查是否制定并落实数据分类分级规范。

　采用人工或技术工具的方式核验:

　核查数据分类分级规范及实施情况； □符合 □部分符合 □不符合 □不适用 5 核查数据采集安全。

　采用人工或技术工具的方式核验: 1.核查相关数据采集的条数、数据类型、总容量等； 2.是否建立数据分类分级打标或数据资产管理工具，实现对数据的分类分□符合 □部分符合 □不符合

　级自动标识、标识结果发布、审核等功能； 3.是否具备相关数据采集工具，工具依据统一的数据采集流程建设，且工具能够保证组织数据采集流程一致性； 4.是否采取技术手段保证数据在采集过程中个人信息和重要数据不被泄露； 5.数据管理系统是否提供标记数据的数据源类型功能，实现对各类数据源的统计和分析；

　6.是否利用技术工具对关键数据进行数据质量管理和监控； □不适用 6 核查数据传输安全 采用人工或技术工具的方式核验: 1. 是否利用技术工具对传输通道两端进行主体身份鉴别和认证，是否对数据传输通道进行加密； 2. 是否对关键的网络传输链路、网络设备节点实行冗余建设； 3. 是否部署相关设备对网络可用性及数据泄露风险进行防范；。

　□符合 □部分符合 □不符合 □不适用 7 核查数据存储安全 采用人工或技术工具的方式核验: 1.核查是否对存储媒体性能进行监控，包括使用历史、性能指标、安全阈□符合 □部分符合

　值告警等； 2.核查是否采用技术工具对逻辑存储系统进行配置扫描、身份鉴别、访问控制等安全管理工作； □不符合 □不适用 8 核查数据处理安全 采用人工或技术工具的方式核验: 1.是否实现对核心业务的数据进行敏感字段屏蔽或脱敏处理； 2．数据在使用过程中是否建立数据访问控制机制，实现身份鉴别、安全配置等，限定用户可访问数据范围； 3.是否完整记录数据使用过程的操作日志； 4．是否记录数据导入导出行为，确保数据导入导出行为可追溯； □符合 □部分符合 □不符合 □不适用 9 核查数据交换安全 采用人工或技术工具的方式核验: 1. 是否针对共享数据及数据共享过程进行监控审计，是否明确共享数据格式规范； 2. 是否建立数据发布系统，实现公开数据登记、用户注册等发布数据和发布组件的验证； 3. 是否采用技术工具实现对数据接口调用的身份鉴别和访问控制； □符合 □部分符合 □不符合 □不适用

　10 核查数据销毁安全 采用人工或技术工具的方式核验: 1. 是否采用技术工具对核心业务存储媒体的数据内容进行擦除销毁； 2. 是否针对网络存储数据，建立硬销毁和软销毁的数据销毁方法和技术； 3. 是否配置必要的数据销毁技术手段与管控措施，确保以不可逆方式销毁敏感数据及其副本内容； 4. 核查是否建立并执行数据销毁制度、流程、规范，是否在第三方监督的情况下开展数据销毁工作，并做好销毁记录； □符合 □部分符合 □不符合 □不适用 11 核查数据出境安全 采用人工或技术工具的方式核验: 1.核查数据存储位置，数据使用范围是否存在数据跨境传输的情况； 2.核查数据出境的必要性和合法性，如必要的应明确数据出境的数量、范围、类型、敏感程度及授权等，对重要数据等敏感字段出境是否采用脱敏等方式进行处理。

　□符合 □部分符合 □不符合 □不适用 12 个人信息安全保护 采用人工或技术工具的方式核验: 1.核查是否存在未经授权或同意收集使用个人信息； 2.核查是否公开收集使用规则； □符合 □部分符合 □不符合

　3.核查是否明示收集使用个人信息目的的、方式和范围； 4.核查是否违反必要原则，收集与其提供的服务无关的个人信息 5.核查是否未经同意向他人提供个人信息； 6.核查是否未按法律规定提供删除或更正个人信息功能、或未公布投诉、举报方式等信息； 7.核查是否未按照法律法规的规定采取管理和技术防护措施，存在个人信息被窃取、被泄露的风险。

　□不适用 13 儿童个人信息安全保护 采用人工或技术工具的方式核验: 1.对涉及儿童信息的相关保护在遵守个人信息保护的基础上是否加强对涉及儿童信息的独立保护声明，制定并落实相关独立保护制度和保护措施； 2.对收集使用儿童信息的是否遵循最小授权原则，严格设定信息访问权限，委托第三方处理儿童信息的是否签订委托协议并进行安全评估。

　□符合 □部分符合 □不符合 □不适用

推荐访问:自查 数据