网络安全法遵守情况自查报告

网络安全法遵守情况自查报告为落实属地网信部门、公安部门关于开展《中华人民共和国网络安全法》贯彻落实情况专项检查的工作要求，我司作为面向国内中小微企业提供企业服务SaaS平台的运营主体，现有在职员工182人，服务付费客户1200余家，平台累计存储各类用户经营数据、身份信息超过20TB，对网络安全合规有着刚性需求。本次自查工作于2024年3月10日启动，至3月25日完成全范围覆盖，由公司CTO、法务负责人共同牵头，信息安全部、产品部、研发部、客服部、人力资源部全员参与，对照《网络安全法》全部条款，结合我司实际业务场景，通过制度调阅、漏洞扫描、数据核查、人员访谈、权限审计等多种方式开展，现将自查情况、发现问题及整改安排报告如下：本次自查开展过程中，我们首先梳理了《网络安全法》对网络运营者提出的核心要求，从主体责任落实、个人信息保护、数据安全管理、应急处置、用户权益保障五个核心维度展开，逐一核对现有工作与法律要求的匹配度。在网络安全主体责任落实层面，我司核心业务平台已按照《网络安全法》第二十一条要求完成三级网络安全等级保护备案，2023年9月通过等保测评，测评结果为合格，符合法律要求。我司已设立专职信息安全管理部门，现有7名专职安全工作人员，其中3人持有CISP注册信息安全专业人员证书，明确了部门负责人为网络安全第一责任人，建立了从产品立项到上线运营全流程的安全审核机制。截至本次自查前，我司已建立《网络安全管理办法》《数据分级分类保护细则》《个人信息操作规范》《第三方合作合规管理办法》等12项网络安全相关内部制度，覆盖了网络安全管理的主要场景。但对照法律要求，仍然存在多个细节层面的漏洞：一是2023年11月新上线的面向个人开发者的轻量代码托管SaaS子产品，因前期上线优先级高、项目团队错误判断产品安全等级，未同步开展等保备案与测评工作，存在合规滞后问题；二是网络安全培训覆盖不全，现有培训仅针对技术部门员工，年度培训最近一次开展为2023年1月，间隔已超过12个月，去年组织的钓鱼邮件模拟演练仅覆盖技术部，运营、客服、行政等部门未参与，一线非技术岗位员工安全意识薄弱；三是部分临时权限管理存在漏洞，外包开发人员调试接口后的权限未及时收回，直到本次自查才发现该隐患。在个人信息保护层面，我司严格对照《网络安全法》第二十二条至第四十四条的要求开展自查，目前已落实最小必要收集原则，用户注册环节仅收集手机号、企业名称两项必要信息，不会以任何理由强制收集用户的通讯录、地理位置等非必要信息；隐私政策采用单独成文展示，未嵌入用户协议，对收集信息的范围、用途、共享范围、用户权利等核心内容做了加粗标红处理，方便用户阅读；用户查询、更正、删除个人信息以及注销账号的通道，已放置在平台“账号与安全”一级菜单下，注销申请无未办结业务的7个工作日内完成，符合法律要求；2023年我司已完成全平台个人信息保护影响评估，并将评估报告上报属地网信部门，未发现重大违规问题。本次自查排查出的问题主要集中在三个方面：一是注册环节原逻辑为默认勾选同意隐私政策，未取得用户的明示同意，虽然该操作是行业过去的通用做法，但不符合《网络安全法》关于个人信息收集需经用户同意的核心要求；二是客服部门为方便跟进用户问题，存在将用户身份信息截图保存至部门共享云文档的行为，本次核查发现共享云文档中留存了127份超过1年的未脱敏用户信息截图，既没有必要留存，也存在泄露风险；三是第三方合作机构的合规评估更新不及时，我司现有12家第三方合作机构，包括云服务商、支付机构、短信服务商等，最近一次全量合规评估为2021年，未按照制度要求每年更新评估，无法确认第三方当前的合规状态是否符合要求。此外，我们还发现原有隐私政策内容过于冗长，核心信息不突出，不符合法律要求的“清晰、易懂”原则，本次也将其纳入整改范围。在数据安全管理层面，我司已按照《网络安全法》要求完成数据分级分类，将全部数据划分为公开数据、内部数据、敏感数据、核心数据四个等级，其中核心数据包括用户法人身份证件信息、企业银行账户信息、用户存储的未公开商业数据，核心数据全部采用加密方式存储在隔离服务器，仅3名授权管理人员可访问，所有操作都留痕日志，保存期限超过1年；敏感数据包括用户手机号、联系邮箱、企业经营地址，采用存储加密传输，全链路HTTPS加密，不存在明文传输问题。本次自查排查出的问题包括：一是2023年12月核心数据库迁移过程中，有3条测试数据遗留在开放匿名访问权限的测试服务器中，虽然测试数据为虚构的模拟信息，未造成实际泄露，但操作流程不合规；二是现有数据备份仅存储在同区域的云存储桶中，未建立异地备份机制，若该区域发生不可抗力故障，存在备份数据全部丢失的风险；三是部分员工工作设备不合规，排查发现有3名员工未安装公司统一要求的企业版杀毒软件，使用个人免费杀毒工具，存在病毒感染风险，还有2名员工存在用个人邮箱发送工作敏感信息的行为，违反了内部制度要求。在网络安全事件应急处置层面，我司已制定《网络安全事件应急预案》，按照事件影响范围划分为一般、较大、重大三个等级，明确了不同等级事件的处置流程。本次自查发现应急预案存在细节漏洞：一是预案预留的应急联系人还是2022年的离职安全负责人，联系方式已经失效，对上报属地监管部门的时限要求不明确，仅规定重大事件需要上报，未明确不同等级事件的上报要求；二是应急演练覆盖不全，去年仅组织了一次数据泄露场景的应急演练，未组织当前高发的勒索病毒攻击场景的演练，员工对勒索病毒的处置流程不熟悉，应对能力不足。本次自查排查出的全部问题已整理形成问题清单，明确了整改责任、完成时限，具体如下：序号自查发现问题描述对应《网络安全法》条款整改措施责任部门完成时限当前进度1新上线轻量代码托管子产品未完成网络安全等级保护备案与测评第二十一条于本周内向属地网安部门提交等保备案申请，确定符合资质的测评机构，2024年4月底前完成三级等保测评（产品涉及用户存储项目源代码，按要求定三级）信息安全部、产品部2024年4月30日已准备好全部备案材料，待提交2一线运营、客服、行政部门未覆盖钓鱼邮件应急演练，年度安全培训间隔超12个月第二十一条2024年3月底前组织全员钓鱼邮件专项培训与模拟演练，调整培训机制为每季度组织一次专项安全培训，新员工入职必须完成安全培训考试，合格后方可上岗信息安全部、人力资源部2024年3月31日演练方案已制定，已通知全员提前准备3用户注册环节默认勾选同意隐私政策，未获取用户明示同意，原隐私政策内容冗长核心信息不突出第二十二条修改注册页面逻辑，改为手动勾选同意，调整隐私政策为“精简版+完整版”结构，精简版一千字以内讲清核心内容放在注册流程前，完整版放置在后端供用户查阅产品部、法务部2024年3月20日前端代码已修改，隐私政策内容调整完成，正在内部测试，预计3月18日正式上线4客服部门共享云文档留存127份超过1年的未脱敏用户信息截图，未定期清理第四十一条立即完成所有违规留存截图的脱敏删除，建立云文档月度清理制度，要求客服部门每月底清理所有已办结用户问题的信息留存，信息安全部每季度抽查清理情况客服部、信息安全部2024年3月25日已完成80%的清理工作，清理制度框架已制定5第三方合作机构数据合规评估最近一次为2021年，未按要求每年更新第二十四条一周内完成全部12家第三方机构的合规梳理，向所有机构发函索要最新的网络安全合规证明，对不符合要求的机构限期1个月整改，整改不到位终止合作法务部、信息安全部2024年4月15日已梳理完成第三方机构清单，发函准备中6数据库迁移后3条测试数据遗留在开放匿名访问权限的测试服务器第四十条立即删除测试数据，关闭测试服务器不必要的公网访问权限，建立测试数据日清制度，要求所有测试完成后24小时内清理全部测试数据技术研发部、信息安全部2024年3月15日已删除数据关闭权限，制度制定中7数据备份仅在同区域存储，未建立异地备份机制第二十一条开通跨区域的云存储桶，配置每周全量备份、每日增量备份的同步规则，每月验证一次备份数据的可恢复性技术研发部2024年4月10日已完成存储桶开通，正在配置同步规则8外包开发人员调试接口后未及时收回访问权限，权限已开放3个月第二十七条立即收回所有外包人员的临时权限，在OA系统配置临时授权自动到期回收机制，所有临时授权必须明确授权时长，到期自动回收，信息安全部每周核查一次临时授权情况技术研发部、信息安全部2024年3月15日已收回权限，自动回收规则已配置到OA系统9应急预案联系人信息未更新，上报流程与时限不明确第五十一条更新应急预案中的联系人信息，明确一般安全事件24小时内上报属地网信部门，重大安全事件2小时内上报，每半年更新一次应急预案内容信息安全部、法务部2024年3月20日已完成内容修改，正在走内部审批流程10未组织过勒索病毒攻防应急演练第五十一条2024年4月中旬组织全员勒索病毒应急演练，演练完成后出具演练评估报告，补齐应急预案短板，明确每年至少组织两次不同场景的应急演练信息安全部、行政部2024年4月20日演练方案策划中113名员工未安装企业版杀毒软件，2名员工存在用个人邮箱发送敏感信息的行为第二十一条已通知涉事员工完成整改，信息安全部每周核查一次所有员工工作设备的安全配置，违规两次以上扣除当月绩效信息安全部、人力资源部2024年3月15日涉事员工已完成整改，核查规则已更新本次自查未发现我司存在重大违反《网络安全法》的行为，未发生过重大网络安全事件、数据泄露事件，所有排查出的问题均为细节层面的管理漏洞与操作不规范，不存在系统性合规风险。针对排查出的所有问题，我司已建立每周整改进度通报机制，由信息安全部牵头跟进所有问题的整改情况，整改完成一项销号一项，逾期未完成的扣减责任部门季度绩效，确保所有问题按时整改到位。整改完成后，我司将建立常态化的合规管理长效机制，一是每半年对照《网络安全法》及相关配套法规开展一次全面自查，每月开展一次漏洞扫描、权限核查专项检查，做到风险早发现早处置；二是将网络安全合规占部门绩效的权重提升至15%，发生合规问题的直接扣减绩效，发生重大安全事件的追究部门负责人责任，强化全员合规意识；三是加大网络安全投入，2024年计划投入25万元升级数据安全防护系统，新增自动数据脱敏系统、异常访问审计系统，对所有核心数据访问行为做实时监控，异常访问自动告警，从技术层面提升防护能力；四是完善第三方合作合规准入机制，所有新引入的第三方合作机构必须先完成合规评估，合格后方可合作，每年更新一次全量评估，从供应链层面防控安全风险；五是积极配合属地监管部门的监督检查，本次自查与整改完成后，我司将正式上报自查报告与整改清单，接受监管部门的监督指导。作为面向中小微企业服务的网络运营者，我司深刻认识到《网络安全法》是网络运营的底线要求，遵守网络安全法律法规不仅是法定责任，更是企业赢得用户信任、实现长期发展的