网络数据安全监督检查规范

目次

前言......................................................................................II

引言....................................................................................III

1范围...................................................................................1

2规范性引用文件.........................................................................1

3术语和定义.............................................................................1

4监督检查流程...........................................................................2

5监督检查方式...........................................................................2

6监督检查要求...........................................................................3

7监督检查结果...........................................................................9

附录A（规范性）监督检查流程图..................................................10

附录B（规范性）网络数据安全监督检查记录单............................................11

附录C（规范性）网络数据安全监督检查点权重表...........................................17

参考文献.................................................................................22

DB12/T1198—2023

网络数据安全监督检查规范

1范围

本文件规定了网络数据安全监督检查的流程、内容和要求。

本文件适用于网络数据安全监管部门、行业主管部门、第三方评估机构等组织，对网络数据处理者

网络数据的收集、存储、使用、加工、传输、提供、公开和销毁等活动进行监督、检查、管理和评估，

也适用于各类网络数据处理者开展建设、自查、整改工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35273信息安全技术个人信息安全规范

GB/T37988信息安全技术数据安全能力成熟度模型

3术语和定义

GB/T35273和GB/T37988界定的以及下列术语和定义适用于本文件。

51

网络数据networkdata

通过网络处理和产生的各类电子数据。

a2

重要数据keydata

一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、

公共健康和安全等的网络数据。

个人信息personaIinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的

信息。

敏感个人信息personaIsensitiveinformation

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人

信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周

岁未成年人的个人信息。

网络数据处理者networkdataprocessor

在网络数据处理活动中自主决定处理目的和处理方式的个人和组织。

1

DB12/T1198—2023

WA

数据安全datasecurity

是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的

能力。

4监督检查流程

41准备阶段

4.1.1监督检查发起部门负责编制检查工作方案，工作方案内容包括组织领导、网络数据处理者、检

查内容、检查方式、工作安排、工作保障等内容。

4.1.2实施监督检查前，应根据检查工作方案组建检查组、确定网络数据处理者、确认检查内容、选

择检查方式，按照附录A执行。

4.1.3检查组应不少于2人，至少有1人具备网络数据安全专业知识、培训经历或者从业经验。

4.1.4检查组事先应向网络数据处理者告知相关检查事项，包括但不限于检查时间、检查内容等。

4.1.5检查组在实施检查过程中，应如实记录检查时间、地点、内容、发现的问题及其处理情况等。

4.1.6检查组在实施检查过程中，应严格遵守法律法规、工作纪律要求，对涉及国家秘密、商业秘密、

个人隐私的信息，应当保密。

42实施阶段

检查组可采用人员访谈、文档审核、工具测试、配置检查、流量核验等方式，开展检查工作，输出

检查记录单，按照附录B执行。实施过程中，应不干扰、破坏网络数据处理者的业务连续性。

4a整改阶段

4.3.1检查组应根据监督检查结果，出具书面检查记录单，针对检查中发现的安全问题，提出整改要

求及整改时限。

4.3.2网络数据处理者应按照整改要求，在规定的时间内，完成整改工作，并形成整改报告，提交检

查组。

4.3.3检查组应跟踪整改情况，并记录整改结果。

4&总结阶段

检查组应在检查结束后，总结检查情况，编写总结报告。对检查过程中收集的资料、检查记录单、

相关过程文书及整改反馈资料等相关数据，按规定立卷存档，存档时间应不少于三年。

5监督检查方式

51管理检查

管理检查的检查方式包括但不限于：

a）人员访谈：通过访谈的方式与网络数据处理者进行交流、讨论等活动，获取相关资料，了解有

关信息，检查实际工作与管理制度、文档记录之间的一致程度；

2

DB12/T1198—2023

b）文档审核：由网络数据处理者提供与数据安全相关的文档材料（如网络数据安全的方针政策、

制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录

和其他配套表单），检查组审核相关的文档材料是否已涵盖检查内容。

Q）技术检查

技术检查的检查方式包括但不限于：

a）工具测试：利用技术工具和人工方式对系统进行测试，验证是否符合检查内容的技术保障能力

要求；

b）配置检查：根据网络数据处理者提供的技术材料，登录相关的系统工具平台，检查配置是否与

材料保持一致,对文档审核内容进行核实；

c）流量核验：采用旁路部署的方式，对网络数据处理者的系统进行全流量采集，核验是否符合

检查内容的技术保障能力要求。

6监督检查要求

A1总体要求

监督检查要求包含通用安全、数据收集安全、数据存储安全、数据使用安全、数据加工安全、数据

传输安全、数据提供安全、数据公开安全和数据销毁安全九个部分。涉及重要数据的网络处理者原则上

应在符合基本要求的基础上，满足增强要求。

£J通用安全

6.2.1安全合规管理

6.2,1.1基本要求

本项检查基本要求包括：

a）是否定期开展数据安全评估工作；

b）是否定期开展网络安全等级保护测评工作，是否按照测评报告要求，开展整改工作；

c）是否填报数据安全备案信息，并及时更新相关数据；

d）是否明确数据安全管理机构、管理岗位及相关职责，是否定期开展数据安全自查工作；

e）是否明确数据安全事件应急预案，是否定期开展数据安全培训和应急演练活动；

f）是否建立个人信息管理制度和操作规程，是否明确审批制度、流程、管理范围、安全策略和

管控措施，是否明确指定个人信息保护负责人；

g）涉及个人信息处理的，是否定期对其处理个人信息遵守法律、行政法规的情况进行合规审计；

h）是否建立数据跨境管理制度，是否明确审批制度、流程、管理范围、安全策略和管控措施；

i）涉及数据出境的，检查数据出境前是否开展数据出境风险自评估，是否通过网信部门数据出

境安全评估。

6.2.1.2增强要求

本项检查增强要求包括：

3

DB12/T1198—2023

a）涉及处理敏感个人信息，或利用个人信息进行自动化决策，或委托处理个人信息、向其他个

人信息处理者提供个人信息、公开个人信息，或向境外提供个人信息的，是否事前开展个人

信息保护影响评估；

b）涉及收集使用儿童个人信息的，是否在符合个人信息保护的基础上，加强对儿童个人信息的

保护；

c）是否建立密码安全管理制度，是否定期开展密码应用安全性评估；

d）相关信息系统是否采用商用密码检测认证机构核准的密码技术和产品。

6.2.2数据分类分级

6.2,2,1基本要求

本项检查基本要求包括：

a）是否建立数据分类分级制度、规程、操作指南；

b）是否开展数据分类分级标识和管理工作。

6.2.2.2增强要求

是否按照数据分类分级的要求建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施。

6.2.3终端数据安全

6.2,3.1基本要求

本项检查基本要求包括：

a）是否制定面向终端的数据安全管理规范和要求：

b）是否设置数据安全管理岗位，并指定专人对终端数据安全进行统一管理；

c）是否为在网络环境的终端设备，安装统一的防病毒软件。

6.2.3.2增强要求

本项检查增强要求包括：

a）是否为进入内部网络环境的终端设备，分配终端识别号，并实现计算机终端设备与用户账号

的一对一绑定；

b）是否部署终端数据防泄漏方案，通过技术手段对终端上传输的数据进行风险监测。

6.2.4监控与审计

6.2,4.1基本要求

是否明确对内部各类数据访问和操作的日志记录要求、安全监控要求和审计要求。

6.2.4.2增强要求

是否采用自动和人工审计相结合的方式对网络传输数据的高风险操作进行监测。

A1数据收集安全

6.3.1基本要求

4

DB12/T1198—2023

本项检查基本要求包括：

a）是否制定符合业务的数据收集原则、收集流程和方法；

b）是否明确收集数据的目的和用途，检查数据收集和获取的合法性和正当性；

c）涉及个人信息收集的，是否明确个人信息收集的目的、方式和范围，并经被收集者同意或符

合其他合法方式。收集儿童个人信息的，应当取得儿童监护人的同意。

6.3.2增强要求

本项检查增强要求包括：

a）是否采取技术手段或管控措施，对收集和获取到的数据进行完整性和一致性校验；

b）是否采取技术手段或管控措施，防止个人信息和重要数据在收集过程中泄露。

A4数据存储安全

6.4.1基本要求

本项检查基本要求包括：

a）是否建立数据存储管理制度，规范存储媒体使用、购买和标记流程；

b）是否具备数据备份与恢复技术，建立数据存储冗余策略和存储安全管理制度；

c）是否执行定期的数据备份和恢复，实现对存储数据的冗余管理，保护数据的可用性。

6.4.2增强要求

本项检查增强要求包括：

a）是否具备对存储媒体性能监控措施，包括使用历史、性能指标、错误或损坏情况，对超过安

全阈值的存储媒体进行预警；

b）是否具备存储媒体访问和使用的安全管理规范，并对存储媒体使用行为进行记录和审计；

c）是否具备对个人敏感数据、重要数据存储加密的能力。

65数据使用安全

6.5.1数据正当使用

6.5,1.1基本要求

是否建立数据使用正当性的管理制度，在数据使用声明的目的和范围内对受保护的个人信息、重要

数据进行使用和分析处理。

6.5.1.2增强要求

是否采用技术手段记录和管理数据使用操作行为。

6.5.2数据导入导出安全

6.5,2.1基本要求

本项检查基本要求包括：

a）是否建立数据导入导出安全制度或审批流程；

b）是否用存储媒体进行数据导出时，应建立存储媒体的标识规范；

5

DB12/T1198—2023

c）是否对导入导出的终端、用户或服务组件等执行身份鉴别，验证其身份的真实性和合法性.

6.5.2.2增强要求

是否定期验证导出数据的完整性和可用性。

6.5.3鉴别与访问控制

6.5,3,1基本要求

本项检查基本要求包括：

a）是否指定专人负责管理核心业务系统的用户身份及数据权限管理：

b）是否制定核心业务系统和数据库的身份鉴别、访问控制和权限管理制度及要求；

c）是否对业务系统登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度

要求并定期更换。

6.5.3.2增强要求

是否采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密

码技术来实现。

6.5.4数据展示安全

6.5,4.1基本要求

本项检查基本要求包括：

a）是否建立数据展示操作规范，明确数据的展示范围、内容、方式；

b）是否依据用户角色，展示相应数据；

c）是否在对外部组织展示重要数据和敏感个人信息时，采用数据脱敏等技术。

6.5.4.2增强要求

是否在展示重要数据和敏感个人信息时，采用防截屏或屏幕水印等技术。

AA数据加工安全

6.6.1数据分析安全

6.6,1.1基本要求

是否建立数据分析相关数据源获取规范和使用机制，明确数据获取方式、访问接口、授权机制、数

据使用等。

6.6.1.2增强要求

本项检查增强要求包括：

a）是否建立多源数据聚合、关联分析等数据分析过程中的数据资源操作规范和实施指南；

b）是否建立数据分析结果输出的安全审查机制和授权控制机制，并采取必要的技术手段和管控

措施。

6.6.2数据脱敏安全

6

DB12/T1198—2023

6.6,2.1基本要求

本项检查基本要求包括：

a）是否建立数据脱敏制度、流程和方法，指导数据脱敏操作；

b）是否具备数据脱敏软件或工具，对敏感数据传输、共享、发布等环节敏感信息进行隐藏、模

糊化处理。

6.6.2.2增强要求

是否对脱敏处理过程进行记录，并满足安全审计的要求。

£7数据传输安全

6.7.1基本要求

本项检查基本要求包括：

a）是否制定数据安全传输管理规范，明确数据传输安全要求；

b）是否具备对传输通道两端进行主体身份鉴别和认证的技术方案和工具。

6.7.2增强要求

是否明确业务中需要加密传输的数据范围和加密算法。

Afl数据提供安全

6.8.1数据共享安全

6.8,1.1基本要求

本项检查基本要求包括：

a）是否制定数据共享内容、范围、安全管理制度；

b）是否明确数据保护责任，规范第三方网络数据处理者行为；

c）是否明确数据共享最低安全防护要求或技术保护措施；

d）是否在数据共享过程中采取数据脱敏、数据加密、安全通道等措施。

6.8.1.2增强要求

是否对共享数据、数据共享范围及数据共享过程进行监控审计。

6.8.2数据供应链安全

6.8,2.1基本要求

本项检查基本要求包括：

a）是否制定数据供应链安全管理规范，定义数据供应链安全目标、原则和范围；

b）是否明确数据供应链上下游保护的义务和责任、保护范围、使用目的、供应方式、保密约定

等。

6.8.2.2增强要求

本项检查增强要求包括:

7

DB12/T1198—2023

a）是否对数据供应链上下游的行为进行合规性审核和分析；

b）是否建立数据供应链库，并及时更新数据供应链目录和相关数据源数据字典，便于供应链上

下游合规情况的事后追踪。

£g数据公开安全

6.9.1数据发布安全

6.9,1.1基本要求

本项检查基本要求包括：

a）是否建立数据资源公开发布的审核制度，严格审核数据发布业务的合规性；

b）是否指定专人负责数据发布信息的披露，并对数据披露人员进行安全培训。

6.9.1.2增强要求

本项检查增强要求包括：

a）是否采取发布数据使用合规性保护的技术措施；

b）是否建立公开数据登记、用户注册等发布数据和发布组件的验证机制。

6.9.2数据接口安全

6.9,2.1基本要求

本项检查基本要求包括：

a）是否建立数据接口安全制度与技术规范；

b）是否制定数据接口安全控制策略，明确规定使用服务接口的安全限制和安全控制措施（如身

份鉴别、授权策略、访问控制机制、签名、安全协议等）。

6.9.2.2增强要求

本项检查增强要求包括：

a）是否具备对接口不安全输入参数进行限制或过滤等能力；

b）是否具备服务接口访问的审计能力。

610数据销毁安全

6.10.1基本要求

本项检查基本要求包括：

a）是否建立数据销毁策略和管理制度，明确销毁对象和流程；

b）是否建立数据销毁审批机制，设置销毁相关监督角色，监督操作过程；

c）是否按照分类分级建立相应的数据销毁机制，明确销毁方式和销毁要求；

d）是否采用技术工具擦除销毁核心业务存储媒体的数据内容。

6.10.2增强要求

是否针对闪存、硬盘、磁带、光盘等存储媒体建立数据销毁方法和技术。

8

DB12/T1198—2023

7监督检查结果

71单项结果判定

检查组应围绕检查内容，面向网络数据收集、存储、使用、加工、传输、提供、公开、销毁安全及

通用数据安全阶段，对网络数据处理者开展监督检查工作。分析检查点的佐证材料，并与检查内容的预

期结果相比较，给出单项检查结果符合程度：

a）基于组织机构业务场景和数据安全风险,可对数据生存周期各阶段安全进行适用性判断，如果

对应风险不存在，则该项结果为不适用，不适用项不纳入得分计算。

b）如果佐证材料表明所有检查内容与预期结果一致，则判定该检查点单项结果为5分；如果佐

证材料表明所有检查内容与预期结果不一致，判定该检查点单项结果为0分；否则依据佐证

材料表明所有检查内容与预期结果的一致程度，判定该检查点单项结果为1-4分。

77整体结果判定

根据单项检查结果和检查点权重（见附录C）计算网络数据处理者整体得分，整体得分按公式（1）

计算：

L检查点得分x检查点权重

监督检查整体得分=______________V(1.)..................

E”检查点权重

*=1

式中:

p=检查点数。

监督检查结果分为符合、基本符合、不符合类型：

a）符合：监督检查整体得分达到100分的监督检查结果为符合；

b）基本符合：监督检查整体得分达到60分（含）以上不足100分的监督检查结果为基本符合;

c）不符合：监督检查整体得分在60分以下的监督检查结果为不符合。

73检查结果确认

7.3.1开展现场监督检查，应当制作监督检查记录，并由2名以上（含）检查组人员和网络数据处理

者的负责人或者网络数据安全管理人员签名。网络数据处理者负责人或者网络数据安全管理人员对监督

检查记录有异议的，应当允许其做出说明；存在异议的检查组应当在监督检查记录中注明。

7.3.2委托第三方网络数据安全服务机构提供技术支持的，技术支持人员应当一并在监督检查记录上

签名。

9

DB12/T1198—2023

附录A

（规范性）

监督检查流程图

图A.1规定了监督检查的流程。

U谑ii检麦开始

成立检安组

准

留

的壤样检❷方法

出

人员访谈

实

施

阶

段

0

改

附

用

复桧

慈

妫

阶

段形成，熊绍根传

图A.1监督检查流程图

10

DB12/T1198—2023

附录B

（规范性）

网络数据安全监督检查记录单

网络数据安全监督检查记录单见表B.1。

表B.1网络数据安全监督检查记录单

检查日期：

单位名称：

系统名称：

1.检查结论

年月日，检查一组对单位开展网络数据安全监督检查

工作。

本次监督检查涉及个检查类，共计个检查点，经统计，其中符合项有项，基本符

合项有,不符合项有项，不适用项有项。

2.检查清单

序号检查类检查项检查要求检查点检查结果检查描述

1a）是否定期开展数据安全评估工作；

b）是否定期开展网络安全等级保护测

2评工作，是否按照测评报告要求，开展

整改工作；

c）是否填报数据安全备案信息，并及时

3

更新相关数据；

d）是否明确数据安全管理机构、管理岗

4位及相关职责，是否定期开展数据安全

自查工作；

e）是否明确数据安全事件应急预案，是

通用安全合

5基本要求否定期开展数据安全培训和应急演练

安全规管理活动；

f）是否建立个人信息管理制度和操作

规程，是否明确审批制度、流程、管理

6

范围、安全策略和管控措施，是否明确

指定个人信息保护负责人；

g）涉及个人信息处理的，是否定期对其

7处理个人信息遵守法律、行政法规的情

况进行合规审计；

h）是否建立数据跨境管理制度，是否明

8确审批制度、流程、管理范围、安全策

略和管控措施：

11

DB12/T1198—2023

i）涉及数据出境的，检查数据出境前是

9否开展数据出境风险自评估，是否通过

网信部门数据出境安全评估。

a）涉及处理敏感个人信息，或利用个人

信息进行自动化决策，或委托处理个人

信息、向其他个人信息处理者提供个人

10

信息、公开个人信息，或向境外提供个

人信息的，是否事前开展个人信息保护

影响评估；

增强要求b）涉及收集使用儿童个人信息的，是否

11在符合个人信息保护的基础上，加强对

儿童个人信息的保护；

C）是否建立密码安全管理制度，是否定

12

期开展密码应用安全性评估：

d）相关信息系统是否采用商用密码检

13

测认证机构核准的密码技术和产品。

a）是否建立数据分类分级制度、规程、

14

操作指南；

基本要求

b）是否开展数据分类分级标识和管理

15数据分

工作。

类分级

是否按照数据分类分级的要求建立相

16增强要求应的访问控制、数据加解密、数据脱敏

等安全管理和控制措施。

a）是否制定面向终端的数据安全管理

17

规范和要求；

b）是否设置数据安全管理岗位，并指定

18基本要求

专人对终端数据安全进行统一管理；

C）是否为在网络环境的终端设备，安装

19

终端数统一的防病毒软件。

据安全a）是否为进入内部网络环境的终端设

20备，分配终端识别号，并实现计算机终

端设备与用户账号的一对一绑定；

增强要求

b）是否部署终端数据防泄漏方案，通过

21技术手段对终端上传输的数据进行风

险监测。

是否明确对内部各类数据访问和操作

22基本要求的日志记录要求、安全监控要求和审计

监控与要求。

审计是否采用自动和人工审计相结合的方

23增强要求式对网络传输数据的高风险操作进行

监测。

12

DB12/T1198—2023

a）是否制定符合业务的数据收集原则、

24

收集流程和方法；

b）是否明确收集数据的0的和用途，检

25

查数据收集和获取的合法性和正当性：

基本要求

C）涉及个人信息收集的，是否明确个人

信息收集的目的、方式和范围，并经被

数据收集数据收

26收集者同意或符合其他合法方式。收集

安全集安全儿童个人信息的，应当取得儿童监护人

的同意。

a）是否采取技术手段或管控措施，对收

27集和获取到的数据进行完整性和一致

性校验；

增强要求

b）是否采取技术手段或管控措施，防止

28个人信息和重要数据在收集过程中泄

露。

a）是否建立数据存储管理制度，规范存

29

储媒体使用、购买和标记流程；

b）是否具备数据备份与恢复技术，建立

30数据存储冗余策略和存储安全管理制

基本要求

度：

c）是否执行定期的数据备份和恢复，实

31现对存储数据的冗余管理，保护数据的

可用性。

数据存储数据存

a）是否具备对存储媒体性能监控措施，

安全储安全

包括使用历史、性能指标、错误或损坏

32

情况，对超过安全阈值的存储媒体进行

预警；

增强要求b）是否具备存储媒体访问和使用的安

33全管理规范，并对存储媒体使用行为进

行记录和审计；

C）是否具备对个人敏感数据、重要数据

34

存储加密的能力。

是否建立数据使用正当性的管理制度，

在数据使用声明的目的和范围内对受

35基本要求

数据正保护的个人信息、重要数据进行使用和

数据使川当使用分析处理。

安全是否采用技术手段记录和管理数据使

36增强要求

用操作行为。

37数据导基本要求a）是否建立数据导入导出安全制度或

13

DB12/T1198—2023

入导出审批流程；

安全

b）是否用存储媒体进行数据导出时，应

38

建立存储媒体的标识规范；

c）是否对导入导出的终端、用户或服务

39组件等执行身份鉴别，验证其身份的真

实性和合法性。

是否定期验证导出数据的完整性和可

40增强要求

用性。

a）是否指定专人负责管理核心业务系

41

统的用户身份及数据权限管理；

b）是否制定核心业务系统和数据库的

42身份鉴别、访问控制和权限管理制度及

基本要求

要求;

鉴别与C）是否对业务系统登录的用户进行身

43访问控份标识和鉴别，身份标识具有唯一性，

制鉴别信息具有复杂度要求并定期更换。

是否采用两种或两种以上组合的鉴别

44增强要求技术对用户进行身份鉴别，且其中一种

鉴别技术至少应使用密码技术来实现。

a）是否建立数据展示操作规范，明确数

45

据的展示范围、内容、方式；

46b）是否依据用户角色，展示相应数据；

基本要求

数据展

C）是否在对外部组织展示重要数据和

示安全

47敏感个人信息时，采用数据脱敏等技

术。

是否在展示重要数据和敏感个人信息

48增强要求

时，采用防截屏或屏幕水印等技术。

是否建立数据分析相关数据源获取规

49基本要求范和使用机制，明确数据获取方式、访

问接口、授权机制、数据使用等.

a）是否建立多源数据聚合、关联分析等

数据加工数据分

50数据分析过程中的数据资源操作规范

析安全

安全和实施指南；

增强要求

b）是否建立数据分析结果输出的安全

51审杳机制和授权控制机制，并采取必要

的技术手段和管控措施。

14

DB12/T1198—2023

a）是否建立数据脱敏制度、流程和方

52

法，指导数据脱敏操作；

基本要求b）是否具备数据脱敏软件或工具，对敏

数据脱

53感数据传输、共享、发布等环节敏感信

敏安全

息进行隐藏、模糊化处理。

是否对脱敏处理过程进行记录，并满足

54增强要求

安全审计的要求。

a）是否制定数据安全传输管理规范，明

55

确数据传输安全要求；

基本要求

数据传输数据传b）是否具备对传输通道两端进行主体

56

安全输安全身份鉴别和认证的技术方案和工具。

是否明确业务中需要加密传输的数据

57增强要求

范围和加密算法。

a）是否制定数据共享内容、范围、安全

58

管理制度；

b）是否明确数据保护责任，规范第三方

59

网络数据处理者行为；

基本要求

数据共C）是否明确数据共享最低安全防护要

60

享安全求或技术保护措施；

d）是否在数据共享过程中采取数据脱

61

敏、数据加密、安全通道等措施。

是否对共享数据、数据共享范围及数据

62增强要求

共享过程进行监控审计。

数据提供a）是否制定数据供应链安全管理规范，

63安全定义数据供应链安全目标、原则和范

围；

基本要求

b）是否明确数据供应链上下游保护的

64义务和责任、保护范围、使用目的、供