评估项清单思维导图
管理人员,运维人员,开发人员评估等内容讲解
树图思维导图提供 评估项清单 在线思维导图免费制作,点击“编辑”按钮,可对 评估项清单 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:5ca53a362c45f64367abe976cd484a01
思维导图大纲
评估项清单思维导图模板大纲
管理人员
是否建立数据安全管理机构及职责
如有建立其中是否明确本单位的数据安全责任人
是否明确数据安全工作人员及职责
是否印发数据安全责任制度
是否明确接收用户投诉和举报处理机制,包括渠道,负责人,联系方式等关键信息
是否制定数据安全总则或管理办法
是否建立并公布《投诉举报通知/公告》
是否公布接受投诉、举报的联系方式
是否设置数据库管理员、操作员及安全审计人员、安全运维人员等数据安全关键岗位
是否符合职责分离、专人专岗等原则
是否定期开展网络安全等级保护测评工作
是否照测评报告要求,开展整改建设工作
是否制定覆盖数据生存周期、个人信息保护、数据跨境相关的安全规范
规范中是否有明确的审批制度、流程、管理范围
是否制度《数据安全应急响应管理制度》
明确组织结构和职责、预防和预警机制、事件分级和分类、应急处置和保障措施等。
制度中是否明确要求出现数据安全事件时,向网信部门和有关部门及时报告数据安全保护和事件处置的方式、时间、处置报告流程等相关细则,及时处理和应对安全威胁
本单位是否存在重要数据类别
是否印发数据安全风险评估制度
是否定期开展风险评估工作
是否定期向主管部门或监管部门,上报本单位数据安全风险评估报告
数据安全风险评估报告中是否包含处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等
是否对数据处理关键岗位人员的数据安全意识或者专业能力进行考核
是否按照国家、行业和地方的数据分类分级规范要求,建立数据资产分类分级制度、规程、操作指南
数据安全管理制度中是否明确了数据分类管理、分级保护策略,数据访问权限申请、保护措施部署中是否落实了数据分类分级保护措施。
是否建立数据资产清单
是否对建立的资产清单定期的进行更新
是否通过数据资产管理等工具对数据资产清单及时更新、维护
是否定期的采用技术手段对数据资产进行再次扫描,及发现识别个人信息、重要数据
是否建立分类分级策略
是否按照策略开展数据分类分级标识和管理工作
是否按照数据级别建设覆盖全流程数据处理活动的安全措施
是否制定数据分类分级变更和审核流程
是否建立重要数据目录
对评估的重要数据是否进行了重点保护
是否对重要岗位员工录用前背景调查
是否对涉及数据全流程每个环节的人员,签订保密协议
在人员转岗时,是否落实了数据权限的收回、终止等管理措施
是否定期开展数据安全相关培训
是否督促数据合作方建立健全安全管理机制
是否监督合作方人员的日常服务安全管理
是否定期开展对合作方的安全能力进行评估
是否加强合作方接入系统或使用工具的安全审核
是否对合作方接入的系统、使用的技 术工具进行了技术检测,避免引入木马、后门等
采取合同约束等方式,明确合作方数据使用用途、处理目的、方式、范围,安全保护责任、数据返还或删除要求、保密约定及违约责任和处罚条款等
合作方人员对数据与系统的访问、修改权限是否限于最小必要范围
合作方人员是否具备数据导出操作或数据外发操作权限。
对合作方人员数据导出操作或数据外发操作是否具备监督管理。
合作方人员是否可以远程访问操作系统或数据
远程运维的审批、管理和安全防护措施是否按照相关要求进行规范
是否涉及政务数据处理。
处理政务数据是否有相应的批准程序。
是否有委托处理政务数据
对受托处理方是否有相应的监督措施。
是否定期开展数据安全事件应急演练
是否建立个人信息安全事件应急预案
是否组织实施个人信息安全事件应急预案,并留有记录
本单位是否面向社会提供服务
是否建立便捷的数据安全相关投诉举报渠道
是否及时受理、处置相关投诉举报
是否以显著方式、清晰易懂的语言真实、准确、完整地公开个人信息处理规则
是否公开个人信息保护负责人的联系方式
是否将个人信息保护负责人的姓名、联系方式等报送网信部门
产品或业务上线前是否进行安全评估
是否制定符合业务的数据收集原则、收集流程和方法
是否明确了收集数据的目的和用途
是否存在第三方数据收集
是否通过合同协议等合法方式,约定从外部机构收集的数据范围、收集方式、使用目的和授权同意
是否涉及个人信息收集
是否明确个人信息收集的目的、方式和范围,并经被收集者同意
是否涉及收集不满十四周岁未成年人个人信息
是否取得未成年人的父母或者其他监护人的同意
个人信息处理活动应具备《个人信息保护法》规定的合法性事由
是否建立数据存储管理制度
制度中是否规范存储介质使用、购买、标识和报废流程
本单位是否存在数据出境
是否对数据跨境传输进行安全评估
是否存在数据跨组织传输
是否制定数据跨组织传输管理规则
是否建立跨组织数据传输安全技术措施
是否建立了数据使用正当性的管理制度
如建立,数据使用正当性管理制度能否保证数据在数据清洗、转换、建模、分析、挖掘等加工过程中可以得到保护
对数据的保护中是否会注重对个人信息和重要数据进行保护
是否建立了数据导入导出安全制度或审批流程
是否进行严格的导出权限管理
进行导出权限管理时是否记录了导出操作
是否存在委托加工数据
存在委托加工数据,是否明确约定了受托方的安全保护义务
安全保护义务是否能够约束受托方非法留存、扩散数据
是否存在委托第三方处理个人信息
是否约定权利责任并监督处理活动
是否存在对外提供数据
是否制定数据提供内容、范围、安全管理制度
明确数据提供者与数据共享使用者的数据保护责任
是否开展共享、交易、委托处理、向境外提供数据
是否开展安全评估
是否建立了数据资源公开发布的审核制度
对数据公开业务合规性是否进行了严格审核
是否建立了数据删除策略和管理制度
是否明确了删除对象和流程
是否建立了数据删除审批机制
如建立是否设置了删除相关监督角色来监督操作过程
是否建立了建设、落实存储介质销毁的管理制度和审批机制
介质销毁是否有相应策略和操作规程
如有相应策略和操作规程,相应策略和操作规程中是否明确各类介质的销毁流程、方式和要求
是否依据存储内容重要性、存储介质使用寿命,明确存储介质销毁方法
是否对销毁的存储介质进行妥善处置
是否建立数据权限授权审批制度
制度中是否明确用户账号分配、开通、使用、变更、注销等安全保障要求
是否对数据权限申请和变更进行审核
是否严格控制管理员权限账号数量
是否建立数据访问权限与访问者的身份、用户角色关联
是否对离职人员账号、沉默账号及时回收
对数据批量复制、下载、导出、修改、删除等数据敏感操作是否采取多人审批授权或操作监督
对敏感操作是否有日志审计
是否建立了数据脱敏制度、流程和方法来指导数据脱敏操作
是否建立个人信息保护内部管理制度
是否建立个人信息保护内部操作规程
运维人员
是否有通过采集终端收集数据
对采集终端是否会进行漏洞检测
是否检测出过数据泄露风险
客户端是否存在缓存数据
客户端完成相关业务后,是否会对缓存数据进行清理,清理策略如何
缓存数据中是否留存敏感个人信息或重要数据
是否对数据库安全漏洞进行过检测
是否对检测到的安全漏洞进行修复、处置
是否有针对数据库帐号权限进行管理
是否存在未授权访问、超范围授权、权限未及时收回、特权账号设置不合理等情况
是否有针对数据库访问权限进行控制
是否有针对数据库日志进行管理
是否实施限制数据库管理、运维等人员高危操作行为的安全管理措施
是否对敏感操作(如:批量传输、下载、导出等)具备安全监控和分析能力
是否对数据异常访问和操作进行告警
是否存储重要数据
是否具备对存储载体性能监控措施,包括使用历史、性能指标、错误或损坏情况
是否对超过安全阈值的存储载体进行预警
是否明确数据存储期限
如有期限,期限到期后是否会按期删除数据
如存在不可删除的数据,是否明确数据的类型及原因
是否具备备份与恢复技术
是否定期执行数据备份和恢复
是否建立数据存储冗余策略
是否存在数据安全备份恢复策略和操作规程
策略中是否明确数据备份的方式、频次、保存期限、存储介质
备份恢复后,是否采取必要技术措施查验备份和归档数据完整性和可用性
是否存在对外提供数据
在共享数据过程是否进行监控审计
是否存在数据的导入导出
是否对导入导出的终端、用户或服务组件等执行身份鉴别
执行身份鉴别时如何验证其身份的真实性和合法性
对导出数据的存储介质是否有严格的加密、使用、销毁要求
要求是如何落实的
是否对业务系统登录的用户进行身份标识和鉴别
身份标识是否具有唯一性
鉴别信息是否具有复杂度要求并定期更换
是否使用统一平台或其他措施对计算机进行集中管理
是否存在跨网使用的终端计算机
开发人员
对新应用开发审核流程建设是否开展了数据处理需求安全合规审核
开发测试环境和实际运行是否进行了隔离
是否对测试数据和测试结果进行控制
开发测试中是否使用的是真实数据
是否有对真实数据进行去标识化、脱敏处理(测试确需信息除外)
是否对开发和运维人员行为进行监督和审计
是否有技术手段或管控措施,确保数据在收集和获取过程中个人信息和重要数据不被泄露
是否具备对个人敏感数据、重要数据存储加密的能力
是否制定数据安全传输管理规范
规范中是否明确数据传输安全要求
是否具备对传输通道两端进行主体身份鉴别和认证的技术方案和工具
是否采取安全传输协议等安全措施
是否存在敏感个人信息和重要数据
对敏感个人信息和重要数据在传输中是否进行加密
选用的加密算法是哪种
是否存在数据加工
数据加工过程中是否对个人信息、重要数据等敏感数据的操作行为记录、定期审计
是否存在第三方共享接口或对外提供数据
对外提供的数据是否会包括敏感数据
对敏感数据是否采取加密、签名、水印等安全措施
接口调用方(内外部)是否明确数据的使用目的、供应方式、保密约定及数据安全责任等情况
是否对接口访问进行日志记录
是否对接口异常事件进行告警通知情况
是否具备接口认证鉴权与安全监控能力、限制违规接入
是否对接口调用进行必要的自动监控和处理
登录失败是是否采取安全措施,如结束会话、限制非法登录次数、设置抑制时间和网络登录连接超时自动退出
采用了哪种鉴别技术对用户进行身份鉴别(至少两种)
是否具备数据脱敏软件或工具
是否满足敏感数据在传输、共享、发布等环节敏感信息隐藏、模糊化处理要求
是否验证开发测试、人员信息公示等应用场景的数据脱敏效果
是否建立数据接口安全制度与技术规范
数据接口安全制度中是否明确规定服务接口的安全限制和安全控制措施
是否存在非法收集、使用、加工、存储、传输个人信息的行为
是否存在个人信息收集
个人信息收集是否限定实现处理目的的最小范围
是否存在过度收集个人信息行为
是否为个人提供查阅其个人信息的途径
是否可以及时提供个人信息查阅
是否为个人提供请求个人信息更正,补充的途径
是否存在处理一百万以上个人信息
是否指定个人信息保护负责人,并公开联系方式
是否遵守重要数据处理者相关规定
是否存在对个人信息处理
个人信息处理规则是否告知个人行使《个人信息保护法》规定权利的方式和程序
是否对个人信息处理情况进行记录
是否开展个人信息保护影响评估
个人信息保护影响报告和处理情况记录是否保存三年以上
是否对敏感个人信息进行处理
敏感个人信息处理是否具有特定的目的和充分的必要性
是否对敏感个人信息采取严格保护措施
机房人员
对闪存、硬盘、磁带、光盘等存储介质是否会进行物理销毁
物理销毁时如何处置销毁的存储介质
网络人员
近3年是否发生网络安全或数据安全事件
简单介绍一下事件的处置、记录、整改和上报情况
是否具备网络拓扑图
核查有哪些网络安全设备,部署位置、设备类型、功能等情况
是否梳理服务器、数据库、端口、数据资源在互联网的出口数量
是否有相关措施减少互联网的出口数
是否具有网络安全监控平台
是否对邮件、终端等关键环节进行安全监控
对敏感信息外发是否有报告预警
网络安全监控日志是否留存6月以上
是否具备对数据交换、共享网络流量进行安全监控和分析能力
是否对异常流量和行为进行告警
是否根据业务重要性对网络进行分区分域管理
是否设置网络边界防护措施
是否根据不同网络区域间实施访问控制
相关思维导图模板
树图思维导图提供 高中物理跨学科作业设计研究的价值 在线思维导图免费制作,点击“编辑”按钮,可对 高中物理跨学科作业设计研究的价值 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:3c8373f35fa1b97da40b5d8c0db68284
树图思维导图提供 研究目标 在线思维导图免费制作,点击“编辑”按钮,可对 研究目标 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:7e8807373e36cce09c72763874b39b4b
沪公网安备 31011502019485号
上海工商