DB12-T 1198-2023 網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查規(guī)范

35.110

70

12 DB12/T

1198—2023網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督檢查規(guī)范

for

supervision

and

inspection

network

data

security天津市市場(chǎng)監(jiān)督管理委員會(huì)??發(fā)

布DB12/T

11982023

II

III

......................................................10

..........................................11

........................................17

22DB12/T

11982023本文件按照GB/T

1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定IIDB12/T

11982023 DB12/T

11982023

GB/T

GB/T

GB/T

35273和GB/T

network

data

key

data

personal

information

personal

information

network

data

DB12/T

11982023

data

security

監(jiān)督檢查發(fā)起部門負(fù)責(zé)編制檢查工作方案，工作方案內(nèi)容包括組織領(lǐng)導(dǎo)、網(wǎng)絡(luò)數(shù)據(jù)處理者、檢

實(shí)施監(jiān)督檢查前，應(yīng)根據(jù)檢查工作方案組建檢查組、確定網(wǎng)絡(luò)數(shù)據(jù)處理者、確認(rèn)檢查內(nèi)容、選

檢查組應(yīng)根據(jù)監(jiān)督檢查結(jié)果，出具書(shū)面檢查記錄單，針對(duì)檢查中發(fā)現(xiàn)的安全問(wèn)題，提出整改要

網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)按照整改要求，在規(guī)定的時(shí)間內(nèi)，完成整改工作，并形成整改報(bào)告，提交檢

a)

人員訪談：通過(guò)訪談的方式與網(wǎng)絡(luò)數(shù)據(jù)處理者進(jìn)行交流、討論等活動(dòng),獲取相關(guān)資料,了解有DB12/T

11982023b)

文檔審核：由網(wǎng)絡(luò)數(shù)據(jù)處理者提供與數(shù)據(jù)安全相關(guān)的文檔材料(如網(wǎng)絡(luò)數(shù)據(jù)安全的方針政策、度規(guī)范流、培訓(xùn)教材料、以與產(chǎn)品技相關(guān)的設(shè)實(shí)施方案配置說(shuō)明運(yùn)行記錄a)

b)

配置檢查：根據(jù)網(wǎng)絡(luò)數(shù)據(jù)處理者提供的技術(shù)材料,登錄相關(guān)的系統(tǒng)工具平臺(tái),檢查配置是否與c)

量核驗(yàn)：用旁路部的方式，網(wǎng)絡(luò)數(shù)據(jù)理者的系進(jìn)行全流采集，核是否符合

6.2.1.1

a)

b)

c)

d)

e)

f)

否建立個(gè)信息管理度和操作程，是否確審批制、流程、理范圍、全策略和g)

h)

i)

及數(shù)據(jù)出的，檢查據(jù)出境前否開(kāi)展數(shù)出境風(fēng)險(xiǎn)評(píng)估，是通過(guò)網(wǎng)信門數(shù)據(jù)出6.2.1.2

DB12/T

11982023a)

及處理敏個(gè)人信息或利用個(gè)信息進(jìn)行動(dòng)化決策或委托處個(gè)人信息向其他個(gè)信息處理提供個(gè)人息、公開(kāi)人信息，向境外提個(gè)人信息，是否事開(kāi)展個(gè)人b)

及收集使兒童個(gè)人息的，是在符合個(gè)信息保護(hù)基礎(chǔ)上，強(qiáng)對(duì)兒童人信息的c)

d)

6.2.2.1

a)

b)

6.2.2.2

6.2.3.1

a)

b)

c)

6.2.3.2

a)

否為進(jìn)入部網(wǎng)絡(luò)環(huán)的終端設(shè)，分配終識(shí)別號(hào)，實(shí)現(xiàn)計(jì)算終端設(shè)備用戶賬號(hào)b)

6.2.4.1

6.2.4.2

DB12/T

11982023a)

b)

c)

及個(gè)人信收集的，否明確個(gè)信息收集目的、方和范圍，經(jīng)被收集同意或符

a)

b)

a)

b)

c)

a)

否具備對(duì)儲(chǔ)媒體性監(jiān)控措施包括使用史、性能標(biāo)、錯(cuò)誤損壞情況對(duì)超過(guò)安b)

c)

6.5.1.1

6.5.1.2

6.5.2.1

a)

b)

DB12/T

11982023c)

6.5.2.2

6.5.3.1

a)

b)

c)

6.5.3.2

6.5.4.1

a)

b)

c)

6.5.4.2

6.6.1.1

6.6.1.2

a)

b)

否建立數(shù)分析結(jié)果出的安全查機(jī)制和權(quán)控制機(jī)，并采取要的技術(shù)段和管控

DB12/T

119820236.6.2.1

a)

b)

否具備數(shù)脫敏軟件工具，對(duì)感數(shù)據(jù)傳、共享、布等環(huán)節(jié)感信息進(jìn)隱藏、模6.6.2.2

a)

b)

6.8.1.1

a)

b)

c)

d)

6.8.1.2

6.8.2.1

a)

b)

否明確數(shù)供應(yīng)鏈上游保護(hù)的務(wù)和責(zé)任保護(hù)范圍使用目的供應(yīng)方式保密約定6.8.2.2

DB12/T

11982023a)

b)

否建立數(shù)供應(yīng)鏈庫(kù)并及時(shí)更數(shù)據(jù)供應(yīng)目錄和相數(shù)據(jù)源數(shù)字典，便供應(yīng)鏈上

6.9.1.1

a)

b)

6.9.1.2

a)

b)

6.9.2.1

a)

b)

否制定數(shù)接口安全制策略，確規(guī)定使服務(wù)接口安全限制安全控制施（如身6.9.2.2

a)

b)

6.10.1

a)

b)

c)

d)

6.10.2

……………（1）DB12/T

1198

……………（1）

a)

b)

果佐證材表明所有查內(nèi)容與期結(jié)果一，則判定檢查點(diǎn)單結(jié)果

；如果佐材料表明有檢查內(nèi)與預(yù)期結(jié)不一致，定該檢查單項(xiàng)結(jié)果

；否則依佐證

1-4

a)

100

b)

60

100

分的監(jiān)督檢查結(jié)果為基本符合；c)

60

開(kāi)展現(xiàn)場(chǎng)監(jiān)督檢查，應(yīng)當(dāng)制作監(jiān)督檢查記錄，并由

名以上（含）檢查組人員和網(wǎng)絡(luò)數(shù)據(jù)處理

委托第三方網(wǎng)絡(luò)數(shù)據(jù)安全服務(wù)機(jī)構(gòu)提供技術(shù)支持的，技術(shù)支持人員應(yīng)當(dāng)一并在監(jiān)督檢查記錄上DB12/T

11982023

A.1

10b)否定期開(kāi)展數(shù)據(jù)安全培訓(xùn)和應(yīng)急演練f)DB12/T

11982023

B.1

本次監(jiān)督檢查涉及個(gè)檢查點(diǎn)，經(jīng)統(tǒng)計(jì)，其中符合項(xiàng)有 111110111213d)1415b)16是否按照數(shù)據(jù)分類分級(jí)的要求建立相17a)181920a)21技術(shù)手段對(duì)終端上傳輸?shù)臄?shù)據(jù)進(jìn)行風(fēng)22是否明確對(duì)內(nèi)部各類數(shù)據(jù)訪問(wèn)和操作23是否采用自動(dòng)和人工審計(jì)相結(jié)合的方式對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)的高風(fēng)險(xiǎn)操作進(jìn)行DB12/T

11982023121224252627集和獲取到的數(shù)據(jù)進(jìn)行完整性和一致28個(gè)人信息和重要數(shù)據(jù)在收集過(guò)程中泄2930數(shù)據(jù)存儲(chǔ)冗余策略和存儲(chǔ)安全管理制313233b)3435在數(shù)據(jù)使用聲明的目的和范圍內(nèi)對(duì)受36是否采用技術(shù)手段記錄和管理數(shù)據(jù)使37a)DB12/T

119820231313383940是否定期驗(yàn)證導(dǎo)出數(shù)據(jù)的完整性和可41a)42b)4344是否采用兩種或兩種以上組合的鑒別454647c)敏感個(gè)人信息時(shí)，采用數(shù)據(jù)脫敏等技48是否在展示重要數(shù)據(jù)和敏感個(gè)人信息49是否建立數(shù)據(jù)分析相關(guān)數(shù)據(jù)源獲取規(guī)50數(shù)據(jù)分析過(guò)程中的數(shù)據(jù)資源操作規(guī)范51b)DB12/T

119820231452a)53545556b)57是否明確業(yè)務(wù)中需要加密傳輸?shù)臄?shù)據(jù)585960c)61d)6263定義數(shù)據(jù)供應(yīng)鏈安全目標(biāo)、原則和范64b)65a)66數(shù)據(jù)供應(yīng)鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字67a)制度，嚴(yán)格審核數(shù)據(jù)發(fā)布業(yè)務(wù)的合規(guī)68b)披露，并對(duì)數(shù)據(jù)披露人員進(jìn)行安全培DB12/T

11982023151569a)7071a)72確規(guī)定使用服務(wù)接口的安全限制和安73a)74757677c)78d)79DB12/T

11982023 1610111213d)相關(guān)信息系統(tǒng)是采用商用密碼測(cè)認(rèn)證機(jī)構(gòu)核1415DB12/T

11982023

C.1

16171819c)是否為在網(wǎng)絡(luò)環(huán)的終端設(shè)備，裝統(tǒng)一的防病20a)是否為進(jìn)入內(nèi)部絡(luò)環(huán)境的終端備，分配終端212223否采用自動(dòng)和工審計(jì)相結(jié)合方式對(duì)網(wǎng)絡(luò)傳數(shù)據(jù)2425262728293031323334DB12/T

119820231835363738394041a)是否指定專人負(fù)管理核心業(yè)務(wù)統(tǒng)的用戶身份424344否采用兩種或種以上組合的別技術(shù)對(duì)用戶行身鑒別，且其中種鑒別技術(shù)至應(yīng)使用密碼技來(lái)實(shí)45464748495051b)是否建立數(shù)據(jù)分結(jié)果輸出的安審查機(jī)制和授5253DB12/T

1198202319545556b)是否具備對(duì)傳輸?shù)纼啥诉M(jìn)行主身份鑒別和認(rèn)575859606162636465a)是否對(duì)數(shù)據(jù)供應(yīng)上下游的行為行合規(guī)性審核6667686970717273a)是否具備對(duì)接口安全輸入?yún)?shù)行限制或過(guò)濾DB12/T

1198202320207475767778d)是否采用技術(shù)工擦除銷毀核心務(wù)存儲(chǔ)媒體的79DB12/T

1198202321DB12/T

11982023