ICS35.110 CCSL70 12 天津市地方标准 DB12/T1198—2023 网络数据安全监督检查规范 Specificationforsupervisionandinspectionofnetworkdatasecurity 2023-04-07发布 2023-05-07实施 天津市市场监督管理委员会  发布 DB12/T1198—2023 I目次 前言..................................................................................II 引言.................................................................................III 1范围................................................................................1 2规范性引用文件......................................................................1 3术语和定义..........................................................................1 4监督检查流程........................................................................2 5监督检查方式........................................................................2 6监督检查要求........................................................................3 7监督检查结果........................................................................9 附录A（规范性）监督检查流程图.......................................................10 附录B（规范性）网络数据安全监督检查记录单...........................................11 附录C（规范性）网络数据安全监督检查点权重表.........................................17 参考文献..............................................................................22 DB12/T1198—2023 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由天津市互联网信息办公室提出并归口。 本文件起草单位：天津市互联网信息办公室、天津市大数据协会、天津市标准化研究院、天津市大 数据管理中心、中科锐眼（天津）科技有限公司、中国电子技术标准化研究院、北京启明星辰信息安全 技术有限公司、国家计算机网络与信息安全管理中心天津分中心、南开大学、天津市滨海新区互联网信 息办公室、天津泰达智慧城市科技有限公司、北京市盈科律师事务所。 本文件主要起草人：王芸、徐滨彦、赵洪宇、贾文娟、赵玉玲、于卓、郝津蕾、由方岚、陆浩、丁 钊、刘琳、高朗、张渊、曹洪星、尹太泽、苗兴宗、宋一萍、梁哲龙、黄格、徐聪、李凯悦、袁青霞、 尚高峰、张尼、张健、蔡迎秋、徐羽佳、高晨涛、郭玉泉、曹静、张云乐、赵明、袁小梅、宋午阳、张 良、王煜。 DB12/T1198—2023 III引言 为维护国家安全、社会公共利益，保护公民、法人和其他组织在网络数据方面的合法权益，加强网 络数据安全管理，强化网络数据安全监督检查，建立健全网络数据安全监管体系，根据《中华人民共和 国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国 密码法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》《天津 市数据安全管理办法（暂行）》《天津市网信部门网络数据安全监督检查工作规范》等法律法规和相关 规范，结合本市实际，制定本规范。 DB12/T1198—2023 1网络数据安全监督检查规范 1范围 本文件规定了网络数据安全监督检查的流程、内容和要求。 本文件适用于网络数据安全监管部门、行业主管部门、第三方评估机构等组织，对网络数据处理者 网络数据的收集、存储、使用、加工、传输、提供、公开和销毁等活动进行监督、检查、管理和评估， 也适用于各类网络数据处理者开展建设、自查、整改工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T35273信息安全技术个人信息安全规范 GB/T37988信息安全技术数据安全能力成熟度模型 3术语和定义 GB/T35273和GB/T37988界定的以及下列术语和定义适用于本文件。 网络数据networkdata 通过网络处理和产生的各类电子数据。 重要数据keydata 一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、 公共健康和安全等的网络数据。 个人信息personalinformation 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的 信息。 敏感个人信息personalsensitiveinformation 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周 岁未成年人的个人信息。 网络数据处理者networkdataprocessor 在网络数据处理活动中自主决定处理目的和处理方式的个人和组织。 DB12/T1198—2023 2 数据安全datasecurity 是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的 能力。 4监督检查流程 准备阶段 4.1.1监督检查发起部门负责编制检查工作方案，工作方案内容包括组织领导、网络数据处理者、检 查内容、检查方式、工作安排、工作保障等内容。 4.1.2实施监督检查前，应根据检查工作方案组建检查组、确定网络数据处理者、确认检查内容、选 择检查方式，按照附录A执行。 4.1.3检查组应不少于2人，至少有1人具备网络数据安全专业知识、培训经历或者从业经验。 4.1.4检查组事先应向网络数据处理者告知相关检查事项，包括但不限于检查时间、检查内容等。 4.1.5检查组在实施检查过程中，应如实记录检查时间、地点、内容、发现的问题及其处理情况等。 4.1.6检查组在实施检查过程中，应严格遵守法律法规、工作纪律要求，对涉及国家秘密、商业秘密、 个人隐私的信息，应当保密。 实施阶段 检查组可采用人员访谈、文档审核、工具测试、配置检查、流量核验等方式，开展检查工作，输出 检查记录单，按照附录B执行。实施过程中，应不干扰、破坏网络数据处理者的业务连续性。 整改阶段 4.3.1检查组应根据监督检查结果，出具书面检查记录单，针对检查中发现的安全问题，提出整改要 求及整改时限。 4.3.2网络数据处理者应按照整改要求，在规定的时间内，完成整改工作，并形成整改报告，提交检 查组。 4.3.3检查组应跟踪整改情况，并记录整改结果。 总结阶段 检查组应在检查结束后，总结检查情况，编写总结报告。对检查过程中收集的资料、检查记录单、 相关过程文书及整改反馈资料等相关数据，按规定立卷存档，存档时间应不少于三年。 5监督检查方式 管理检查 管理检查的检查方式包括但不限于： a)人员访谈：通过访谈的方式与网络数据处理者进行交流、讨论等活动,获取相关资料,了解有 关信息，检查实际工作与管理制度、文档记录之间的一致程度； DB12/T1198—2023 3b)文档审核：由网络数据处理者提供与数据安全相关的文档材料(如网络数据安全的方针政策、 制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单),检查组审核相关的文档材料是否已涵盖检查内容。 技术检查 技术检查的检查方式包括但不限于： a)工具测试：利用技术工具和人工方式对系统进行测试,验证是否符合检查内容的技术保障能力 要求； b)配置检查：根据网络数据处理者提供的技术材料,登录相关的系统工具平台,检查配置是否与 材料保持一致,对文档审核内容进行核实； c)流量核验：采用旁路部署的方式，对网络数据处理者的系统进行全流量采集，核验是否符合 检查内容的技术保障能力要求。 6监督检查要求 总体要求 监督检查要求包含通用安全、数据收集安全、数据存储安全、数据使用安全、数据加工安全、数据 传输安全、数据提供安全、数据公开安全和数据销毁安全九个部分。涉及重要数据的网络处理者原则上 应在符合基本要求的基础上，满足增强要求。 通用安全 6.2.1安全合规管理 6.2.1.1基本要求 本项检查基本要求包括： a)是否定期开展数据安全评估工作； b)