公共数据安全现状调查问卷

*
单位名称:
填写人:
联系方式:
说明:本次调研的目的是了解各单位的数据安全防护能力现状,填写过程可参照本单位数据安全能力最强的系统情况进行如实填写。
问卷多为判断和选择题,判断题仅有三个选项,“是”、“否”和“其他说明”,若只符合条款部分内容或条款内容不能完全反映单位现状的请在“其他说明”中做简要描述。选择题均为多选,有遗漏的请在“其他说明”中做补充。
一、通用要求
1.1 组织管理
* 1) 是否建立了本单位数据安全领导小组,并由单位主要负责人担任组长,相关处室主要负责人和电子政务管理部门负责人担任组员,负责本单位数据安全方针、目标和策略的制定?
* 2) 是否建立了本单位负责公共数据安全管理的部门机构(可以与负责网络信息安全的部门为同一个部门,但赋予了数据安全管理职责)?
* 3) 是否定期召开信息化安全会议,明确本单位当前公共数据安全建设的目标和要点,讨论存在的安全隐患和解决办法?
* 4) 各主要业务部门是否有人员负责具体业务环节的数据安全管理工作?
* 5) 是否建立了单位内部负责监督审计职能的部门(若通过外部服务实现请在其他说明里填写),对本单位的数据安全工作进行监督管理?
* 6) 是否建立了数据安全岗位责任制,明确公共数据管理相关的岗位人员和职责?
1.2 人员管理
* 1) 是否具有员工入职、转岗、离职的人力资源制度流程?
* 2) 人事变动时是否能将人员的变更通知到单位各部门并及时调整人员变化所涉及的账号权限的赋权、更改和回收
* 3) 请根据本单位目前政务系统数据安全岗位情况选择符合自身情况的选项
* 4) 对能接触个人信息、重要数据的人员采取了哪些管控措施?
* 5) 是否建立离任审计机制,对关键人员的离任进行审查,对其在任期中的行为进行评估。
* 6) 对于本单位开展的公共数据安全相关培训,符合
1.3 数据资产管理及分类分级
* 1) 是否建立了数据资产登记机制,形成整体的数据资产清单,明确数据资产安全责任主体及相关方,并及时更新数据资产相关信息?
* 2) 请选择本单位目前已经建立的数据资产管控措施
* 3) 是否结合具体业务场景和数据敏感度建立了本单位的数据分类分级规范,对数据进行分类和分级?
* 4) 是否根据分类分级情况按照不同安全等级建立相应的控制措施?
1.4 数据防泄漏
* 1) 是否建立了本单位数据防泄露规范,明确需要进行数据泄露防护处理的应用场景和处理方法?
* 2) 是否采用了技术措施或技术产品来进行数据泄露防护?
1.5 终端数据管理
* 1) 是否制订面向终端的数据安全管理规范,明确终端层面的数据安全管理要求?
* 2) 是否针对接入内部网络环境的终端设备分配终端识别号,并将终端与用户进行一对一绑定?
* 3) 请选择本单位所部署的终端管理类软件类型
1.6 合规风控
* 1) 每年度是否邀请具备风险评估资质的安全公司开展专业的风险评估工作,是否对评估发现的安全风险进行整改?
* 2) 每年度是否按规定进行了等保测评工作,测评检查发现未达到安全保护等级要求的,是否按时完成整改
* 3) 是否建立了公共数据安全事件应急预案,明确了应急处置的组织人员和职责、应急处置程序和措施
* 4) 是否定期开展政务信息系统及数据安全检查和应急演练工作
* 5) 在重大节日及敏感期间是否按照要求加强值班和巡检
* 6) 请列举本行业需要遵循的法律法规和规章制度:
1、 网络安全法 2、网络安全等级保护制度
* 7) 若本单位是行业监管单位(例如公安、网信、电子政务办等),请补充本单位所下发的关于数据安全相关的要求和规范
1.7 运维管理
* 1) 针对管理员的日常运维管理采取了哪些安全措施?
* 2) 如果对密钥进行安全管理?
二. 数据共享使用各个阶段安全要求
2.1 数据产生/采集安全
2.1.1 数据收集和获取
* 1) 是否建立了数据收集和获取操作规程,规范数据收集和获取渠道、数据格式、流程和方式?
* 2) 是否采取了必要的技术手段保证数据收集和获取过程中个人信息和重要数据不被泄露?并简述采取的措施。
* 3) 是否对数据收集和获取过程进行了记录并可以溯源?
2.1.2 数据质量监控
* 1) 是否具有数据采集质量管理控制策略和规范,例如对数据标准化格式的要求、数据完整性要求、数据质量要素,以及对异常事件处理的流程和操作规范?
* 2) 是否根据质量管理策略,建立了数据采集过程中质量监控规则,确数据质量监控范围及监控方式?
* 3) 是否采用技术手段或工具对数据质量进行监控,从而实现异常数据的及时更正?
2.2 数据传输安全
* 1) 是否划分需要进行传输加密的业务场景,且对个人信息和重要数据的加密传输?
* 2) 是否对数据传输安全策略的变更进行记录和审计,如通道安全策略配置、密码算法配置、密钥管理配置等操作进行日志记录和审计?
* 3) 针对关键的数据传输通道,是否部署了传输通道加密方案(VPN、TLS/SSL等均可)?
* 4) 重要的数据传输通道是否具有冗余机制,保障数据传输的可靠性和网络传输服务可用性?
2.3 数据存储安全
2.3.1 存储介质安全
* 1) 是否建立了存储介质访问和使用安全管理规范,如存储介质的存放、使用、销毁、报废、标签管理等。
* 2) 是否对存储介质的访问和使用行为进行记录和审计。
2.3.2 逻辑存储安全
* 1) 建立了哪些数据存储系统(如数据库、文件存储系统等)的安全配置规则?
* 2) 是否采用符合国家认定的密码算法对高敏感数据进行加密存储?
* 3) 是否具备对存储数据的完整性验证机制?
2.3.3 数据备份与恢复
* 1) 是否建立数据备份与恢复策略以及操作规章制度?
* 2) 是否建立统一技术工具,保证相关备份恢复工作的自动化执行?
* 3) 是否定期对备份数据的有效性进行验证?
* 4) 采用了以下哪些数据备份恢复技术措施?
2.4 数据处理安全
2.4.1 数据脱敏
* 1) 是否建立了数据脱敏规范,在规范中明确需要脱敏的数据资产脱敏场景,给出不同分类分级数据的脱敏处理流程,以及数据脱敏的需求、规则和方式?
* 2) 是否具有数据脱敏的工具或服务组件等进行对数据脱敏?
* 3) 是否对数据脱敏处理过程相应的操作进行记录,以满足数据脱敏处理安全审计要求?
2.4.2 数据分析安全
* 1) 是否对数据分析结果进行二次风险评估机制(技术和人工都可以),确保衍生数据不超过原始数据的授权范围和安全使用要求?
* 2) 是否利用多源数据进行大数据分析的过程进行日志记录,以备对分析结果质量、真实性和合规性进行数据溯源?
2.4.3 数据正当使用
* 1) 是否建立了整体的数据使用管理制度,规定数据使用过程当中所需要遵循的要求和责任?
* 2) 是否依据数据使用目的建立相应强度或粒度的访问控制机制,限定用户可访问数据范围?
* 3) 是否对数据使用操作进行记录和审计,以备对违规使用数据人员的识别和追责?
2.5 数据交换安全
2.5.1 数据导入导出安全
* 1) 是否建立了数据导入导出的安全制度规范?
* 2) 是否建立了规范的数据导入导出的安全审核和授权流程?
* 3) 是否对数据导入导出过程采取了监督和记录
2.5.2 数据共享安全
* 1) 是否建立了本单位数据共享管理规范,明确了本单位可共享的数据内容、数据类型、共享方式和共享使用范围?
* 2) 是否建立了规范的数据共享审核流程,确保共享的数据未超出授权范围?
* 3) 在数据共享过程中采取了哪些安全技术措施
2.5.3 数据发布安全
* 1) 是否建立了本单位数据发布管理规范,明确了数据发布的流程和审核机制?
* 2) 是否定期对已发布的数据进行审核,确保其不含有非公开数据和敏感数据?
2.5.4 数据接口安全
* 1) 针对公共数据调用接口,本单位采用哪些技术手段进行保障
2.6 数据销毁安全
2.6.1 数据销毁处置
* 1) 是否建立了数据销毁制度规范,明确了各类数据销毁的手段和审批流程?
* 2) 是否建立相应的数据销毁机制,并对审批和销毁过程进行记录控制?
* 3) 是否配置了必要的数据销毁工具,确保以不可逆方式销毁数据及其副本内容?
2.6.2 介质销毁处置
* 1) 是否建立了数据介质销毁的管理规范,明确了介质销毁的流程和方式方法?
* 2) 介质销毁采取哪些措施?
2.7 运行监管
* 1) 是否启用了政务网络设备、系统、应用、数据库自身的日志和审计功能,实现对所有用户的行为审计、重要事件的审计及分析?
* 2) 是否建立了相关制度或策略,对数据采集、传输、存储、处理、交换、销毁等过程进行有效的日志记录,实现数据共享使用全链路的可追溯
* 3) 是否建立了统一的监控/审计平台,对各类数据访问和操作的日志进行统一的记录和处理分析,实现对数据异常访问和操作的识别和告警
* 4) 上题选择“是”的话,请选择目前能实现哪些异常行为的发现
* 5) 若本单位采购了第三方的服务(云计算服务、大数据服务、安全服务等)是否对第三方服务过程进行安全监管?
* 6) 是否建立针对敏感数据的动态可持续的数据风险监管体系,周期性的对敏感数据的脆弱性、面临的安全威胁、安全措施的有效性等内容进行风险评估?
* 7) 针对本单位一些特权账户的使用,是否会定期进行审计,判断特权账户使用的必要性和合理性。
加载中...
如果由于网络原因导致此框一直不消失,请重新刷新页面!