數(shù)據(jù)安全檢查測評報告

數(shù)據(jù)平安檢查測評報告受評單位：受評業(yè)務(wù)：委托單位：完成時間：評估單位：〔蓋章〕工程根本情況工程背景公司介紹。鑒于此，為落實國家法律法規(guī)對于數(shù)據(jù)平安出境的相關(guān)合規(guī)要求，提高數(shù)據(jù)平安出境保護水平，公司特組織開展了本次數(shù)據(jù)平安檢查測評工作。評估目的起止時間本次檢查測評工作起止時間為20XX年XX月XX日至20XX年XX月XX日。組織情況XX公司檢查測評小組人員：姓名職責(zé)評估小組負責(zé)人自評估小組第三方參與人員：工程組職責(zé)實施流程評估準(zhǔn)備階段：2022年11月15日－12月28日，根據(jù)檢查測評工作需要，XX公司成立評估團隊，制定數(shù)據(jù)檢查測評工作方案，按合同約定選配實施人員，做好評估前的裝備調(diào)配、技術(shù)準(zhǔn)備和平安保密教育等工作，并簽訂保密協(xié)議及相關(guān)授權(quán)。評估調(diào)研階段：2022年12月29日－2023年1月29日，評估團隊依據(jù)數(shù)據(jù)檢查測評工作方案，開展現(xiàn)場調(diào)研工作，收集、調(diào)閱根底設(shè)施、硬件、軟件、網(wǎng)絡(luò)、管理和信息系統(tǒng)、管理機制等相關(guān)材料，并與XX公司相關(guān)部門及人員進行交流對接，分析研究評估對象數(shù)據(jù)的數(shù)據(jù)業(yè)務(wù)使用場景、網(wǎng)絡(luò)與信息系統(tǒng)平安現(xiàn)狀，以及涉及數(shù)據(jù)平安技術(shù)體系、數(shù)據(jù)平安管理體系、數(shù)據(jù)平安運營體系的運行情況。評估實施階段：2023年2月1日－2023年2月20日，評估人員開展現(xiàn)場技術(shù)檢測與數(shù)據(jù)采集工作，完成數(shù)據(jù)全生命周期梳理、數(shù)據(jù)平安風(fēng)險評估和已有數(shù)據(jù)保護措施的有效性驗證。綜合分析階段：2023年2月21日－2023年2月28日，評估人員通過對評估階段采集到的根底數(shù)據(jù)進行梳理，綜合評估涉及數(shù)據(jù)出境場景風(fēng)險，并與XX公司相關(guān)人員進行核實和確認(rèn)，形成數(shù)據(jù)檢查測評報告。實施方式本次數(shù)據(jù)檢查測評主要從人員訪談、資料核查、技術(shù)手段核查三個方面開展：〔1〕人員訪談評估人員與業(yè)務(wù)負責(zé)人進行面對面訪談，檢查其是否明確知曉相關(guān)平安管控要求，并結(jié)合現(xiàn)場檢查，核實其落實情況，并做記錄?！?〕資料核查現(xiàn)場稽核本次數(shù)據(jù)出境評估所涉及的管理制度、建設(shè)方案、操作審批單、審批日志等電子或紙質(zhì)資料，并做記錄。〔3〕技術(shù)手段核查評估團隊通過人工或自動化平安測試工具進行技術(shù)測試，獲得數(shù)據(jù)出境處理活動、平安保障能力等相關(guān)信息，并進行分析，以便取得證據(jù)的過程。檢查測評范圍業(yè)務(wù)名稱XX系統(tǒng)業(yè)務(wù)功能介紹數(shù)據(jù)種類數(shù)量數(shù)據(jù)項名稱數(shù)據(jù)級別數(shù)據(jù)載體數(shù)據(jù)來源數(shù)量(GB)電子化數(shù)據(jù)數(shù)量(條)非電子化數(shù)據(jù)覆蓋類型覆蓋占比數(shù)據(jù)精度數(shù)據(jù)項詳細描述數(shù)據(jù)處理場景數(shù)據(jù)處理活動處理活動目的是否涉及算法自動化處理是否涉及出境是否對外共享共享接收方名稱共享方式是否涉及跨主體流動是否為涉外數(shù)據(jù)檢查測評內(nèi)容平安管理體系測評數(shù)據(jù)分類分級審計操作權(quán)限管理審計日志記錄平安審計合作方管理審計應(yīng)急演練審計投訴舉報機制審計數(shù)據(jù)平安體系測評數(shù)據(jù)采集審計數(shù)據(jù)傳輸審計數(shù)據(jù)存儲審計數(shù)據(jù)使用審計數(shù)據(jù)刪除審計數(shù)據(jù)銷毀審計技術(shù)能力體系測評邊界管控訪問控制平安監(jiān)測平安審計平安檢查應(yīng)急響應(yīng)與事件處置風(fēng)險分析體系測評風(fēng)險源要素識別類別識別要素識別結(jié)果網(wǎng)絡(luò)環(huán)境和技術(shù)措施a.處理數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境是否為內(nèi)部網(wǎng)絡(luò)，如果為互聯(lián)網(wǎng)等非內(nèi)部網(wǎng)絡(luò)環(huán)境，將面臨更高的威脅。b.處理數(shù)據(jù)的信息系統(tǒng)是否與其他系統(tǒng)隔離，是否與其他系統(tǒng)存在數(shù)據(jù)交互，交互方式是否為網(wǎng)絡(luò)接口，是否配備接口平安保障措施，如身份驗證、流量監(jiān)控、數(shù)據(jù)加密。c.數(shù)據(jù)處理過程中是否實施嚴(yán)格的身份鑒別、訪問控制、權(quán)限管理等。d.處理數(shù)據(jù)的信息系統(tǒng)邊界是否部署平安防護設(shè)備，配置了嚴(yán)格的平安防護測策略，實現(xiàn)對網(wǎng)絡(luò)攻擊、入侵、木馬病毒等的攔截防護。e．是否監(jiān)測和記錄網(wǎng)絡(luò)運行狀態(tài)，是否標(biāo)記、分析數(shù)據(jù)流轉(zhuǎn)狀態(tài)，及時發(fā)現(xiàn)數(shù)據(jù)異常流量和違規(guī)使用等情況。f·是否配備數(shù)據(jù)防泄漏技術(shù)能力，全面覆蓋處理數(shù)據(jù)的系統(tǒng)和終端，實現(xiàn)對網(wǎng)絡(luò)、藍牙、USB、郵件等多渠道的數(shù)據(jù)泄露監(jiān)測預(yù)警與攔截處置。g.是否采用加密傳輸、加密存儲等方式保障數(shù)據(jù)平安，加密方式是否平安有效。h.是否認(rèn)期對處理數(shù)據(jù)的信息系統(tǒng)進行平安檢查、評估、滲透測試等，并及時進行補丁更新和平安加固。i.是否對存儲數(shù)據(jù)的介質(zhì)進行加強管理，實施多級權(quán)限審批管理，禁止非相關(guān)人員接觸，并嚴(yán)格留存使用記錄。j.是否對數(shù)據(jù)進行定期備份與恢復(fù)，備份方式是否平安可靠是否實現(xiàn)異地容災(zāi)備份，保障數(shù)據(jù)可用性。k.是否配備數(shù)據(jù)銷毀技術(shù)手段，確保數(shù)據(jù)銷毀后的不可恢復(fù)。l．是否制定了數(shù)據(jù)平安審計謀略，明確審計方法、內(nèi)容、流程等要求，實現(xiàn)對數(shù)據(jù)收集、存儲、傳輸、使用、提供、公開、銷毀等環(huán)節(jié)的實時審計，并對異常操作進行預(yù)警。管理制度和處理流程a．是否建立完備的數(shù)據(jù)管理制度，覆蓋數(shù)據(jù)全生命周期，明確數(shù)據(jù)目錄備案、風(fēng)險評估、權(quán)限管理、日志管理、平安審計、風(fēng)險監(jiān)測、合作方管理、應(yīng)急響應(yīng)等相關(guān)管理要求。b．是否對數(shù)據(jù)授權(quán)訪問、批量復(fù)制、使用加工、出境、銷毀等重點環(huán)節(jié)進行日志留存，留存時間是否不少于6個月，涉及出境環(huán)節(jié)日志記錄是否留存3年以上。c．是否建立數(shù)據(jù)平安風(fēng)險監(jiān)測報送機制，及時發(fā)現(xiàn)、識別和上報數(shù)據(jù)平安風(fēng)險。d．是否建立數(shù)據(jù)應(yīng)急響應(yīng)機制，制定應(yīng)急預(yù)案和處置流程，定期開展應(yīng)急演練。參與人員和第三方管理a．是否設(shè)立數(shù)據(jù)管理機構(gòu)，明確內(nèi)部數(shù)據(jù)處理關(guān)鍵崗位、職責(zé)以及任職要求，負責(zé)履行數(shù)據(jù)平安管理義務(wù)。b．是否對數(shù)據(jù)處理關(guān)鍵崗位從業(yè)人員進行數(shù)據(jù)平安相關(guān)培訓(xùn)和考核，確保其有相應(yīng)的數(shù)據(jù)平安保護專業(yè)知識和技能。c．是否與數(shù)據(jù)處理關(guān)鍵崗位從業(yè)人員簽訂保密協(xié)議，并進行背景審查。d．是否建立數(shù)據(jù)平安事件處分問責(zé)機制。e．是否建立數(shù)據(jù)第三方管理制度，形成第三方管理臺賬，加強對第三方數(shù)據(jù)使用情況的監(jiān)督管理。f．是否與涉及處數(shù)據(jù)的第三方簽署數(shù)據(jù)平安合同或協(xié)議，明確第三方處理使用數(shù)據(jù)的目的、方式、范圍、留存期限、超期處理的方式、再轉(zhuǎn)移限制、平安保障措施以及相應(yīng)的貴任義務(wù)。g．是否認(rèn)期對第三方履行合同或協(xié)議的情況進行檢查、審計，確保其嚴(yán)格執(zhí)行合同約定。業(yè)務(wù)特點和平安態(tài)勢a.業(yè)務(wù)對數(shù)據(jù)處理的依賴性。b.數(shù)據(jù)處理者3年內(nèi)是否曾發(fā)生過數(shù)據(jù)平安事件。c.數(shù)據(jù)保護相關(guān)執(zhí)法監(jiān)管動態(tài)。d.相關(guān)業(yè)務(wù)系統(tǒng)3年內(nèi)遭受網(wǎng)絡(luò)攻擊的情況。e.數(shù)據(jù)處理者1年內(nèi)收到或公開發(fā)布的警示信息。風(fēng)險源識別標(biāo)準(zhǔn)對以上因素進行充分了解后,評估團隊參考以下識別標(biāo)準(zhǔn),對各數(shù)據(jù)處理場景平安事件發(fā)生的可能性進行判斷：可能性描述可能性等級處理數(shù)據(jù)的信息系統(tǒng)與其他系統(tǒng)有大量數(shù)據(jù)交互，或處于互聯(lián)網(wǎng)壞境中，或采取的平安保護措施薄弱，無法有效保障數(shù)據(jù)平安。極高缺乏數(shù)據(jù)平安管理制度，根本未對數(shù)據(jù)處理流程進行監(jiān)管。未對接觸到數(shù)據(jù)的相關(guān)人員進行約束管理，或未與參與處理數(shù)據(jù)的第三方簽訂相關(guān)協(xié)議/合同，未對第三方處理數(shù)據(jù)的行為進行任何約束，或已出現(xiàn)第三方濫用數(shù)據(jù)的情形。威脅引發(fā)的相關(guān)平安事件已被數(shù)據(jù)處理者發(fā)現(xiàn)，或已收到相關(guān)主管部門發(fā)出的風(fēng)險警報或通知，或3年內(nèi)處理數(shù)據(jù)的信息系統(tǒng)遭受過大量網(wǎng)絡(luò)攻擊。處理數(shù)據(jù)的信息系統(tǒng)與其他系統(tǒng)有較多交互，或采取的平安保護措施較為薄弱。高數(shù)據(jù)安金管理制度不夠全面，無法有效對數(shù)據(jù)處理活動進行全生命周期管理。對接觸到數(shù)據(jù)的相關(guān)人員的約束缺乏、管理松散、權(quán)限分配不合理，或與參與處理數(shù)據(jù)的第三方簽訂相關(guān)協(xié)議/合同條款設(shè)置不合理、全面，無法充分、有效地約束第三方處理數(shù)據(jù)的行為。3年內(nèi)發(fā)生過威脅引發(fā)的數(shù)據(jù)相關(guān)平安事件，或收到過相關(guān)專業(yè)機構(gòu)發(fā)出的相關(guān)風(fēng)險預(yù)警信息，或3年內(nèi)處理數(shù)據(jù)的信息系統(tǒng)遭受過較多的網(wǎng)絡(luò)攻擊。處理數(shù)據(jù)的信息系統(tǒng)與其他系統(tǒng)僅存在較少的交互情況，且相關(guān)接口均進行了完善的接口平安管控措施。采取的平安保護措施根本完善。中數(shù)據(jù)平安管理制度根本全面，根本實現(xiàn)對數(shù)據(jù)處理活動進行全生命周期管理，僅局部管理要求尚不完善。對接觸到數(shù)據(jù)的相關(guān)人員的約束較為充分、權(quán)限分配較為合理。與參與處理數(shù)據(jù)的第三方簽訂的相關(guān)協(xié)議/合同條款設(shè)置根本合理、全面，根本可以對第三方處理數(shù)據(jù)的行為進行約束，但尚未對第三方協(xié)議/合同履行情況進行檢查、審計或評估，無法真實有效掌握第三方協(xié)議/合同履行情況。3年內(nèi)未發(fā)生過威脅引發(fā)的數(shù)據(jù)相關(guān)平安事件。3年內(nèi)處理數(shù)據(jù)的信息系統(tǒng)遭受過較少的網(wǎng)絡(luò)攻擊。處理數(shù)據(jù)的信息系統(tǒng)與其他系統(tǒng)不存在交互情況，或僅存在少量離線交互行為，且對其進行了嚴(yán)格的平安審批管理，并留存記錄。采取的平安保護措施完備。低數(shù)據(jù)平安管理制度完備，實現(xiàn)對數(shù)據(jù)處理活動進行全生命周期管理，管理要求明確、全面。對接觸到數(shù)據(jù)的相關(guān)人員的約束充分、權(quán)限分配合理。與參與處理數(shù)據(jù)的第三方簽訂相關(guān)協(xié)議/合同條款設(shè)置合理、全面，可以實現(xiàn)對第三方處理數(shù)據(jù)的活動進行有效約束，且定期對第三方協(xié)議/合同履行情況進行檢查、審計或評估，可以真實有效掌握第三方協(xié)議/合同履行情況。從未發(fā)生過威脅引發(fā)的數(shù)據(jù)相關(guān)平安事件。3年內(nèi)處理數(shù)據(jù)的信息系統(tǒng)從未遭受或僅遭受過極少的網(wǎng)絡(luò)攻擊，且攻擊危險程度較低。風(fēng)險源識別結(jié)果數(shù)據(jù)處理活動可能性等級風(fēng)險來源可能性等分析結(jié)果網(wǎng)絡(luò)環(huán)境和技術(shù)措施管理制度和處理流程參與人員和第三方管理業(yè)務(wù)特點和平安態(tài)勢XX數(shù)據(jù)極高 高中低√√√√脆弱性識別分析測評脆弱性是數(shù)據(jù)應(yīng)用場景自身存在的，如沒有被數(shù)據(jù)威脅利用，脆弱性本身不會對數(shù)據(jù)資產(chǎn)造成損害。如數(shù)據(jù)應(yīng)用場景中涉及的信息系統(tǒng)，如存儲系統(tǒng)、業(yè)務(wù)系統(tǒng)足夠健壯，數(shù)據(jù)威脅難以導(dǎo)致平安事件的發(fā)生。也就是說，數(shù)據(jù)威脅是通過利用應(yīng)用場景中存在的脆弱性，才可能造成數(shù)據(jù)機密性、完整性、可用性、可控性的損害。相反，如果威脅沒有對應(yīng)的脆弱性，也不會導(dǎo)致風(fēng)險。因此，組織一般通過盡可能消減數(shù)據(jù)應(yīng)用場景的脆弱性，來阻止或消減數(shù)據(jù)威脅造成的影響，所以脆弱性識別是數(shù)據(jù)平安風(fēng)險分析中最重要的一個環(huán)節(jié)。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性識別脆弱性可從技術(shù)和管理兩個方面進行審視。技術(shù)脆弱性涉及IT環(huán)境的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的平安問題或隱患。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。根據(jù)《YD/T3801-2020電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)平安風(fēng)險評估實施方法》，提供了一種脆弱性識別內(nèi)容的參考。類型識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備平安配置等方面進行識別系統(tǒng)軟件從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)平安、系統(tǒng)管理等方面進行識別應(yīng)用中間件從協(xié)議平安、交易完整性、數(shù)據(jù)完整性等方面進行識別應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術(shù)管理從物理和環(huán)境平安、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識別組織管理從平安策略、組織平安、資產(chǎn)分類與控制、人員平安、符合性等方面進行識別表格SEQ表格\*ARABIC18脆弱性識別內(nèi)容脆弱性屬性分析與賦值脆弱性可利用性脆弱性可利用性跟訪問路徑、訪問復(fù)雜性、權(quán)限要求、用戶交互有關(guān)，可利用性分5級，等級1-5級，分別對應(yīng)很低、低、中等、高、很高。訪問路徑。該特征反映了脆弱性被利用的路徑，包括：物理訪問，本地訪問，鄰近網(wǎng)絡(luò)訪問，遠程網(wǎng)絡(luò)訪問。訪問復(fù)雜性。該特征反映了攻擊者能訪問目標(biāo)系統(tǒng)時利用脆弱性的難易程度，可用高、中、低3個值進行度量。權(quán)限要求。該特征反映了攻擊者為了利用脆弱性需要通過目標(biāo)系統(tǒng)鑒別的要求，可用無、低、高進行度量。用戶交互。該特征從攻擊行為利用脆弱性時是否需要用戶交互的條件反映了脆弱性利用的難易程度，可用不需要和需要2個值進行度量。注：組織或企業(yè)可能已部署了預(yù)防性平安措施，可視具體情況調(diào)整脆弱性的可利用性。脆弱性可利用性等級標(biāo)識定義5很高數(shù)據(jù)訪問權(quán)限低，脆弱性利用難度低，利用方式簡單4高數(shù)據(jù)訪問權(quán)限不高，脆弱性利用難度不高，利用方式不復(fù)雜3中數(shù)據(jù)訪問權(quán)限高，脆弱性利用難度高，利用方式復(fù)雜2低數(shù)據(jù)訪問權(quán)限較高，脆弱性利用難度較高，利用方式較復(fù)雜1很低數(shù)據(jù)訪問權(quán)限非常高，脆弱性利用難度非常高，利用方式非常復(fù)雜表格SEQ表格\*ARABIC19脆弱性可利用性脆弱性可利用性脆弱性對數(shù)據(jù)的影響嚴(yán)重程度等級標(biāo)識定義5很高如果被威脅利用，將對數(shù)據(jù)機密性、完整性、可用性和可控性造成完全損害。4高如果被威脅利用，將對數(shù)據(jù)機密性、完整性、可用性和可控性造成重大損害。3中如果被威脅利用，將對數(shù)據(jù)機密性、完整性、可用性和可控性造成一般損害。2低如果被威脅利用，將對數(shù)據(jù)機密性、完整性、可用性和可控性造成較小損害。1很低如果被威脅利用，將對數(shù)據(jù)機密性、完整性、可用性和可控性造成的損害可以忽略。表格SEQ表格\*ARABIC20脆弱性對數(shù)據(jù)的影響嚴(yán)重程度脆弱性可利用性本次風(fēng)險評估對數(shù)據(jù)脆弱性分析結(jié)果如下：序號數(shù)據(jù)類型應(yīng)用場景應(yīng)用系統(tǒng)名稱脆弱性信息脆弱性賦值類型分類子類名稱可利用性數(shù)據(jù)影響程度1個人信息業(yè)務(wù)技術(shù)脆弱性物理環(huán)境脆弱性電力電磁防護電力電磁防護不完善332Xx3表格SEQ表格\*ARABIC21數(shù)據(jù)脆弱性分析結(jié)果檢查測評結(jié)果及整改建議通過對XX系統(tǒng)平安管理體系評估、數(shù)據(jù)平安體系評估、技術(shù)能力體系評估、風(fēng)險分析體系評估共四大項檢查測評后，分析認(rèn)為系統(tǒng)數(shù)據(jù)平安管理機制及平安保障措施不甚完善，存在的問題如下所示：序號問題項問題內(nèi)容整改建議1數(shù)據(jù)分類分級方面企業(yè)未說明業(yè)務(wù)數(shù)據(jù)分類分級情況；未說明業(yè)務(wù)涉及重要數(shù)據(jù)情況。建議企業(yè)制定數(shù)據(jù)平安分類分級制度；建議企業(yè)梳理重要數(shù)據(jù)資產(chǎn)清單。2操作權(quán)限管理方面〔1〕未說明敏感數(shù)據(jù)操作權(quán)限?！?〕建議企業(yè)完善敏感數(shù)據(jù)操作權(quán)限管理。3日志記錄方面〔1〕未對數(shù)據(jù)轉(zhuǎn)采集、轉(zhuǎn)移等操作進行日志記錄。〔1〕建議企業(yè)對數(shù)據(jù)轉(zhuǎn)采集、轉(zhuǎn)移等操作進行日志記錄。4平安審計方面未制定日志數(shù)據(jù)管理與平安審計標(biāo)準(zhǔn)；未說明是否有平安審計報告。建議企業(yè)制定日志數(shù)據(jù)管理與平安審計標(biāo)準(zhǔn)；建議企業(yè)定期輸出平安審計報告。5合作方管理方面合同內(nèi)未明確雙方數(shù)據(jù)平安的責(zé)任；未在業(yè)務(wù)合作結(jié)束后催促業(yè)務(wù)合作方依照合同內(nèi)容及時刪除數(shù)據(jù)建議企業(yè)在于合作方簽訂合同時，在合同內(nèi)明確雙方數(shù)據(jù)平安的責(zé)任；建議企業(yè)在業(yè)務(wù)合作結(jié)束后催促業(yè)務(wù)合作方依照合同內(nèi)容及時刪除數(shù)據(jù)。6舉報投訴處理方面〔1〕目前未明確由哪個部門負責(zé)受理數(shù)據(jù)平安和隱私保護相關(guān)投訴和舉報?！?〕建議企業(yè)明確部門負責(zé)受理數(shù)據(jù)平安和隱私保護相關(guān)投訴和舉報。7數(shù)據(jù)采集方面未指定的部門或人員負責(zé)數(shù)據(jù)采集;未在訪談前開展過數(shù)據(jù)平安影響評估；未對外部機構(gòu)的數(shù)據(jù)采集來源進行調(diào)研了解，同時不了解其數(shù)據(jù)采集的范圍和頻度。建議指定部門或人員負責(zé)數(shù)據(jù)采集，在采集數(shù)據(jù)前開展過數(shù)據(jù)平安影響評估；建議在數(shù)據(jù)采集前對外部機構(gòu)的數(shù)據(jù)采集來源進行調(diào)研了解，并明確其數(shù)據(jù)采集的范圍和頻度。8數(shù)據(jù)存儲方面未說明移動介質(zhì)接入標(biāo)準(zhǔn)；未對數(shù)據(jù)生命周期過程進行日志記錄。建議企業(yè)完善移動介質(zhì)接入標(biāo)準(zhǔn)；建議企業(yè)對數(shù)據(jù)生命周期過程進行日志記錄。9數(shù)據(jù)傳輸方面〔1〕未采用數(shù)字簽名、時間戳等方式，確保數(shù)據(jù)傳輸?shù)目沟仲囆浴！?〕建議在數(shù)據(jù)傳輸方面采用數(shù)字簽名、時間戳等方式，確保數(shù)據(jù)傳輸?shù)目沟仲囆浴?0數(shù)據(jù)使用方面〔1〕未明確數(shù)據(jù)訪問的相關(guān)賬戶以及對應(yīng)的權(quán)限審核時間?！?〕建議明確數(shù)據(jù)訪問的相關(guān)賬戶以及對應(yīng)的權(quán)限審核時間。11數(shù)據(jù)開放共享方面未說明對外開放共享審核機制；未制度數(shù)據(jù)溯源的策略和機制。建議企業(yè)完善對外開放共享審核機制；建議企業(yè)制度數(shù)據(jù)溯源的策略和機制。12邊界管控方面〔1〕未采用API防護技術(shù)?！?〕建議采用API防護技術(shù)。13訪問控制方面〔1〕經(jīng)核查，未實現(xiàn)三權(quán)別離，未實現(xiàn)職責(zé)別離?！?〕建議實現(xiàn)三權(quán)別離，建議實現(xiàn)職責(zé)別離。14平安監(jiān)測方面未制度數(shù)據(jù)溯源的策略和機制；無溯源數(shù)據(jù)的平安存儲、分析使用等相關(guān)文檔；未對外部數(shù)據(jù)來源進行合法性驗證和標(biāo)識；未建立數(shù)據(jù)資產(chǎn)地圖；未建立