银行数据安全评估分析报告模板.pdfVIP

数据安全评估分析报告（模板）

一、数据外部共享类需求

详细说明数据接收方的基本情况、数据外部共享的必要

性、涉及的业务和系统、共享数据情况、共享数据加工情况、

共享数据使用情况、共享数据返还销毁情况、数据接收方安

全保障能力情况、法律文件约定情况等。包括不限于：

（一）数据共享背景及必要性简述

（二）数据共享双方的数据安全责任和义务

（三）数据接收方基本情况

1.组织或者个人基本信息；

2.共享数据直接对接部门信息；

3.数据共享成功案例简述。

（四）数据共享涉及业务和信息系统情况

1.数据共享涉及业务的基本情况；

2.数据共享涉及业务的数据资产情况，包括数据规模、

范围、种类、敏感程度等；

3.数据共享涉及业务的信息系统情况。

（五）共享数据安全控制情况

1.说明数据共享及接收方处理数据的目的、范围、方式，

及其合法性、正当性、必要性，明确是否已获得数据主体的

授权同意；涉及个人信息的，是否已向个人告知接收方的名

—1—

称、联系方式、处理目的、处理方式和个人信息的种类等，

并取得个人的单独同意。

2.数据在数据接收方保存的地点、期限，以及达到保存

期限、完成约定目的或者法律文件终止后拟采取的数据处理

措施。

3.拟共享数据存储的方式，存储的系统平台部署机房位

置，是否涉及跨境数据流动。

4.数据共享后，数据接收方是否可转移给其他组织、个

人。

5.共享数据在传输、使用、存储、销毁等环节可能存在

的潜在风险问题分析，风险问题的严重程度预判情况。

6.共享数据遭到篡改、破坏、泄露、丢失、转移或者被

非法获取、非法利用等风险时，妥善开展应急处置的措施、

要求，保障个人维护其个人信息权益的途径和方式。

（六）数据接收方数据安全保障能力情况

1.数据安全技术能力，包括数据收集、存储、使用、加

工、传输、提供、公开、删除等全流程所采取的安全技术措

施等；

2.数据安全保障措施有效性证明，例如开展的数据安全

风险评估、数据安全能力认证、数据安全检查测评、数据安

全合规审计、网络安全等级保护测评等情况；

3.遵守数据和网络安全相关法律法规的情况。

—2—

（七）风险自评估结论

综合上述风险评估情况，对拟开展的数据共享活动作出

客观的风险自评估结论，充分说明得出自评估结论的理由和

论据。

二、大数据应用类需求

大数据应用是指以处理海量数据存储、计算、分析等为

目的应用系统，包括数据统计分析类应用和大数据处理类平

台（如数据仓库、数据湖等）。适用于行内大数据应用类需

求建设的情况。

（一）数据处理情况

1.说明拟处理的数据规模、范围、种类、安全级别、敏

感程度；

2.是否涉及数据清洗转换、汇聚融合、分析挖掘等数据

加工活动；

3.是否采用匿名化、去标识化、加密等数据安全措施。

（二）信息系统风险防控情况

1.用户身份鉴别、访问控制等情况。

2.数据访问行为日志审计情况，是否对大数据访问行为

进行动态监测；审计日志是否包括操作时间、用户、行为类

型；是否明确日志保存时间。

3.数据生命周期安全管控要求落实情况（参照《XX银行

—3—

数据安全管理办法》，可从数据采集、传输、存储、使用、

删除及销毁等环节展开描述，突出各环节安全保护要点）。

4.拟部署的数据安全风险监测技术及工具情况。

（三）数据加工处理合法合规性评估情况

1.加工处理客户信息的目的是否合法正当。

2.在大数据加工平台上加工处理的客户信息，是否已确

认已获取客户的授权同意，是否超出数据授权使用范围。

3.涉及加解密、哈希等场景是否使用国密算法。

4.评估数据加工处理过程是否存在伦理道德风险，伦理

道