网络数据安全风险评估项目清单思维导图
网络数据,安全风险,风险评估等内容讲解
树图思维导图提供 网络数据安全风险评估项目清单 在线思维导图免费制作,点击“编辑”按钮,可对 网络数据安全风险评估项目清单 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:842b6de12f3c23ff708f321453bf7cc4
思维导图大纲
网络数据安全风险评估项目清单思维导图模板大纲
数据安全管理
安全管理制度
制定数据安全总体策略、方针、目标和原则
符合/见办法
建设数据全生命周期管理制度
符合/见办法
建设数据分类分级制度
不符合
建设数据安全评估等制度
部分/见办法
建设关键岗位的数据安全管理操作规程
不符合
安全组织机构
设置数据安全管理机构
部分符合/见办法/需发布“领导小组”文件
设置数据安全负责人
部分符合/同上
业务部门设置数据安全人员
部分符合/见办法/需发布“信息管理系统数据管理办法”
分类分级管理
梳理数据资产,形成数据资产清单
不确定
按照数据级别建设安全措施
不符合/不适用
建立并维护核心数据和重要数据目录
不符合/不适用
人员安全管理
数据处理关键岗位人员录用考核
不确定/是否有相关能力考核制度,需提供证书证明
签订安全责任承诺或保密协议
不确定/保密协议文件
制定数据安全培训计划
不确定/是否有培训方案及记录
建设数据合作方安全管理机制
符合/项目验收文件中保密条款
通过合同协议等方式对接收、使用本单位数据的合作方的数据使用行为进行约束
符合/项目验收文件中保密条款
对合作方接入的系统、使用的技术工具进行技术检测
符合/项目验收文件中保密条款
安全威胁和应急管理
处置网络安全或数据安全事件
符合/近三年无发生该类事件(支撑材料)
发现安全威胁、违规行为并统计频次
符合/漏扫报告(每季度一次)
开发运维管理
新应用开发审核机制
符合
开发测试数据去标识化、脱敏处理
符合
产品或业务上线前进行安全评估
符合/漏扫报告
云数据安全
划分并落实安全责任
不适用/无云数据
对上云数据、操作行为、账号进行安全审核和管理
不适用/无云数据
数据处理活动
数据收集
数据收集合法、正当
符合/办法
对数据采集人员严格管理
符合/办法
按照最小必要原则获取数据
符合/办法
数据存储
建设落实数据存储安全策略
不符合
落实数据库的帐号权限管理
符合/截图
实施限制数据库操作行为的安全管理措施
符合/截图
数据传输
建设落实数据传输安全策略
不符合
对敏感个人信息和重要数据做传输加密
符合/截图
对数据传输接收做记录和安全审计
符合/截图
数据使用和加工
建设落实数据使用加工安全策略
部分符合/办法
建设数据导出安全评估和授权审批流程
不符合/无流程
建设导入导出审计策略和日志管理机制
符合/数据监控大屏截图
加工使用过程中,采取数据脱敏、水印溯源、数据防泄漏等安全保护措施
部分符合/截图
落实访问与操作行为的最小化授权,访问控制、审批等管理措施
不确定
数据提供
建设落实数据提供安全策略
部分符合/办法
对外提供的敏感数据进行加密
符合/截图
对所提供数据及数据提供过程做监控审计
符合/截图
对外提供数据时,采取签名、添加水印、脱敏等安全措施
符合/截图
涉及数据出境的,按照有关规定,开展数据出境安全评估、个人信息保护认证、个人信息出境标准合同签订。
不适用
数据公开
对公开的数据进行脱敏处理
不确定
建设落实数据公开的安全制度
不符合
明确数据公开的条件、批准程序
不符合
数据公开前进行安全评估,事前评估数据公开条件、环境、权限、内容等风险。
不符合
以上内容需制定“信息公开管理办法”及制作信息公开申请表
数据删除
建设落实数据删除流程
不符合
明确数据删除安全策略
不符合
明确数据存储期限
不符合
以上需要发布和添加附件涉密和内部资料数据集中销毁的公告及文件
数据安全技术
网络安全防护
网络拓扑结构清晰
符合/网络拓扑图
确保网络隔离边界防护措施有效
符合/网络拓扑图
落实安全漏洞的发现及常见漏洞修复
部分符合/配置截图(网络设备)
第三方组件进行安全核查、修复、更新
部分符合/网络设备扫描
处理重要数据、核心数据的信息系统
符合/等保证明
身份鉴别与访问控制
建立身份鉴别机制
部分符合/密码策略
采用口令技术、密码技术等组合的鉴别技术
符合/截图
登陆失败时,采取结束会话,限制非法登陆次数建立访问控制机制
符合/配置截图
建立与数据类别级别相适应的访问数据范围
符合/不同业务数据库不同登陆密码,截图
建立落实数据权限审批流程,明确用户账号分配、开通、适用变更、注销等安全保障要求
符合/截图
落实系统管理员、安全管理员、安全审计员等角色分离设置并管理权限
符合/截图
监测预警
建设落实安全监测预警机制
符合/截图
建设异常行为监测指标
部分符合/截图
对敏感数据操作进行安全监控和分析
部分符合/截图
数据脱敏
明确数据脱敏规则
符合/截图
保存需要进行数据脱敏处理的应用场景
不符合
数据防泄漏
部署数据防泄漏工具,对网络、邮件、终端等关键环节进行监控
不确定/网络设备是否有检测
数据接口安全
落实数据接口的接口认证鉴权
部分符合
设置接口安全控制策略
不适用/无接口
对接口访问做日志记录,同时对接口异常事件进行警告通知
不适用/无接口
公共数据共享接口使用方不得对接口进行二次封装,并提供到申请应用场景以外场景使用。
不适用/无接口
调用接口的应用是否有必要的鉴权机制,并定期进行渗透测试,以避免水平越权和未授权访问等安全风险
不适用/无接口
数据备份恢复
落实数据备份恢复策略
符合/截图
提供本地或异地数据灾备功能
符合/截图
安全审计
对数据访问权限、特权用户等进行定期审计
部分符合/截图
对数据授权、访问、收集等重点环节进行日志流程管理
不符合
网络日志保存6个月以上
符合
个人信息保护
个人信息处理基本原则
个人信息处理遵守合法、诚信原则
不确定/目前有人脸采集公告
个人信息处理遵守正当、必要原则
不确定/目前有人脸采集公告
个人信息告知
公开个人信息处理规则
个人信息处理规则应告知个人信息的处理目的
个人信息同意
处理个人信息前取得个人同意
提供便捷的撤回同意的方式
敏感个人信息处理
确保敏感个人信息处理具有特定的目的
所收集的个人图像身份识别信息仅用于维护公共安全
个人信息安全义务
建设落实个人信息保护内部管理制度
采取加密、去标识化等安全技术
制定个人信息安全事件应急预案
需查找及增加的文件 (规章制度)
1修订“数据安全管理办法”
2制订“信息系统数据管理办法”.
3查找“湖州职业技术学院网络与信息安全应急预案a”.
4查找“网络与信息安全管理办法”
5.制订“数据分级分类管理规范”
6.制订“数据资产梳理管理办法”
7.制订“数据流通安全管理办法”
不确定/目前有人脸采集公告思维导图模板大纲
相关思维导图模板
树图思维导图提供 要点分析 在线思维导图免费制作,点击“编辑”按钮,可对 要点分析 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:02878b1d67f4303ac824ce79f9fa6031
树图思维导图提供 管理员巡检养户生物安全思维导图 在线思维导图免费制作,点击“编辑”按钮,可对 管理员巡检养户生物安全思维导图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:0b0f467fca76651d98246bf86c113742
沪公网安备 31011502019485号
上海工商