数据安全法风险评估调查表DHH-GZ.docx

地址：广东省广州市天河区珠江西路21号粤海金融中心15楼

电话/传真：020020邮编：510627

网址：邮箱：guangzhou@

数据安全风险评估调查问卷

序号

问题

公司回复

备注

数据处理者情况

单位名称、组织机构代码、办公地址、法定代表人信息、人员规模、经营范围、数据安全负责人及其职务、联系方式等基本信息（如多个主体都处理数据的，请填写多个主体）

单位性质，例如党政机关、事业单位、企业、社会团体等

是否属于特定类型数据处理者，例如政务数据处理者、大型网络平台运营者、关键信息基础设施运营者

所属行业领域

业务运营地区，开展数据处理活动所在国家和地区

主要业务范围、业务规模

数据处理相关服务取得行政许可的情况

资本组成和实际控制人情况

是否境外上市或计划赴境外上市及境外资本参与情况，或以协议控制（VIE）架构等方式实质性境外上市

业务和信息系统

网络和信息系统基本情况，包括网络规模、拓扑结构、信息系统等情况和对外连接、运营维护等情况、是否为关键信息基础设施

业务基本信息，包括业务描述、业务类型、服务对象、业务流程、用户规模、覆盖地域

业务涉及个人信息、重要数据或核心数据处理情况

业务为政务部门或境外用户提供服务情况

信息系统、App和小程序情况，包括系统功能、网络安全等级保护备案和测评结论、入口地址、系统连接关系、数据接口、App及小程序名称和版本，是否有用户协议与隐私政策

数据中心和使用云平台情况

接入的外部第三方产品、服务或SDK的情况，包括名称、版本、提供方、使用目的

数据资产

数据资产情况，包括数据来源、数据范围、数据规模、数据形态（结构化与否）、数据存储分布

数据分类分级情况，包括数据分类分级规则、数据类别、数据级别、重要数据和核心数据目录情况

个人信息情况，包括个人信息种类、规模、敏感程度、数据来源、业务流转及与信息系统的对应关系

重要数据情况，包括重要数据种类、规模、行业领域、敏感程度、数据来源、业务流转及与信息系统的对应关系

核心数据情况，包括核心数据种类、规模、行业领域、敏感程度、数据来源、业务流转及与信息系统的对应关系

数据处理活动

数据收集情况，如数据收集渠道、收集方式、数据范围、收集目的、收集频率、外部数据源、相关系统

掌控的外部公共场所安装图像采集、个人身份识别设备的情况

数据存储情况，如数据存储方式、数据中心、存储系统（如数据库、大数据平台、云存储、网盘、存储介质等）、外部存储机构、存储地点、存储期限、备份冗余策略

数据传输情况，如数据传输途径和方式（如互联网、VPN、物理专线等在线通道情况，采用介质等离线传输情况）、传输协议、内部数据共享、数据接口

数据使用和加工情况，如数据使用目的、方式、范围、场景、算法规则、相关系统和部门，数据清洗、转换、标注等加工情况，应用算法推荐技术提供互联网信息服务的情况，核心数据、重要数据或个人信息委托处理、共同处理的情况

数据提供情况，如数据提供（数据共享、数据交易，因合并、分立、解散、被宣告破产等原因需要转移数据等）的目的、方式、范围、数据接收方、合同协议，对外提供的个人信息和重要数据的种类、数量、范围、敏感程度、保存期限

数据公开情况，如数据公开的目的、方式、对象范围、受众数量、行业、组织、地域

数据删除情况，如数据删除情形、删除方式、数据归档、介质销毁

数据出境情况，是否存在个人信息或重要数据出境，如跨境业务、跨境办公、境外上市、使用境外云服务或数据中心、国际交流合作等场景的数据出境情况

安全措施

已开展的等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计情况，及发现问题的整改情况

数据安全管理与个人信息保护组织、人员及制度情况

防火墙、入侵检测、入侵防御等网络安全设备及策略情况

身份鉴别与访问控制情况

网络安全漏洞管理及修复情况

VPN等远程管理软件的用户及管理情况

设备、系统及用户的账号口令管理情况

加密、脱敏、去标识化等安全技术应用情况

3年内发生的网络和数据安全事件、攻击威胁情况。如事件名称、数据类型和数量、发生原因、级别、处置措施、整改措施等，重大事件需提供事件调查评估报告

近3年发生的数据安全事件处置、记录、整改和上报情况

实际环境中通过检测工具、监测系统、日志审计等发现的威胁

近期公开发布的社会或特定行业威胁事件、威胁预警

其他可能面临的数据泄露、窃取、篡改、破坏/损毁、丢失、滥用、非法获取、非法利用、非法提供等安全威胁