手机扫描二维码答题
00:00:00
公共数据安全现状调查问卷
录音中...
*
单位名称:
单位名称:
填写人:
填写人:
联系方式:
联系方式:
说明:本次调研的目的是了解各单位的数据安全防护能力现状,填写过程可参照本单位数据安全能力最强的系统情况进行如实填写。
问卷多为判断和选择题,判断题仅有三个选项,“是”、“否”和“其他说明”,若只符合条款部分内容或条款内容不能完全反映单位现状的请在“其他说明”中做简要描述。选择题均为多选,有遗漏的请在“其他说明”中做补充。
一、通用要求
1.1 组织管理
*
1) 是否建立了本单位数据安全领导小组,并由单位主要负责人担任组长,相关处室主要负责人和电子政务管理部门负责人担任组员,负责本单位数据安全方针、目标和策略的制定?
A:是
B:否
C:其他说明
*
2) 是否建立了本单位负责公共数据安全管理的部门机构(可以与负责网络信息安全的部门为同一个部门,但赋予了数据安全管理职责)?
A:是
B:否
C:其他说明
*
3) 是否定期召开信息化安全会议,明确本单位当前公共数据安全建设的目标和要点,讨论存在的安全隐患和解决办法?
A:是
B:否
C:其他说明
*
4) 各主要业务部门是否有人员负责具体业务环节的数据安全管理工作?
A:是
B:否
C:其他说明
*
5) 是否建立了单位内部负责监督审计职能的部门(若通过外部服务实现请在其他说明里填写),对本单位的数据安全工作进行监督管理?
A:是
B:否
C:其他说明
*
6) 是否建立了数据安全岗位责任制,明确公共数据管理相关的岗位人员和职责?
A:是
B:否
C:其他说明
1.2 人员管理
*
1) 是否具有员工入职、转岗、离职的人力资源制度流程?
A:是
B:否
C:其他说明
*
2) 人事变动时是否能将人员的变更通知到单位各部门并及时调整人员变化所涉及的账号权限的赋权、更改和回收
A:是
B:否
C:其他说明
*
3) 请根据本单位目前政务系统数据安全岗位情况选择符合自身情况的选项
A:专人专岗
B:岗位兼职
C:轮岗制
D:未设置专职数据安全管理岗位
E:服务外包
F:其他说明
*
4) 对能接触个人信息、重要数据的人员采取了哪些管控措施?
A:权限审批和人员登记
B:签署保密协议
C:定期对人员行为进行安全审计
D:定期或按规定程序对关键岗位人员进行背景审查。
E:定期对关键岗位人员进行培训和能力考核
F:其他说明
*
5) 是否建立离任审计机制,对关键人员的离任进行审查,对其在任期中的行为进行评估。
A:是
B:否
C:其他说明
*
6) 对于本单位开展的公共数据安全相关培训,符合
A. 针对本单位全员定期开展信息安全意识类培训
B. 定期对数据专职人员开展数据安全合规培训,包括政策、法律、法规、标准等。
C. 根据不同的安全岗位要求,开展数据安全专项技能培训与考核。
D. 其他说明
1.3 数据资产管理及分类分级
*
1) 是否建立了数据资产登记机制,形成整体的数据资产清单,明确数据资产安全责任主体及相关方,并及时更新数据资产相关信息?
A:是
B:否
C:其他说明
*
2) 请选择本单位目前已经建立的数据资产管控措施
A :建立了数据资产相应的标记策略和管控措施
B :建立了数据资产的访问控制策略要求和管控措施
C :建立了资产数据加解密要求和管控措施
D :建立了数据脱敏规范要求和管控措施
E :未专门建立数据资产管控措施
F :其他说明
*
3) 是否结合具体业务场景和数据敏感度建立了本单位的数据分类分级规范,对数据进行分类和分级?
A:是
B:否
C:其他说明
*
4) 是否根据分类分级情况按照不同安全等级建立相应的控制措施?
A:是
B:否
C:其他说明
1.4 数据防泄漏
*
1) 是否建立了本单位数据防泄露规范,明确需要进行数据泄露防护处理的应用场景和处理方法?
A:是
B:否
C:其他说明
*
2) 是否采用了技术措施或技术产品来进行数据泄露防护?
A:是
B:否
C:其他说明
1.5 终端数据管理
*
1) 是否制订面向终端的数据安全管理规范,明确终端层面的数据安全管理要求?
A:是
B:否
C:其他说明
*
2) 是否针对接入内部网络环境的终端设备分配终端识别号,并将终端与用户进行一对一绑定?
A:是
B:否
C:其他说明
*
3) 请选择本单位所部署的终端管理类软件类型
A :防病毒
B :硬盘加密
C :终端入侵检测
D :终端防泄漏软件
E :文档加密
F :终端准入控制
G:其他说明
1.6 合规风控
*
1) 每年度是否邀请具备风险评估资质的安全公司开展专业的风险评估工作,是否对评估发现的安全风险进行整改?
A:是
B:否
C:其他说明
*
2) 每年度是否按规定进行了等保测评工作,测评检查发现未达到安全保护等级要求的,是否按时完成整改
A:是
B:否
C:其他说明
*
3) 是否建立了公共数据安全事件应急预案,明确了应急处置的组织人员和职责、应急处置程序和措施
A:是
B:否
C:其他说明
*
4) 是否定期开展政务信息系统及数据安全检查和应急演练工作
A:是
B:否
C:其他说明
*
5) 在重大节日及敏感期间是否按照要求加强值班和巡检
A:是
B:否
C:其他说明
*
6) 请列举本行业需要遵循的法律法规和规章制度:
1、 网络安全法 2、网络安全等级保护制度
*
7) 若本单位是行业监管单位(例如公安、网信、电子政务办等),请补充本单位所下发的关于数据安全相关的要求和规范
1.7 运维管理
*
1) 针对管理员的日常运维管理采取了哪些安全措施?
A :给予了管理员超级管理员权限,仅对超级管理员账号进行安全防护
B: 对管理员进行角色划分并分配最小管理权限
C: 对管理员的运维过程进行记录和审计
D: 统一了运维入口(例如堡垒机,统一运维系统),并进行实时监控
E: 其他说明
*
2) 如果对密钥进行安全管理?
A :具有专门的密钥管理系统,提供密钥的生命周期管理
B: 使用上级部门统一的密钥管理服务
C: 使用第三方的密钥管理服务
D: 未有专门的密钥管理系统,仅使用产品/系统自身的密钥管理
E: 其他说明
二. 数据共享使用各个阶段安全要求
2.1 数据产生/采集安全
2.1.1 数据收集和获取
*
1) 是否建立了数据收集和获取操作规程,规范数据收集和获取渠道、数据格式、流程和方式?
A:是
B:否
C:其他说明
*
2) 是否采取了必要的技术手段保证数据收集和获取过程中个人信息和重要数据不被泄露?并简述采取的措施。
A:是,措施为____
B:否
C:其他说明
*
3) 是否对数据收集和获取过程进行了记录并可以溯源?
A:是
B:否
C:其他说明
2.1.2 数据质量监控
*
1) 是否具有数据采集质量管理控制策略和规范,例如对数据标准化格式的要求、数据完整性要求、数据质量要素,以及对异常事件处理的流程和操作规范?
A:是
B:否
C:其他说明
*
2) 是否根据质量管理策略,建立了数据采集过程中质量监控规则,确数据质量监控范围及监控方式?
A:是
B:否
C:其他说明
*
3) 是否采用技术手段或工具对数据质量进行监控,从而实现异常数据的及时更正?
A:是
B:否
C:其他说明
2.2 数据传输安全
*
1) 是否划分需要进行传输加密的业务场景,且对个人信息和重要数据的加密传输?
A:是
B:否
C:其他说明
*
2) 是否对数据传输安全策略的变更进行记录和审计,如通道安全策略配置、密码算法配置、密钥管理配置等操作进行日志记录和审计?
A:是
B:否
C:其他说明
*
3) 针对关键的数据传输通道,是否部署了传输通道加密方案(VPN、TLS/SSL等均可)?
A:是
B:否
C:其他说明
*
4) 重要的数据传输通道是否具有冗余机制,保障数据传输的可靠性和网络传输服务可用性?
A:是
B:否
C:其他说明
2.3 数据存储安全
2.3.1 存储介质安全
*
1) 是否建立了存储介质访问和使用安全管理规范,如存储介质的存放、使用、销毁、报废、标签管理等。
A:是
B:否
C:其他说明
*
2) 是否对存储介质的访问和使用行为进行记录和审计。
A:是
B:否
C:其他说明
2.3.2 逻辑存储安全
*
1) 建立了哪些数据存储系统(如数据库、文件存储系统等)的安全配置规则?
A:账号权限管理
B:人员访问控制
C:日志记录和审计
D:配置变更控制
E: 其他说明
*
2) 是否采用符合国家认定的密码算法对高敏感数据进行加密存储?
A:是
B:否
C:其他说明
*
3) 是否具备对存储数据的完整性验证机制?
A:是
B:否
C:其他说明
2.3.3 数据备份与恢复
*
1) 是否建立数据备份与恢复策略以及操作规章制度?
A:是
B:否
C:其他说明
*
2) 是否建立统一技术工具,保证相关备份恢复工作的自动化执行?
A:是
B:否
C:其他说明
*
3) 是否定期对备份数据的有效性进行验证?
A:是
B:否
C:其他说明
*
4) 采用了以下哪些数据备份恢复技术措施?
A:本地备份与恢复
B:重要数据定时批量传送至异地备份中心
C:重要数据实时传送至异地备份中心
D:重要数据处理系统采用热冗余配置,保证了数据处理系统的高可用
E:建立了异地灾难备份中心,提供业务应用的实时切换
F:其他说明
2.4 数据处理安全
2.4.1 数据脱敏
*
1) 是否建立了数据脱敏规范,在规范中明确需要脱敏的数据资产脱敏场景,给出不同分类分级数据的脱敏处理流程,以及数据脱敏的需求、规则和方式?
A:是
B:否
C:其他说明
*
2) 是否具有数据脱敏的工具或服务组件等进行对数据脱敏?
A:是
B:否
C:其他说明
*
3) 是否对数据脱敏处理过程相应的操作进行记录,以满足数据脱敏处理安全审计要求?
A:是
B:否
C:其他说明
2.4.2 数据分析安全
*
1) 是否对数据分析结果进行二次风险评估机制(技术和人工都可以),确保衍生数据不超过原始数据的授权范围和安全使用要求?
A:是
B:否
C:其他说明
*
2) 是否利用多源数据进行大数据分析的过程进行日志记录,以备对分析结果质量、真实性和合规性进行数据溯源?
A:是
B:否
C:其他说明
2.4.3 数据正当使用
*
1) 是否建立了整体的数据使用管理制度,规定数据使用过程当中所需要遵循的要求和责任?
A:是
B:否
C:其他说明
*
2) 是否依据数据使用目的建立相应强度或粒度的访问控制机制,限定用户可访问数据范围?
A:是
B:否
C:其他说明
*
3) 是否对数据使用操作进行记录和审计,以备对违规使用数据人员的识别和追责?
A:是
B:否
C:其他说明
2.5 数据交换安全
2.5.1 数据导入导出安全
*
1) 是否建立了数据导入导出的安全制度规范?
A:是
B:否
C:其他说明
*
2) 是否建立了规范的数据导入导出的安全审核和授权流程?
A:是
B:否
C:其他说明
*
3) 是否对数据导入导出过程采取了监督和记录
A:是
B:否
C:其他说明
2.5.2 数据共享安全
*
1) 是否建立了本单位数据共享管理规范,明确了本单位可共享的数据内容、数据类型、共享方式和共享使用范围?
A:是
B:否
C:其他说明
*
2) 是否建立了规范的数据共享审核流程,确保共享的数据未超出授权范围?
A:是
B:否
C:其他说明
*
3) 在数据共享过程中采取了哪些安全技术措施
A:利用数据加密、安全通道等措施保护数据共享过程中的个人信息、重要数据等敏感信息。
B:建立了数据共享过程的监控工具,对共享数据及数据共享服务过程进行监控,确保共享的数据未超出授权范围。
C:对整个数据共享过程进行了日志记录,并提供了日志审计管理工具。
D:其他说明
2.5.3 数据发布安全
*
1) 是否建立了本单位数据发布管理规范,明确了数据发布的流程和审核机制?
A:是
B:否
C:其他说明
*
2) 是否定期对已发布的数据进行审核,确保其不含有非公开数据和敏感数据?
A:是
B:否
C:其他说明
2.5.4 数据接口安全
*
1) 针对公共数据调用接口,本单位采用哪些技术手段进行保障
A:身份鉴别与鉴权
B:防重放攻击防护
C:DDOS攻击防护
D:加密传输
E:接口调用日志记录
F:其他说明
2.6 数据销毁安全
2.6.1 数据销毁处置
*
1) 是否建立了数据销毁制度规范,明确了各类数据销毁的手段和审批流程?
A:是
B:否
C:其他说明
*
2) 是否建立相应的数据销毁机制,并对审批和销毁过程进行记录控制?
A:是
B:否
C:其他说明
*
3) 是否配置了必要的数据销毁工具,确保以不可逆方式销毁数据及其副本内容?
A:是,采用了__工具
B:否
C:其他说明
2.6.2 介质销毁处置
*
1) 是否建立了数据介质销毁的管理规范,明确了介质销毁的流程和方式方法?
A:是
B:否
C:其他说明
*
2) 介质销毁采取哪些措施?
A:物理摧毁
B:使用消磁工具
C:联系国家认定资质的销毁服务提供商执行存储介质销毁工作
D:其他说明
2.7 运行监管
*
1) 是否启用了政务网络设备、系统、应用、数据库自身的日志和审计功能,实现对所有用户的行为审计、重要事件的审计及分析?
A:是
B:否
C:其他说明
*
2) 是否建立了相关制度或策略,对数据采集、传输、存储、处理、交换、销毁等过程进行有效的日志记录,实现数据共享使用全链路的可追溯
A:是
B:否
C:其他说明
*
3) 是否建立了统一的监控/审计平台,对各类数据访问和操作的日志进行统一的记录和处理分析,实现对数据异常访问和操作的识别和告警
A:是
B:否
C:其他说明
*
4) 上题选择“是”的话,请选择目前能实现哪些异常行为的发现
A:数据滥用
B:违规使用
C:越权使用
D:非授权访问(访问控制机制被旁路)
E:其他
*
5) 若本单位采购了第三方的服务(云计算服务、大数据服务、安全服务等)是否对第三方服务过程进行安全监管?
A:是
B:否
C:其他说明
*
6) 是否建立针对敏感数据的动态可持续的数据风险监管体系,周期性的对敏感数据的脆弱性、面临的安全威胁、安全措施的有效性等内容进行风险评估?
A:是
B:否
C:其他说明
*
7) 针对本单位一些特权账户的使用,是否会定期进行审计,判断特权账户使用的必要性和合理性。
A:是
B:否
C:其他说明
评价对象得分
字体大小
