网络数据安全监督检查规范.docxVIP

1

DBXX/TXXXX—XXXX

网络数据安全监督检查规范

1范围

本文件规定了网络数据安全监督检查的流程、内容和要求。

本文件适用于主管部门、监管部门、第三方评估机构等组织，对网络数据处理者网络数据的收集、存储、使用、加工、传输、提供、公开等活动进行监督、检查、管理和评估，也适用于各类数据处理者开展建设、自查、整改工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T

20984-2007

信息安全技术

信息安全风险评估规范

GB/T

25069-2010

信息安全技术

术语

GB/T

28449-2018

信息安全技术

网络安全等级保护测评过程指南

GB/T

35273-2020

信息安全技术

个人信息安全规范

GB/T

35274-2017

信息安全技术

大数据服务安全能力要求

GB/T

37973-2019

信息安全技术

大数据安全管理指南

GB/T

37988-2019

信息安全技术

数据安全能力成熟度模型

GB/T

39335-2020

信息安全技术

个人信息安全影响评估指南

3术语和定义

GB/T35273-2020和GB/T37988-2019界定的以及下列术语和定义适用于本文件。

3.1

网络数据处理者networkdataprocessor

所有管理、使用数据和提供数据服务的法人和其他组织。

3.2

网络数据networkdata

通过网络收集、存储、传输、处理和产生的各种电子数据。

3.3

重要数据keydata

一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

3.4

个人信息personalinformation

2

DBXX/TXXXX—XXXX

指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

[来源：GB/T35273-2020，3.1]

3.5

数据安全datasecurity

通过管理和技术措施，确保数据有效保护和合规使用的状态。[来源：GB/T37988-2019,3.1]

4监督检查流程

4.1准备阶段

4.1.1监督检查发起部门负责编制检查工作方案，工作方案内容包括组织领导、检查对象、检查内容、检查方式、工作安排、工作保障、工作要求等内容。

4.1.2实施监督检查前，应根据检查工作方案组建检查组、确定检查对象、确认检查内容、选择检查方式。

4.1.3检查组工作人员不得少于二人，至少有一人具备网络数据安全技术检查能力并取得相关资质证书。

4.1.4检查组事先应向检查对象告知相关检查事项，包括但不限于检查时间、检查范围等。4.2实施阶段

检查组可采用人员访谈、文档审核、工具测试、配置检查、流量核验等方式，开展检查工作，输出检查结果。实施过程中，不得干扰、破坏检查对象的业务连续性。

4.3整改阶段

4.3.1检查组应根据监督检查结果，依法采取相应措施。监督检查中发现问题的，检查组应书面提出整改要求及整改时限。

4.3.2检查组应对检查中发现的安全问题，责令其限期整改，并跟踪整改情况。有数据泄露、损毁情况的上报主管部门。

4.3.3检查组应跟踪整改情况，并记录整改结果4.4总结阶段

检查组应对检查过程中收集的资料、检查记录单、相关过程文书及整改反馈资料等和相关电子数据，按规定立卷存档。

5监督检查方式

5.1管理检查

管理检查的检查方式包括但不限于：

3

DBXX/TXXXX—XXXX

a)人员访谈：通过访谈的方式与检查对象进行交流、讨论等活动,获取相关资料,了解有关信息，检查实际工作与管理制度、文档记录之间的一致程度；

b)文档审核：由检查对象提供与数据安全相关的文档材料(如网络数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他配套表单),检查组审核相关的文档材料是否已涵盖检查内容。

5.2技术检查

技术检查的检查方式包括但不限于：

a)工具测试：利用技术工具和人工方式对系统进行测试,验证是否符合检查内容的技术保障能力要求；

b)配置检查：根据检查对象提供的技术材料,登录相关的系统工具平台,检查配置是否与材料保持一致,对文档审核内容进行核实；

c)流量核验：采用旁路部