DB12-T 1198-2023 网络数据安全监督检查规范

35.110

70

12 DB12/T

1198—2023网络数据安全监督检查规范

for

supervision

and

inspection

network

data

security天津市市场监督管理委员会  发

布DB12/T

11982023

II

III

......................................................10

..........................................11

........................................17

22DB12/T

11982023本文件按照GB/T

1.1—2020《标准化工作导则

第1部分：标准化文件的结构和起草规则》的规定IIDB12/T

11982023 DB12/T

11982023

GB/T

GB/T

GB/T

35273和GB/T

network

data

key

data

personal

information

personal

information

network

data

DB12/T

11982023

data

security

监督检查发起部门负责编制检查工作方案，工作方案内容包括组织领导、网络数据处理者、检

实施监督检查前，应根据检查工作方案组建检查组、确定网络数据处理者、确认检查内容、选

检查组应根据监督检查结果，出具书面检查记录单，针对检查中发现的安全问题，提出整改要

网络数据处理者应按照整改要求，在规定的时间内，完成整改工作，并形成整改报告，提交检

a)

人员访谈：通过访谈的方式与网络数据处理者进行交流、讨论等活动,获取相关资料,了解有DB12/T

11982023b)

文档审核：由网络数据处理者提供与数据安全相关的文档材料(如网络数据安全的方针政策、度规范流、培训教材料、以与产品技相关的设实施方案配置说明运行记录a)

b)

配置检查：根据网络数据处理者提供的技术材料,登录相关的系统工具平台,检查配置是否与c)

量核验：用旁路部的方式，网络数据理者的系进行全流采集，核是否符合

6.2.1.1

a)

b)

c)

d)

e)

f)

否建立个信息管理度和操作程，是否确审批制、流程、理范围、全策略和g)

h)

i)

及数据出的，检查据出境前否开展数出境风险评估，是通过网信门数据出6.2.1.2

DB12/T

11982023a)

及处理敏个人信息或利用个信息进行动化决策或委托处个人信息向其他个信息处理提供个人息、公开人信息，向境外提个人信息，是否事开展个人b)

及收集使儿童个人息的，是在符合个信息保护基础上，强对儿童人信息的c)

d)

6.2.2.1

a)

b)

6.2.2.2

6.2.3.1

a)

b)

c)

6.2.3.2

a)

否为进入部网络环的终端设，分配终识别号，实现计算终端设备用户账号b)

6.2.4.1

6.2.4.2

DB12/T

11982023a)

b)

c)

及个人信收集的，否明确个信息收集目的、方和范围，经被收集同意或符

a)

b)

a)

b)

c)

a)

否具备对储媒体性监控措施包括使用史、性能标、错误损坏情况对超过安b)

c)

6.5.1.1

6.5.1.2

6.5.2.1

a)

b)

DB12/T

11982023c)

6.5.2.2

6.5.3.1

a)

b)

c)

6.5.3.2

6.5.4.1

a)

b)

c)

6.5.4.2

6.6.1.1

6.6.1.2

a)

b)

否建立数分析结果出的安全查机制和权控制机，并采取要的技术段和管控

DB12/T

119820236.6.2.1

a)

b)

否具备数脱敏软件工具，对感数据传、共享、布等环节感信息进隐藏、模6.6.2.2

a)

b)

6.8.1.1

a)

b)

c)

d)

6.8.1.2

6.8.2.1

a)

b)

否明确数供应链上游保护的务和责任保护范围使用目的供应方式保密约定6.8.2.2

DB12/T

11982023a)

b)

否建立数供应链库并及时更数据供应目录和相数据源数字典，便供应链上

6.9.1.1

a)

b)

6.9.1.2

a)

b)

6.9.2.1

a)

b)

否制定数接口安全制策略，确规定使服务接口安全限制安全控制施（如身6.9.2.2

a)

b)

6.10.1

a)

b)

c)

d)

6.10.2

……………（1）DB12/T

1198

……………（1）

a)

b)

果佐证材表明所有查内容与期结果一，则判定检查点单结果

；如果佐材料表明有检查内与预期结不一致，定该检查单项结果

；否则依佐证

1-4

a)

100

b)

60

100

分的监督检查结果为基本符合；c)

60

开展现场监督检查，应当制作监督检查记录，并由

名以上（含）检查组人员和网络数据处理

委托第三方网络数据安全服务机构提供技术支持的，技术支持人员应当一并在监督检查记录上DB12/T

11982023

A.1

10b)否定期开展数据安全培训和应急演练f)DB12/T

11982023

B.1

本次监督检查涉及个检查点，经统计，其中符合项有 111110111213d)1415b)16是否按照数据分类分级的要求建立相17a)181920a)21技术手段对终端上传输的数据进行风22是否明确对内部各类数据访问和操作23是否采用自动和人工审计相结合的方式对网络传输数据的高风险操作进行DB12/T

11982023121224252627集和获取到的数据进行完整性和一致28个人信息和重要数据在收集过程中泄2930数据存储冗余策略和存储安全管理制313233b)3435在数据使用声明的目的和范围内对受36是否采用技术手段记录和管理数据使37a)DB12/T

119820231313383940是否定期验证导出数据的完整性和可41a)42b)4344是否采用两种或两种以上组合的鉴别454647c)敏感个人信息时，采用数据脱敏等技48是否在展示重要数据和敏感个人信息49是否建立数据分析相关数据源获取规50数据分析过程中的数据资源操作规范51b)DB12/T

119820231452a)53545556b)57是否明确业务中需要加密传输的数据585960c)61d)6263定义数据供应链安全目标、原则和范64b)65a)66数据供应链目录和相关数据源数据字67a)制度，严格审核数据发布业务的合规68b)披露，并对数据披露人员进行安全培DB12/T

11982023151569a)7071a)72确规定使用服务接口的安全限制和安73a)74757677c)78d)79DB12/T

11982023 1610111213d)相关信息系统是采用商用密码测认证机构核1415DB12/T

11982023

C.1

16171819c)是否为在网络环的终端设备，装统一的防病20a)是否为进入内部络环境的终端备，分配终端212223否采用自动和工审计相结合方式对网络传数据2425262728293031323334DB12/T

119820231835363738394041a)是否指定专人负管理核心业务统的用户身份424344否采用两种或种以上组合的别技术对用户行身鉴别，且其中种鉴别技术至应使用密码技来实45464748495051b)是否建立数据分结果输出的安审查机制和授5253DB12/T

1198202319545556b)是否具备对传输道两端进行主身份鉴别和认575859606162636465a)是否对数据供应上下游的行为行合规性审核6667686970717273a)是否具备对接口安全输入参数行限制或过滤DB12/T

1198202320207475767778d)是否采用技术工擦除销毁核心务存储媒体的79DB12/T

1198202321DB12/T

11982023