YD T 3956-2021 电信网和互联网数据安全评估规范.pdf

《YD T 3956-2021 电信网和互联网数据安全评估规范.pdf》由会员分享，可在线阅读，更多相关《YD T 3956-2021 电信网和互联网数据安全评估规范.pdf（37页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 33.040 CCS M10 中 华 人 民 共 和 国 工 业 和 信 息 化 部 发布 - - 实施 - - 发布 YD/T XXXX 20XX 中 华 人 民 共 和 国 通 信 行 业 标 准 YD 电 信 网和互 联 网数据 安 全评估 规范 （报批稿 ） The specification of telecommunication networks and Internet data security YD/T XXXX-20XX 目 录 前 言 . 1 范围 . 2 规范 性引 用文 件 . 3 术语 、定 义和 缩略 语 . 3.1 术 语和 定义 . 3.2 缩 略

2、语 . 4 概述 . 4.1 评 估总 体原 则 . 4.2 评 估启 动条 件 . 4.3 评 估流 程 . 4.4 报 告规 范要 求 . 5 通用 性管 理评 估规 范 . 5.1 组 织机 构 . 5.2 人 员保 障 . 5.3 数 据资 产梳 理 . 5.4 数 据分 类分 级 . 5.5 权 限管 理 . 5.6 日 志留 存 . 5.7 安 全审 计 . 5.8 应 急响 应 . 5.9 举 报投 诉处 理 . 5.10 教育 培训 . 5.11 合作 方管 理 . 5.12 平台 系统 安全 管理 . 6 全生 命周 期管 理评 估规 范 . 6.1 数 据采 集 . 6.2

3、 数 据传 输 . 6.3 数 据存 储 . 6.4 数 据使 用 . 6.5 数 据开 放共 享 . 6.6 数 据销 毁 . 附 录 （ 资料 性） 数 据安全 评估 报告 模板 . 附 录 （ 资料 性） 数 据安全 评估 指标 项 . YD/T XXXX-20XX 前 言 本 文件 按照GB/T 1.1-2020 标准化工 作导则 第1 部分 ：标准化 文件的结 构和起 草规则 的规定 起草。 本 文件 是“ 电信 网和 互联 网数据 安全 ”系 列标 准之 一。该 系列 标准 预计 结构 及名称 如下 ： 1、 电信 网和 互联 网数 据安 全通用 要求 2、 电信 网和 互联 网数

4、 据安 全评估 规范 （本 文件 ） 3、 电信 网和 互联 网数 据安 全评估 技术 实施 指南 请注意 本文 件的 某些 内容 可能涉 及专 利。 本文 件的 发布机 构不 承担 识别 这些 专利的 责任 。 本 文件 由中 国通 信标 准化 协会提 出并 归口 。 本 文件 起草 单位 ： 中国 信 息通信 研究 院 、 中 国移 动 通信集 团有 限公 司 、 中 国 联合网 络通 信集 团有 限公司 、 中 国电 信集 团有 限公司 、 数 据通 信科 学技 术研究 所 、 北京 天融 信网 络安全 技术 有限 公司 、 华 信咨询 设计 研究 院有 限公 司 、 中安 威士 （北

5、京） 科 技有限 公司 、 深圳 市腾 讯 计算机 系统 有限 公司 、 阿 里云计 算有 限公 司 、 北京 金山云 网络 技术 有限 公司 。 本 文件 主要 起草 人： 郭建南 、 尚 铁力、 魏薇、 张媛 媛、 庞 妺、 姜 宇泽、 张硕 、 张峰 、 江为 强、 孙 艺、 于文 良 、 国强 、 王 渭 清、 韩冬 、 皇 甫敏 娜 、 陈 希、 王晟 、 胡鸥、 姚琴 、 李觅 、 李 雯、 吴璟 、 李 金 罡、李 昀、李贵军、 张英义、杨 小梅、刘松涛 、范楠、袁 舒平、谢毅、 邓淼、何欣 、陈晓、夏江 丽、 李江、 曲嘉 杰、 严 飞虹、 胡四维 、 张 雯、 李 明、 陈

6、峰、 王 红波 、 汪志 、 冯程、 刘晓、 侯文 浩、 范 亚辉 、 符加龙 、王 媛媛 、董 平、 李德智 、邱 云翔 、戴 林、 赵伟全 、王 峰 、 武杨 、倪 平 、郭岳 、 张娜 。 1 电信网和 互联网 数 据安全评 估规范 1 范围 本 文件 规定 了数 据安 全评 估 实施 流程 和数 据安 全相 关管理 及技 术措 施 的 评估 要点。 本 文件 适用 于电 信网和 互 联网 服 务提 供商 组织 开展 的网络 数据 安全 评估 工作 ， 也适用 于 第三方 机构 对电 信网和 互 联网 服 务提 供商 数据 安全 保障能 力进行 审 查和 评估 。 2 规范性 引用 文件

7、 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款 。 其 中， 注 日期 的引用 文件 ， 仅 该日 期对 应的版 本适 用于 本文 件； 不注日 期的 引用 文件 ， 其 最新版 本 （ 包括 所有的 修改 单） 适用 于本 文件。 GB/T 35273-2020 信息安 全技 术 个人 信息 安 全规范 YD/T 3802-2020 电信网 和互 联网 数据 安全 通用要 求 YD/T 3813-2020 基 础电 信企业 数据 分类 分级 方法 3 术语、 定义 和缩 略语 3.1 术语和 定义 下列术 语和 定义 适用 于本 文件。 3.1.1

8、 网络数据 network data 通过网 络收 集、 存储 、传 输、处 理和 产生 的各 种电 子数据 。 中华人民共和国网络安全法，定义第七十六条第四款 3.1.2 数据安全 data security 通过管 理和 技术 措施,确 保 数据有 效保 护和 合规 使用 的状态 。 GBT 37988 2019 定义3.1 3.1.3 数据资 产 data assets 以电子 形式 记录 的组 织机 构所拥 有和 控制 的数 据。 电信网和互联网数据安全通用要求，定义3.1.7 3.1.4 保密性 confidentiality 使信息 不泄 漏给 未授 权的 个人、 实体 、进 程,

9、 或不 被 其利用 的特 性。 YD/T 2 GB/T 25069 2010 ，定义2.1.1 3.1.5 完整性 integrity 准确和 完备 的特 性。 GB/T 29246 2017 ，定义2.40 3.1.6 可用性 availability 已授权 实体 一旦 需要 就可 访问和 使用 的数 据和 资源 的特性 。 GB/T 25069 2017 ，定义2.1.20 3.1.7 合规 compliance 对数据 安全 所适 用的 法律 法规的 符合 程度 。 GB/T 37988-2019, 定义3.16 3.1.8 数据处理 data processing 对原始 数据 进行

10、 抽取 、转 换、加 载的 过程 。 GB/T 37988-2019, 定义3.13 3.1.9 规程 procedure 对执行 一个 给定 任务 所采 取动作 历程 的书 面描 述 。 GB/T 25069 2010 ，定义2.1.7 3.1.10 个人信 息 personal information 以电子或者其他方式 记录 的能够单独或者与其 他信 息结合识别特定自然 人身 份或者反 映特定 自然 人活 动情 况的 各种信 息。 注：关于个人信息的范围和类型依据GB/T35273-2020 定义3.1 中要求。 GB/T 35273-2020 ，定义3.1 3.1.11 个人敏 感信

11、息 personal sensitive information 一旦泄 露 、 非 法提供 或滥 用可能 危害 人身 和财 产安 全， 极易 导致 个人名 誉 、 身心健 康受 到损害 或歧 视性 待遇 等的 个人信 息。 注：关于个人敏感信息的范围和类型依据GB/T 35273-2020 定义3.2中要求。 GB/T 35273-2020 ，定义3.2 3 3.1.12 个人信 息主 体 personal information subject 个人信 息所 标识 或关 联到 的自然 人。 GB/T 35273-2020 ，定义3.3 3.1.13 个人信 息控制 者 personal i

12、nformation controller 有 能力 决定 个人 信息 处理 目的、 方式 等的 组织 或个 人。 GB/T 35273-2020 ，定义3.4 3.1.14 明示同 意 explicit consent 个人信 息主 体通 过书 面 、 口头等 方式 主动 作出 纸质 或电子 形式 的声 明， 或者 自主作 出肯 定性动 作， 对其 个人 信息 进行特 定处 理 作 出明 确授 权的行 为。 注： 肯定性动作包括个人信息主体主动勾选、 主动点击 同意 、 注册 、 发送 、 拨打 、 主动填写或 提供等。 GB/T 35273-2020 ，定义3.6 3.1.15 收集 co

13、llect 获得对 个人 信息 的控 制权 的行为 。 注1：包 括由个 人信息 主体 主动提供 、通 过与个 人信 息主体交 互或 记录个 人信 息主体 行 为等自 动采 集行为 ， 以及 通过共 享、 转让 、搜 集公 开信息 等间 接获 取 个 人信 息等行 为 。 注2 ： 如果产品或服务的提供者提供工具供个人信息主体使用， 提供者不对个人信息进行访问的， 则不 属于本标准所 称的收集 行为。 例如，离线导 航软件在 终端获 取用户位置信 息后，如 不回传 至软件提供者， 则不属于个人信息收集行为。 GB/T 35273-2020 ，定义3.5 3.1.16 开放共 享 sharing

14、 and opening 电信业 务经 营者 、互 联网 信息服 务提 供者 进行 全部 或部分 数据 复制 、分 享等 行为。 YD/T 3802-2020 ，定义3.1.9 3.1.17 合作方 partner 受托代 理市 场销 售和 提供 业务合 作、 技术 支撑、 数据 服务等 可能 接触 到组 织机 构数据 的 外部机 构。 其中 ， 业 务合 作主要 包括 数据 业务 合作 推广、 渠道 接入 等形 式； 技术支 撑主 要包 括系统 开发 集成 、 系 统维 护、 技 术支 撑等 形式 ； 数 据服务 主要 包括 数据 建模 、 数据 挖掘 、 数 据分析 等数 据服 务能 力提

15、 供形式 。 YD/T 3802-2020 ，定义3.1.10 YD/T 4 3.1.18 删除 delete 在实现 日常 业务 功能 所涉 及的系 统中 去除 个人 信息 的行为 ， 使 其保 持不 可被 检索、 访问 的状态 。 GB/T 35273-2020 ，定义3.10 3.1.19 销毁 destruction 通过清 除 、 消 磁、 粉碎 等 技术手 段使 电子 信息 载体 中存储 的信 息不 可再 用， 且不可 恢复 的过程 。 TD/T 2692-2014 ，定义2.6 3.1.20 去标识 化 de-identification 通过对 个人 信息 的技 术处 理， 使

16、 其在 不借 助额 外信 息的情 况下 ， 无 法识 别 或 者关联 个人 信息主 体的 过程 。 注：去标识 化建立在 个体基础 之上，保留 了个体颗 粒度，采 用假名、加 密、哈希 函数等技 术手段替代 对个人信息的标识。 GB/T 35273-2020 ，定义3.15 3.1.21 数据脱敏 data desensitization 对某些 敏感 信息 通过 一定 规则进 行数 据的 变形 ，实 现敏感 隐私 数据 的可 靠保 护。 YD/T 3802-2020 ，定义3.1.14 3.2 缩略语 下列缩 略语 适用 于本 文件 。 网际互 连协 议 网络设 备物 理地 址 安全套 接字

17、 协议 传输层 安全 协议 4 概述 4.1 评估总 体原 则 4.1.1 总体框 架 电信网 和互 联网 数据 安全 评估主 要利 用文 件查验 、 系 统演示 及测 评 验 证等 多种 方法评估 企业在 各类 数据 处理 活动 及数据 承载 系统 平台 的保 障措施 合规 情况 ， 从通 用性 管理 与 全生命 周期管 理两 方面 出发 ， 针 对各个 指标 项明确 评估 涉 及的重 要管 理措施 、 重点 技术措 施 及 判断 5 标准 ， 明确 被评 估事项 合 规性保 障基 线， 以提 升 企 业数据 安全 管理 及相 关技 术保障 措施 能力 水平， 评估 框架 如图1所示。 数

18、据 安 全 评 估 通用性管理评估规范 组织机构 人员保障 数据资产梳理 数据分类分级 举报投诉处理 权限管理 日志留存 安全审计 应急响应 教育培训 合作方管理 全生命周期管理评估规范 数据采集 数据传输 数据销毁 数据存储 数据使用 数据开放共享 平台系统安全管理 图1 总体框架 4.1.2 评估原 则 标准性 原则 ：指 遵循 电信 网和互 联网 行业 相关 标准 开展数 据安 全评 估工 作。 客观公 正原 则 ： 指评 估人 员在评 估活 动中 应充 分收 集证据 ， 对 评估 对象 实施 的安全 措施 的有效 性和 可靠 性做 出客 观公正 的判 断。 可重复 和可 再现 原则 ：

19、 指 在相同 的环 境下 ， 对 同一 评估对 象 ， 不 同的评 估人 员依照 同 样 的要求 ，使 用同 样的 方法 ，对每 个评 估实 施过 程的 重复执 行都 应得 到同 样的 评估结 果。 可控性 原则 ： 在 评估 过程 中 ， 应 保障 参与 评估 的人 员 、 使 用的 技术 和工 具 、 评估过 程都 是可控 的 。 完备性 原则 ：严 格按 照被 评估对 象所 涉及 的评 估范 围进行 全面 的评 估。 最小影 响原 则 ： 从 相关 管理 层面和 工具 技术 层面 ， 将评 估工作 对数 据 和 承载 数据 的应用 、 系统 、 网络 正常 运行 的可 能影响 降低 到最

20、 低限 度 ， 不会对 被评 估对 象 涉 及的 应用、 系统 、 网 络 运行 产生 显著 影响 。 保密原 则 ： 指评 估人 员开 展数据 安全 评估 工作 前， 需要与 被评 估单 位就 数据 安全保 密责 任义务 进行 认定 与划 分， 包括不 限于 保密 协议 签署 等， 应对 评估 中获取 的相 关信息 、 评估 过 程文档 等严 格保 密， 以保 障被评 估方 的数 据安 全。 4.2 评估启 动条件 YD/T 6 满足下 列情 形之 一的 ，应 及时启 动数 据安 全评 估： a) 业务运 营阶 段， 在数 据承 载环境 发生 较大 变化 时开 展评估 ： 如 数据 采集 渠

21、道 变更、 数据存 储系 统升 级改 造、 数据处 理技 术变 更等 ； b) 企 业 应 在 开展 数 据 重要 操作 （ 如 开 放数 据 对 外接 口、 数 据 共 享、 数 据 转移 、数 据 加工、 数据 出境 等） 前对 涉及到 的数 据相 关管 理措 施、技 术措 施开 展评 估； c) 行业主 管部 门要 求企 业进 行数据 安全 评估 的； d) 满足国 家法 律法 规有 关情 形时， 应开 展数 据安 全评 估。 4.3 评估流 程 4.3.1 评估准 备阶 段 评估准 备阶 段应 包含 以下 内容： a) 组建评 估团 队 应 组 建 适当 的 数据 安 全评估 团 队

22、，包 括 评估 管 理单位 、 责 任单 位 和开 发 运营单 位 ， 评 估 人员 需具 备数 据安 全评 估相关 能力 ， 以 支撑 整个 评估过 程的 推进 及有 效开 展。 当 被评 估 组 织 委托 安全 服务 机构 开展 数据安 全评 估时 ，应 与被 委托单 位共 同组 建评 估团 队。 b) 确定评 估范 围 应根据 数据 评估 对象 进行 评估范 围界 定， 确定 数据 涉及的 生命 周期 阶段 ， 以 及各阶 段所 涉及的 应用 、系 统、 平台 范围 。 数据评 估对 象可 以为 具有 收集 、 使用 用户 个人 信息 功能的 业务 ， 涉及 存储 用户 个人 信息 和

23、核心 网络 数据 的业务 支 撑系统 等， 例如 ， 评估 范 围 可界 定为 行业 热点 业务 、 业 务 支 撑网 运 营管理 系统 、大 数据 分析 系统等 。 c) 评估对 象调 研 数据安 全评 估团 队应 对被 评估企 业的 数据 安全 相关 工作进 行充 分调 研 ， 调 研内 容包括 被 评估企 业数 据安 全管 理相 关制度 和流 程、 数据 安全 设备部 署情 况等 ， 从 而为 后续数 据安 全评 估实施 奠定 基础 。 4.3.2 评估实 施阶 段 评估组 织实 施阶 段， 对标 数 据安全 基线 要求 ， 采 用包 括 文档查 验、 人员 访谈、 系统 演示、 测评验

24、 证等 方式 对管 理措 施和技 术措 施进 行评 估， 对不合 规项 逐项 提出 针对 性整改 建议 。 数 据安全 评估 团队 评估 实践 过程中 ， 应当 对评 估佐 证材 料进行 收集 、 整理 ， 做 好评 估过程 记录 。 评估实 践过 程通 常可 包括 数据安 全初 评实 践 、 数据 安全复 评实 践 两 部分 ： 7 a) 数据安 全初 评实践 ： 指数 据安全 评估 团队 在完 成评 估准备 阶段 后， 对评 估对 象的初 步评估 。 数据 安全评 估团 队应根 据初 步评 估结 果， 结合评 估对 象实 际情 况， 对评 估 不合规 项逐 项提 出针 对性 整改建 议，

25、给出 评估 对象 初评结 论。 b) 数据安全 整改 复核： 指数 据安全评 估团 队在评 估对 象完成整 改或 达到整 改期 限后 ， 对评估对 象的 整改复 核评 估 。数据 安全 评估团 队应 根据 初步 评估 结果及 整改 建议 ， 检查评 估对 象整 改措 施有 效性 、 合 规性 ， 确 定评 估 对象是 否完 成整 改 ， 给出 评估对 象复评 结论 。 具体评 估方 法包括 但 不限 于以下 方法 ： a) 文档查 验 文档查 验是 指评 估人 员查 阅数据 安全 相关 文件 资料 ， 如企 业数 据安 全管 理制 度、 业 务技 术资料 和其 他相 关文 件 ， 用 以评估

26、数据 安全 管理 相关 制度文件 是 否符 合标 准要 求的一 种方 法 。 通常在 评估 准备 阶段 以及 数据安 全管 理类 基线 评估 部分使 用该 方法 ， 企业 需要 事先完 整准 备 上述文 档以 供评 估人 员查 阅。 b) 人员访 谈 人员访 谈是 指评 估人 员通 过与被 评估 企业 相关 人员 进行交 流 、 讨 论、 询问 等 活动 ， 以 评 估数据 安全 保障 措施 是否 有效的 一种 方法 。 通 常在 评估过 程中 深入 企业 实地 调研时 使用 ， 企 业需要 安排 熟悉 数据 流转 过程， 以及 承载 数据 的应 用、系 统、 网络 情况 的人 员参加 访谈

27、。 c) 系统演 示 系统演示 是 指企 业相 关人 员演示 、 评 估人 员查 看承 载数据 的应 用、 系统 、 网 络， 包 括数 据采集 界面 、 数 据展 示界 面、 数 据存 储界 面、 数据 操作日 志记 录等 ， 以 评估 数据安 全保 障措 施是否 有效 的一 种方 法。 通常在 评估 过程 中深 入企 业现场 调研 时使 用， 企业 需要安 排相 关人 员进行 现场 演示 ，评 估人 员根据 系统 演示 情况 进行 查验。 如系统 存在 高度 保密 性、 可用性 的要 求， 评估 可通 过事后 提供 日志 列表 或测 试环境 等方 式进行 。 d) 测评验 证 测评验 证是

28、 指评 估人 员通 过实际 测试 承载 数据 的应 用、 系 统、 网络， 查看 、 分 析被测 试 响应输 出结 果， 以评 估数 据安全 保障 措施 是否 有效 的一种 方法 。 通 常是 评估 人员针 对 数 据全 生命周 期 涉 及的 相关 技术 指标进 行验 证时 使用 ， 评 估人员 需要 事先 进行 业务 注册、 准备 验证 工具等 以完 成相 关评 估指 标。 YD/T 8 4.3.3 评估总 结阶 段 评 估 总 结阶 段 包括 召 开专家 评 审 会， 对 评估 实 施过程 及 评 估意 见 、评 估 整改落 实 情况 进行核 验，确 认评估 企业 或评估 对象是 否已经

29、配套 数据安 全管理 措施和 数据 安全技 术措施 ， 满足数 据安 全基 线要 求， 并撰写 形成 评估 报告 。 4.4 报告规 范要求 安全评 估报 告应 当包 括以 下组成 部分 （见 附录 ）： a) 概述， 包括 被评 估企业 数据 安全 管理 情况 、 被 评估 业务 或 系统 平台 具体 功能 及数据 安全情 况； b) 数据安 全评 估流 程 ， 包括 评估工 作情 况概 述、 评估 人员组 成、 评估 实施 流程 等； c) 数据安 全评 估矩 阵 ， 根据 通用性 管理 评估 规范 及全 生命周 期管 理评 估 规 范， 梳理总 结出合 规性 评测 矩阵 表； 针对 每

30、一项 评估 指标 ， 综 合运用 多种 评估 方法 ， 收 集佐 证 材料 ； 对 佐证 材料 进行 研判 评估 ， 得出 数 据安 全保 障措 施合规 或完 善程 度有 关结 论； d) 问题分析 ， 根据 评估 结论 梳理评 估指标 项 中不 合规 项，指 出存 在问 题 ； e) 整改建议 ， 依据 存在 问题 逐项提 出 有 针对 性整改 建 议； f) 整改落 实情 况，如 涉 及整 改，需 体现 整改 方案 及整 改措施 、结果 ； g) 复核结果 及 签字 （建议 盖章 ）。 5 通用性 管理 评估 规范 5.1 组织机 构 依据YD/T 3802-2020 第7.1 节要求 开

31、展 评估 。 评估企 业是 否已 设立 数据 安全管 理责 任部 门 ， 负 责牵 头承担 企业 内部 数据 安全 管理工 作 ， 具体包 括以 下内 容： 查验企 业 文 件通 报 或 数据 安全管 理办 法 ， 是否 明确 数据安 全管 理责 任部 门 （ 新设部 门或 指定某 个原 部门 均可 ） ， 是否 明 确部 门名 称及 负责 人， 相关 文件 是否已 面向 组织机 构内 部发 文通报 （如OA发 文、 纸质 发文、 公司 领导 办公 会决 议等）， 在 企业 内部 进行 流转传 达。 查验企 业 文 件通 报 或 数据 安全管 理办 法 ， 是否 明确 数据安 全管 理责 任部

32、 门职 责 ， 部 门职 责 是否 包括 但不 限于 制定 数据安 全管 理整 体方 针策 略， 协 调建 立数 据安 全技 术保障 措施 ， 牵 头做好 数据 安全 合规 性评 估、安 全审 计管 理、 数据 安全事 件应 急处 置、 教育 培训等 工作 。 查验企 业文 件通 报或 数据 安全管 理办 法 ， 是 否 明 确划 分数据 安全 管理 责任 部门 与各项 工 作执行 落实 部门 分工 界面 ， 工 作执 行落实 部门 是否 完整包 含数 据协 同管 理部 门 （ 信息 化、 客 户服务 、 市 场部 门等 ） 、 数据使 用部 门 （ 业务 部门 ） 、 运 维支 撑部 门 （

33、 网络 运维、 系统 集成 等部门 ）、 可能 涉及 的 子 公司等 。 查验企 业数 据安 全监 督检 查制度 ， 是否 明确 由责 任部 门定期 对执 行部 门数 据安 全管理 制 度执行 落实 情况 和落 实效 果进行 监督 检查 ， 是否 能够 通过监 督检 查及 时发 现问 题并督 促整 改 ， 是否 将 数据 安全 工作 执行 部门落 实情 况和 效果 纳入 企业内 部绩 效考 核体 系。 5.2 人员保 障 9 依据YD/T 3802-2020 第7.2 节要求 开展 评估 。 评估企 业是 否 在 数据 安全 管理责 任部 门 和 相关 部门 配备数 据安 全管 理专 职人 员

34、， 是否 明 确相关 人员 数据 安全 工作 职责， 负责 具体 承担 落实 数据安 全管 理工 作 。 具体 包括以 下内容 ： 查验企业 数 据安 全岗 位职 责说明 文件 或人 员任 命书 ， 是否通 过正 式文 件 明 确企 业数据 安 全管理 责任 人 ， 是否 明确 其 职责 范围 ， 包括但 不限 于负责 牵头 制定 数据 安全 管理制 度 ， 指 导 数据安 全管 理责 任部 门 、 协 调各相 关部 门开 展数 据保 护工作 ， 提出 数据 安全 保护 的对策 建议 ， 监督管 理制 度和 措施 的执 行落实 情况 等 。 查验企 业数 据安 全岗 位人 员名单 ， 是 否

35、梳 理各 部门 数据安 全岗 位人 员 配 备情 况 ， 包括 部 门名称 、 姓名 、 联 系方 式 和工作 职责 等 ， 是否 在 数 据安全 管理 责任 部门 至少 配备 一 名数 据安 全专职 人员 ， 相 关工 作执 行落实 部门 至少 配备 一名 数据安 全 责 任人 ， 组 织开展 部门 内数 据安 全 相关 工作 。 相 关人 员 工 作职责 是否 包括 权限 管理 、 安全 审计 、 应 急响 应 、 合规性 评估 、 数 据安全 事件 处置 和信 息报 送 等。 查验企 业数 据安 全岗 位人 员工作 记录 文件 ， 验证 企业 数据安 全管 理责 任部 门和 相关部 门 人员是否 按照 要 求履 职 。 5.3 数据资产 梳理 依据YD/T 3802-2020 第7.10 节要 求开 展 评 估。 评估企 业是 否 建 立数 据资 产梳理 制度 ， 是 否明确 数 据资产