一、基本信息
- 企业名称:
- 自检日期:
- 自检范围:
- 覆盖部门/业务系统:
- 涉及数据类型(如个人信息、财务数据、商业秘密等):
- 适用法律法规及标准:
- 《中华人民共和国网络安全法》
- 《中华人民共和国数据安全法》
- 《中华人民共和国个人信息保护法》(PIPL)
- 《信息安全技术 个人信息安全规范》(GB/T 35273)
- 其他(如行业标准、ISO 27001、GDPR等):
二、自检内容及结果
1. 组织与管理
| 检查项 | 是否符合 | 问题描述 | 整改建议 |
|---|---|---|---|
| 是否设立网络安全与数据安全责任部门或专人? | ☐ 是 ☐ 否 | ||
| 是否制定网络安全与数据安全管理制度? | ☐ 是 ☐ 否 | ||
| 是否定期开展员工安全意识培训? | ☐ 是 ☐ 否 | ||
| 是否与第三方合作方签订数据安全协议? | ☐ 是 ☐ 否 |
2. 技术措施
| 检查项 | 是否符合 | 问题描述 | 整改建议 |
|---|---|---|---|
| 是否部署防火墙、入侵检测系统(IDS/IPS)? | ☐ 是 ☐ 否 | ||
| 是否对敏感数据(如个人信息)加密存储和传输? | ☐ 是 ☐ 否 | ||
| 是否实施访问控制策略(如最小权限原则、多因素认证)? | ☐ 是 ☐ 否 | ||
| 是否定期进行漏洞扫描和渗透测试? | ☐ 是 ☐ 否 | ||
| 是否建立数据备份与恢复机制? | ☐ 是 ☐ 否 |
3. 数据生命周期管理
| 检查项 | 是否符合 | 问题描述 | 整改建议 |
|---|---|---|---|
| 是否对数据进行分类分级管理? | ☐ 是 ☐ 否 | ||
| 是否明确数据收集的合法性(如用户授权)? | ☐ 是 ☐ 否 | ||
| 是否限制数据存储期限并定期清理过期数据? | ☐ 是 ☐ 否 | ||
| 是否建立数据共享、传输的安全评估机制? | ☐ 是 ☐ 否 | ||
| 跨境数据传输是否符合法律要求(如安全评估、认证等)? | ☐ 是 ☐ 否 |
4. 供应商与第三方管理
| 检查项 | 是否符合 | 问题描述 | 整改建议 |
|---|---|---|---|
| 是否对供应商进行数据安全能力评估? | ☐ 是 ☐ 否 | ||
| 是否与供应商签订保密协议(NDA)和数据处理协议(DPA)? | ☐ 是 ☐ 否 | ||
| 是否监控第三方访问企业数据的权限和行为? | ☐ 是 ☐ 否 |
5. 事件应急与合规报告
| 检查项 | 是否符合 | 问题描述 | 整改建议 |
|---|---|---|---|
| 是否制定网络安全事件应急预案? | ☐ 是 ☐ 否 | ||
| 是否定期开展应急演练? | ☐ 是 ☐ 否 | ||
| 是否建立数据泄露事件的报告流程(如向监管机构、用户通知)? | ☐ 是 ☐ 否 |
三、自检结论
- 总体合规性评价:
- ☐ 完全符合要求
- ☐ 基本符合要求,需局部整改
- ☐ 存在重大风险,需全面整改
- 高风险问题清单:
1.
2.
3.
四、整改计划
| 问题描述 | 整改措施 | 责任人 | 完成时间 |
|---|---|---|---|
五、附录
- 相关法律法规清单
- 术语解释(如敏感数据、跨境传输等)
- 自检依据的文件和记录(如制度文档、测试报告等)
报告编制人:
审核人:
批准人:
注意事项:
- 本报告需根据企业实际业务场景补充细节(如行业特殊要求)。
- 建议定期(如每季度/半年)更新自检内容。
- 如发现重大合规风险,应及时联系法律或安全专家协助整改。