数据安全评估服务质量管理体系思维导图

思维导图大纲

数据安全评估服务质量管理体系思维导图模板大纲

数据安全评估服务管理手册

数据安全风险评估管理程序

人员职责

明确责任部门、责任范围、责任人、工作流程、及其他部门的统筹协调等，做好日常保密、宣传教育、风险排查、自查检查等各项任务

评估准备

编制评估计划或方案，明确评估目标、范围、评估方式、投入资源、时间进度等，并需要得到评估方的认可

调研表模板

评估方案

信息调研

数据处理者调研、业务和信息系统调研、数据资产调研、数据处理活动调研、安全措施调研

调研表

处理者基本情况

业务清单

信息系统清单

数据资产清单

数据处理活动清单

数据流图

安全措施情况

风险识别

风险分析与评价

评估总结

整改后再评估

安全保密制度

保密

评估任务开始前，应给出面向被评估方的保密承诺条款;

其他用于防范评估过程数据泄露的安全管理制度和技术措施。

数据和档案管理程序

机构内部指定统一归档部门，其它任何部门、个人不得留存评估报告和数据安全评估有关原始材料;

应统一归档评估报告和过程材料，过程材料包括但不限于接收数据、资料的记录，关键人员沟通访谈的记录，漏洞、安全事件有关的原始数据等，并建立加密、访问控制、审计相关机制和技术措施;

评估任务结束后，应按被评估方或合同、协议等的要求，进行数据的脱敏、移交、清理、销毁等处置;被评估方对处理情况提出核验或审计的，应予以充分配合;

不得自行公开评估报告及评估过程材料，不得向评估授权方以外的任何组织和个人提供评估报告及评估过程材料，国家法律法规规定的除外;

应留存评估结论相关证明材料以及对应的数据处理活动状态和时间记录5年以上，用于复核验证。

应能对评估依据的法律法规、标准规范进行公示;

应确保评估结论可追溯、复现;

评估人员管理程序

建立并保存评估人员的人员档案,档案至少保存至评估人员离职后5年,有关法律法规、行业管理另有规定的除外，并与评估人员单独签订安全保密协议;

应定期对评估人员开展岗位忠诚度心理测试、普法宣传、警示教育、安全保密教育培训、职业技能培训等，确保人员安全，提高评估人员安全保密意识;

评估人员应在确认评估过程材料已完成归档且评估报告已发布的前提下，清除评估过程材料。

培训程序

数据安全评估机构应持续开展对评估人员的培训，培训内容应包括但不限于政策法规及标准规范实践经验、评估案例、工具使用等内容，培训方式可采用内训、外训相结合的方式，数据安全评估人员每年培训时间应不少于20学时。

变更管理程序

建立变更管理制度，变更前与被评估方就具体事项主动沟通，经被评估方同意后，确保变更以受控的方式得到评估、批准和实施;变更后对评估目标、质量和效率、被评估方信息系统和业务造成影响的，应进行针对性的改进、补救或恢复;

数据安全评估质量管理程序

评估方案管评估

采用专家评审或审核方式，重点审核明确被评估对象的数据处理活动范围，及拟投入的相关资源、评估实施周期等内容是否适当等。

评估报告审查

采用专家评审或内部审核方式，重点审核评估报告的科学性、完整性，评估过程证明材料的充分性、真实性，以及评估结论的客观性、准确性，通过审核的评估报告才可提供给被评估方

日常监督制度

评估实施日常监督制度，记录并监督评估现场工作情况，包括进出评估现场的设备使用及材料调阅情况、事前告知情况以及其他评估实施情况

不允许外包制度

采取管理措施，限定数据安全评估活动仅于本机构内部开展，原则上不允许委托本机构外其他机构实施，国家监管部门或行业主管部门有规定或要求的除外:

项目沟通和应急处置机制

应符合GB/T32914-XXXX中5.3.3c)中有关要求

风险控制

数据安全评估机构应在评估实施前分析评估活动的潜在风险,制定应对措施并确认其有效性，对可能产生的风险、应对措施向被评估方进行风险提示，经其同意后采取影响最小的方式实施，潜在风险句括但不限于:

a)评估机构因不可抗力导致的任务逾期、被评估方提供的材料不全导致评估结果不准确等方面的风险;

b)评估活动可能对数据处理活动正常运行造成影响的风险，以及评估设备或工具接入可能对被评估系统正常运行造成影响的风险;

c)其他可能危害被评估的数据处理者、被评估的数据处理活动相关数据主体的风险。

数据安全评估机构应针对评估活动可能存在的风险实施对应的管理和技术措施加以控制:管理措施包括但不限于安全操作和意识培训、完善和宣贯安全操作规程等;a)技术措施包括但不限于对评估报告及有关证据性的访问日志审计、评估报告及有关证据性材b)料的加密措施等。

投诉处理

数据安全评估机构应制定投诉及争议处理制度，严格遵守申诉、投诉及争议处理制度，并应记录采取的措施。

持续优化

数据安全评估机构应建立持续优化机制，确定改进措施和计划，持续改进管理体系的适宜性、充分性和有效性。持续完善数据安全评估活动有关管理机制、操作手册、技术方法，总结形成技术指导书。持续跟踪国内外数据处理及数据安全评估相关技术发展，持续优化提升评估机构自身管理措施和技术能力。

评估活动自查机制

建立执行评估活动定期自查机制，对评估项目、人员、设备场所及安全保密管理等进行自查，自查周期不低于每年一次,发现问题隐患及时整改,并留存相关记录,自查内容包括但不限于:评估项目完成情况、评估报告完成、存放及管理情况、评估人员背景及行为规范情况、评估设备管理和使用情况、评估场所环境安全情况、评估实施安全管理情况等;

上报制度

建立上报制度，评估过程或评估机构内部管理中发现网络安全事件、安全漏洞时，应按合同或协议要求及时向被评估方报告，并记录事件相关内容，根据相关国家规定、标准要求进行报告和协助处置。

工具使用管理程序

评估设备和工具需要定期核查、持续更新，确保工具的合法版权且授权在有效期内，运行状态良好，关注工具及其组件的安全漏洞公告和相关信息，及时更新维护:在评估活动结束、完成归档后，应对评估设备和工具产生的数据安全评估活动相关的日志、记e录进行清除;

具有完备的设备和工具管理制度。对设备档案和标识管理，以及故障设备和工具管理有明确要求。对评估设备和工具统一登记、统一标识，标识完整、摆放合理，具有配套防护措施，对于有故障的设备和工具应通过加盖明显标识进行区分，并采取有效措施防止继续使用;

设备具有完整的工作维护规程、设备使用说明书、校准或确认报告使用记录、定期维修核查制度和记录，存放地点及保管人等信息规范完整;

对人员、工具等资源进行调配,根据被评估方需要以书面承诺等方式向被评估方说明资源配置、h)保障情况。

评估活动行为准则

数据安全评估机构应制定评估活动行为准则，不得从事的活动内容包括但不限于: 影响被评估对象正常运行，存在危害信息安全、数据安全等的行为，危害被评估对象安全; a)未与被评估对象对评估工作期间的保密工作进行充分协商，未制定切实方案,造成泄露知悉的被评估对象及被评估对象的国家秘密、商业秘密、工作秘密; 故意隐瞒评估过程中发现的安全问题,或者在评估过程中弄虚作假,未如实出具数据安全评估报告;

非授权占有、使用数据安全评估相关资料及数据文件;限定被评估对象购买、使用其指定的相关产品或服务; 对系统或数据的操作超出合同、协议及被评估方等约定的范围: 其他危害国家安全、社会秩序、公共利益以及损害个人、组织合法权益的活动。