2021數(shù)據(jù)安全治理能力評(píng)估方法

目??次前言 II引言 III范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 1概述 2評(píng)估原則 3評(píng)估實(shí)施方法 3評(píng)估實(shí)施過(guò)程 3數(shù)據(jù)安全治理能力總體要求 4評(píng)估等級(jí) 4第一級(jí)：基礎(chǔ)級(jí) 4第二級(jí)：優(yōu)秀級(jí) 4第三級(jí)：先進(jìn)級(jí) 5數(shù)據(jù)安全戰(zhàn)略 5數(shù)據(jù)安全規(guī)劃 5機(jī)構(gòu)人員管理 7數(shù)據(jù)全生命周期安全 10數(shù)據(jù)采集安全 10數(shù)據(jù)傳輸安全 12存儲(chǔ)安全 15數(shù)據(jù)備份與恢復(fù) 17使用安全 19數(shù)據(jù)處理環(huán)境安全 21數(shù)據(jù)內(nèi)部共享安全 23數(shù)據(jù)外部共享安全 25數(shù)據(jù)銷(xiāo)毀安全 28基礎(chǔ)安全 30數(shù)據(jù)分類(lèi)分級(jí) 30合規(guī)管理 32合作方管理 34監(jiān)控審計(jì) 37鑒別與訪問(wèn) 39風(fēng)險(xiǎn)和需求分析 41安全事件應(yīng)急 43參考文獻(xiàn) 46I引 言III數(shù)據(jù)安全治理能力評(píng)估方法范圍本文件適用于電信網(wǎng)和互聯(lián)網(wǎng)等企業(yè)開(kāi)展數(shù)據(jù)治理工作，為其數(shù)據(jù)安全治理能力評(píng)估提供參考和指引。規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，（包括所有的修改單適用于本文件。GB/T25069—2010信息安全技術(shù) 術(shù)語(yǔ)GB/T29765—2013信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法 術(shù)語(yǔ)和定GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系 概述和詞匯GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型 術(shù)語(yǔ)和定GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范 術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義GB/T25069—2010、GB/T29765—2013、GB/T29246—2017、GB/T37988—2019和GB/T35273—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)安全datasecurity通過(guò)管理和技術(shù)措施，確保數(shù)據(jù)有效保護(hù)和合規(guī)使用的狀態(tài)。[來(lái)源：GB/T37988—2019，3.1]3.2保密性confidentiality使信息不泄漏給未授權(quán)的個(gè)人、實(shí)體、進(jìn)程，或不被其利用的特性。[來(lái)源：GB/T25069—2010，2.1.1]3.3完整性integrity準(zhǔn)確和完備的特性。[來(lái)源：GB/T29246—2017，2.40]3.41備份數(shù)據(jù)backupdata（通?？梢苿?dòng)的[來(lái)源：GB/T29765-2013，3.1]3.5備份backup創(chuàng)建備份數(shù)據(jù)的過(guò)程。[來(lái)源：GB/T29765-2013，3.2]3.6技術(shù)工具technicaltool通過(guò)技術(shù)手段或平臺(tái)工具等方式支撐組織數(shù)據(jù)安全治理能力的建設(shè)。3.7內(nèi)部共享internalsharing在單個(gè)組織內(nèi)部環(huán)境下的數(shù)據(jù)交換過(guò)程。3.8外部共享externalsharing在任意兩個(gè)或多個(gè)組織之間的數(shù)據(jù)交換過(guò)程。3.9數(shù)據(jù)血緣dataconsanguinity記錄了對(duì)原始數(shù)據(jù)的處理步驟，標(biāo)明了數(shù)據(jù)產(chǎn)生的鏈路關(guān)系。3.10個(gè)人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。注1賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。注2：個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息，例如，用戶(hù)畫(huà)像或特征標(biāo)簽，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的，屬于個(gè)人信息。[來(lái)源：GB/T35273-2020，3.1，有修改]3.11個(gè)人敏感信息personalsensitiveinformation一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。[來(lái)源：GB/T35273-2020，3.2]概述2評(píng)估原則標(biāo)準(zhǔn)性原則：評(píng)估工作應(yīng)依據(jù)本文件展開(kāi)?？陀^公正原則：評(píng)估發(fā)現(xiàn)、評(píng)估結(jié)論和評(píng)估報(bào)告應(yīng)真實(shí)和準(zhǔn)確地反映評(píng)估活動(dòng)，不帶評(píng)估人員個(gè)人偏見(jiàn)，以確保評(píng)估發(fā)現(xiàn)和評(píng)估結(jié)論僅建立在評(píng)估證據(jù)的基礎(chǔ)上。保密原則：評(píng)估人員應(yīng)審慎使用和保護(hù)在評(píng)估過(guò)程獲得的信息，以保障被評(píng)估方數(shù)據(jù)安全?？梢栽谠u(píng)估前與被評(píng)估單位就數(shù)據(jù)安全保密責(zé)任義務(wù)進(jìn)行認(rèn)定與劃分，包括不限于保密協(xié)議簽署等。評(píng)估實(shí)施方法主要通過(guò)文檔查驗(yàn)、人員訪談、系統(tǒng)演示等方式對(duì)評(píng)估對(duì)象的實(shí)際建設(shè)情況進(jìn)行評(píng)估。系統(tǒng)演示是指由評(píng)估對(duì)象相關(guān)人員進(jìn)行展示，評(píng)估人員查看承載數(shù)據(jù)的應(yīng)用、系統(tǒng)等，以評(píng)估數(shù)據(jù)安全保障措施是否有效。評(píng)估對(duì)象需要安排相關(guān)人員進(jìn)行現(xiàn)場(chǎng)演示，評(píng)估人員根據(jù)系統(tǒng)演示情況進(jìn)行查驗(yàn)。評(píng)估實(shí)施過(guò)程評(píng)估實(shí)施過(guò)程主要包括評(píng)估準(zhǔn)備、評(píng)估執(zhí)行和評(píng)估審核三個(gè)階段，與評(píng)估對(duì)象的溝通和洽談貫穿整個(gè)過(guò)程，評(píng)估實(shí)施過(guò)程見(jiàn)圖1圖1評(píng)估實(shí)施過(guò)程3評(píng)估審核階段由評(píng)審專(zhuān)家通過(guò)評(píng)審會(huì)的形式對(duì)評(píng)估報(bào)告的編制進(jìn)行審核，以最終確定評(píng)估等級(jí)，并進(jìn)行評(píng)估的等級(jí)證書(shū)發(fā)放。數(shù)據(jù)安全治理能力總體要求數(shù)據(jù)安全治理能力包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全三部分，見(jiàn)圖2所示。數(shù)據(jù)安全戰(zhàn)略能力包括：數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理。數(shù)據(jù)全生命周期安全能力包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)使用安全、數(shù)據(jù)共享安全、數(shù)據(jù)銷(xiāo)毀安全?；A(chǔ)安全能力包括：數(shù)據(jù)分類(lèi)分級(jí)、合規(guī)管理、合作方管理、監(jiān)控審計(jì)、鑒別與訪問(wèn)、風(fēng)險(xiǎn)和需求分析、安全事件應(yīng)急。數(shù)據(jù)安全戰(zhàn)略數(shù)據(jù)生命周期安全基礎(chǔ)安全能力項(xiàng)數(shù)據(jù)安全規(guī)劃?rùn)C(jī)構(gòu)人員管理數(shù)據(jù)采集安全數(shù)據(jù)傳輸安全存儲(chǔ)安全數(shù)據(jù)備份與恢復(fù)使用安全數(shù)據(jù)處理環(huán)境安全數(shù)據(jù)內(nèi)部共享安全數(shù)據(jù)外部共享安全數(shù)據(jù)銷(xiāo)毀安全數(shù)據(jù)分類(lèi)分級(jí)合規(guī)管理合作方管理監(jiān)控審計(jì)鑒別與訪問(wèn)風(fēng)險(xiǎn)和需求分析安全事件應(yīng)急圖2數(shù)據(jù)安全治理能力評(píng)估框架評(píng)估等級(jí)第一級(jí)：基礎(chǔ)級(jí)數(shù)據(jù)安全治理能力主要是體現(xiàn)在離散的項(xiàng)目中，建立了基本的管理流程和初步的體系，具體特征如下：一般由各業(yè)務(wù)團(tuán)隊(duì)人員負(fù)責(zé)數(shù)據(jù)安全相關(guān)工作；開(kāi)始關(guān)注組織內(nèi)人員的數(shù)據(jù)安全意識(shí)，進(jìn)行定期培訓(xùn)。第二級(jí)：優(yōu)秀級(jí)4數(shù)據(jù)安全治理能力體現(xiàn)在組織層面，具備完善的標(biāo)準(zhǔn)化管理機(jī)制，能夠促進(jìn)數(shù)據(jù)安全的規(guī)范化落地，具體特征如下：第三級(jí)：先進(jìn)級(jí)數(shù)據(jù)安全治理能力體現(xiàn)在擁有完善的數(shù)據(jù)安全治理能力量化評(píng)估體系和持續(xù)優(yōu)化策略，具體特征如下：建立了統(tǒng)一的技術(shù)工具，能夠?yàn)榻M織的數(shù)據(jù)安全治理提供支撐；當(dāng)監(jiān)管要求、組織架構(gòu)、業(yè)務(wù)需求等發(fā)生變化時(shí)，能夠及時(shí)調(diào)整相應(yīng)的數(shù)據(jù)安全策略及規(guī)范。數(shù)據(jù)安全戰(zhàn)略數(shù)據(jù)安全規(guī)劃概述等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)核心業(yè)務(wù)的數(shù)據(jù)安全規(guī)劃，推進(jìn)規(guī)劃的開(kāi)展實(shí)施。制度流程：應(yīng)對(duì)核心業(yè)務(wù)進(jìn)行數(shù)據(jù)安全規(guī)劃，明確基本的合規(guī)要求。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。組織建設(shè)：應(yīng)設(shè)置組織層面的數(shù)據(jù)安全管理部門(mén)、崗位和人員，負(fù)責(zé)協(xié)調(diào)安全管理、技術(shù)工具、推進(jìn)規(guī)劃開(kāi)展執(zhí)行。制度流程：應(yīng)明確數(shù)據(jù)安全規(guī)劃活動(dòng)的執(zhí)行頻率、審核機(jī)制及發(fā)布流程等；應(yīng)制定數(shù)據(jù)保護(hù)計(jì)劃，明確需要執(zhí)行的活動(dòng)、所需資源、支持崗位、時(shí)間安排和實(shí)施步驟。技術(shù)工具：應(yīng)建立數(shù)據(jù)安全規(guī)劃分發(fā)及管理平臺(tái)在組織內(nèi)部對(duì)數(shù)據(jù)安全規(guī)劃進(jìn)行推廣。5人員能力：應(yīng)了解組織的業(yè)務(wù)發(fā)展目標(biāo)，能夠?qū)?shù)據(jù)安全工作的目標(biāo)和業(yè)務(wù)發(fā)展的目標(biāo)進(jìn)行有機(jī)結(jié)合；應(yīng)具備資源統(tǒng)籌協(xié)調(diào)能力，定期開(kāi)展宣貫工作在組織內(nèi)推進(jìn)計(jì)劃實(shí)施；應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)對(duì)數(shù)據(jù)安全制度和規(guī)程進(jìn)行體系化的評(píng)估，制定數(shù)據(jù)安全治理能力提升計(jì)劃；評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)安全規(guī)劃的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)安全規(guī)劃相關(guān)制度文件：查驗(yàn)該文件是否明確了相關(guān)數(shù)據(jù)全生命周期的數(shù)據(jù)安全策略；查驗(yàn)該文件是否定義了合規(guī)要求。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)安全安全規(guī)劃的部門(mén)、崗位和人員，并規(guī)定了職責(zé)范圍。查驗(yàn)是否在組織層面制定了數(shù)據(jù)安全規(guī)劃相關(guān)制度文件：查驗(yàn)該文件的制定是否考慮了國(guó)家法律法規(guī)和監(jiān)管要求，以及組織的數(shù)據(jù)安全需求；查驗(yàn)該文件是否明確了數(shù)據(jù)保護(hù)機(jī)制；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)安全規(guī)劃制度的編制、評(píng)審、發(fā)布、更新流程。查驗(yàn)是否在組織層面制定了數(shù)據(jù)安全管理相關(guān)制度文件：查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)安全制度的分發(fā)機(jī)制；查驗(yàn)該文件是否明確了數(shù)據(jù)安全制度的編制、評(píng)審、發(fā)布、更新流程；由數(shù)據(jù)安全規(guī)劃組織對(duì)數(shù)據(jù)安全策略進(jìn)行統(tǒng)一規(guī)劃、發(fā)布、更新。查驗(yàn)組織技術(shù)工具：是否開(kāi)展數(shù)據(jù)安全規(guī)劃研討會(huì)；6是否具備數(shù)據(jù)安全規(guī)劃推廣平臺(tái)，且能正常運(yùn)行。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)安全管理制度、規(guī)劃效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)安全規(guī)劃的優(yōu)化工作機(jī)制：是否支持根據(jù)政策變化、架構(gòu)調(diào)整、業(yè)務(wù)發(fā)展等需求優(yōu)化規(guī)劃制度；是否支持根據(jù)評(píng)估結(jié)果優(yōu)化管理制度。機(jī)構(gòu)人員管理概述建立負(fù)責(zé)組織內(nèi)部數(shù)據(jù)安全工作的部門(mén)、崗位和人員，并與人力資源管理部門(mén)進(jìn)行聯(lián)動(dòng)，防范機(jī)構(gòu)人員管理過(guò)程中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。制度流程：應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全違規(guī)的紀(jì)律處理制度；應(yīng)對(duì)核心業(yè)務(wù)崗位候選者從法律法規(guī)、行業(yè)道德準(zhǔn)則等層面執(zhí)行背景調(diào)查；應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全崗位的職責(zé)；應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全培訓(xùn)計(jì)劃，并按計(jì)劃對(duì)相關(guān)人員開(kāi)展數(shù)據(jù)安全培訓(xùn)；應(yīng)與所有涉及數(shù)據(jù)服務(wù)的人員簽訂安全責(zé)任協(xié)議和保密協(xié)議。人員能力：應(yīng)能夠充分了解目前數(shù)據(jù)安全在組織整體業(yè)務(wù)目標(biāo)中的定位；應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。a)組織建設(shè)：應(yīng)建立組織的監(jiān)督管理職能部門(mén)，負(fù)責(zé)對(duì)組織內(nèi)部的數(shù)據(jù)操作行為進(jìn)行監(jiān)督；7應(yīng)制定組織的數(shù)據(jù)安全規(guī)劃、安全建設(shè)、安全運(yùn)營(yíng)和系統(tǒng)維護(hù)工作的責(zé)任部門(mén)；制度流程：應(yīng)明確數(shù)據(jù)安全追責(zé)機(jī)制，定期對(duì)責(zé)任部門(mén)和安全崗位組織安全檢查，形成檢查報(bào)告；應(yīng)明確數(shù)據(jù)服務(wù)涉敏崗位的權(quán)限分離、多人共管等安全管理要求；技術(shù)工具：應(yīng)及時(shí)終止或變更離崗和轉(zhuǎn)崗員工的數(shù)據(jù)操作權(quán)限，并及時(shí)將人員的變更通知到相關(guān)方；員工入職時(shí)應(yīng)按最小必要原則分配初始權(quán)限；應(yīng)以公開(kāi)信息且可查詢(xún)的形式，面向組織全員公布數(shù)據(jù)安全職能部門(mén)的組織架構(gòu)。d)人員能力：負(fù)責(zé)機(jī)構(gòu)人員管理的員工應(yīng)充分理解人力資源管理流程中可對(duì)安全風(fēng)險(xiǎn)進(jìn)行把控的環(huán)節(jié)；負(fù)責(zé)設(shè)置數(shù)據(jù)安全職能的人員應(yīng)能夠明確組織的數(shù)據(jù)安全工作目標(biāo)及組織的戰(zhàn)略發(fā)展方向。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。a)組織建設(shè)：應(yīng)根據(jù)職責(zé)分離原則設(shè)置數(shù)據(jù)安全管理的崗位和人員；應(yīng)建立覆蓋各業(yè)務(wù)部門(mén)的體系化的數(shù)據(jù)安全管理部門(mén)，且配備必要的管理人員和技術(shù)人員；b)制度流程：應(yīng)定期對(duì)數(shù)據(jù)安全培訓(xùn)內(nèi)容、計(jì)劃審核更新，對(duì)數(shù)據(jù)安全培訓(xùn)效果進(jìn)行量化評(píng)估；應(yīng)定期對(duì)機(jī)構(gòu)人員的管理效果進(jìn)行量化評(píng)估；技術(shù)工具：應(yīng)建立人員數(shù)據(jù)安全意識(shí)或能力的客觀評(píng)價(jià)工具，定期更新反饋結(jié)果。b)人員能力：應(yīng)具備較強(qiáng)的數(shù)據(jù)安全保護(hù)意識(shí)，形成組織的數(shù)據(jù)安全保護(hù)品牌；8有關(guān)領(lǐng)導(dǎo)匯報(bào)。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)數(shù)據(jù)安全管理的崗位和人員，及其職責(zé)范圍。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)安全管理辦法。查驗(yàn)是否制定了數(shù)據(jù)安全管理人員的培訓(xùn)計(jì)劃。查驗(yàn)組織是否明確了針對(duì)數(shù)據(jù)安全違規(guī)的處理制度。查驗(yàn)組織是否簽訂了數(shù)據(jù)安全泄露相關(guān)的保密協(xié)議。驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)是否在組織層面設(shè)立了數(shù)據(jù)安全管理責(zé)任部門(mén)、崗位及領(lǐng)導(dǎo)人員，明確規(guī)定了其職責(zé)范圍。查驗(yàn)組織是否在各部門(mén)配備了數(shù)據(jù)安全崗位和人員，具體執(zhí)行落實(shí)部門(mén)內(nèi)數(shù)據(jù)安全工作。查驗(yàn)組織是否建立了數(shù)據(jù)安全責(zé)任體系，包括安全規(guī)劃、建設(shè)、運(yùn)營(yíng)等在內(nèi)的各責(zé)任部門(mén)。查驗(yàn)組織的技術(shù)工具：是否支持人員流動(dòng)與數(shù)據(jù)操作權(quán)限的聯(lián)動(dòng)管理；是否實(shí)現(xiàn)了安全規(guī)劃的公開(kāi)查詢(xún)。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否支持職責(zé)分離的數(shù)據(jù)安全管理崗位和人員設(shè)置。查驗(yàn)組織是否明確了人員管理效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)安全培訓(xùn)效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織是否明確了人員管理的優(yōu)化工作機(jī)制：是否支持人員能力的定期考核；是否支持根據(jù)評(píng)估結(jié)果優(yōu)化培訓(xùn)、考核等管理制度；查驗(yàn)組織的技術(shù)工具：是否具備對(duì)人員數(shù)據(jù)安全意識(shí)或能力進(jìn)行客觀評(píng)價(jià)的工具。查驗(yàn)組織的人員能力：是否具備完善的人才培養(yǎng)體系。9數(shù)據(jù)全生命周期安全數(shù)據(jù)采集安全概述等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)采集安全的管理，配合推動(dòng)相關(guān)要求的執(zhí)行。制度流程：應(yīng)明確核心業(yè)務(wù)的數(shù)據(jù)采集合規(guī)性評(píng)估工作機(jī)制；應(yīng)明確個(gè)人信息的采集需要用戶(hù)授權(quán)同意。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)規(guī)定當(dāng)用戶(hù)注銷(xiāo)賬戶(hù)時(shí)，不得設(shè)置過(guò)多不合理的注銷(xiāo)條件。技術(shù)工具：應(yīng)建立數(shù)據(jù)采集工具，具備詳細(xì)的日志記錄功能，保障數(shù)據(jù)采集授權(quán)過(guò)程的完整記錄；應(yīng)采取相應(yīng)的技術(shù)手段，保證數(shù)據(jù)采集過(guò)程中個(gè)人信息不被泄漏。人員能力：10決方案，能就具體業(yè)務(wù)場(chǎng)景開(kāi)展評(píng)估；應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)規(guī)定數(shù)據(jù)采集安全管理效果的量化評(píng)估方式；技術(shù)工具：應(yīng)根據(jù)制度流程的更新，不斷升級(jí)優(yōu)化數(shù)據(jù)采集工具；應(yīng)基于合規(guī)評(píng)估的數(shù)據(jù)采集策略（如原則、頻度、范圍等），實(shí)現(xiàn)數(shù)據(jù)合規(guī)性監(jiān)控與告警；應(yīng)具備對(duì)采集工具進(jìn)行統(tǒng)一管理的平臺(tái)。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)采集安全管理的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)采集安全相關(guān)制度文件：查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)采集的合規(guī)性評(píng)估流程；查驗(yàn)該文件是否規(guī)定了個(gè)人敏感信息的采集應(yīng)明確必要性及對(duì)個(gè)人的影響查驗(yàn)該文件是否明確了未滿(mǎn)十四周歲未成年人的個(gè)人信息采集規(guī)范，及監(jiān)護(hù)人的授權(quán)同意。查驗(yàn)該業(yè)務(wù)的隱私政策文件及用戶(hù)協(xié)議：是否符合國(guó)家法律法規(guī)和監(jiān)管要求；查驗(yàn)該文件是否規(guī)定了個(gè)人敏感信息的采集應(yīng)明確必要性及對(duì)個(gè)人的影響。查驗(yàn)該文件是否明確了未滿(mǎn)十四周歲未成年人的個(gè)人信息采集規(guī)范，及監(jiān)護(hù)人的授權(quán)同意。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)采集安全管理的部門(mén)、崗位、人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)采集安全相關(guān)制度文件：查驗(yàn)該文件是否覆蓋了組織內(nèi)涉及采集活動(dòng)的全部業(yè)務(wù)；查驗(yàn)該文件是否對(duì)直接和間接采集進(jìn)行區(qū)分管理；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)采集的合規(guī)性評(píng)估流程。11查驗(yàn)組織隱私政策文件及用戶(hù)協(xié)議：是否符合國(guó)家法律法規(guī)和監(jiān)管要求；是否規(guī)定了涉及個(gè)人信息采集授權(quán)同意及合規(guī)性評(píng)估流程；是否規(guī)定了個(gè)人信息采集過(guò)程中防泄漏措施；是否規(guī)定了用戶(hù)提出終止服務(wù)時(shí)的停止采集要求。查驗(yàn)組織的技術(shù)工具：是否支持?jǐn)?shù)據(jù)采集過(guò)程的自動(dòng)化實(shí)現(xiàn)及日志記錄；是否實(shí)現(xiàn)了對(duì)采集環(huán)境，如采集設(shè)備、采集接口等的安全管控，防止數(shù)據(jù)泄露；是否采用了有效的防護(hù)手段，保障用戶(hù)個(gè)人信息采集的安全性。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)采集安全管理效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)采集安全的優(yōu)化工作機(jī)制：是否支持根據(jù)政策變化、業(yè)務(wù)發(fā)展等需求優(yōu)化管理制度；是否支持根據(jù)評(píng)估結(jié)果優(yōu)化管理制度。驗(yàn)證組織的技術(shù)工具：是否定期對(duì)采集工具進(jìn)行安全測(cè)試、適用性評(píng)估、合規(guī)性評(píng)估等；是否支持?jǐn)?shù)據(jù)合規(guī)性的監(jiān)控與告警；是否具備統(tǒng)一的數(shù)據(jù)采集工具管理平臺(tái)。數(shù)據(jù)傳輸安全概述根據(jù)組織對(duì)內(nèi)和對(duì)外的數(shù)據(jù)傳輸需求，建立不同的數(shù)據(jù)加密保護(hù)策略和安全防護(hù)措施，防止傳輸過(guò)程中的數(shù)據(jù)泄漏。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)傳輸安全的管理，配合推動(dòng)相關(guān)要求的執(zhí)行。技術(shù)工具：應(yīng)實(shí)現(xiàn)對(duì)傳輸通道兩端的主體身份鑒別和認(rèn)證；（如采用12TLS/SSL方式），及對(duì)傳輸數(shù)據(jù)內(nèi)容進(jìn)行加密等；傳輸個(gè)人敏感信息時(shí)，應(yīng)實(shí)施加密技術(shù)進(jìn)行保護(hù)。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確境內(nèi)或跨境傳輸個(gè)人信息，尤其是個(gè)人敏感信息時(shí)的安全管理規(guī)范；應(yīng)建立數(shù)據(jù)傳輸接口安全管理工作規(guī)范，包括安全域內(nèi)、安全域間等數(shù)據(jù)傳輸接口規(guī)范；應(yīng)建立對(duì)數(shù)據(jù)傳輸安全策略變更進(jìn)行審核和監(jiān)控的制度。技術(shù)工具應(yīng)提供對(duì)數(shù)據(jù)傳輸安全策略的變更進(jìn)行審核和監(jiān)控的技術(shù)方案和工具；應(yīng)部署對(duì)通道安全配置、密碼算法配置等保護(hù)措施進(jìn)行審核及監(jiān)控的技術(shù)工具。應(yīng)提供對(duì)數(shù)據(jù)傳輸接口的審核及監(jiān)控手段。人員能力：應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)規(guī)定數(shù)據(jù)傳輸安全效果的量化評(píng)估方式；應(yīng)規(guī)定根據(jù)政策變化和業(yè)務(wù)需求等對(duì)數(shù)據(jù)傳輸制度進(jìn)行優(yōu)化的機(jī)制；應(yīng)制定密鑰管理規(guī)范，對(duì)不同場(chǎng)景的密鑰使用，明確全生命周期的安全管理措施。技術(shù)工具：應(yīng)提供全鏈路的數(shù)據(jù)流轉(zhuǎn)的監(jiān)控體系，能夠?qū)崟r(shí)了解數(shù)據(jù)的流向，傳輸情況。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。13查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)傳輸安全管理的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)傳輸安全相關(guān)制度文件：查驗(yàn)該文件是否明確規(guī)定了數(shù)據(jù)傳輸?shù)募用芤蠹凹用芊桨福徊轵?yàn)該文件規(guī)定的加密要求及加密方案是否結(jié)合了合規(guī)要求及業(yè)務(wù)性能需求；查驗(yàn)該文件是否規(guī)定了傳輸通道兩側(cè)的身份鑒別與認(rèn)證。查驗(yàn)組織的技術(shù)工具：是否支持對(duì)傳輸數(shù)據(jù)（尤其是個(gè)人敏感信息）、傳輸通道的加密；是否支持對(duì)傳輸通道兩側(cè)的身份驗(yàn)證。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)整體數(shù)據(jù)傳輸安全防護(hù)的部門(mén)、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)傳輸安全相關(guān)制度文件：查驗(yàn)該文件是否對(duì)組織內(nèi)、外的傳輸場(chǎng)景進(jìn)行了區(qū)分，并規(guī)定了差異化的加密措施；查驗(yàn)該文件是否定義了傳輸策略變更的審批和監(jiān)控機(jī)制；查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)傳輸接口安全管理規(guī)范：查驗(yàn)該文件是否規(guī)定了新增接口、變更接口、廢棄接口等的處理流程；查驗(yàn)該文件是否定義了傳輸流程的技術(shù)管控及安全防護(hù)措施；查驗(yàn)該文件是否規(guī)定了接口梳理的工作制度；查看該文件是否規(guī)定了對(duì)涉及個(gè)人信息傳輸?shù)慕涌趹?yīng)實(shí)施調(diào)用監(jiān)控制度。查驗(yàn)組織的技術(shù)工具：是否支持對(duì)接口調(diào)用的監(jiān)控，尤其是涉及個(gè)人信息傳輸?shù)慕涌?，包括?quán)限控制、流量監(jiān)控、調(diào)用過(guò)載保護(hù)等；是否支持接口調(diào)用的自動(dòng)化的日志記錄；是否支持定期對(duì)接口權(quán)限控制等相關(guān)功能的安全評(píng)估；是否支持安全通道、可信通道、加密算法等多種安全控制措施；是否支持系統(tǒng)間接口的身份鑒別與認(rèn)證；是否支持對(duì)傳輸通道緩存的自動(dòng)刪除；是否支持對(duì)傳輸安全策略變更的審核及監(jiān)控。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)傳輸安全防護(hù)效果的量化評(píng)估方式：是否定義了傳輸數(shù)據(jù)、傳輸通道加密效果的量化評(píng)估指標(biāo)；是否規(guī)定了傳輸數(shù)據(jù)、傳輸通道加密效果的量化評(píng)估頻率。查驗(yàn)組織是否明確了根據(jù)評(píng)估結(jié)果、業(yè)務(wù)需要、監(jiān)管要求等進(jìn)行傳輸方案優(yōu)化的制度。14查驗(yàn)相關(guān)數(shù)據(jù)安全傳輸制度文件是否明確了密鑰全生命周期管理的相關(guān)要求。查驗(yàn)組織的技術(shù)工具：是否實(shí)現(xiàn)了分?jǐn)?shù)據(jù)類(lèi)型、分重要級(jí)別的數(shù)據(jù)加密模塊；是否實(shí)現(xiàn)了全鏈路的數(shù)據(jù)流轉(zhuǎn)監(jiān)控體系；是否支持?jǐn)?shù)據(jù)傳輸過(guò)程的安全問(wèn)題自動(dòng)發(fā)現(xiàn)及處理。存儲(chǔ)安全等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)存儲(chǔ)安全工作，負(fù)責(zé)各項(xiàng)制度的推進(jìn)落實(shí)。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)建立存儲(chǔ)介質(zhì)的環(huán)境變更機(jī)制、邏輯存儲(chǔ)資源的配置變更機(jī)制，對(duì)配置規(guī)則、操作流程、發(fā)布要求、授權(quán)管理等標(biāo)準(zhǔn)進(jìn)行規(guī)范；應(yīng)定義存儲(chǔ)介質(zhì)、邏輯存儲(chǔ)、存儲(chǔ)系統(tǒng)架構(gòu)的設(shè)計(jì)及安全要求。技術(shù)工具：應(yīng)提供邏輯存儲(chǔ)的安全配置掃描工具，并定期掃描；存儲(chǔ)空間應(yīng)根據(jù)數(shù)據(jù)的保密性提供完善的加密存儲(chǔ)能力。人員能力：應(yīng)熟悉存儲(chǔ)結(jié)構(gòu)，組織應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，并考核人員能力與崗位的匹配程度。先進(jìn)級(jí)15在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)制定數(shù)據(jù)存儲(chǔ)安全的量化評(píng)估機(jī)制，定期對(duì)存儲(chǔ)安全管理效果進(jìn)行量化評(píng)估。技術(shù)工具：應(yīng)提供平臺(tái)化工具支撐存儲(chǔ)介質(zhì)管理，支持存儲(chǔ)介質(zhì)的使用授權(quán)、傳遞追蹤等；應(yīng)采用可擴(kuò)展的數(shù)據(jù)存儲(chǔ)架構(gòu)；應(yīng)根據(jù)數(shù)據(jù)敏感度，提供不同的安全存儲(chǔ)管理能力。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)存儲(chǔ)安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)存儲(chǔ)策略相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)安全存儲(chǔ)的配置規(guī)則；查驗(yàn)該文件是否明確了存儲(chǔ)媒體的購(gòu)買(mǎi)、標(biāo)記、使用等安全制度。查驗(yàn)組織的技術(shù)工具：是否實(shí)現(xiàn)了存儲(chǔ)系統(tǒng)的訪問(wèn)控制、身份鑒別、運(yùn)維管理等。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了整體負(fù)責(zé)數(shù)據(jù)存儲(chǔ)安全的部門(mén)、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)存儲(chǔ)策略相關(guān)制度文件：查驗(yàn)該文件是否規(guī)定了邏輯存儲(chǔ)資源的配置變更機(jī)制，對(duì)操作流程、安全配置進(jìn)行規(guī)范；查驗(yàn)該文件是否明確了個(gè)人信息存儲(chǔ)的相關(guān)規(guī)定，以符合國(guó)家法律法規(guī)和監(jiān)管要求。查驗(yàn)是否在組織層面制定了數(shù)據(jù)存儲(chǔ)介質(zhì)安全相關(guān)制度文件：查驗(yàn)該文件是否明確了存儲(chǔ)介質(zhì)的安全配置規(guī)則、配置變更流程及授權(quán)管理規(guī)范等；查驗(yàn)該文件是否定義了存儲(chǔ)介質(zhì)的獲?。ㄙ?gòu)買(mǎi)）、使用、維護(hù)、銷(xiāo)毀等流程。查驗(yàn)組織的技術(shù)工具：是否實(shí)現(xiàn)了邏輯存儲(chǔ)系統(tǒng)和存儲(chǔ)介質(zhì)的權(quán)限管理、訪問(wèn)控制等技術(shù)手段；（是否支持分類(lèi)分級(jí)的差異化數(shù)據(jù)存儲(chǔ)管理；16是否能夠?qū)Υ鎯?chǔ)系統(tǒng)的安全配置進(jìn)行定期掃描。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)存儲(chǔ)安全管理效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)存儲(chǔ)安全的優(yōu)化工作機(jī)制：是否支持根據(jù)政策變化、業(yè)務(wù)發(fā)展等需求優(yōu)化管理制度；是否支持根據(jù)評(píng)估結(jié)果優(yōu)化管理制度。查驗(yàn)組織的技術(shù)工具：是否具備存儲(chǔ)介質(zhì)的統(tǒng)一管理工具，對(duì)存儲(chǔ)介質(zhì)的使用授權(quán)等進(jìn)行管理；是否支持可擴(kuò)展的數(shù)據(jù)存儲(chǔ)架構(gòu)；是否支持根據(jù)數(shù)據(jù)的敏感度，提供不同的安全存儲(chǔ)管理能力；是否支持定期更新加密密鑰；是否具備敏感數(shù)據(jù)識(shí)別、保護(hù)的工具或平臺(tái)。數(shù)據(jù)備份與恢復(fù)概述規(guī)范數(shù)據(jù)存儲(chǔ)的冗余管理流程，實(shí)現(xiàn)定期數(shù)據(jù)備份與恢復(fù)，保障數(shù)據(jù)可用性。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。制度流程：應(yīng)建立關(guān)于核心業(yè)務(wù)的數(shù)據(jù)存儲(chǔ)冗余策略和恢復(fù)管理機(jī)制。技術(shù)工具：存儲(chǔ)系統(tǒng)應(yīng)具備數(shù)據(jù)備份與恢復(fù)功能。人員能力：應(yīng)了解數(shù)據(jù)備份和恢復(fù)的重要性。應(yīng)熟練操作系統(tǒng)自身備份與恢復(fù)功能。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)制定數(shù)據(jù)備份與恢復(fù)的管理制度，以滿(mǎn)足數(shù)據(jù)服務(wù)可靠性、可用性等安全目標(biāo)；應(yīng)制定數(shù)據(jù)備份與恢復(fù)的操作規(guī)程，明確定義數(shù)據(jù)備份和恢復(fù)的范圍、頻率、工具、過(guò)程、17日志記錄、數(shù)據(jù)保存時(shí)長(zhǎng)等；應(yīng)建立數(shù)據(jù)備份與恢復(fù)的定期檢查和更新工作規(guī)程，包括數(shù)據(jù)副本的更新頻率、保存期限、一致性檢查等；應(yīng)根據(jù)數(shù)據(jù)生命周期和業(yè)務(wù)規(guī)范，建立數(shù)據(jù)生命周期各階段數(shù)據(jù)歸檔的操作流程；應(yīng)明確組織適用的合規(guī)要求，按照法律法規(guī)和監(jiān)管規(guī)定對(duì)相關(guān)數(shù)據(jù)予以記錄和保存。技術(shù)工具：應(yīng)部署數(shù)據(jù)備份與恢復(fù)的技術(shù)工具，保證相關(guān)工作的有效執(zhí)行；應(yīng)建立備份數(shù)據(jù)安全的技術(shù)手段，包括但不限于對(duì)備份數(shù)據(jù)的訪問(wèn)控制、壓縮或加密管理、應(yīng)采取必要的技術(shù)措施定期查驗(yàn)備份數(shù)據(jù)完整性和可用性；應(yīng)確保存儲(chǔ)架構(gòu)具備數(shù)據(jù)存儲(chǔ)跨機(jī)柜或跨機(jī)房容錯(cuò)部署能力。人員能力：應(yīng)了解數(shù)據(jù)備份介質(zhì)的性能和相關(guān)數(shù)據(jù)的業(yè)務(wù)特性，能夠確定有效的數(shù)據(jù)備份和恢復(fù)機(jī)制；應(yīng)了解數(shù)據(jù)存儲(chǔ)時(shí)效性相關(guān)的合規(guī)性要求，并具備對(duì)合規(guī)要求的解讀能力和實(shí)施能力；應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：技術(shù)工具：存儲(chǔ)系統(tǒng)應(yīng)具備數(shù)據(jù)存儲(chǔ)跨地域的容災(zāi)能力；應(yīng)具備數(shù)據(jù)時(shí)效性的檢測(cè)能力，以保證數(shù)據(jù)的及時(shí)刪除、更新和有效性。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)備份與恢復(fù)的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)備份與恢復(fù)相關(guān)制度文件。查驗(yàn)存儲(chǔ)系統(tǒng)是否具備自動(dòng)備份與恢復(fù)的功能。驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。18優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了整體負(fù)責(zé)數(shù)據(jù)備份與恢復(fù)的部門(mén)、崗位和人員。查驗(yàn)是否在組織層面制定了數(shù)據(jù)備份與恢復(fù)的相關(guān)制度文件：規(guī)定了生命周期各階段的數(shù)據(jù)歸檔操作流程；查驗(yàn)該文件是否規(guī)定了使用第三方備份服務(wù)時(shí)的協(xié)同工作機(jī)制；查驗(yàn)該文件是否明確了備份數(shù)據(jù)的壓縮或加密要求；查驗(yàn)該文件是否結(jié)合國(guó)家法律法規(guī)和監(jiān)管要求等，規(guī)定了個(gè)人信息的備份制度。查驗(yàn)組織的技術(shù)工具：是否支持?jǐn)?shù)據(jù)的備份和恢復(fù)；（是否支持備份數(shù)據(jù)的完整性和可用性驗(yàn)證；是否支持誤刪除的恢復(fù)機(jī)制；是否具備數(shù)據(jù)存儲(chǔ)跨機(jī)柜/機(jī)房的容錯(cuò)部署能力。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)備份與恢復(fù)的管理效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織的技術(shù)工具：是否具備按照時(shí)效性分層的自動(dòng)數(shù)據(jù)備份與快速恢復(fù)系統(tǒng)；是否支持跨地域容災(zāi)；是否支持備份數(shù)據(jù)的時(shí)效性檢測(cè)。使用安全根據(jù)數(shù)據(jù)分析、數(shù)據(jù)挖掘過(guò)程面臨的安全風(fēng)險(xiǎn)，建立有效的安全管控措施，防止數(shù)據(jù)泄露。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。19制度流程：應(yīng)明確業(yè)務(wù)平臺(tái)在不同目的下數(shù)據(jù)使用審批要求，留存審批記錄。人員能力：針對(duì)核心業(yè)務(wù)場(chǎng)景需求，應(yīng)能提出有效的數(shù)據(jù)安全合規(guī)使用的解決方案。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。組織建設(shè)：制度流程：（例如數(shù)據(jù)脫敏、訪問(wèn)控制）、數(shù)據(jù)使用限制等；應(yīng)建立數(shù)據(jù)權(quán)限申請(qǐng)審核流程，對(duì)數(shù)據(jù)源、數(shù)據(jù)使用場(chǎng)景、數(shù)據(jù)使用范圍、數(shù)據(jù)使用邏輯、個(gè)人信息安全影響情況進(jìn)行審核，以確保數(shù)據(jù)使用的真實(shí)性、必要性、合規(guī)性；應(yīng)建立業(yè)務(wù)結(jié)果數(shù)據(jù)輸出的安全審核、合規(guī)評(píng)估的流程。技術(shù)工具應(yīng)部署數(shù)據(jù)脫敏工具，確保脫敏有效性；應(yīng)記錄、保存數(shù)據(jù)使用過(guò)程中對(duì)個(gè)人信息等敏感數(shù)據(jù)的操作行為；應(yīng)部署數(shù)據(jù)權(quán)限管控工具，依據(jù)安全使用規(guī)范的要求建立相應(yīng)強(qiáng)度或粒度的訪問(wèn)控制機(jī)制，限定用戶(hù)可訪問(wèn)數(shù)據(jù)范圍；應(yīng)支持對(duì)違規(guī)使用行為的有效識(shí)別和監(jiān)控。人員能力：應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確數(shù)據(jù)使用安全的量化評(píng)估機(jī)制。技術(shù)工具：應(yīng)具備技術(shù)手段或機(jī)制，對(duì)數(shù)據(jù)濫用行為進(jìn)行有效的自動(dòng)識(shí)別、監(jiān)控和預(yù)警；應(yīng)采取必要的技術(shù)手段，避免輸出的業(yè)務(wù)結(jié)果數(shù)據(jù)包含可恢復(fù)的個(gè)人信息數(shù)據(jù)和結(jié)構(gòu)標(biāo)識(shí)；評(píng)估方法基礎(chǔ)級(jí)20根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)使用安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)使用安全相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)的脫敏規(guī)范；查驗(yàn)該文件是否明確了數(shù)據(jù)使用的范圍、權(quán)限、合規(guī)要求等；查驗(yàn)該文件是否明確了不同目的下的數(shù)據(jù)使用審批流程；查驗(yàn)該文件是否明確了數(shù)據(jù)使用者的權(quán)限管理及訪問(wèn)控制機(jī)制。驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)整體數(shù)據(jù)使用安全的部門(mén)、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)使用安全相關(guān)制度文件：查驗(yàn)該文件的制定是否結(jié)合了組織數(shù)據(jù)分類(lèi)分級(jí)策略；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)使用相關(guān)平臺(tái)系統(tǒng)的訪問(wèn)控制措施；查驗(yàn)該文件是否定義了違規(guī)使用數(shù)據(jù)的操作；查驗(yàn)該文件是否明確了個(gè)人信息的使用安全保護(hù)規(guī)范，以符合國(guó)家法律法規(guī)及監(jiān)管要求。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)脫敏規(guī)范：查驗(yàn)該文件是否明確了脫敏處理使用場(chǎng)景；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)脫敏規(guī)則、方法、處理流程等。查驗(yàn)組織的技術(shù)工具：是否部署了脫敏工具，并對(duì)敏感數(shù)據(jù)的脫敏操作進(jìn)行日志記錄；是否支持賬號(hào)權(quán)限管理、訪問(wèn)控制等管控要求；是否支持?jǐn)?shù)據(jù)脫敏處理的安全審計(jì)；是否支持?jǐn)?shù)據(jù)違規(guī)使用行為的有效識(shí)別、監(jiān)控。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)使用安全的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織的技術(shù)工具：是否具備相應(yīng)管理平臺(tái)，支持?jǐn)?shù)據(jù)血緣分析，構(gòu)建數(shù)據(jù)使用鏈路；是否支持對(duì)輸出信息的檢測(cè)，避免存在可恢復(fù)的個(gè)人信息；是否具備對(duì)數(shù)據(jù)濫用行為的自動(dòng)監(jiān)控和預(yù)警功能。數(shù)據(jù)處理環(huán)境安全概述21根據(jù)組織內(nèi)部數(shù)據(jù)處理過(guò)程面臨的安全威脅，建立適用的數(shù)據(jù)處理環(huán)境建立安全保護(hù)機(jī)制，確保數(shù)據(jù)處理過(guò)程的安全管控和技術(shù)支撐。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)工作崗位和人員負(fù)責(zé)數(shù)據(jù)處理環(huán)境安全工作，配合推動(dòng)相關(guān)要求的執(zhí)行。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。組織建設(shè)：各業(yè)務(wù)團(tuán)隊(duì)?wèi)?yīng)明確相關(guān)人員負(fù)責(zé)數(shù)據(jù)處理環(huán)境安全管控實(shí)施工作。制度流程：應(yīng)明確數(shù)據(jù)處理環(huán)境的安全管理要求；技術(shù)工具應(yīng)基于核心業(yè)務(wù)場(chǎng)景、數(shù)據(jù)重要性等，對(duì)數(shù)據(jù)、系統(tǒng)功能、運(yùn)營(yíng)環(huán)境等資源實(shí)現(xiàn)隔離控制；應(yīng)建立數(shù)據(jù)處理日志管理工具，記錄用戶(hù)在數(shù)據(jù)處理系統(tǒng)上的加工操作；應(yīng)建立處理過(guò)程中的數(shù)據(jù)防泄漏技術(shù)工具，防止數(shù)據(jù)處理過(guò)程中的敏感數(shù)據(jù)的泄露。人員能力：應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。技術(shù)工具：應(yīng)建立不同環(huán)境下的數(shù)據(jù)防泄漏技術(shù)工具。評(píng)估方法基礎(chǔ)級(jí)22根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)處理環(huán)境安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)處理環(huán)境安全相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)處理過(guò)程中的身份鑒別、訪問(wèn)控制等要求；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)在不同使用場(chǎng)景下的環(huán)境安全；查驗(yàn)該文件是否規(guī)定了終端環(huán)境的管理要求。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)處理環(huán)境安全的部門(mén)、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)處理環(huán)境安全相關(guān)制度文件：查驗(yàn)該文件是否明確了系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、運(yùn)維階段的安全控制措施；查驗(yàn)該文件是否規(guī)定了身份鑒別、訪問(wèn)控制、安全配置等環(huán)境管理要求；查驗(yàn)該文件是否規(guī)定了終端環(huán)境的管理規(guī)范；查驗(yàn)該文件是否規(guī)定了分布式處理場(chǎng)景下的環(huán)境安全要求。查驗(yàn)組織的技術(shù)工具：具備數(shù)據(jù)處理的日志管理工具；具備數(shù)據(jù)處理過(guò)程的防泄漏工具；支持不同業(yè)務(wù)場(chǎng)景下的資源隔離控制。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)處理環(huán)境安全的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織的技術(shù)工具：是否支持終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫(kù)等不同環(huán)境下的數(shù)據(jù)防泄漏工具；是否支持分布式處理節(jié)點(diǎn)的服務(wù)監(jiān)測(cè)與修復(fù)。數(shù)據(jù)內(nèi)部共享安全概述通過(guò)對(duì)組織的數(shù)據(jù)內(nèi)部共享進(jìn)行安全性管理，防止數(shù)據(jù)內(nèi)部共享中可能對(duì)數(shù)據(jù)自身的可用性和完整性構(gòu)成的危害，降低可能存在的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)對(duì)數(shù)據(jù)內(nèi)部共享執(zhí)行安全管理。制度流程：應(yīng)建立核心業(yè)務(wù)數(shù)據(jù)內(nèi)部共享原則、范圍、安全制度或?qū)徟鞒獭?3技術(shù)工具：應(yīng)采取技術(shù)措施記錄組織的數(shù)據(jù)內(nèi)部共享行為，確保數(shù)據(jù)內(nèi)部共享行為可追溯。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)建立數(shù)據(jù)內(nèi)部共享清單，定期對(duì)各項(xiàng)數(shù)據(jù)內(nèi)部共享進(jìn)行安全審查。技術(shù)工具：應(yīng)建立對(duì)導(dǎo)出生產(chǎn)系統(tǒng)的敏感數(shù)據(jù)進(jìn)行脫敏、溯源的技術(shù)能力。人員能力：定期開(kāi)展數(shù)據(jù)內(nèi)部共享規(guī)程等相關(guān)培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。技術(shù)工具：應(yīng)建立統(tǒng)一的數(shù)據(jù)內(nèi)部共享管理系統(tǒng)，提示數(shù)據(jù)內(nèi)部共享的安全風(fēng)險(xiǎn)并進(jìn)行在線審核；應(yīng)配置規(guī)范的數(shù)據(jù)內(nèi)部共享機(jī)制或服務(wù)組件，明確數(shù)據(jù)內(nèi)部共享域最低安全防護(hù)要求；評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。24查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)內(nèi)部共享安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)內(nèi)部共享安全相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)內(nèi)部共享的原則、范圍、審批流程、共享流程等；查驗(yàn)該文件是否規(guī)定了內(nèi)部共享的安全策略。查驗(yàn)組織的技術(shù)工具：是否支持共享行為的日志記錄功能。驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)內(nèi)部共享安全的部門(mén)、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)內(nèi)部共享安全相關(guān)制度文件：查驗(yàn)該文件的制定是否結(jié)合了組織數(shù)據(jù)分類(lèi)分級(jí)策略；查驗(yàn)該文件是否明確了使用存儲(chǔ)介質(zhì)導(dǎo)出數(shù)據(jù)時(shí)的管理規(guī)范及操作規(guī)程；查驗(yàn)該文件是否規(guī)定了內(nèi)容共享審計(jì)和日志管理策略；查驗(yàn)該文件是否規(guī)定建立數(shù)據(jù)內(nèi)部共享清單。查驗(yàn)組織的技術(shù)工具：是否具備數(shù)據(jù)內(nèi)部共享清單；是否支持對(duì)共享兩側(cè)的設(shè)備、用戶(hù)、系統(tǒng)之間的身份鑒別與訪問(wèn)控制；是否支持內(nèi)部共享的風(fēng)險(xiǎn)評(píng)估；是否對(duì)導(dǎo)出的敏感數(shù)據(jù)采取了脫敏措施；是否支持對(duì)導(dǎo)出數(shù)據(jù)文件的溯源；是否支持共享通道的緩存刪除。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)內(nèi)部共享安全管理效果的量化評(píng)估方式：是否定義了共享服務(wù)組件、共享通道的量化評(píng)估指標(biāo)；是否規(guī)定了共享服務(wù)組件、共享通道的量化評(píng)估頻率。查驗(yàn)組織的技術(shù)工具：是否建立了統(tǒng)一的數(shù)據(jù)內(nèi)部共享管理系統(tǒng)；提供配置規(guī)范的服務(wù)組件和共享機(jī)制；是否支持共享流轉(zhuǎn)過(guò)程的監(jiān)控記錄。數(shù)據(jù)外部共享安全概述25根據(jù)組織對(duì)外提供或交換數(shù)據(jù)的需求，建立有效的外部共享數(shù)據(jù)的安全防護(hù)措施，以降低數(shù)據(jù)共享場(chǎng)景下的安全風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。制度流程：應(yīng)保證共享內(nèi)容符合數(shù)據(jù)合規(guī)和監(jiān)管要求，明確數(shù)據(jù)挖掘和應(yīng)用范圍。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確共享的數(shù)據(jù)留存期限，并提供有效方式，證明數(shù)據(jù)的銷(xiāo)毀情況。技術(shù)工具：應(yīng)對(duì)外部共享數(shù)據(jù)及數(shù)據(jù)外部共享過(guò)程進(jìn)行監(jiān)控審計(jì)，避免超范圍共享；應(yīng)對(duì)跨安全域間的數(shù)據(jù)接口調(diào)用采用安全通道、加密傳輸、時(shí)間戳等安全措施；應(yīng)支持對(duì)外共享場(chǎng)景下的數(shù)據(jù)溯源技術(shù)。人員能力：應(yīng)能充分理解組織的數(shù)據(jù)外部共享規(guī)程，并根據(jù)數(shù)據(jù)外部共享的業(yè)務(wù)執(zhí)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估，從而提出實(shí)際的解決方案；26應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：在數(shù)據(jù)外部共享時(shí)，應(yīng)對(duì)數(shù)據(jù)接收方的數(shù)據(jù)安全防護(hù)能力開(kāi)展評(píng)估工作。技術(shù)工具應(yīng)建立長(zhǎng)線的數(shù)據(jù)外部共享溯源能力；應(yīng)對(duì)數(shù)據(jù)外部共享接口進(jìn)行異常監(jiān)控及自動(dòng)化處理。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)外部共享安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)外部共享安全相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)外部共享的原則、范圍、審批流程、共享流程、審計(jì)流程等；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)外部共享的安全策略；查驗(yàn)該文件是否明確了與外部共享方的保密合作協(xié)議；查驗(yàn)該文件是否明確了共享安全合規(guī)評(píng)估機(jī)制；查驗(yàn)該文件是否明確了個(gè)人信息對(duì)外共享的操作規(guī)范，以符合國(guó)家法律法規(guī)和監(jiān)管要求。驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)外部共享安全的部門(mén)、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)外部共享安全相關(guān)制度文件：查驗(yàn)該文件的制定是否結(jié)合了組織數(shù)據(jù)分類(lèi)分級(jí)策略；查驗(yàn)該文件是否明確了分組織機(jī)構(gòu)、分共享場(chǎng)景的外部數(shù)據(jù)共享安全策略；查驗(yàn)該文件是否規(guī)定了對(duì)數(shù)據(jù)共享需求、共享范圍、共享內(nèi)容、共享流程的審核控制機(jī)制；查驗(yàn)該文件是否規(guī)定了共享操作的審計(jì)規(guī)范及日志規(guī)范；查驗(yàn)該文件是否規(guī)定了共享雙方的安全責(zé)任；查驗(yàn)該文件是否明確了數(shù)據(jù)共享接口的安全控制策略；對(duì)個(gè)人信息的對(duì)外共享提出了明確要求，以符合國(guó)家法律法規(guī)和監(jiān)管要求；明確了數(shù)據(jù)共享接口的安全控制策略。查驗(yàn)組織的技術(shù)工具：是否支持對(duì)外共享場(chǎng)景下的數(shù)據(jù)溯源技術(shù)，如數(shù)字簽名、數(shù)字水印；是否支持個(gè)人信息在不同場(chǎng)景下的共享安全防護(hù)；是否支持對(duì)共享過(guò)程的監(jiān)控審計(jì)；27是否實(shí)現(xiàn)了對(duì)數(shù)據(jù)接口調(diào)用的安全管控。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)外部共享安全管理效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織是否明確了數(shù)據(jù)接收方的數(shù)據(jù)安全防護(hù)能力定期評(píng)估機(jī)制。查驗(yàn)組織的技術(shù)工具：是否支持引入新的加密技術(shù)，并能夠進(jìn)行引入風(fēng)險(xiǎn)評(píng)估；是否支持?jǐn)?shù)據(jù)外部共享長(zhǎng)線溯源能力；是否支持對(duì)共享接口異常的有效監(jiān)控，并實(shí)現(xiàn)自動(dòng)關(guān)停。數(shù)據(jù)銷(xiāo)毀安全概述通過(guò)制定數(shù)據(jù)銷(xiāo)毀機(jī)制，實(shí)現(xiàn)有效的數(shù)據(jù)刪除管控，防止因?qū)Υ鎯?chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行恢復(fù)而導(dǎo)致的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)工作崗位和人員負(fù)責(zé)核心業(yè)務(wù)的數(shù)據(jù)銷(xiāo)毀和存儲(chǔ)介質(zhì)銷(xiāo)毀工作。技術(shù)工具：應(yīng)采用數(shù)據(jù)銷(xiāo)毀技術(shù)手段，保證刪除數(shù)據(jù)的不可恢復(fù)。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。組織建設(shè)：應(yīng)設(shè)置數(shù)據(jù)銷(xiāo)毀監(jiān)督角色，監(jiān)督數(shù)據(jù)銷(xiāo)毀過(guò)程。制度流程：28體銷(xiāo)毀的場(chǎng)景、銷(xiāo)毀對(duì)象、銷(xiāo)毀方式和銷(xiāo)毀結(jié)果；應(yīng)建立規(guī)范的數(shù)據(jù)銷(xiāo)毀、存儲(chǔ)介質(zhì)銷(xiāo)毀流程和審批機(jī)制，對(duì)審批和銷(xiāo)毀過(guò)程進(jìn)行記錄控制；針對(duì)不同的存儲(chǔ)介質(zhì)，應(yīng)建立針對(duì)性的銷(xiāo)毀流程和檢驗(yàn)標(biāo)準(zhǔn)；應(yīng)按國(guó)家相關(guān)法律和標(biāo)準(zhǔn)銷(xiāo)毀個(gè)人信息等敏感數(shù)據(jù)；應(yīng)明確已共享或者已被其他用戶(hù)使用的數(shù)據(jù)銷(xiāo)毀管控措施。技術(shù)工具：應(yīng)針對(duì)存儲(chǔ)數(shù)據(jù)、存儲(chǔ)介質(zhì)等，建立硬銷(xiāo)毀和軟銷(xiāo)毀的銷(xiāo)毀方法和技術(shù)；應(yīng)提供存儲(chǔ)介質(zhì)銷(xiāo)毀工具，包括但不限于物理銷(xiāo)毀、消磁設(shè)備等工具；先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確數(shù)據(jù)銷(xiāo)毀、媒體銷(xiāo)毀效果的量化評(píng)估指標(biāo)和機(jī)制，定期對(duì)銷(xiāo)毀效果進(jìn)行抽樣認(rèn)定。技術(shù)工具：應(yīng)持續(xù)更新組織的數(shù)據(jù)銷(xiāo)毀、存儲(chǔ)媒體銷(xiāo)毀工具，以保證銷(xiāo)毀的效果；應(yīng)提供銷(xiāo)毀記錄歸檔手段，記錄銷(xiāo)毀過(guò)程及驗(yàn)證結(jié)果。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)銷(xiāo)毀安全和存儲(chǔ)介質(zhì)銷(xiāo)毀安全的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)銷(xiāo)毀和存儲(chǔ)介質(zhì)銷(xiāo)毀相關(guān)制度文件：查驗(yàn)該文件是否明確了數(shù)據(jù)銷(xiāo)毀的原則、流程、方式、工具、有效性驗(yàn)證等；查驗(yàn)該文件是否規(guī)定了存儲(chǔ)介質(zhì)的銷(xiāo)毀機(jī)制和管控措施。驗(yàn)證組織的技術(shù)工具：是否支持對(duì)存儲(chǔ)介質(zhì)的擦除；是否支持對(duì)涉及核心業(yè)務(wù)的存儲(chǔ)介質(zhì)進(jìn)行物理銷(xiāo)毀；是否實(shí)現(xiàn)了不可恢復(fù)的數(shù)據(jù)銷(xiāo)毀。驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織的部門(mén)、崗位和人員：是否設(shè)立了負(fù)責(zé)數(shù)據(jù)銷(xiāo)毀安全部門(mén)、崗位和人員；29是否設(shè)置的數(shù)據(jù)銷(xiāo)毀的監(jiān)督人員。查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)銷(xiāo)毀安全相關(guān)制度文件：查驗(yàn)該文件的制定是否結(jié)合了組織的數(shù)據(jù)分類(lèi)分級(jí)制度；查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)銷(xiāo)毀的審批機(jī)制；查驗(yàn)該文件是否規(guī)定了個(gè)人信息的銷(xiāo)毀安全保護(hù)措施，以符合國(guó)家法律法規(guī)和監(jiān)管要求；查驗(yàn)該文件是否明確了第三方存儲(chǔ)的銷(xiāo)毀規(guī)范；查驗(yàn)該文件是否明確了已外部共享的數(shù)據(jù)的銷(xiāo)毀機(jī)制。查驗(yàn)是否在組織層級(jí)制定了存儲(chǔ)介質(zhì)的銷(xiāo)毀機(jī)制和管控措施：查驗(yàn)該文件是否明確了對(duì)存儲(chǔ)不同重要性?xún)?nèi)容的各類(lèi)介質(zhì)的銷(xiāo)毀方法；查驗(yàn)該文件是否規(guī)定了不同的銷(xiāo)毀措施（硬銷(xiāo)毀和軟銷(xiāo)毀等）；查驗(yàn)該文件是否規(guī)范了登記、審批、交接等介質(zhì)銷(xiāo)毀流程；是否規(guī)定了銷(xiāo)毀后的核驗(yàn)和資源回收措施。查驗(yàn)組織的技術(shù)工具：是否具備銷(xiāo)毀工具；是否提供存儲(chǔ)介質(zhì)銷(xiāo)毀工具；是否支持銷(xiāo)毀效果驗(yàn)證；是否支持銷(xiāo)毀過(guò)程日志記錄。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)銷(xiāo)毀安全管理效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織的技術(shù)工具：是否支持銷(xiāo)毀工具的迭代更新；是否支持銷(xiāo)毀過(guò)程的日志記錄及結(jié)果驗(yàn)證?；A(chǔ)安全數(shù)據(jù)分類(lèi)分級(jí)概述根據(jù)法律法規(guī)以及業(yè)務(wù)需求明確組織內(nèi)部的數(shù)據(jù)分類(lèi)分級(jí)原則及方法，并對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)標(biāo)識(shí)。等級(jí)要求基礎(chǔ)級(jí)30從組織建設(shè)、制度流程方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)核心業(yè)務(wù)的數(shù)據(jù)分類(lèi)分級(jí)。制度流程：應(yīng)根據(jù)業(yè)務(wù)特性和外部合規(guī)要求，對(duì)核心業(yè)務(wù)的數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理；優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)結(jié)合數(shù)據(jù)類(lèi)型特點(diǎn)、業(yè)務(wù)運(yùn)營(yíng)需求等，明確數(shù)據(jù)分類(lèi)分級(jí)原則、方法和操作指南；應(yīng)對(duì)組織的數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)標(biāo)識(shí)和管理，建立數(shù)據(jù)保護(hù)清單；技術(shù)工具：應(yīng)建立數(shù)據(jù)分類(lèi)分級(jí)工具，保證組織數(shù)據(jù)分類(lèi)分級(jí)管理的準(zhǔn)確性和一致性；應(yīng)具備對(duì)數(shù)據(jù)分類(lèi)分級(jí)結(jié)果進(jìn)行標(biāo)識(shí)的技術(shù)手段；應(yīng)具備數(shù)據(jù)分類(lèi)分級(jí)策略變更的監(jiān)控手段。人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)了解數(shù)據(jù)分類(lèi)分級(jí)的合規(guī)要求，能夠識(shí)別哪些數(shù)據(jù)屬于敏感數(shù)據(jù)；組織的數(shù)據(jù)安全教育培訓(xùn)中包含了對(duì)數(shù)據(jù)分級(jí)分類(lèi)管理安全要求的宣貫內(nèi)容；應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：規(guī)定了數(shù)據(jù)分類(lèi)管理效果的量化評(píng)估方式；規(guī)定了數(shù)據(jù)分級(jí)管理效果的量化評(píng)估方式。技術(shù)工具：應(yīng)建立相應(yīng)的技術(shù)手段，保證一定類(lèi)別和一定敏感級(jí)別的數(shù)據(jù)在被使用時(shí)不被泄露。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)分類(lèi)分級(jí)相關(guān)制度文件：31查驗(yàn)該文件是否明確了不同類(lèi)別不同級(jí)別數(shù)據(jù)的安全管理要求；查驗(yàn)該文件是否定義了數(shù)據(jù)資產(chǎn)的標(biāo)識(shí)規(guī)范。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)分類(lèi)分級(jí)工作的部門(mén)、崗位和人員。查驗(yàn)是否在組織層面制定了數(shù)據(jù)分類(lèi)分級(jí)相關(guān)制度文件：查驗(yàn)該文件的制定是否考慮了國(guó)家法律法規(guī)和監(jiān)管要求；查驗(yàn)該文件的制定是否結(jié)合了業(yè)務(wù)需求、數(shù)據(jù)的重要性、敏感程度以及安全防護(hù)需求；查驗(yàn)該文件是否定義了分類(lèi)分級(jí)的原則、方法、操作指南等；查驗(yàn)該文件的制定是否完整覆蓋組織的業(yè)務(wù)需求及數(shù)據(jù)全生命周期的處理活動(dòng)；查驗(yàn)該文件是否明確了分類(lèi)分級(jí)策略實(shí)施及變更流程；查驗(yàn)該文件是否對(duì)分類(lèi)分級(jí)數(shù)據(jù)設(shè)置了不同的安全管理要求及技術(shù)保障措施，如數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份與恢復(fù)、訪問(wèn)控制權(quán)限等技術(shù)能力和措施。查驗(yàn)組織技術(shù)工具：是否支持?jǐn)?shù)據(jù)的分類(lèi)分級(jí)；是否建立了數(shù)據(jù)分類(lèi)分級(jí)保護(hù)清單；是否支持對(duì)分類(lèi)分級(jí)策略變更的監(jiān)控；是否支持分類(lèi)分級(jí)數(shù)據(jù)的打標(biāo)。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了數(shù)據(jù)分類(lèi)分級(jí)管理效果的量化評(píng)估方式：是否定義了分類(lèi)、分級(jí)的量化評(píng)估指標(biāo)；是否規(guī)定了分類(lèi)、分級(jí)的量化評(píng)估頻率。查驗(yàn)組織的技術(shù)工具：是否支持?jǐn)?shù)據(jù)資產(chǎn)的自動(dòng)分類(lèi)分級(jí)；是否支持分類(lèi)分級(jí)結(jié)果數(shù)據(jù)的量化統(tǒng)計(jì)。合規(guī)管理根據(jù)組織內(nèi)部的業(yè)務(wù)需求和業(yè)務(wù)開(kāi)展場(chǎng)景，明確相關(guān)法律法規(guī)要求，通過(guò)制定管理措施降低組織面臨的合規(guī)風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)工作崗位和人員，根據(jù)業(yè)務(wù)需求開(kāi)展合規(guī)管理工作。制度流程：應(yīng)明確個(gè)人信息保護(hù)、跨境數(shù)據(jù)傳輸?shù)确矫娴臄?shù)據(jù)安全合規(guī)管理制度規(guī)范。32優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)在業(yè)務(wù)功能上線、個(gè)人數(shù)據(jù)共享、跨境數(shù)據(jù)傳輸?shù)汝P(guān)鍵環(huán)節(jié)實(shí)施前開(kāi)展合規(guī)風(fēng)險(xiǎn)評(píng)估。技術(shù)工具：建立有對(duì)個(gè)人信息的監(jiān)控機(jī)制，防范數(shù)據(jù)安全事件發(fā)生；建立合規(guī)要求清單，支持清單的定期更新。人員能力：應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)建立整改和考核規(guī)范，用于指導(dǎo)發(fā)現(xiàn)和整改情況追蹤、報(bào)告管理、問(wèn)題管理等；應(yīng)規(guī)定發(fā)生數(shù)據(jù)安全合規(guī)事件的量化方式，通過(guò)數(shù)據(jù)指標(biāo)定義安全事件風(fēng)險(xiǎn)的嚴(yán)重程度。技術(shù)工具：建立合規(guī)資料庫(kù)或提供外部合規(guī)資料庫(kù)查詢(xún)渠道。評(píng)估方法33基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)合規(guī)管理的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)合規(guī)管理的相關(guān)制度文件：查驗(yàn)該文件是否明確了用戶(hù)個(gè)人信息和核心業(yè)務(wù)數(shù)據(jù)保護(hù)的合規(guī)要求；查驗(yàn)該文件是否明確了數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求；查驗(yàn)該文件是否明確了合規(guī)評(píng)估流程。驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)合規(guī)管理的部門(mén)、崗位和人員。查驗(yàn)是否在組織層面制定了合規(guī)管理相關(guān)制度文件：查驗(yàn)該文件的制定是否參考了法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、監(jiān)管要求；查驗(yàn)該文件是否明確了個(gè)人信息保護(hù)、跨境數(shù)據(jù)傳輸?shù)仍跀?shù)據(jù)全生命周期的合規(guī)管理要求；查驗(yàn)該文件是否明確要求建立合規(guī)清單，定期進(jìn)行更新和宣貫；查驗(yàn)該文件是否規(guī)定了合規(guī)培訓(xùn)的計(jì)劃；查驗(yàn)該文件是否明確了合規(guī)性評(píng)估的業(yè)務(wù)場(chǎng)景；查驗(yàn)該文件是否規(guī)定了合規(guī)性評(píng)估的開(kāi)展時(shí)機(jī)、頻次等內(nèi)容。查驗(yàn)組織的技術(shù)工具：是否記錄了各業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全合規(guī)性評(píng)估報(bào)告；是否支持對(duì)個(gè)人信息使用過(guò)程的合規(guī)監(jiān)控機(jī)制，以及使用過(guò)程的安全保護(hù)；是否建立了可定期更新的合規(guī)要求清單。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了合規(guī)管理效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估的時(shí)機(jī)、頻率。查驗(yàn)組織是否明確了合規(guī)管理的優(yōu)化工作機(jī)制：是否明確了合規(guī)管理的考核規(guī)范；是否明確了評(píng)估后的整改措施及復(fù)核機(jī)制。查驗(yàn)組織的技術(shù)工具：是否具備合規(guī)風(fēng)險(xiǎn)的自動(dòng)監(jiān)控預(yù)警能力；是否建立了數(shù)據(jù)合規(guī)資料庫(kù)。合作方管理概述34通過(guò)建立組織的合作方管理機(jī)制，防范組織對(duì)外合作中的數(shù)據(jù)安全風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。人員能力：負(fù)責(zé)該項(xiàng)過(guò)程的人員應(yīng)具備對(duì)具體數(shù)據(jù)合作場(chǎng)景的風(fēng)險(xiǎn)評(píng)估能力。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確數(shù)據(jù)安全主管部門(mén)、人力資源部門(mén)、合作方管理部門(mén)等的聯(lián)動(dòng)機(jī)制，對(duì)合作方引入、現(xiàn)場(chǎng)工作等環(huán)節(jié)進(jìn)行管理，明確規(guī)范及監(jiān)督流程。技術(shù)工具：應(yīng)建立對(duì)合作方的風(fēng)險(xiǎn)評(píng)估工具，支持業(yè)務(wù)開(kāi)展前的風(fēng)險(xiǎn)評(píng)估。人員能力：應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：能夠定期對(duì)數(shù)據(jù)合作方數(shù)據(jù)活動(dòng)的安全風(fēng)險(xiǎn)和數(shù)據(jù)合作方的數(shù)據(jù)安全管理能力進(jìn)行評(píng)估；應(yīng)建立組織整體的數(shù)據(jù)合作方庫(kù)，用于管理數(shù)據(jù)合作方目錄、清單和相關(guān)數(shù)據(jù)源數(shù)據(jù)字典，35便于及時(shí)查看并更新合作方的整體情況，并用于事后追蹤分析數(shù)據(jù)合作方合規(guī)情況；組織整體的數(shù)據(jù)合作方管理方案能夠根據(jù)國(guó)內(nèi)外數(shù)據(jù)合作方管理領(lǐng)域的監(jiān)管動(dòng)態(tài)和行業(yè)時(shí)間進(jìn)行及時(shí)調(diào)整。應(yīng)規(guī)定合作方管理效果的量化評(píng)估方式，通過(guò)數(shù)據(jù)指標(biāo)定義合作方管理的安全效果。技術(shù)工具：應(yīng)建立合作方管理資料庫(kù)，相關(guān)人員可以通過(guò)該資料庫(kù)查詢(xún)合作方評(píng)估考核情況；應(yīng)建立應(yīng)急響應(yīng)機(jī)制，對(duì)合作過(guò)程中數(shù)據(jù)安全事件及時(shí)響應(yīng)。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)合作方管理的崗位和人員。查驗(yàn)是否對(duì)核心業(yè)務(wù)的數(shù)據(jù)合作制定了合作方管理的相關(guān)制度文件：查驗(yàn)該文件是否明確了合作方的數(shù)據(jù)使用目的、保密約定等；驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)合作方管理的部門(mén)、崗位和人員。查驗(yàn)是否在組織層面制定了相關(guān)合作方管理制度文件：查驗(yàn)該文件是否規(guī)定了合作方數(shù)據(jù)安全管理的責(zé)任部門(mén)、管理機(jī)制、監(jiān)督機(jī)制；查驗(yàn)該文件是否規(guī)定了對(duì)合作方的數(shù)據(jù)安全保護(hù)能力進(jìn)行資質(zhì)審核；查驗(yàn)該文件是否規(guī)定了合作期間的數(shù)據(jù)安全定期風(fēng)險(xiǎn)評(píng)估機(jī)制；查驗(yàn)該文件是否規(guī)定了涉及個(gè)人信息時(shí)的合規(guī)性評(píng)估工作；查驗(yàn)該文件是否規(guī)定了合作方的管理臺(tái)賬機(jī)制；查驗(yàn)組織的技術(shù)工具：是否建立合作方管理平臺(tái)；是否支持合作方接口的監(jiān)控審核；是否支持對(duì)合作方的風(fēng)險(xiǎn)評(píng)估。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了合作方管理效果的量化評(píng)估方式：是否定義了量化評(píng)估指標(biāo)；36是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織的合作方管理機(jī)制：是否對(duì)合作方的數(shù)據(jù)安全治理能力等開(kāi)展持續(xù)了評(píng)估、審核，并記錄評(píng)估、審核結(jié)果。是否支持根據(jù)政策變化、業(yè)務(wù)發(fā)展等需求優(yōu)化合作方管理制度；是否規(guī)定了對(duì)合作方的持續(xù)化監(jiān)控審計(jì)機(jī)制。查驗(yàn)組織的技術(shù)工具：是否建立了合作方管理資料庫(kù)；是否具備合作方發(fā)生安全事件時(shí)的應(yīng)急響應(yīng)能力；是否支持對(duì)合作方數(shù)據(jù)安全治理、合規(guī)等內(nèi)容的持續(xù)監(jiān)控。監(jiān)控審計(jì)通過(guò)建立監(jiān)控審計(jì)的工作機(jī)制，有效防范不正當(dāng)?shù)臄?shù)據(jù)訪問(wèn)和操作行為，降低數(shù)據(jù)全生命周期未授權(quán)訪問(wèn)、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等安全風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。組織建設(shè)：應(yīng)設(shè)置相關(guān)工作崗位和人員，負(fù)責(zé)數(shù)據(jù)全生命周期流轉(zhuǎn)過(guò)程的安全監(jiān)控。技術(shù)工具：應(yīng)提供技術(shù)手段對(duì)數(shù)據(jù)的高風(fēng)險(xiǎn)操作進(jìn)行監(jiān)控。人員能力：應(yīng)了解數(shù)據(jù)訪問(wèn)和操作涉及的數(shù)據(jù)范圍，具備對(duì)安全風(fēng)險(xiǎn)的判斷能力。優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確對(duì)組織內(nèi)部各類(lèi)數(shù)據(jù)訪問(wèn)和操作的日志記錄要求、安全監(jiān)控要求和審計(jì)要求；應(yīng)記錄數(shù)據(jù)操作事件，并制定數(shù)據(jù)安全風(fēng)險(xiǎn)行為識(shí)別和評(píng)估規(guī)則；應(yīng)定期對(duì)組織內(nèi)部員工數(shù)據(jù)操作行為進(jìn)行人工審計(jì)。技術(shù)工具：應(yīng)采用技術(shù)工具對(duì)數(shù)據(jù)交換服務(wù)流量數(shù)據(jù)進(jìn)行安全監(jiān)控和分析。人員能力：應(yīng)充分理解數(shù)據(jù)監(jiān)控和審計(jì)的要求，能夠識(shí)別數(shù)據(jù)泄漏風(fēng)險(xiǎn)，并及時(shí)應(yīng)對(duì)；應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)37在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。技術(shù)工具：應(yīng)具備對(duì)數(shù)據(jù)的異?；蚋唢L(fēng)險(xiǎn)操作進(jìn)行自動(dòng)識(shí)別和預(yù)警的能力。評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)監(jiān)控審計(jì)的崗位和人員。查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了監(jiān)控審計(jì)的相關(guān)制度文件：查驗(yàn)該文件是否規(guī)定了全生命周期的監(jiān)控審計(jì)的規(guī)則；查驗(yàn)該文件是否規(guī)定了對(duì)異常操作的監(jiān)控審計(jì)；查驗(yàn)該文件是否規(guī)定了監(jiān)控審計(jì)的工作流程、工作方案。查驗(yàn)組織的技術(shù)工具：是否建立了數(shù)據(jù)高風(fēng)險(xiǎn)操作清單，并定期更新；是否支持對(duì)數(shù)據(jù)高風(fēng)險(xiǎn)操作的監(jiān)控。驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)監(jiān)控審計(jì)的部門(mén)、崗位和人員。查驗(yàn)是否在組織層級(jí)制定了監(jiān)控審計(jì)相關(guān)制度文件：查驗(yàn)該文件是否明確了監(jiān)控審計(jì)工作的牽頭及配合執(zhí)行部門(mén)；查驗(yàn)該文件是否明確了數(shù)據(jù)安全風(fēng)險(xiǎn)行為的識(shí)別和評(píng)估規(guī)則；查驗(yàn)該文件是否明確了數(shù)據(jù)相關(guān)操作的日志記錄和安全監(jiān)控要求；（異常操作的定義）查驗(yàn)該文件是否覆蓋了對(duì)組織全業(yè)務(wù)數(shù)據(jù)處理活動(dòng)的審計(jì)操作；查驗(yàn)該文件是否規(guī)定了對(duì)員工數(shù)據(jù)操作行為的定期審計(jì)。查驗(yàn)組織的技術(shù)工具：是否建立了異常操作清單，并定期更新；是否支持異常操作的監(jiān)控分析；是否留存相關(guān)監(jiān)控審計(jì)報(bào)告。先進(jìn)級(jí)根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否明確了監(jiān)控審計(jì)效果的量化評(píng)估方式：38是否定義了量化評(píng)估指標(biāo)；是否規(guī)定了量化評(píng)估頻率。查驗(yàn)組織的技術(shù)工具：是否具備統(tǒng)一的監(jiān)控審計(jì)系統(tǒng)或平臺(tái)；是否支持對(duì)異?；蚋唢L(fēng)險(xiǎn)操作的自動(dòng)識(shí)別與預(yù)警。鑒別與訪問(wèn)概述根據(jù)組織的安全合規(guī)要求，建立用戶(hù)身份鑒別和訪問(wèn)控制管理機(jī)制，防止對(duì)數(shù)據(jù)的未授權(quán)訪問(wèn)風(fēng)險(xiǎn)。等級(jí)要求基礎(chǔ)級(jí)從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行要求。組織建設(shè)：應(yīng)明確核心業(yè)務(wù)系統(tǒng)的用戶(hù)身份管理及數(shù)據(jù)權(quán)限管理的崗位和人員。制度流程：核心業(yè)務(wù)應(yīng)明確重要系統(tǒng)和數(shù)據(jù)庫(kù)的身份鑒別、訪問(wèn)控制和權(quán)限管理的安全要求。技術(shù)工具：應(yīng)提供核心業(yè)務(wù)系統(tǒng)的訪問(wèn)控制功能，對(duì)登錄的用戶(hù)分配賬戶(hù)和權(quán)限；應(yīng)提供并啟用核心業(yè)務(wù)系統(tǒng)的登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要的保護(hù)措施；優(yōu)秀級(jí)在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。制度流程：應(yīng)明確對(duì)身份標(biāo)識(shí)與鑒別、訪問(wèn)控制及權(quán)限的分配、變更、撤銷(xiāo)等方面管理的要求；應(yīng)明確數(shù)據(jù)權(quán)限授權(quán)審批流程，對(duì)數(shù)據(jù)權(quán)限申請(qǐng)和變更進(jìn)行審核；技術(shù)工具：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)；訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶(hù)級(jí)，客體為系統(tǒng)、文件、數(shù)據(jù)庫(kù)表級(jí)。人員能力：39應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。先進(jìn)級(jí)在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。制度流程：應(yīng)建立敏感數(shù)據(jù)權(quán)限清單，明確了數(shù)據(jù)權(quán)限的安全要求、分配策略、授權(quán)機(jī)制和權(quán)限范圍；應(yīng)定期對(duì)組織的鑒別和訪問(wèn)控制效果進(jìn)行量化評(píng)估。技術(shù)工具：應(yīng)建立定期更新和審核的敏感數(shù)據(jù)權(quán)限清單；評(píng)估方法基礎(chǔ)級(jí)根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)用戶(hù)身份和權(quán)限管理的崗位和人員。查驗(yàn)組織的技術(shù)工具：是否支持用戶(hù)登錄身份鑒別；是否支持核心業(yè)務(wù)的訪問(wèn)權(quán)限控制；是否支持身份鑒別和權(quán)限管理的聯(lián)動(dòng)控制；是否支持對(duì)訪問(wèn)控制時(shí)效的管理和驗(yàn)證。優(yōu)秀級(jí)根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。查驗(yàn)組織是否設(shè)立了負(fù)責(zé)鑒別與訪問(wèn)控制安全部門(mén)、崗位和人員。查驗(yàn)是否在組織層面制定了鑒別與訪問(wèn)控制相關(guān)制度文件：查驗(yàn)該文件是否明確了權(quán)限申請(qǐng)和分配原則、變更制度、撤銷(xiāo)流程等內(nèi)容；查驗(yàn)該文件是否規(guī)定了賬號(hào)權(quán)限等的定期審核制度；查驗(yàn)該文件是否規(guī)定了賬號(hào)口令的訪問(wèn)控制復(fù)雜度要求；查驗(yàn)該文件是否規(guī)定了不同業(yè)務(wù)數(shù)據(jù)的訪問(wèn)控制粒度。查驗(yàn)組織的技術(shù)手段和工具：是否具備身份鑒別管理系統(tǒng)；是否具備權(quán)限管理系統(tǒng)；是否提供口令、密碼技術(shù)、生