数据安全自查表

数据安全自查表

附件4

数据安全自查表

单位名称:

填报人员:

:

填写说明一、范围《数据安全自查表》是依据国家法律法规、技术标准

和地方法规文件要求制定。本表针对数据安全和个人信息保护进行自查，分为管理

类与技术类两类共计23个自查项，其中管理类自查10项，技术类自查13项。

从单位基本情况、管理制度落实情况、技术防护能力保障情况等方面进行综合评

估，确保数据在全生命周期安全可靠。

二、规范性引用文件本自查表内容参照下列文件相关要求制定。下述文件

中，标注年份、日期的文件，仅所注年份、日期的版本适用于本文件；未标注年

份、日期的文件，其最新版本适用于本文件。

《中华人民共和国网络安全法》《儿童个人信息网络保护规定》《违法违

规收集使用个人信息行为认定方法》《天津市促进大数据发展应用条例》

《天津市数据安全管理办法（暂行）》《GB/T37988-20数据安全成熟度模

型》《GB/T35273-2021个人信息安全规范》三、工作要求各相关单位应按照以

下要求开展数据安全和个人信息保护自查工作：

一是客观。针对本单位数据安全和个人信息保护面临的威胁、存在的安全风

险等客观公正地进行分析^p评价。

二是真实。各单位需认真、负责地开展数据安全和个人信息保护自查评估工

作，不得弄虚作假、隐瞒问题，自查表中填报的信息及上传的佐证材料应确保真

实、可信。

三是全面。各单位需对所属应用系统的数据资产、数据管理、数据服务、个

人隐私保护、数据出境等情况进行全面自查，不得瞒报、漏报。

第1页共7页

四是突出重点。针对各单位的重点业务，从数据生命周期、系统平台安全、

数据安全管理等方面进行深入自查。

四、自查要求党政机关、事业单位和国有企业对照管理类自查项和技术类自

查项进行自查，其他单位对照技术类自

查项进行自查。各相关单位应将数据安全和个人信息保护自查信息进行提交

并准备相关佐证材料备查。

管理类自查项序号

自查项

自查点

自查结果

1核查网络安全工作责任制落实情况访谈相关责任人,查阅佐证材料符合情

况，其中至少应包含：

1.本单位网络安全责任分工文件，明确网络安全第一责任人与直接责任人；

2.网络安全责任制建立落实情况，包括但不限于明确工作机构、对网络安全

工作在人、财、物方面的支持、组织领导网络安全保护和重大事件处置工作情况、

组织开展网络安全宣传教育等；

3.主管监管部门对本行业、本地区依法开展网络安全检查、通报、处置网络

安全事件情况；

4.网络安全责任制检查考核情况，包括但不限于考核内容、方法、程序。

□符合□部分符合□不符合□不适用2核查是否建立并落实网络安全、

数据安全等相关管理制度，框架是否合理，是否符合现有业务需求。

访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

1.网络安全、数据安全管理制度建设情况；

2.工作部署落实情况，岗位分工、组织建设是否合理明晰，相关记录是否完

善；

□符合□部分符合□不符合□不适用

3.是否将网络及数据安全工作纳入年度考核等。

3核查信息化资金投入情况及网络安全、数据安全保障资金投入占比情况。

第2页共7页

访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

1.本单位上一年度信息化资金投入总体情况和用于网络安全、数据安全的建

设、加固、整改的资金总额及占比；

2.本单位本年度信息化资金预算和用于网络安全、数据安全的建设、加固、

整改的资金预算及占比；

3.应提供相关的合同、协议、预算批复材料作为佐证；

□符合□部分符合□不符合□不适用4核查网络安全等级保护工作落实

情况。

访谈相关责任人,查阅佐证材料符合情况，其中应包含：

1.等级保护备案证明、测评报告；

2.针对等级保护测评报告提出的整改建议的实际整改落实情况。

□符合□部分符合□不符合□不适用5核查是否建立并落实密码安全管

理制度。

访谈相关责任人,查阅佐证材料符合情况，其中应包含：

1.相关系统应用以及所采用的产品是否符合国家密码管理局认证核准的密码

技术和产品；

2.定期开展密码测评工作。

□符合□部分符合□不符合□不适用

6核查是否建立并落实网络安全、数据安全应急预案。

访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

1.应急预案要点、预案手册及相关文档；

2.应急保障支撑队伍及人员；

3.应急演练文档记录等。

□符合□部分符合□不符合□不适用7核查是否建立落实个人信息保护

制度。

访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

1.个人信息保护制度应包括但不限于开展收集、保存、使用、共享、转让、

公开披露等个人信息处理活动的相关制度规范。

第3页共7页

□符合□部分符合□不符合□不适用8核查是否开展网络及数据安全、

个人信息安全的教育和培训工作。

访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

1.安全教育培训大纲；

2.培训记录（学员签到表）；

3.培训课件等。

□符合□部分符合□不符合□不适用9核查安全管理情况。

访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

1.本单位清理、停用传输工作邮件的互联网邮箱情况；

2.本单位安全管理制度；

□符合□部分符合□不符合

3.本单位政务安全邮箱的使用情况。

□不适用10核查疫情防控相关系统或应用的安全保护情况。

访谈相关责任人,查阅佐证材料符合情况，其中至少应包含：

1.相关系统收集使用个人信息获得有关部门的授权或批复文件；

2.相关数据是否与第三方进行共享交换；

3.相关数据是否用于商业用途；

4.相关系统是否针对数据安全、个人信息保护制定相关防护措施和预案。

□符合□部分符合□不符合□不适用技术类自查项

序号

评估项

评估点

自查结果

1核查是否建立并落实数据备份恢复措施。

采用人工或技术工具的方式核验:1.核查评估是否具备数据备份恢复功能；

2.核查数据备份方式。

□符合□部分符合□不符合□不适用2核查是否按规定留存日志。

采用人工或技术工具的方式核验:

第4页共7页

1.核查评估网络运行状态、操作系统日志、数据库日志、网络安全设备日志

以及相关应用的日志留存情况；

□符合□部分符合□不符合

2.相关日志是否满足留存不少于六个月要求。

□不适用3核查是否建立并落实数据安全防护技术措施采用人工或技术工

具的方式核验:

1.核查是否针对数据全生命周期采取相应防护措施或技术手段，（如数据库

审计、数据防泄漏、数据脱敏等设备类型、型号、部署位置、相关功能作用）；

2.核查是否具备数据安全访问控制的策略（控制粒度级别，库、实例、表、

行、列、字段、文件等）；

3.核查日常安全设备巡检记录情况。

□符合□部分符合□不符合□不适用4核查是否制定并落实数据分类分

级规范。

采用人工或技术工具的方式核验:

核查数据分类分级规范及实施情况；

□符合□部分符合□不符合□不适用5核查数据采集安全。

采用人工或技术工具的方式核验:1.核查相关数据采集的条数、数据类型、

总容量等；

2.是否建立数据分类分级打标或数据资产管理工具，实现对数据的分类分□

符合□部分符合□不符合

级自动标识、标识结果发布、审核等功能；

3.是否具备相关数据采集工具，工具依据统一的数据采集流程建设，且工具

能够保证组织数据采集流程一致性；

4.是否采取技术手段保证数据在采集过程中个人信息和重要数据不被泄露；

5.数据管理系统是否提供标记数据的数据类型功能，实现对各类数据的统计

和分析^p；6.是否利用技术工具对关键数据进行数据质量管理和监控；

第5页共7页

□不适用6核查数据传输安全采用人工或技术工具的方式核验:1.是否利

用技术工具对传输通道两端进行主体身份鉴别和认证，是否对数据传输通道进行加

密；

2.是否对关键的网络传输链路、网络设备节点实行冗余建设；

3.是否部署相关设备对网络可用性及数据泄露风险进行防范；。

□符合□部分符合□不符合□不适用7核查数据存储安全采用人工或技

术工具的方式核验:1.核查是否对存储媒体性能进行监控，包括使用历史、性能指

标、安全阈□符合□部分符合

值告警等；

2.核查是否采用技术工具对逻辑存储系统进行配置扫描、身份鉴别、访问控

制等安全管理工作；

□不符合□不适用8核查数据处理安全采用人工或技术工具的方式核验:

1.是否实现对核心业务的数据进行敏感字段屏蔽或脱敏处理；

2．数据在使用过程中是否建立数据访问控制机制，实现身份鉴别、安全配置

等，限定用户可访问数据范围；

3.是否完整记录数据使用过程的操作日志；

4．是否记录数据导入导出行为，确保数据导入导出行为可追溯；

□符合□部分符合□不符合□不适用9核查数据交换安全采用人工或技

术工具的方式核验:1.是否针对共享数据及数据共享过程进行监控审计，是否明确

共享数据格式规范；

2.是否建立数据发布系统，实现公开数据登记、用户注册等发布数据和发布

组件的验证；

3.是否采用技术工具实现对数据接口调用的身份鉴别和访问控制；

□符合□部分符合□不符合□不适用

10核查数据销毁安全采用人工或技术工具的方式核验:1.是否采用技术工

具对核心业务存储媒体的数据内容进行擦除销毁；

2.是否针对网络存储数据，建立硬销毁和软销毁的数据销毁方法和技术；

第6页共7页

3.是否配置必要的数据销毁技术手段与管控措施，确保以不可逆方式销毁敏

感数据及其副本内容；

4.核查是否建立并执行数据销毁制度、流程、规范，是否在第三方监督的情

况下开展数据销毁工作，并做好销毁记录；

□符合□部分符合□不符合□不适用11核查数据出境安全采用人工或

技术工具的方式核验:1.核查数据存储位置，数据使用范围是否存在数据跨境传输

的情况；

2.核查数据出境的必要性和合法性，如必要的应明确数据出境的数量、范

围、类型、敏感程度及授权等，对重要数据等敏感字段出境是否采用脱敏等方式进

行处理。

□符合□部分符合□不符合□不适用12个人信息安全保护采用人工或

技术工具的方式核验:1.核查是否存在未经授权或同意收集使用个人信息；

2.核查是否公开收集使用规则；

□符合□部分符合□不符合

3.核查是否明示收集使用个人信息目的的、方式和范围；

4.核查是否违反必要原则，收集与其提供的服务无关的个人信息5.核查是否

未经同意向他人提供个人信息；

6.核查是否未按法律规定提供删除或更正个人信息功能、或未公布投诉、举

报方式等信息；

7.核查是否未按照法律法规的规定采取管理和技术防护措施，存在个人信息

被窃取、被泄露的风险。

□不适用13儿童个人信息安全保护采用人工或技术工具的方式核验:1.对

涉及儿童信息的相关保护在遵守个人信息保护的基础上是否加强对涉及儿童信息的

独立保护声明，制定并落实相关独立保护制度和保护措施；

2.对收集使用儿童信息的是否遵循最小授权原则，严格设定信息访问权限，

委托第三方处理儿童信息的是否签订委托协议并进行安全评估。

□符合□部分符合□不符合□不适用

第7页共7页