数据安全风险评估报告（对标网络数据安全风险评估实施指引）.docx

数据安全风险评估报告评估单位：评估系统：时 间:4. 2. 4数据使用和加工4. 2. 5数据提供4. 2. 6数据公开4. 2. 7数据删除4. 3数据安全技术风险4. 3. 1网络安全防护4. 3. 2身份鉴别与访问控制4. 3. 3监测预警4. 3. 4数据脱敏4. 3. 5数据防泄漏数据接口安全4. 3. 7数据备份恢复4. 3. 8安全审计4. 4个人信息保护风险4. 4.1个人信息处理基本原则4. 4. 2个人信息告知4. 4. 3个人信息同意4. 4. 4个人信息处理4. 4. 5敏感个人信息处理4. 4. 6个人信息主体权利4. 4. 7个人信息安全义务4. 4. 9个人信息保护五、综合分析数据安全风险分析，主要在数据安全风险识别的基础上，分析数据、数据处 理活动、数据安全风险源、数据安全措施之间的关系，并从影响数据保密性、完 整性、可用性和数据处理合理性角度分析各项风险源或问题可能带来的数据安全 风险，形成初步的数据安全风险清单。初步风险清单，至少应针对各项风险源或 问题，列出风险类别、风险源或问题描述、风险描述、己采取的安全措施、涉及 的数据、涉及的数据处理活动、评估情况描述等内容。5.1风险问题清单序风险风险源风险采取的安全措 施风险风险危风险发生涉及 的数 据涉及的数 据处理活 动评估情号类别或问题描述等级害程度的可能性况描述数据存在非1安全 活动法方式 获取数XxxxX无重大很高高个人 信息收集、存 储风险据5. 2风险整改建议评估人员结合实际情况，对发现的数据安全风险提出处置建议，酌情指导数据处理者整改。数据处理者按照组织的风险接受规则，制定相应的数据安全风险 处置方案。常见数据安全风险处置措施包括不限于以下选项：a）停止收集某些类型的数据；b）预处理阶段对某些类型数据进行销毁；c）缩小处理范围；d）减少存储期；e）采取额外的技术措施；f）加强对应数据处理活动岗位人员培训；g）匿名化、去标识化；h）完善管理制度；i）采用其他数据处理技术；j）补充签署协议（针对数据转移）；k）修订隐私条款。6. 3残余风险分析根据数据处理者决定的风险处置措施，本次XX系统评估所有风险点均可接受，不存在不可接受风险点。/本次评估，存在不可接受风险点，风险情况如下:序 号风 险 类别风险 源或 问题风 险描述采取 的安 全措施风险 等级风险 危害 程度风险发生 的可能性涉及 的数据涉及的数 据处理活 动评估情 况描述处置建议1数存在Xx无重很高高个人收集、存据非法XX大信息储安方式X全获取活数据动风险六、风险处置核查未发现安全风险。七、评估总结本次评估未发现安全风险，综上数据安全风险评估结果及整改复查情况，相 关重要数据处理活动整体数据安全风险为中，数据处理活动安全风险基本可管可 控。在机构人员、日志留存、权限管理、安全审计、风险监测、合作方管理、应 急响应、举报投诉处理、教育培训、数据识别、数据脱敏、操作审计、数据防泄 露、接口安全管理、数据采集、数据使用、数据开放共享、数据销毁等方面合规性较为完善，整体系统风险可管可控。八、评估结果确认测评单位对本次评估结果与受评单位各相关人员进行了复核，所有评估内容 符合实际情况。确认人姓名联系方式单位/部门签名一、评估摘要为履行网络安全法、数据安全法、个人信息保护法关于数据安 全管理的要求，确保企业数据安全管理工作合法合规，依据网络安全标准实践 指南-网络数据安全风险评估实施指引通过访谈、检查、测试等方式，对本系 统涉及的数据处理活动开展了安全风险评估工作。评估发现本系统涉及的数据处理活动，处理数据的目的、范围、方式均合法、 正当、必要；综合分析数据安全事件发生的可能性等级以及对国家、经济、网络、 社会、科技安全影响程度两个方面的因数，研判得出本系统涉及的数据处理活动 安全风险等级为：低风险。批注1:需依据总体修改本系统涉及数据处理活动的网络环境和技术措施、管理制度和处理流程、参 与人员和第三方管理、业务特点和安全态势目前均处于可控状态，可有效降低重 要数据泄露、损毁等风险。但在未部署数据防泄漏系统方面仍存在不足，尚需进 一步改进。二、评估概述2.1评估背景近年来数据泄露事件频发，危害公民权益和生命财产安全，更对国家安全、 社会经济和公共秩序造成严重影响。批注2:检查单位名称批注3:检查要求批注4:涉及领域针对数据安全，国家“十四五”规划强调保障国家数据安全加强个人信息保 护，建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范， 推动数据资源开发利用。在法律法规方面国家已出台网络安全法、数据安 全法、个人信息保护法等一系列法律法规。同时为确保数据安全工作落实 到位，I工信部I在省级基础电信企业网络与信息安全工作考核要点与评分标准 对电信领域企业数据安全管提出了监管要求。批注5:检查单位名称为履行网络安全法、数据安全法、个人信息保护法要求的社会 责任，进一步加强数据安全管理工作，提高数据安全保护水平，确保企业数据安 全管理工作合法合规，根据工信部监管要求以及网络安全标准实践指南-网络 数据安全风险评估实施指引，特组织开展了本次数据安全风险评估工作。2.2评估目的本次评估旨在通过系统地识别、分析、评估数据安全风险，以发现数据安全 隐患、防范数据泄露、滥用、丢失等安全事件的可能性，保护数据的机密性、完 整性和可用性，保障数据的安全和稳定。同时，使数据安全管理更加科学化、规 范化和有效化，提高企业对数据安全风险的认知和掌控，减少数据安全风险对企 业造成的损失和影响。1）通过信息数据资产调查，得出数据资产状况，并建立数据资产库。2）通过数据安全风险评估，得到数据安全整体现状。3）根据数据安全规划，设计数据安全解决方案，实施方案等，指导下一步 安全建设工作。2. 3评估方法开展数据安全风险评估时，综合采取下列手段进行评估：a）人员访谈：对相关人员进行访谈，核查制度规章、防护措施、安全责任落实情况；b）文档查验：查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料；c）安全核查：核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况；d）技术测试：应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。2.4评估团队本次数据安全风险评估团队主要由专业第三方数据安全公司、被测单位数据安全负责人、数据相关系统管理人员等组成。姓名单位/部门职务职责分工评估准备阶段：向XXX有限公司收集系统相关信息，了解系统基本情况，收 集系统相关管理制度资料文档，确认数据资产分布情况、数据处理活动范围、已有安全防护措施。评估实施阶段：评估人员对系统相关人员进行了现场调研，通过人员访谈、 系统查看、评测验证等多种方式对系统的数据安全风险保障能力进行了核实验证。评估总结阶段：针对系统数据安全管理及保障措施，提出系统后续发展中管 理及技术保障能力改进方向及重点，并与企业相关部门人员召开会议进行确认， 对评估结果达成了一致意见。整改复查阶段：根据已检查到的数据安全风险，形成数据风险清单，与企业 数据安全责任人核实复查整改情况，依据数据处理者决定的风险处置措施，结合 风险识别和评估方法，预判措施有效性和残余风险，形成记录。2. 6评估依据本次为XX单位提供的数据安全风险评估，参考的安全相关标准如下： 中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法 信息安全技术个人信息安全规范GB/T 35273-2020 网络安全等级保护基本要求GB/T 22239-2019 网络安全标准实践指南-网络数据安全风险评估实施指引征求意见稿 / 1批注：行标、集团要求、三、准备阶段 .1数据处理者调研3.1.1 单位基本信息类别内容单位名称单位性质单位人员规模法定代表人信息主营业务范围组织机构代码所属行业领域单位地址是否(计划)境外上市3.1.2 数据处理基本信息类别内容数据安全负责人及职务联系方式企业是否属于特定类型数据 处理者开展数据处理活动所在行政 区划数据处理相关服务取得行政 许可情况对国家安全、公共利益、公 民和组织合法权益的影响股权结构和实际控制人信息批注7:该处可删除批注8:应包含内容：(1)系统名称(2)网络规模(3)拓扑结构(4)对外情况(5)系统功能概述(6)对外连接、运营维护等情况(7)是否为关键信息基础设XX公司为XX公司控制全股，持股比例100%。(1)股权结构：(2)实际控制人信息：3. 2业务与信息系统调研3.1.1 网络和信息系统基本情况3. 2. 2业务基本信息批注9:应包含内容:(1)业务描述(2)业务类型(3)服务对象(4)业务流程(5)用户规模(6)覆盖地域3. 2. 3业务提供政府或境外情况批注10:应包含内容：接入的外部第三方产品、服务或SDK的情况包括名称、版本、提供方、使用目的、合同协议等3. 3数据资产调研数据资产概况3. 3. 2数据分类分级情况3. 3. 3个人信息情况批注in：叙述分类分级情况、是否符合国家标准和行 业管理规范等数据项名称数据总量数据资产类型数据库表字段规模数据量变化情况境外存 储量数据分布个人信息名称数据规模数据敏感程度数据来源业务流转情况3. 3. 4重要数据情况重要数据项名称数据规模涉及行业领域数据敏感程度数据来源业务流转情况核心数据项名称数据规模涉及行业领域数据敏感程度数据来源业务流转情况3. 4数据处理活动调研数据收集情况数据收集渠道收集方式数据范围收集目的收集频率外部数据源合同协议3. 4. 2数据存储情况数据存储方式数据中心存储系统（如 数据库、大数 据平台、云存 储、网盘、存 储介质等）外部存储机构存储地点存储期限备份冗余策略3 . 4. 3数据传输情况数据传输途径和方式传输协仪内部数据共享情况数据接口4 .4.4数据使用和加工情况数据使用目的和方式数据使用范围数据使用场景数据清洗、转换、标注 等加工情况敏感数据处理情况3. 4. 5数据提供情况数据提供目的和方式数据提 供范围数据接收方合同协议提供敏感数据数量提供敏感数 据范围敏感程度数据保存期限3. 4. 6数据公开情况数据公开目的和方式公开对象范 围受众数量涉及行业涉及地域涉及组织数据删除情况数据删除情形数据删除方式数据归档情况介质销毁情况数据出境情况境外接收系统出境数据类型出境敏感数据类 型及程度出境数据量境外数据中心情 况出境数据使用情 况3. 5安全防护措施调研四、风险评估4.1 数据安全管理风险4.1.1 安全管理制度4.1.2 安全组织机构4.1.3 分类分级管理4.1.4 人员安全管理4.1.5 1.5合作外包管理4.1.6 安全应急管理4.1.7 开发运维管理4.1.8 云数据安全4. 2数据处理活动风险数据收集4. 2. 2数据存储4. 2. 3数据传输批注12:进行概述，内容包括：a）已开展的等级保护测评、商用密码应用安全性评估、 安全检测、风险评估、安全认证、合规审计情况；13b）数据安全管理机构、人员及制度情况；c）防火墙、入侵检测、入侵防御等网络安全设备及策略情况；d）网络访问控制和身份鉴别情况；e）网络安全漏洞管理及修复情况；f） VPN等远程管理软件的用户及管理情况；g）设备、系统及用户的账号口令管理情况；h）加密、脱敏、匿名化、去标识化等安全技术应用情 况；1） 3年内发生的网络和数据安全事件及处置情况