是否印发数据安全责任制度
是否明确接收用户投诉和举报处理机制,包括渠道,负责人,联系方式等关键信息
是否设置数据库管理员、操作员及安全审计人员、安全运维人员等数据安全关键岗位
是否制定覆盖数据生存周期、个人信息保护、数据跨境相关的安全规范
是否制度《数据安全应急响应管理制度》
明确组织结构和职责、预防和预警机制、事件分级和分类、应急处置和保障措施等。
制度中是否明确要求出现数据安全事件时,向网信部门和有关部门及时报告数据安全保护和事件处置的方式、时间、处置报告流程等相关细则,及时处理和应对安全威胁
本单位是否存在重要数据类别
是否定期开展风险评估工作
是否定期向主管部门或监管部门,上报本单位数据安全风险评估报告
数据安全风险评估报告中是否包含处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等
是否对数据处理关键岗位人员的数据安全意识或者专业能力进行考核
是否按照国家、行业和地方的数据分类分级规范要求,建立数据资产分类分级制度、规程、操作指南
数据安全管理制度中是否明确了数据分类管理、分级保护策略,数据访问权限申请、保护措施部署中是否落实了数据分类分级保护措施。
是否建立数据资产清单
是否通过数据资产管理等工具对数据资产清单及时更新、维护
是否定期的采用技术手段对数据资产进行再次扫描,及发现识别个人信息、重要数据
是否建立分类分级策略
是否按照策略开展数据分类分级标识和管理工作
是否按照数据级别建设覆盖全流程数据处理活动的安全措施
在人员转岗时,是否落实了数据权限的收回、终止等管理措施
是否加强合作方接入系统或使用工具的安全审核
是否对合作方接入的系统、使用的技 术工具进行了技术检测,避免引入木马、后门等
采取合同约束等方式,明确合作方数据使用用途、处理目的、方式、范围,安全保护责任、数据返还或删除要求、保密约定及违约责任和处罚条款等
合作方人员对数据与系统的访问、修改权限是否限于最小必要范围
合作方人员是否具备数据导出操作或数据外发操作权限。
对合作方人员数据导出操作或数据外发操作是否具备监督管理。
合作方人员是否可以远程访问操作系统或数据
远程运维的审批、管理和安全防护措施是否按照相关要求进行规范
本单位是否面向社会提供服务
是否以显著方式、清晰易懂的语言真实、准确、完整地公开个人信息处理规则
是否公开个人信息保护负责人的联系方式
是否将个人信息保护负责人的姓名、联系方式等报送网信部门
是否存在第三方数据收集
是否通过合同协议等合法方式,约定从外部机构收集的数据范围、收集方式、使用目的和授权同意
是否涉及个人信息收集
是否明确个人信息收集的目的、方式和范围,并经被收集者同意
个人信息处理活动应具备《个人信息保护法》规定的合法性事由
是否建立了数据使用正当性的管理制度
如建立,数据使用正当性管理制度能否保证数据在数据清洗、转换、建模、分析、挖掘等加工过程中可以得到保护
对数据的保护中是否会注重对个人信息和重要数据进行保护
是否存在委托加工数据
存在委托加工数据,是否明确约定了受托方的安全保护义务
是否建立了建设、落实存储介质销毁的管理制度和审批机制
介质销毁是否有相应策略和操作规程
如有相应策略和操作规程,相应策略和操作规程中是否明确各类介质的销毁流程、方式和要求
是否依据存储内容重要性、存储介质使用寿命,明确存储介质销毁方法
是否建立数据权限授权审批制度
制度中是否明确用户账号分配、开通、使用、变更、注销等安全保障要求
对数据批量复制、下载、导出、修改、删除等数据敏感操作是否采取多人审批授权或操作监督
是否建立了数据脱敏制度、流程和方法来指导数据脱敏操作
