合作方_第三方安全能力评估 (1).docxVIP

合作方/第三方安全能力评估 一.公司基本信息 公司名称： 公司域名： 数据安全联系人姓名： 数据安全联系人职务： 数据安全联系人电话： 数据安全联系人邮箱： 二.通用安全类 1.贵公司有哪些信息安全认证或证书（请附截图）：（ ） A.ISO 27001认证 B.国际信息安全等级保护认证 C.其他，请描述： D.没有信息安全认证证书 2..贵公司是否有独立的安全团队：（ ）A.是 B.否 3.贵公司安全团队人员是否具有CISP/CISSP/CISM/CIPM等相关安全资质证书：（ ） A.是 B.否 4.贵公司是否有成熟的数据安全管理制度，从数据采集、存储、使用、传输、备份、销毁等阶段进行相应的约束：（ ） A.是 B.否 5.贵公司进行安全风险评估的频率是：（ ） A.从不进行安全风险评估 B.在监管检查或者外部审计前进行风险评估 C.会在每年固定时间进行风险评估 D.根据公司情况每年进行全面评估，并在公司发生重大变化或系统发生重大变化时进行评估 6.贵公司对于安全漏洞的修复是如何管理的：（ ） A.几乎不关心安全漏洞的修复 B.发现安全漏洞主要根据进度决定是否要修复 C.只修复领导要求修复的及有舆情的安全漏洞 D.明确了高中低危的安全漏洞修复时间和超时升级要求，并严格按照流程和制度执行 7.贵公司是否具备主机入侵防护能力：（ ） A.是 B.否 8.贵公司是否具备网络入侵防护能力：（ ） A.是 B.否 9.贵公司是否在办公电脑部署了防病毒软件并进行集中管控：（ ） A.是 B.否 三.数据安全类 10.贵公司各系统是否记录了登录日志和操作日志：（ ） A.是 B.否 11.贵公司向用户采集数据时是否征得用户授权同意：（ ） A.是 B.否 12.贵公司是否根据数据敏感性、业务来源、价值进行数据的分类分级：（ ） A.是 B.否 13.贵公司在数据传输过程中是否有安全控制措施：（ ） A.基本都是明文传输 B.重要业务系统和数据采用VPN或https等方式传输 C.重要业务系统和数据采用VPN或https等方式传输，针对密码等重要身份识别因素进行了字段加密，保证全流程不落地 D.全站使用https，不同场景倚靠VPN 等方式保证通道安全，并对重要字段进行了字段加密，保证全流程不落地 14.贵公司是否有数据跨境传输，并对传输的数据做合规风险评估：（ ） A.不涉及数据跨境传输的场景，不对境外传输数据 B.有跨境传输，没有对跨境数据做评估 C.有跨境传输，有做跨境数据进行评估 D.有跨境传输，对跨境数据进行评估，并且根据发送方和接收方当地的法律法规对数据传输安全要求进行 15.贵公司不同的业务系统在存储时是否有做数据隔离：（ ） A.没有隔离 B.个别重要系统和数据进行了隔离 C.所有业务系统都按照要求进行了数据隔离 16.贵公司对数据使用时，是否有审批要求：（ ） A.内部直接使用无需审批 B.已邮件形式通知数据库或数据平台管理员后就可以使用 C.所有的数据查询、处理都有统一的授权审批 17.贵公司前台网页、应用产品、APP以及后台的页面等是否对用户真实姓名、手机号、身份证、银行卡号、邮箱等个人敏感信息进行脱敏展示：（ ） A.几乎没有脱敏 B.部分场景脱敏展示 C.默认所有场景都进行脱敏展示 D.默认所有场景都进行脱敏展示，并通过自动化实现 18.贵公司是否根据业务需要建立数据保留策略，并对超限数据进行清理：（ ） A.是 B.否 19.贵公司是否对业务app客户端和web部署了安全保护措施：（ ） A.是 B.否 四.接口安全类 20.贵公司的接口通讯是否使用https传输：（ ） A.是 B.否 21.贵公司面向互联网及合作方开放的数据接口是否具备认证鉴权：（ ） A.是 B.否 22.贵公司服务端是否对客户端发送的数据进行完整性校验：（ ） A.是 B.否 23.贵公司是否对接口访问频率设置阈值，防止接口被攻击或恶意访问：（ ） A.是 B.否 24.贵公司是否对身份认证、重要操作行为做日志记录，并定期进行审计：（ ） A.是 B.否 25.贵公司是否对接口调用进行监控，具备违规接入和异常操作的发现能力：（ ） A.是 B.否 26.贵公司是否通过授权机制检查该用户是否具有该条记录的操作权限：（ ） A.是 B.否