调查地址
https://www.wjx.cn/vj/t56ZJXA.aspx

调查结果

说明：本次调研的目的是了解各单位的数据安全防护能力现状，填写过程可参照本单位数据安全能力最强的系统情况进行如实填写。
问卷多为判断和选择题，判断题仅有三个选项，“是”、“否”和“其他说明”，若只符合条款部分内容或条款内容不能完全反映单位现状的请在“其他说明”中做简要描述。选择题均为多选，有遗漏的请在“其他说明”中做补充。

一、通用要求

1.1 组织管理

• 1) 是否建立了本单位数据安全领导小组，并由单位主要负责人担任组长，相关处室主要负责人和电子政务管理部门负责人担任组员，负责本单位数据安全方针、目标和策略的制定？[单选题]

• 
  

• 2) 是否建立了本单位负责公共数据安全管理的部门机构（可以与负责网络信息安全的部门为同一个部门，但赋予了数据安全管理职责）？[单选题]

• 
  

• 3) 是否定期召开信息化安全会议，明确本单位当前公共数据安全建设的目标和要点，讨论存在的安全隐患和解决办法？[单选题]

• 
  

• 4) 各主要业务部门是否有人员负责具体业务环节的数据安全管理工作？[单选题]

• 
  

• 5) 是否建立了单位内部负责监督审计职能的部门（若通过外部服务实现请在其他说明里填写），对本单位的数据安全工作进行监督管理？[单选题]

• 
  

• 6) 是否建立了数据安全岗位责任制，明确公共数据管理相关的岗位人员和职责？[单选题]

1.2 人员管理

• 1) 是否具有员工入职、转岗、离职的人力资源制度流程？[单选题]

• 
  

• 2) 人事变动时是否能将人员的变更通知到单位各部门并及时调整人员变化所涉及的账号权限的赋权、更改和回收[单选题]

• 
  

• 3) 请根据本单位目前政务系统数据安全岗位情况选择符合自身情况的选项[单选题]

• 
  

• 4) 对能接触个人信息、重要数据的人员采取了哪些管控措施？[单选题]

• 
  

• 5) 是否建立离任审计机制，对关键人员的离任进行审查，对其在任期中的行为进行评估。[单选题]

• 
  

• 6) 对于本单位开展的公共数据安全相关培训，符合[单选题]

1.3 数据资产管理及分类分级

• 1) 是否建立了数据资产登记机制，形成整体的数据资产清单，明确数据资产安全责任主体及相关方，并及时更新数据资产相关信息？[单选题]

• 
  

• 2) 请选择本单位目前已经建立的数据资产管控措施[单选题]

• 
  

• 3) 是否结合具体业务场景和数据敏感度建立了本单位的数据分类分级规范，对数据进行分类和分级？[单选题]

• 
  

• 4) 是否根据分类分级情况按照不同安全等级建立相应的控制措施？[单选题]

1.4 数据防泄漏

• 1) 是否建立了本单位数据防泄露规范，明确需要进行数据泄露防护处理的应用场景和处理方法？[单选题]

• 
  

• 2) 是否采用了技术措施或技术产品来进行数据泄露防护？[单选题]

1.5 终端数据管理

• 1) 是否制订面向终端的数据安全管理规范，明确终端层面的数据安全管理要求？[单选题]

• 
  

• 2) 是否针对接入内部网络环境的终端设备分配终端识别号，并将终端与用户进行一对一绑定？[单选题]

• 
  

• 3) 请选择本单位所部署的终端管理类软件类型[单选题]

1.6 合规风控

• 1) 每年度是否邀请具备风险评估资质的安全公司开展专业的风险评估工作，是否对评估发现的安全风险进行整改？[单选题]

• 
  

• 2) 每年度是否按规定进行了等保测评工作，测评检查发现未达到安全保护等级要求的，是否按时完成整改[单选题]

• 
  

• 3) 是否建立了公共数据安全事件应急预案，明确了应急处置的组织人员和职责、应急处置程序和措施[单选题]

• 4) 是否定期开展政务信息系统及数据安全检查和应急演练工作[单选题]

• 
  

• 5) 在重大节日及敏感期间是否按照要求加强值班和巡检[单选题]

• 
  

• 6) 请列举本行业需要遵循的法律法规和规章制度：
  1、 网络安全法 2、网络安全等级保护制度
  [填空题]

查看详细信息词频分析观点分析

• 7) 若本单位是行业监管单位（例如公安、网信、电子政务办等），请补充本单位所下发的关于数据安全相关的要求和规范[填空题]

查看详细信息词频分析观点分析

1.7 运维管理

• 1) 针对管理员的日常运维管理采取了哪些安全措施？[单选题]

• 
  

• 2) 如果对密钥进行安全管理？[单选题]

二. 数据共享使用各个阶段安全要求

2.1 数据产生/采集安全

2.1.1 数据收集和获取

• 1) 是否建立了数据收集和获取操作规程，规范数据收集和获取渠道、数据格式、流程和方式？[单选题]

• 
  

• 2) 是否采取了必要的技术手段保证数据收集和获取过程中个人信息和重要数据不被泄露？并简述采取的措施。[单选题]

• 
  

• 3) 是否对数据收集和获取过程进行了记录并可以溯源？[单选题]

2.1.2 数据质量监控

• 1) 是否具有数据采集质量管理控制策略和规范，例如对数据标准化格式的要求、数据完整性要求、数据质量要素，以及对异常事件处理的流程和操作规范？[单选题]

• 
  

• 2) 是否根据质量管理策略，建立了数据采集过程中质量监控规则，确数据质量监控范围及监控方式？[单选题]

• 3) 是否采用技术手段或工具对数据质量进行监控，从而实现异常数据的及时更正？[单选题]

2.2 数据传输安全

• 1) 是否划分需要进行传输加密的业务场景，且对个人信息和重要数据的加密传输？[单选题]

• 
  

• 2) 是否对数据传输安全策略的变更进行记录和审计，如通道安全策略配置、密码算法配置、密钥管理配置等操作进行日志记录和审计？[单选题]

• 
  

• 3) 针对关键的数据传输通道，是否部署了传输通道加密方案（VPN、TLS/SSL等均可）？[单选题]

• 
  

• 4) 重要的数据传输通道是否具有冗余机制，保障数据传输的可靠性和网络传输服务可用性？[单选题]

2.3 数据存储安全

2.3.1 存储介质安全

• 1) 是否建立了存储介质访问和使用安全管理规范，如存储介质的存放、使用、销毁、报废、标签管理等。[单选题]

• 
  

• 2) 是否对存储介质的访问和使用行为进行记录和审计。[单选题]

2.3.2 逻辑存储安全

• 1) 建立了哪些数据存储系统（如数据库、文件存储系统等）的安全配置规则？[单选题]

• 
  

• 2) 是否采用符合国家认定的密码算法对高敏感数据进行加密存储？[单选题]

• 
  

• 3) 是否具备对存储数据的完整性验证机制？[单选题]

2.3.3 数据备份与恢复

• 1) 是否建立数据备份与恢复策略以及操作规章制度？[单选题]

• 
  

• 2) 是否建立统一技术工具，保证相关备份恢复工作的自动化执行？[单选题]

• 
  

• 3) 是否定期对备份数据的有效性进行验证？[单选题]

• 
  

• 4) 采用了以下哪些数据备份恢复技术措施？[单选题]

2.4 数据处理安全

2.4.1 数据脱敏

• 1) 是否建立了数据脱敏规范，在规范中明确需要脱敏的数据资产脱敏场景，给出不同分类分级数据的脱敏处理流程，以及数据脱敏的需求、规则和方式？[单选题]

• 
  

• 2) 是否具有数据脱敏的工具或服务组件等进行对数据脱敏？[单选题]

• 
  

• 3) 是否对数据脱敏处理过程相应的操作进行记录，以满足数据脱敏处理安全审计要求？[单选题]

2.4.2 数据分析安全

• 1) 是否对数据分析结果进行二次风险评估机制（技术和人工都可以），确保衍生数据不超过原始数据的授权范围和安全使用要求？[单选题]

• 
  

• 2) 是否利用多源数据进行大数据分析的过程进行日志记录，以备对分析结果质量、真实性和合规性进行数据溯源？[单选题]

2.4.3 数据正当使用

• 1) 是否建立了整体的数据使用管理制度，规定数据使用过程当中所需要遵循的要求和责任？[单选题]

• 
  

• 2) 是否依据数据使用目的建立相应强度或粒度的访问控制机制，限定用户可访问数据范围？[单选题]

• 
  

• 3) 是否对数据使用操作进行记录和审计，以备对违规使用数据人员的识别和追责？[单选题]

2.5 数据交换安全

2.5.1 数据导入导出安全

• 1) 是否建立了数据导入导出的安全制度规范？[单选题]

• 
  

• 2) 是否建立了规范的数据导入导出的安全审核和授权流程？[单选题]

• 
  

• 3) 是否对数据导入导出过程采取了监督和记录[单选题]

2.5.2 数据共享安全

• 1) 是否建立了本单位数据共享管理规范，明确了本单位可共享的数据内容、数据类型、共享方式和共享使用范围？[单选题]

• 
  

• 2) 是否建立了规范的数据共享审核流程，确保共享的数据未超出授权范围？[单选题]

• 
  

• 3) 在数据共享过程中采取了哪些安全技术措施[单选题]

2.5.3 数据发布安全

• 1) 是否建立了本单位数据发布管理规范，明确了数据发布的流程和审核机制？[单选题]

• 
  

• 2) 是否定期对已发布的数据进行审核，确保其不含有非公开数据和敏感数据？[单选题]

2.5.4 数据接口安全

• 1) 针对公共数据调用接口，本单位采用哪些技术手段进行保障[单选题]

2.6 数据销毁安全

2.6.1 数据销毁处置

• 1) 是否建立了数据销毁制度规范，明确了各类数据销毁的手段和审批流程？[单选题]

• 
  

• 2) 是否建立相应的数据销毁机制，并对审批和销毁过程进行记录控制？[单选题]

• 
  

• 3) 是否配置了必要的数据销毁工具，确保以不可逆方式销毁数据及其副本内容？[单选题]

2.6.2 介质销毁处置

• 1) 是否建立了数据介质销毁的管理规范，明确了介质销毁的流程和方式方法？[单选题]

• 
  

• 2) 介质销毁采取哪些措施？[单选题]

2.7 运行监管

• 1) 是否启用了政务网络设备、系统、应用、数据库自身的日志和审计功能，实现对所有用户的行为审计、重要事件的审计及分析？[单选题]

• 
  

• 2) 是否建立了相关制度或策略，对数据采集、传输、存储、处理、交换、销毁等过程进行有效的日志记录，实现数据共享使用全链路的可追溯[单选题]

• 
  

• 3) 是否建立了统一的监控/审计平台，对各类数据访问和操作的日志进行统一的记录和处理分析，实现对数据异常访问和操作的识别和告警[单选题]

• 
  

• 4) 上题选择“是”的话，请选择目前能实现哪些异常行为的发现[单选题]

• 
  

• 5) 若本单位采购了第三方的服务（云计算服务、大数据服务、安全服务等）是否对第三方服务过程进行安全监管？[单选题]

• 
  

• 6) 是否建立针对敏感数据的动态可持续的数据风险监管体系，周期性的对敏感数据的脆弱性、面临的安全威胁、安全措施的有效性等内容进行风险评估？[单选题]