数据安全自查表

附件4数据安全自查表单位名称:填报人员:联系方式:填写说明一、范畴《数据安全自查表》是根据国家法律法规、技术原则和地办法规文献规定制订。本表针对数据安全和个人信息保护进行自查，分为管理类与技术类两类累计23个自查项，其中管理类自查10项，技术类自查13项。从单位基本状况、管理制度贯彻状况、技术防护能力保障状况等方面进行综合评定，确保数据在全生命周期安全可靠。二、规范性引用文献本自查表内容参考下列文献有关规定制订。下述文献中，标注年份、日期的文献，仅所注年份、日期的版本合用于本文献；未标注年份、日期的文献，其最新版本合用于本文献。《中华人民共和国网络安全法》《小朋友个人信息网络保护规定》《App违法违规收集使用个人信息行为认定办法》《天津市增进大数据发展应用条例》《天津市数据安全管理方法（暂行）》《GB/T37988-数据安全成熟度模型》《GB/T35273-个人信息安全规范》三、工作规定各有关单位应按照下列规定开展数据安全和个人信息保护自查工作：一是客观。针对本单位数据安全和个人信息保护面临的威胁、存在的安全风险等客观公正地进行分析评价。二是真实。各单位需认真、负责地开展数据安全和个人信息保护自查评定工作，不得弄虚作假、隐瞒问题，自查表中填报的信息及上传的佐证材料应确保真实、可信。三是全方面。各单位需对所属应用系统的数据资产、数据管理、数据服务、个人隐私保护、数据出境等状况进行全方面自查，不得瞒报、漏报。四是突出重点。针对各单位的重点业务，从数据生命周期、系统平台安全、数据安全管理等方面进行进一步自查。四、自查规定党政机关、事业单位和国有公司对照管理类自查项和技术类自查项进行自查，其它单位对照技术类自查项进行自查。各有关单位应将数据安全和个人信息保护自查信息进行提交并准备有关佐证材料备查。

管理类自查项序号自查项自查点自查成果1核查网络安全工作责任制贯彻状况访谈有关负责人,查阅佐证材料符合状况，其中最少应包含：1.本单位网络安全责任分工文献，明确网络安全第一负责人与直接负责人；2.网络安全责任制建立贯彻状况，涉及但不限于明确工作机构、对网络安全工作在人、财、物方面的支持、组织领导网络安全保护和重大事件处置工作状况、组织开展网络安全宣传教育等；3.主管监管部门对本行业、本地区依法开展网络安全检查、通报、处置网络安全事件状况；4.网络安全责任制检查考核状况，涉及但不限于考核内容、办法、程序。□符合□部分符合□不符合□不合用2核查与否建立并贯彻网络安全、数据安全等有关管理制度，框架与否合理，与否符合现有业务需求。访谈有关负责人,查阅佐证材料符合状况，其中最少应包含：1.网络安全、数据安全管理制度建设状况；2.工作布署贯彻状况，岗位分工、组织建设与否合理明晰，有关统计与否完善；3.与否将网络及数据安全工作纳入年度考核等。□符合□部分符合□不符合□不合用3核查信息化资金投入状况及网络安全、数据安全保障资金投入占比状况。访谈有关负责人,查阅佐证材料符合状况，其中最少应包含：1.本单位上一年度信息化资金投入总体状况和用于网络安全、数据安全的建设、加固、整治的资金总额及占比；2.本单位本年度信息化资金预算和用于网络安全、数据安全的建设、加固、整治的资金预算及占比；3.应提供有关的合同、合同、预算批复材料作为佐证；□符合□部分符合□不符合□不合用4核查网络安全等级保护工作贯彻状况。访谈有关负责人,查阅佐证材料符合状况，其中应包含：1.等级保护备案证明、测评报告；2.针对等级保护测评报告提出的整治建议的实际整治贯彻状况。□符合□部分符合□不符合□不合用5核查与否建立并贯彻密码安全管理制度。访谈有关负责人,查阅佐证材料符合状况，其中应包含：1.有关系统应用以及所采用的产品与否符合国家密码管理局认证核准的密码技术和产品；2.定时开展密码测评工作。□符合□部分符合□不符合□不合用6核查与否建立并贯彻网络安全、数据安全应急预案。访谈有关负责人,查阅佐证材料符合状况，其中最少应包含：1.应急预案要点、预案手册及有关文档；2.应急保障支撑队伍及人员联系方式；3.应急演习文档统计等。□符合□部分符合□不符合□不合用7核查与否建立贯彻个人信息保护制度。访谈有关负责人,查阅佐证材料符合状况，其中最少应包含：1.个人信息保护制度应涉及但不限于开展收集、保存、使用、共享、转让、公开披露等个人信息解决活动的有关制度规范。□符合□部分符合□不符合□不合用8核查与否开展网络及数据安全、个人信息安全的教育和培训工作。访谈有关负责人,查阅佐证材料符合状况，其中最少应包含：1.安全教育培训大纲；2.培训统计（学员签到表）；3.培训课件等。□符合□部分符合□不符合□不合用9核查电子邮件安全管理状况。访谈有关负责人,查阅佐证材料符合状况，其中最少应包含：1.本单位清理、停用传输工作邮件的互联网邮箱状况；2.本单位电子邮件安全管理制度；3.本单位政务安全邮箱的使用状况。□符合□部分符合□不符合□不合用10核查疫情防控有关系统或应用的安全保护状况。访谈有关负责人,查阅佐证材料符合状况，其中最少应包含：1.有关系统收集使用个人信息获得有关部门的授权或批复文献；2.有关数据与否与第三方进行共享交换；3.有关数据与否用于商业用途；4.有关系统与否针对数据安全、个人信息保护制订有关防护方法和预案。□符合□部分符合□不符合□不合用技术类自查项序号评定项评定点自查成果1核查与否建立并贯彻数据备份恢复方法。采用人工或技术工具的方式核验:1.核查评定与否含有数据备份恢复功效；2.核查数据备份方式。□符合□部分符合□不符合□不合用2核查与否按规定留存日志。采用人工或技术工具的方式核验:1.核查评定网络运行状态、操作系统日志、数据库日志、网络安全设备日志以及有关应用的日志留存状况；2.有关日志与否满足留存不少于六个月规定。□符合□部分符合□不符合□不合用3核查与否建立并贯彻数据安全防护技术方法采用人工或技术工具的方式核验:1.核查与否针对数据全生命周期采用对应防护方法或技术手段，（如数据库审计、数据防泄漏、数据脱敏等设备类型、型号、布署位置、有关功效作用）；2.核查与否含有数据安全访问控制的方略（控制粒度级别，库、实例、表、行、列、字段、文献等）；3.核查日常安全设备巡检统计状况。□符合□部分符合□不符合□不合用4核查与否制订并贯彻数据分类分级规范。采用人工或技术工具的方式核验:核查数据分类分级规范及实施状况；□符合□部分符合□不符合□不合用5核查数据采集安全。采用人工或技术工具的方式核验:1.核查有关数据采集的条数、数据类型、总容量等；2.与否建立数据分类分级打标或数据资产管理工具，实现对数据的分类分级自动标记、标记成果公布、审核等功效；3.与否含有有关数据采集工具，工具根据统一的数据采集流程建设，且工具能够确保组织数据采集流程一致性；4.与否采用技术手段确保数据在采集过程中个人信息和重要数据不被泄露；5.数据管理系统与否提供标记数据的数据源类型功效，实现对各类数据源的统计和分析；6.与否运用技术工具对核心数据进行数据质量管理和监控；□符合□部分符合□不符合□不合用6核查数据传输安全采用人工或技术工具的方式核验:与否运用技术工具对传输通道两端进行主体身份鉴别和认证，与否对数据传输通道进行加密；与否对核心的网络传输链路、网络设备节点实施冗余建设；与否布署有关设备对网络可用性及数据泄露风险进行防备；。□符合□部分符合□不符合□不合用7核查数据存储安全采用人工或技术工具的方式核验:1.核查与否对存储媒体性能进行监控，涉及使用历史、性能指标、安全阈值告警等；2.核查与否采用技术工具对逻辑存储系统进行配备扫描、身份鉴别、访问控制等安全管理工作；□符合□部分符合□不符合□不合用8核查数据解决安全采用人工或技术工具的方式核验:1.与否实现对核心业务的数据进行敏感字段屏蔽或脱敏解决；2．数据在使用过程中与否建立数据访问控制机制，实现身份鉴别、安全配备等，限定顾客可访问数据范畴；3.与否完整统计数据使用过程的操作日志；4．与否统计数据导入导出行为，确保数据导入导出行为可追溯；□符合□部分符合□不符合□不合用9核查数据交换安全采用人工或技术工具的方式核验:与否针对共享数据及数据共享过程进行监控审计，与否明确共享数据格式规范；与否建立数据公布系统，实现公开数据登记、顾客注册等公布数据和公布组件的验证；与否采用技术工具实现对数据接口调用的身份鉴别和访问控制；□符合□部分符合□不符合□不合用10核查数据销毁安全采用人工或技术工具的方式核验:与否采用技术工具对核心业务存储媒体的数据内容进行擦除销毁；与否针对网络存储数据，建立硬销毁和软销毁的数据销毁办法和技术；与否配备必要的数据销毁技术手段与管控方法，确保以不可逆方式销毁敏感数据及其副本内容；4.核查与否建立并执行数据销毁制度、流程、规范，与否在第三方监督的状况下开展数据销毁工作，并做好销毁统计；□符合□部分符合□不符合□不合用11核查数据出境安全采用人工或技术工具的方式核验:1.核查数据存储位置，数据使用范畴与否存在数据跨境传输的状况；2.核查数据出境的必要性和正当性，如必要的应明确数据出境的数量、范畴、类型、敏感程度及授权等，对重要数据等敏感字段出境与否采用脱敏等方式进行解决。□符合□部分符合□不符合□不合用12个人信息安全保护采用人工或技术工具的方式核验:1.核查与否存在未经授权或同意收集使用个人信息；2.核查与否公开收集使用规则；3.核查与否明示收集使用个人信息目的的、方式和范畴；4.核查与否违反必要原则，收集与其提供的服务无关的个人信息5.核查与否未经同意向别人提供个人信息；6.核查与否未按法律规定提供删除或改正个人信息功效、或未公布投诉、举报方式等信息；7.核查与否未按照法律法规的规定采用