安全合规检查表

这是一个面向一般数据处理者、网络运营者的检查清单项目，旨在简化网络安全、数据安全中的安全合规落地过程。

合规是技术的一种需求 、一种演进、一种力量

背景

当前中国国内的网络安全、数据安全、信息安全相关法规的大致情况可以参考下图（更新中……）

分类

• 安全合规检查表
  • 背景
  • 分类
    • 网络安全法
    • 数据安全法
    • 个人信息保护
    • 关键信息基础设施保护
    • 网络安全等级保护
      • 等保二级要求
      • 等保三级要求
    • 汽车数据处理
    • 数据出境安全评估

网络安全法

以下内容参考了2016《网络安全法》 。

• 按照网络安全等级保护制度要求，制定了管理制度和操作规程，并根据国家法规、标准进行及时更新。否则，可能面临1～10万单位罚款，5k～5W主管人员罚款。
• 确定了至少一名网络安全负责人。
• 采取了防范病毒、网络攻击的技术措施，并采取了监测和记录网络运行状态、安全事件的技术措施。
• 网络运行状态日志、安全事件日志留存至少6个月。
• 数据按标准（建议参考最新的GB/T 43697-2024进行）进行分类、分级，重要数据要采取备份、加密等措施。
• 发现产品、服务存在安全缺陷、漏洞等风险时，应立即采取补救措施，按规定及时告知用户和有关主管部门。
• 应为其产品、服务持续提供安全维护，在规定或当事人约定的期限内，不得终止提供安全维护（包括但不限于及时修复漏洞、发布安全公告、产品召回等措施）。
• 收集用户信息前应当向用户明示并取得同意。否则，可能面临5～50万单位罚款，1～10万主管个人罚款。
• 应采用国家承认的安全认证合格、安全检测合格的网络关键设备和网络安全专用产品。
• 应采用在国家网络关键设备和网络安全专用产品目录中，经过国家承认的安全认证合格、安全检测合格的网络关键设备和网络安全专用产品。
• 为用户办理网络接入、域名注册、固话或移动入网、信息发布、即时通信等服务，要与用户签订协议，要求用户提供真实身份信息。用户若不提供真实身份信息，不得为其提供服务。否则，可能面临5～50万单位罚款并吊销执照，1～10万主管个人罚款。
• 拥有网络安全事件应急预案，能够及时处置系统漏洞、病毒、网络攻击等风险。否则，可能面临1～10万单位罚款，5k～5W主管人员罚款。
• 发生网络安全事件时，应立即启动网络安全事件应急预案，并向有关主管部门报告。
• 发布网络安全漏洞、病毒或网络攻击等安全事件信息应当慎重，确认遵循了国家法律法规（如《网络产品安全漏洞管理规定》等等）。否则，可能面临1～10万单位罚款并吊销执照，5k～5万主管个人罚款。
• 从事入侵、干扰网络，窃取数据的，提供相关程序、工具、技术支持、广告推广、支付结算的，都是违反网络安全法的行为。否则，可能面临拘留、5～50万罚款，甚至10～100万罚款。
• 涉及关键信息基础设施的，应设置专门安全管理机构、安全负责人，并对负责人和关键岗位人员进行安全背景调查。否则，可能面临10～100万单位罚款，1～10万主管个人罚款。
• 涉及关键信息基础设施的，应定期对从业人员进行安全意识培训、技术培训和技能考核。否则，可能面临10～100万单位罚款，1～10万主管个人罚款。
• 涉及关键信息基础设施的，针对关键基础设施制定专门安全事件应急预案，并定期进行演练。否则，可能面临10～100万单位罚款，1～10万主管个人罚款。
• 关键信息基础设施运营者采购网络产品和服务，应通过国家网信部门组织的安全审查。
• 关键信息基础设施运营者采购网络产品和服务，应签订专门的安全保密协议，明确安全保密责任义务。否则，可能面临10～100万单位罚款，1～10万主管个人罚款。
• 关键信息基础设施系统每年至少进行一次安全风险评估，并将结果保送关基安全保护工作部门。否则，可能面临10～100万单位罚款，1～10万主管个人罚款。
• 对个人信息的处理及保护，参考个人身份信息法相关合规checklist。否则，处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款，以及停业，吊销执照等。
• 加强对用户发布的信息的管理，对于违法违规信息应立即停止传输，采取消除等措施，防止信息扩散，保存有关记录，并向有关部门报告。
• 建立了网络信息安全投诉、举报制度，保障投诉、举报相关系统的正常运行，及时水处理有关网络安全的投诉和举报。
• 个人和组织都不能发送含有任何恶意程序的电子信息、应用软件。否则，可能面临5～50万单位罚款，1～10万主管个人罚款。
• 个人和组织都不能发布活传输法律、法规禁止发布的信息。否则，可能面临5～50万单位罚款，1～10万主管个人罚款。
• 有一套完整的制度文档、各种记录和专门人员，能有效配合网信部门和有关部门依法实施的监督检查（不定期）。
• 防范发生网络安全重大事件，有专门的策略和人员在重大事件发生时应对当地公安、网信等部门对法人或主要负责人的约谈。

数据安全法

以下内容参考了2021年《数据安全法》

• 开展数据处理（收集、存储、使用、加工、传输、提供、公开等）活动，应有一套健全的全流程数据安全管理制度。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 开展数据处理活动，应对所有员工开展数据安全教育培训。
• 开展数据处理活动，应采取相应的技术措施和其他必要措施，保障数据安全。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 利用互联网开展数据处理活动，要在网络安全等级保护制度的基础上，补充保障数据安全的管理和技术控制。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 有一位明确的数据安全负责人和一个数据安全管理机构，落实数据安全保护责任。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 拥有进行数据安全风险监测的资源（系统、工具、人员等等），能够持续发现安全缺陷、漏洞及安全事件。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 对发现的安全缺陷、漏洞，能够及时补救。包括：修复数据泄露漏洞、对系统进行安全升级等等。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 拥有数据安全事件应急处置方案，对于已发生的安全事件按预案处置。包括：防止事件进一步恶化、对已泄漏数据的滥用、恢复被毁数据、建立灾备系统、告知用户、上报有关主管单位等等。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 处理重要数据（可参考GB/T 43697-2024《数据安全技术数据分类分级规则》附录G）的，要定期开展风险评估（对于数据处理无重大变化的组织，一般1年1次），并向有关主管部门保送风险评估报告。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 风险评估报告应包括重要数据的种类、数量、处理过程、处理目的、负责人、联系方式、可能的数据安全风险、应对风险的安全管理策略、安全技术措施、安全运维计划与记录、应急预案等等。否则，可能面临5～50万罚款，主管人员面临1～10万罚款；造成严重后果的，面临50～200万罚款，吊销执照，主管人员面临5～20万罚款。
• 数据出境相关要求参考数据出境Checklist。否则，可能面临10～100万罚款，主管人员面临1～10万罚款；情节严重的，面临100～1000万罚款，吊销执照，主管人员面临10～100万罚款。
• 公安机关、国安机关按国家规定和批准手续要求调取数据的，应予以配合；否则可能面临5～10万罚款，主管人员面临1万～10万罚款。
• 应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供用户数据、政务数据。

个人信息保护

以下内容参考了《个人信息保护法》、《GDPR》等涉及个人信息保护的法规。

• 拥有可公开访问的隐私政策，该政策描述了与个人数据相关的所有流程。其中应包含内容有：信息处理者名称、联系方式、数据处理的目的、方式、信息种类、保存期限、个人行使个人信息保护法规的方式和程序等等。
• 隐私政策中明确阐释了本组织需要处理个人信息的合法依据（基于个人的同意、基于合法的合同、基于法定义务等）。
• 如果数据处理是基于用户同意的，则此类同意必须是用户自愿的、具体的、知情的和可撤销的。应有过程记录等可证明这一点，并提供了用户可访问的修改“用户同意”的工具。
• 在更新隐私政策、改变个人信息处理目的、处理方式时，应通知了所有的现有客户，并重新获得用户同意。
• 用户在撤回同意时，应与最初赋予同意时一样容易。有专门的应用或系统支持这一点。
• 处理涉及儿童的个人数据时，验证了他们的年龄并征求了其法定监护人的同意，且有明确的过程记录可证明。
• 隐私政策应该以显著方式、清晰易懂的方式编写。
• 定期审查政策的变化、有效性、数据处理的变化以及您的数据流向的其他国家/地区的事态变化，并详细记录审查过程和结论。
• 提供了可用的应用或支持系统，使客户可以轻松请求访问他们的个人信息。
• 提供了可用的应用或支持系统，使客户可以轻松更新自己的个人信息以保持准确。
• 已经通过管理控制和技术手段确保不再使用的个人信息会被自动删除。
• 提供了可用的应用或支持系统，使客户可以轻松请求删除他们的个人数据。
• 提供了可用的应用或支持系统，使客户可以轻松要求您停止处理他们的数据。
• 提供了可用的应用或支持系统，使客户可以轻松请求将他们的数据传送给自己或转移给第三方。
• 提供了可用的应用或支持系统，使客户很容易反对可能影响他们的分析或自动决策。
• 已任命一名数据安全管理者（或称为数据保护官 DPO）。
• 管理层、决策者对《个人信息保护法》（以及GDPR等）有清晰的理解和认识。
• 确保所使用的各类技术及软硬件实现的安全更新是最新的。
• 对员工开展了数据保护培训，并详细记录了过程和参加人员。
• 拥有并持续更新一个子级数据处理者列表（含子公司、供应链的直接下游），并且隐私政策中明确了与该子级处理者的关系和数据处理过程。
• 如果在境外运营，本组织已在境内（例如GDPR中的欧盟、中国个人信息保护法中的中国……）指定了一名数据安全代表负责相关事务。
• 在发生涉及个人信息的数据泄露事件时，及时（GDPR要求72h内、中国对重大级以上事件要求1h内）向地方当局和相关人员（数据主体）报告。
• 共享数据的任何数据处理者都签订了数据安全相关合同，并明确了数据处理的目的、期限、处理方式、个人信息类型、保护措施、各方权利和义务。同时，要对进行合同执行情况的检查并保留检查的过程证据和结果。
• 拥有并持续更新个人信息清单。清单列出了组织持有的各种个人信息的类型、信息来源、数据共享者、数据处理内容及过程，以及保存这些信息的时间期限。
• 拥有且持续更新记录处理个人信息的地点位置、以及数据在这些位置之间交互方式的清单。
• 组织的管理层和业务相关人员了解何时必须执行业务所在地当地授权（例如某些欧盟国家在GDPR外的本地法规） 来对敏感数据进行高风险处理。
• 数据的传输、转移必须在合法合同保证下进行，并告知用户数据接收方的名称、联系方式、处理目的、处理方式、个人信息类型，并获得用户同意。欧盟GDPR要求仅将数据传输到境外提供适当保护级别的国家/地区。
• 定期审查政策的变化、有效性、数据处理的变化以及数据流向的其他国家/地区的事态变化，并详细记录审查过程（用于证明和溯源）。
• 自动化决策方式进行的信息推送、商业营销，应向个人提供便捷的拒绝方式。
• 对于生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，以及不满十四周岁未成年的个人信息，应使用专门隐私保护策略和安全防护技术。处理这类信息应取得个人单独同意，最好是单独的书面同意。
• 向中国境外提供个人信息的，需要经过国家网信部门的安全评估、专业机构认证、签订标准合同、遵循专项法律法规。
• 关键信息基础设施运营者、处理个人信息数量达到规定数量（目前常见要求是10万条）的个人信息处理者，应将数据存储在境内。

关键信息基础设施保护

以下内容参考了2021年4月27日通过的《关键信息基础设施安全保护条例》。

• 被主管、监管部门认定属于关基运营者的组织，新网络系统按“三同步”原则规划建设使用，老网络系统要进行安全强化和改造。一般情况与等保同步展开。
• 应参考《GB/T39204-2022 关键信息基础设施安全保护要求》和当地公安有关文件，制定专门的网络安全管理制度。
• 被认定为关基运营者的主要负责人（如CEO、总经理）是关基安全保护负责人，负责安全保护建设、安全事件处置等等。应另一名首席安全官做专项管理。
• 设置了专门的关基安全管理机构。该机构负责安全管理、防护能力、应急预案、个人信息与数据保护等体系建设；负责培训、演练、考核、安全运营和事件报告。
• 有专门经费、人员保障关基保护。
• 对关基设施每年至少进行一次网络安全监测和风险评估，对问题进行整改，同步更新关基保护体系，并按要求报告有关主管部门。
• 发生重大事件（如主要的业务中断、功能故障、重要数据泄露、万级以上个人信息泄露、大的经济损失、大范围违法信息传播）或发现重大威胁时，按要求尽快报告有关主管部门。
• 采购网络产品和服务应按2022年2月15日起施行的《网络安全审查办法》经过审查，通过查后再采购。
• 采购经过审查的网络产品和服务时，应签订安全保密协议（参照主管单位模版）。
• 关基运营者发生合并、分立、解散等变化，要及时向保护部门（行业主管、当地公安）报告并做好关基设施安全保护。
• 如果未有效执行“关保条例”和《GB/T39204-2022 关键信息基础设施安全保护要求》，可能面临10～100万单位罚款，1～10万主管人员罚款，以及其他处罚。

以下内容参考了《GB/T39204-2022 关键信息基础设施安全保护要求》

• 关基设施的安全保护应在落实等保制度的基础上，进行重点保护，遵循整体防控、动态防护、协同联防的原则。
• 对关基设施上的业务要形成业务清单，内容包含关键业务名称、关联的外部业务名称、依赖关系、重要程度、对应的关基设施、物理位置、当前运行状况、责任人和责任部门、联系方式等。
• 对关键业务相关资产要形成资产清单，内容包括资产名称、类型（可分为软件、硬件、网络、数据、人等）、数量、位置、用途、服务对象、用户规模、重要程度、保护优先级等。
• 要具有能够实现资产探查的技术能力和成熟工具，实现关键业务相关资产的动态检查和更新，按组织安全运营策略定期检查更新。
• 要按照GB/T 20984等风险评估标准开展风险评估，形成风险评估报告。
• 关基设施改扩建、所有人变更时，要重新进行业务、资产、风险等方面的识别并及时上报主管部门、保护部门（公安）。
• 关基设施应根据等保要求，开展定级、备案、安全建设整改、等级测评等工作。
• 拥有一套网络安全保护计划，明确关基设施安全保护的目标和工作内容（管技运保人财物）。该计划应文档化，经过（公安）审批后发给相关人员，至少每年修订一次或有重大变化时也要修订。
• 拥有一套管理制度和安全策略，根据风险分析和当前威胁变化，形成具体的（1）网络连接；（2）安全审计；（3）身份管理；（4）入侵防范；（5）数据安全；（6）自动机制（配置、漏洞、补丁、病毒库的更新）；（7）供应链安全；（8）安全运维等方面的安全控制列表和流程，并保持应需更新。
• 明确关键安全管理机构和考核监督问责机制；每个关基设施确定一名安全管理人；安全管理人员纳入本组织信息化决策体系。
• 关键安全管理人员要做背调、技能考核，合格才能上岗；网络、系统、安全等管理岗位要分别设立；关键岗位设2人共管。
• 关键安全管理人员要定期参加国家、行业网安活动，掌握动态。
• 组织要有培训制度，定期对从业人员开展培训和考核，每人每年不小于30学时，内容包括法规标准、管理、技术等。
• 安全管理机构负责人、关键岗位人员的身份、背景发生变化时，要重新背调审查。内部人员变动要重新评估和设置逻辑和物理访问权限。离岗的终止所有权限。
• 业务及安全管理的关键人员的身份背景发生变化时，要重新背调审查。内部人员变动要重新评估和设置逻辑和物理访问权限。离岗的终止所有权限。
• 要与关基从业人员都签署安全保密协议，明确职责、奖惩机制、离岗脱密期等。
• 关基设施的通信线路要“一主双备”多运营商、多线路保障；关键节点和设施要双节点冗余备份。
• 不同系统（含安全等级不同、业务不同、区域不同、运营者不同等等）的互联要有专项的安全控制策略。
• 同一用户在不同系统中有一致的身份和访问控制策略（均按最小特权处理）。
• 不同系统之间的通信要基于国产密码技术进行双向验证和鉴别，传输信道要安全加密。
• 对不同系统之间的互操作、数据交换、信息流要进行严格的控制，如专项审批、内容审计、DLP、访问控制、流量监控、端点保护等。
• 应有技术手段对未授权设备进行动态发现和管控，非授权软硬件都不可以运行。
• 关基涉及的网络和系统要有审计措施，保留详细的系统运行状态记录、日常操作记录、故障维护记录、远程运维记录等等不少于6个月。
• 拥有重要业务操作清单、重要用户操作清单、异常用户操作行为清单等。
• 对设备、用户、服务、应用进行身份标识和动态鉴别（可参考GB/T 43696-2024 零信任参考体系架构）、多因子身份鉴别。
• 重要数据处理应基于安全标记等技术实现访问控制，即LBAC、ABAC等细粒度的访问控制。
• 拥有应对APT攻击的安全策略并实施，不断改进安全运营中的入侵检查和防护能力。
• 对于系统账户、配置、漏洞、补丁、病毒库等的管理要使用自动化工具，实现自动验证和自动升级。
• 关键设施建设、改造、升级时，要采取测试、评审、攻防演练多种形式验证，还可以搭建模拟系统环境验证。
• 运维地点应在国内；运维人员应签署保密协议且使用已备案的工具。如果使用未登记备案的工具，要记录并进行病毒检测等安全检测。
• 拥有供应链风险管理策略、供应商选择管理策略、产品开发采购策略、安全维护策略等专项供应链管理策略。
• 采购的网络设备和网安产品，应采购通过国家检测认证的设备和产品（国家网信办网站或www.isccc.gov.cn/查询）。
• 采购要有年度清单，要符合国家相关标准，可能影响国家安全的要经过国家网络安全审查。例如应采用国产替代产品、应用国产密码。
• 拥有并维护合格供应方目录，防止出现政治、外交、贸易等因素导致的产品和服务断供。
• 采购渠道要稳定、多样。
• 采购前应明确提供者的安全责任和义务并签署协议。要求其（1）加强产品和服务的全生命周期安全管理；（2）不非法获取数据、控制系统和设备；（3）不谋求不当利益或不能迫使用户更新换代。
• 与供应方签署保密协议，明确安全责任、保密内容、奖惩机制、有效期限。
• 供应方应对他提供的产品和服务涉及的知识产权有10年以上授权或有持续授权（注意授权到期日）。
• 供应方应提供产品和服务的中文版运行维护、二次开发等技术资料。
• 应自己或委托第三方进行软件源代码安全检查，或由供应方提供可信第三方出具的代码安全检测报告。
• 发现使用中的产品和服务存在安全缺陷、漏洞等风险，要按组织安全策略立刻风险处置措施，重大风险要按规定上报主管部门和公安部门。
• 拥有专门的数据安全管理体系，有责任和评价考核制度，有数据安全保护计划并实施保护。
• 应开展数据安全风险评估、制定应急预案并处置安全事件。这一专项风评既需要随关基整体风评同步开展，也需要在数据处理发生重大变化时单独进行。
• 拥有数据分类分级清单，并根据不同类别和等级制定数据安保策略（参考数据安全、个人信息保护等checklist）。
• 数据可用性、业务连续性要求高的关基设施，要采取数据和业务的异地实时备份，并能确保在发生破坏时及时恢复。
• 要建立业务连续性管理和容灾备份机制；重要的系统和数据实现异地备份；数据可用性、业务连续性要求高的关基设施，要采取数据和业务的异地实时备份，并能确保在发生破坏时及时恢复。
• 关基设施报废时，要按数据保护策略对相关数据进行处理，如需清除应考虑多重覆盖式删除。
• 应有专门的安全检测和评估制度，并自行或委托第三方对关基设施进行安全风险检测，每年至少一次，并及时整改。
• 检测评估至少包括制度落实、组织建设、人员和经费、教育培训、等保制度落实、商密应用、技术防护、数据安全、供应链安全、云安全、风险评估、应急演练、攻防演练。特别关注跨域系统和信息流动及资产。
• 关基设施改扩建或所有人变更时，要重新做检测评估，对风险变化进行有效整改后方可上线。
• 应对特定业务系统或资产，经主管、公安、工信、网信等有关部门批准或授权，采取模拟攻击方式检测防护和响应能力。
• 应持续维护和更新安全制度、网络拓扑、资产清单、关键业务链清单、网络日志、安全运维日志、培训记录、演练记录、年度风险检测报告、供应商安全管理资料等必要资料。这些资料是每年抽查和检查的重点内容。
• 拥有落实常态化监测预警、信息通报、快速响应的安全管理制度。参考GB/T 20986-2023 《网络安全事件分类分级指南》制定分级策略。
• 监测预警制度应包含：（1）各级别预警的报告、响应和处置流程；（2）外协组织及联络清单；（3）相关方沟通协调与定期会议机制；（4）相关方信息共享机制。
• 应在网络边界、出入口等关键节点部署攻击检测设备（如IDS、IPS、UTM、防火墙）以发现攻击威胁。
• 应对关键业务系统进行流量、态势、终端等监测（可借助网络型流量控制、终端安全、态势感知等产品），监测信息也要防止非法访问。
• 在监测基础上，还要对通信流量、事件进行安全建模，以调整监测工作的可用性，减少误报、漏报（注意文档化、程序化）。
• 应全面收集安全日志，形成违规操作模型、入侵行为模型、异常行为模型（注意文档化、程序化），并用于安全防护。
• 应采用自动化机制（态势感知类产品），整合监测信息，并关联资产、漏洞、威胁，形成网络安全态势。跨地域的要建指挥中心，形成统一指挥、全面监测、多级联动。
• 要形成各种信息的关联和整合分析。包括不同数据库、不同系统、不同软件、不同物理访问等的审计日志，以及供应链、关键人员等信息。
• 监测应该是自动进行的，能自动报警、自动处置（至少应通知到相关人）。
• 发现问题要形成内部预警信息，包括问题描述、危害及其程度、影响用户及范围、应对措施等，可能造成较大影响的要上报。
• 应能持续获取预警信息，并能够决策何时启动已制定的应急预案，并通报相关人员和主管部门。
• 当安全隐患得以控制或消除时，要执行预警解除流程。
• 拥有网络资产暴露面清单并保持更新；持续识别、尽量减少互联网、内部网的主机地址、服务端口、应用接口等方面的数量和暴露。
• 尽量避免组织信息、邮箱等信息对外暴露，拥有并贯彻防范社会工程学的安全策略。
• 不在网盘、代码托管平台、文库、QQ空间等公共存储空间存储任何内部资料，拥有并贯彻相关的安全保密管控策略。
• 拥有防范网络攻击的总体技术方案，并在日常执行相关运营防护策略和技术措施。
• 拥有监测、分析、阻断、溯源网络攻击的策略和能力，并在日常运营中执行和记录。
• 定期或遇到严重攻击时组织分析研讨会，全面分析网络攻击的TTPs，对原防护方案进行升级加固。
• 应以关键业务连续性、核心供应链等为场景定期组织实网攻防演练；不适合的，要组织沙盘推演。对发现的问题进行及时整改。
• 拥有跨上下级、跨行业、内外协同的威胁情报共享机制。
• 拥有分级（参考GB/T20986-2023）的网络安全事件管理制度，内容包括：事件分类分级、处置流程、应急预案、信息共享、支撑队伍、专家组、其他资源等。
• 拥有符合行业、地方要求（网信、工信、公安等）的网络安全事件应急预案并保持更新。明确要维护的关键业务，恢复时间、处置流程、多方协同等内容。
• 每年至少组织一次本组织的应急演练，并定期组织、参加跨组织、跨地域的应急演练。
• 发生危害关键业务的安全事件，要及时按规定上报和通报，同时按组织策略进行处理和恢复。重大事件在1小时内上报。

网络安全等级保护

等保二级要求

以下内容参考了GB/T 22239-2019 《网络安全等级保护基本要求》等文件:

• 机房应选择在具有防震、防风、防雨等能力的建筑内；应避免设在顶层或地下室，否则要加强防水防潮措施。
• 机房所有入口都应有专人值守或电子门禁，能控制、鉴别和记录进入人员。
• 应拥有防盗系统（视频监控、铁门、铁窗、铁柜、防盗锁、狗等可选），对设备或主要部件加固，并在设备和主要部件上印刻不易去除的（所有权、管理权）标识；应将通信线缆铺设在隐秘安全处。
• 应将各类机柜、设施、设备等安全接地。
• 机房应设置火灾自动消防系统，能自动监测火情、自动报警、自动灭火；机房及相关房间要采用具有耐火等级的建筑材料。
• 机房门窗、屋顶、墙壁经过防水处理，应可防止雨水等渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
• 应采取防静电地板或地面，并采用必要的接地防静电措施。
• 机房备应有自动温湿度调节设施，使机房温湿度变化在设备运行允许范围内。
• 机房供电备应有稳压器和过点压保护设备；应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。
• 电源线和通信线缆应隔离铺设，避免相互干扰。
• 机房所需设备小结：(1)防盗报警系统；（2）自动火警和灭火设备；（3）水敏感检测仪及漏水检测报警系统；（4）自动化精密空调；（5）备用发电机及UPS。
• 应划分不同的网络区域（如DMZ、办公网、生产网、开发测试网、特定部门网等等），并按便于管理控制的原则分配网络地址；不要将重要网络部署在边界，重要网络与其他网络之间要可靠隔离（如防火墙、网闸等）。
• 应选择具有传输完整性校验的协议（如TCP和特定的UDP协议+HTTPS+安全VPN），最好采用二进制方式而不是文本方式传输，并在终端再做一次完整性校验（注意：ISP或Proxy可能会在数据里加内容）。
• 可以基于可信根（例如启用TPM相关功能等）对通信设备（交换机、路由器、防火墙、主机、VPN等）的系统引导程序、系统程序、配置、应用等进行可信验证，发现可信性被破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。最好是采购和使用2024年4月网信办发布的安全检测合格的产品（https://www.cac.gov.cn/2024-04/11/c_1714508003583632.htm）。
• 应保证跨网络边界（不同安全级别、不同地域、不同组织、不同用户之间）的访问和数据流通过边界设备（防火墙、网闸、内容审计、路由交换等）提供的受控接口进行通信（即设置了访问控制、流量分析、内容审计、加密等策略的接口）。
• 应在网络边界和区域之间按组织安全策略设置访问控制规则，默认情况下除允许通信的受控接口外，拒绝其他所有通信。
• 应删除防火墙、路由、交换机等设备上无用、冗余的规则，保证规则数量最小化（增加可维护性、降低因规则相互冲突导致的安全风险）。
• 访问控制规则应至少检查网络通信5要素（源地址、目的地址、源端口、目的端口、通信协议），仅允许白名单内的通信，默认禁止通行，并设立黑名单。
• 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力（常指正确使用NGFW、网络行为分析等）。
• 应在关键网络节点（通常是外网入口、主交换、重要安全域入口）处监视网络攻击行为（常指正确使用NFGW、IPS等）。
• 应在关键网络节点（通常是外网入口、主交换、重要安全域入口）处对恶意代码进行监测和清除，并维护恶意代码防护机制的升级和更新（常指正确使用UTM、NDR或XDR）。
• 应在网络边界（不同安全级别、不同地域、不同组织、不同用户之间）和关键网络节点（主交换、重要安全域交换）进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要的安全事件进行审计（常指FW/UTM、WAF、IDS/IPS、SIEM等系统中审计功能的综合应用与集成）。
• 审计记录应包含事件的日期、时间、用户、事件类型、事件是否成功、其他等信息。
• 安全审计记录应进行保护、定期备份、避免受到未预期的删除、修改和覆盖等（常指在内网高安全域布设日志设备、备份设备并加密保护、不允许外部访问、仅允许堡垒机访问等等安全策略）。
• 可以基于可信根（例如启用TPM相关功能等）对边界设备的系统引导程序、系统程序、重要配置参数、边界防护应用程序等进行可信验证，发现可信性被破坏后进行报警，结果形成审计记录并报送安全管理中心。相关设备最好是采购和使用2024年4月网信办发布的安全检测合格的产品（https://www.cac.gov.cn/2024-04/11/c_1714508003583632.htm）。
• 应对登录（OS、数据库、各类应用）的用户进行身份唯一性标识。注意不是指单一的用户ID，而是用户ID与生物特征、笔迹签名、UKey、密码等信息的组合。
• 应对登录（OS、数据库、各类应用）的用户进行身份鉴别（即认证），根据组织安全策略考虑使用足够安全强度的鉴别（如MFA、UKey），并定期更换。
• 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和党登录连接超时自动退出等措施。成熟商用软件都有此功能，启用并设置符合组织策略的阈值即可；自行开发的软件可能忽视此项，注意落实。
• 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听（常指使用SSHv2）。
• 应对登录（设备系统、主机OS、应用软件）的用户分配账户和权限，最好形成清单文件并保持更新，便于与组织安全策略文件进行对照检查。
• 应重命名不便删除默认用户（例如windows系统的Administrator等），修改默认账户的口令；删除所有非必要的默认用户。
• 应及时删除或停用多余的、过期的账户，避免共享账户的存在。
• 应授予管理用户所需的最小权限，实现管理用户的权限分离（根据工作职责定义角色，为每个角色仅分配最小特权并定期审查。例如至少可分为系统管理员、不同用户组的管理员、不同组的审计员）。
• 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计（常指启用FW/UTM、IPS等各种系统中的审计功能并集成，对重要资源所在网络增设行为或内容审计系统、SIEM或风控UEBA）。
• 审计记录应当包含事件的日期、时间、用户、事件类型、是否成功、其他信息等。
• 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改和覆盖等（常指在内网高安全域布设日志设备、备份设备并加密保护、不允许外部访问、仅允许堡垒机访问等等安全策略）。
• 应遵循最小安装原则，仅安装需要的组件和应用程序；关闭不必要的端口、服务。常见软件的安全控制可可参考CIS Benchmark（https://www.cisecurity.org/cis-benchmarks）。
• 关闭不用的高危端口，按组织安全策略对必要的服务及端口进行保护，包括封禁默认端口号、替换为同类安全协议、布设前置防护设备和运维审计系统等。
• 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。即互联网访问办公网全部走VPN；运维全走堡垒机；组织内部跨域访问按既定安全策略执行，例如除白名单外一律禁止访问。
• 应提供数据有效性校验功能（除应用系统自身要进行完整的数据验证外，可使用WAF、堡垒机、API安全检测卫士等），保证通过所有输入的内容符合系统设定要求。
• 应能够发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。建议与安全厂商签订威胁情报和漏洞信息共享协议，并自行或请第三方对应用系统进行渗透测试。
• 应安装查杀恶意代码的软件（如国外Symantec、trendmicro、Kaspersky、McAfee、Sophos；国内火绒、绿盟），或启用终端系统自带的防护组件（如windows defender），并定期升级查杀引擎和更新病毒库。
• 应用软件或组件应使用校验技术保证数据完整性。
• 对重要数据（参考GB/T43697-2024的附录G）的本地数据备份，应能按组织安全策略进行备份和恢复。
• 应提供异地（至少不是同一机房，最好是国内不同省市）数据备份功能，利用通信网络将重要数据定时批量传送至备用场地。
• 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。建议在组织安全策略中设立带存储功能的设备变更的专项安全策略，使各部门各类变更遵循一致的数据清除约束并执行审计。
• 应仅采集和保存业务所需的用户个人信息；应禁止未授权访问和非法使用用户个人信息。更多参考个人信息保护相关checklist。
• 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作（常指经VPN访问的堡垒机上的运维系统、云计算管理控制系统等），并对这些操作进行审计。
• 应通过系统管理员对系统用户的身份进行配置管控。应该按组织整体和专项安全策略对不同类型用户进行用户组和角色划分，所有的用户都归属于某一用户组，具体的安全控制应仅作用于组和角色。对用户身份变更、鉴权和操作进行必要的审计。
• 应通过系统管理员对系统的资源和运行进行配置管控。根据资产（含数据、设备、软件等）和风险识别制定整体和专项安全策略，为重要或中高风险资产制定系统管理策略，形成资源清单、配置清单，变更清单、操作白名单、越权访问审批流程，系统加载启动日志、运行异常日志和处理记录。此外，还需要遵循专项数据安全策略进行系统管理。
• 应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对其操作进行审计。
• 应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。
• 应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架（与ISO27001等类同）。
• 应对安全管理活动中的主要管理内容建立安全管理制度；应对管理人员或操作人员执行的日常管理操作建立操作规程。可参考ISO27001编制，要注意对应等保提及的区域边界、通信网络、计算环境、安全管理中心制定管理制度，并制定关于云计算、移动互联、物联网、工业控制系统等特定主题的管理制度。
• 应指定或授权专门的部门或人员负责安全管理制度的制定；安全管理制度应通过正式、有效的方式发布，并进行版本管理。
• 应定期对安全管理制度的合理性和适用性进行论证和审定，有不足或需改进的要进行修订。
• 应设立网络安全管理职能机构，设立安全管理各相关岗位并制定岗位职责。应设立系统管理员、审计管理员、安全管理员等岗位，并定义部门及各个工作岗位的职责。
• 应配备一定数量的系统管理员。建议负责组织网络安全的人员至少3人以上（分任审计管理员、安全管理员等岗位），系统管理员由IT部门或业务部门确定，部门内部业务系统或子网的安全、审计岗位由部门内部确定。
• 应根据各个部门和岗位职责明确授权审批事项、审批部门和批准人等；应针对系统变更、重要操作、物理访问、系统接入等事项执行审批过程。
• 应加强各类管理人员、内部机构与网安部门间的合作沟通，定期召开协调会处理网安问题；应加强网安职能部门、供应商、行业组织的合作交流；应建立外联单位列表，含名称、合作内容、联系人、联系方式等。
• 应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。
• 应指定或授权专门的部门或人员负责人员录用。录用前要做待录取人的身份、专业资格、资质、背景调查，符合组织安全策略的才能录用；要签订安全保密协议，并给予安全培训和考核。
• 应及时终止离岗人员的所有访问权限，取回组织发放的各类可充当身份标识和通过身份鉴权的证照，以及组织派发的设备、软件、数据（电子或非电子）。
• 应对与组织业务相关的各类人员（员工、供应商、潜在合作者）按组织安全策略进行安全意识培训、岗位技能培训，明确告知安全责任和奖惩措施。
• 外部人员物理访问受控区域前，应先提出书面申请，批准后由专人全程陪同并登记备案。
• 外部人员接入受控网络前，应先提出书面申请，批准后由专人开设账户、分配权限并登记备案。
• 外部人员离场后应及时清除其所有的访问权限。
• 应以书面形式说明保护对象的安全保护等级，以及确定等级的方法和理由。要提前和当地公安主管部门沟通注意事项；国内有224+家当地公安认可的等保测评单位，建议咨询。
• 应组织相关部门和有关安全专家对定级结果的合理性和正确性进行论证和审定；
• 应保证定级结果经过相关部门的批准；应将备案材料报主管部门和当地公安机关备案。
• 应根据安全保护等级选择基本安全措施；开展风险分析，并按其结果补充和调整安全措施。
• 应根据保护对象的等保等级进行安全方案设计；应组织相关部门和专家对方案进行论证和审定，批准后才能正式实施。建议同期开展关保、密码应用等方案和评审。
• 应确保网络通信产品、网络安全产品、密码产品的采购和使用符合国家规定。建议与关保相关要求一并考虑（参考相关Checklist）。
• 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。例如：关基设施采购涉及商密的产品和服务，要通过网信、密码局等部门审查。
• 等保二级所需安全系统小结：(1)防火墙类：NGFW、WAF、网页防篡改系统；（2）审计类：日志审计系统、数据库审计系统；（3）防入侵类：IDS或IPS、主机杀毒软件、防病毒网关或网络杀毒软件、漏洞扫描系统；（4）安全运维类：日志服务器、堡垒机+Ukey认证、数据备份系统、异地容灾。注意，‘等保一体机’类产品需要慎重采购。
• 应将软件开发环境与实际（生产）运行环境物理分开，测试数据和测试结果受到控制；在开发过程中对安全性进行测试；在安装软件前进行恶意代码检测。
• 应在外包软件交付前进行恶意代码检测；应要求开发单位提供软件设计文档和使用指南。如果关注SDLC，通常需要产品文档和流程文档两类。产品文档包括：（1）系统文档：需求说明书、体系设计、数据库设计、模块详细设计、源代码、验证和测试等质保文件、维护指南等；（2）用户文档：最终用户指南、系统管理员指南。流程文档包括：项目计划、测试计划、实施标准、会议记录、专项报告、合同与安全保密协议等。
• 应指定或授权专门的部门或人员负责工程实施过程的管理；拥有安全工程实施方案并按其控制实施过程。实施方案通常包含：现状分析、目标任务、实施范围和主要环节、工作机制（明确分工）、相关支持（人财物）与管理、监督检查和责任追究等。
• 应制定测试验收方案，并依据方案实施测试，形成报告；应在上线前进行安全性测试，并出具安全测试报告。
• 应拥有交付清单并根据清单进行清点；完成运维人员技能培训；应提供建设过程文档和运维文档。
• 应定期（建议一年一次）进行等级测评，发现不符合的及时改正；应在发生重大变更时进行等级测评；应确保测评机构符合国家要求。
• 服务商的选择符合国家规定。如中央网信办令第8号、工信部令第20号等等；与供应商签订网络安全服务协议。
• 应制定机房安全管理制度，明确物理访问、环境安全等内容；指定专门的部门和人负责机房安全，对进出人员、配电、空调、温湿度、消防等方面进行日常记录和维护管理。
• 应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。
• 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。
• 应将介质存放在安全的环境中，对各类介质进行控制和保护，专人管理每个特定的存储环境，具有介质存储清单（名称、类型、地点、管理人、重要程度、核查人、核查时间）。
• 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。
• 应对各种设备、线路等指定专门的部门或人员定期进行维护管理。主要看日常维护记录、问题处理记录、实时监控能力，以及维修服务的审批、维修过程、监督过程等。
• 应采取必要的措施识别安全漏洞和隐患，对发现的漏洞和隐患及时修补，或评估可能的影响后修复。
• 设置不同的管理员角色（如系统管理员、网络管理员、安全审计员、运维操作员、业务操作员）进行运维，明确各个角色的责任和权限。
• 应指定专门部门和人员进行账户管理（例如：系统账户由IT部门与业务部门联合负责；客户账户由业务部门负责；安全运维审计账户由安全部门负责；员工账户由人力部门负责等等），对账户的申请、建立、删除进行核准和审计。
• 应制定体系化的安全管理制度，包括整体和专项的安全策略、账户管理、配置管理、日志管理、日常操作、升级管理、口令管理等方面，并有效实施。对重要设备的配置和操作形成规范性手册并实施；详细记录运维日志，包括日常巡检、运维记录、参数设置与修改。
• 应定期组织全员防恶意代码的培训和日常宣传；在外来计算或存储设备接入系统前，要进行恶意代码检测；应拥有恶意代码防范管理策略，包括防护软件的授权使用、定期病毒库升级、定期查杀等；对解惑的恶意代码进行分析和处理。
• 应记录和保存基本配置信息，包括网络拓扑结构、设备安装的软件和依赖组件、软件组件版本和补丁、各个设备或软件组成的配置参数等。
• 密码应用要遵循国家标准（GB/T 39786-2021 、GB/T 43206-2023）和行业标准（GM/T 0117-2022、GM/T 0125-2022、JR/T 0255—2022等等）。
• 应使用国家密码管理主管部门认证核准的密码技术和产品。可通过 https://service.scctc.org.cn/index.html 查询产品证书是否有效。
• 应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。
• 应识别需要定期备份的业务信息、数据、软件等；应制定详细的备份策略，包括备份内容、方式、位置、频度、存储介质、保存期、过期后处置方式。
• 应根据数据的重要性和数据对系统运行的影响，制定备份策略和恢复策略，备份程序和恢复程序。
• 应制定安全事件报告和处置流程，规定现场处理、事件报告、后期恢复的管理责任；及时向安全管理部门（网信、公安、业务主管）报告发现的安全弱点和可疑事件
• 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。
• 应制定安全事件应急预案，包括：角色与职责、预防和预警机制、应急响应/处理流程、应急保障、系统恢复流程、应急计划的测试培训演练、应急预案的变更等内容；根据预案进行人员培训和演练。
• 应确保外包运维服务商的选择符合国家规定（主要参考网信办发布的众多《令》、《互联网政务应用安全管理规定》等）；应与外包运维服务商签订相关协议（含SLA、安全保密、现场保障、专家咨询等），明确运维范围和工作内容。

等保三级要求

以下内容参考了GB/T 22239-2019 《网络安全等级保护基本要求》等文件:

• 机房应选择在具有防震、防风、防雨等能力的建筑内；应避免设在顶层或地下室，否则要加强防水防潮措施。
• 机房所有入口都应配备电子门禁系统，能够控制、鉴别和记录进入人员。
• 应拥有防盗系统（应有防盗报警系统或专人值守的视频监控，此外可配合铁门、铁窗、铁柜、防盗锁、狗等），对设备或主要部件加固，并在设备和主要部件上印刻不易去除的（所有权、管理权）标识；应将通信线缆铺设在隐秘安全处。
• 应将各类机柜、设施、设备等安全接地；应设置防雷保安器或过压保护装置，防止感应雷。
• 机房应设置火灾自动消防系统，能自动监测火情、自动报警、自动灭火；机房及相关房间要采用具有耐火等级的建筑材料；应对机房进行区域划分，区域间设置隔离防火措施。
• 机房门窗、屋顶、墙壁经过防水处理，应可防止雨水等渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；应安装水敏感检测仪表，对机房进行防水检测和报警。
• 应采取防静电地板或地面，并采用必要的接地防静电措施；应采用静电消除器、佩戴防静电手环等措施防止静电产生。
• 机房备应有自动温湿度调节设施，使机房温湿度变化在设备运行允许范围内。
• 机房供电备应有稳压器和过点压保护设备；应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求;应设置冗余或并行的电力电缆线路供电。
• 电源线和通信线缆应隔离铺设，避免相互干扰；应对关键设备实施电磁屏蔽（例如使用电磁屏蔽机箱、房屋进行电磁防护等）。
• 机房所需设备小结：(1)防盗报警系统；（2）自动火警和灭火设备；（3）水敏感检测仪及漏水检测报警系统；（4）自动化精密空调；（5）备用发电机及UPS。
• 应保证网络设备的业务处理能力、各部分带宽等满足业务高峰期需要（优先考虑云计算、容器化等可弹性扩展的模式）
• 应划分不同的网络区域（如DMZ、办公网、生产网、开发测试网、特定部门网等等），并按便于管理控制的原则分配网络地址；不要将重要网络部署在边界，重要网络与其他网络之间要可靠隔离（如防火墙、网闸等）。
• 应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。
• 应选择具有传输完整性校验的协议（如TCP和特定的UDP协议的完整性校验，以及HTTPS+安全VPN中基于密码技术的完整性校验），最好采用二进制方式而不是文本方式传输，并在终端再做一次完整性校验（注意：ISP或Proxy可能会在数据里加内容）。
• 应采用密码技术保证通信过程中数据的保密性。使用密码产品要达到GB/T 37092二级以上安全要求（如VPN、安全认证网关、服务器密码机、时间戳服务器、签名验签服务器、安全门禁系统等等）。
• 可以基于可信根（例如启用TPM相关功能等）对通信设备（交换机、路由器、防火墙、主机、VPN等）的系统引导程序、系统程序、配置、应用等进行可信验证，并在程序关键执行环节进行动态可信验证，发现可信性被破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。最好是采购和使用2024年4月网信办发布的安全检测合格的产品（https://www.cac.gov.cn/2024-04/11/c_1714508003583632.htm）。
• 应保证跨网络边界（不同安全级别、不同地域、不同组织、不同用户之间）的访问和数据流通过边界设备（防火墙、网闸、内容审计、路由交换等）提供的受控接口进行通信（即设置了访问控制、流量分析、内容审计、加密等策略的接口）。
• 应能够对非授权设备私自连到内部网络的行为进行检查或限制。例如：远程一律经审批使用VPN连接；所有网络都经过安全认证网关/零信任网关才可访问资源；主机上全部安装安全卫士类软件，禁止非授权USB等接入；使用资产管理系统定期扫描，及时发现未知设备并管控；启用整体性IAM策略。
• 应能够对内部用户非授权连到外部网络的行为进行检查和限制。例如：防火墙可设置南北向规则、启用流量分析并限制流出；在无线网络控制上设置行为分析。
• 应限制无线网络的使用，保证无线网络通过受控的边界设备进入内部网络。将无线网络视为外部网络，经主防火墙等安全设备连接到DMZ区；无线网络启用MAC白名单、VLAN隔离、强加密、隐藏SSID、专用访客网等措施；启用MDM等。
• 应在网络边界和区域之间按组织安全策略设置访问控制规则，默认情况下除允许通信的受控接口外，拒绝其他所有通信。
• 应删除防火墙、路由、交换机等设备上无用、冗余的规则，保证规则数量最小化（增加可维护性、降低因规则相互冲突导致的安全风险）。
• 访问控制规则应至少检查网络通信5要素（源地址、目的地址、源端口、目的端口、通信协议），仅允许白名单内的通信，默认禁止通行，并设立黑名单。
• 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力（即正确使用FW及NGFW的会话检查功能）。
• 应对进出网络的数据流实现基于应用协议和应用内容的访问控制（即正确使用FW及NGFW的协议、内容检测等功能）。
• 应在关键网络节点（通常是外网入口路由、主交换、重要安全域入口交换或路由、重要的服务器）处检测、防止或限制从外部发起的网络攻击行为（常指正确使用NFGW、UTM、IPS、EDR等）。
• 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为（常指正确使用IPS、EDR、网络分域隔离等）。
• 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析。通常首先要建立基线，然后利用IDS/IPS、UTM/FW/NXFW等进行实时监控；增加沙箱检测；做好日志、审计并利用大数据引擎做更细粒度的分析。
• 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间、在发生严重入侵事件时应提供报警。
• 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。通常是要安装防病毒网关、EDR、主机安全卫士等。
• 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。通常要安装反垃圾邮件安全产品。
• 应在网络边界（不同安全级别、不同地域、不同组织、不同用户之间）和关键网络节点（主交换、重要安全域交换）进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要的安全事件进行审计（常指FW/UTM、WAF、IDS/IPS、SIEM等系统中审计功能的综合应用与集成）。
• 审计记录应包含事件的日期、时间、用户、事件类型、事件是否成功、其他等信息。
• 安全审计记录应进行保护、定期备份、避免受到未预期的删除、修改和覆盖等（常指在内网高安全域布设日志设备、备份设备并加密保护、不允许外部访问、仅允许堡垒机访问等等安全策略）。
• 应对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。通常指使用了UBA类系统，有技术团队的单位最好基于大数据技术自建。
• 可以基于可信根（例如启用TPM相关功能等）对边界设备的系统引导程序、系统程序、重要配置参数、边界防护应用程序、应用程序运行关键环节等进行可信验证，发现可信性被破坏后进行报警，结果形成审计记录并报送安全管理中心。相关设备最好是采购和使用2024年4月网信办发布的安全检测合格的产品（https://www.cac.gov.cn/2024-04/11/c_1714508003583632.htm）。
• 应对登录（OS、数据库、各类应用）的用户进行身份唯一性标识。注意不是指单一的用户ID，而是用户ID与生物特征、笔迹签名、UKey、密码等信息的组合。
• 应对登录（OS、数据库、各类应用）的用户进行身份鉴别（即认证），根据组织安全策略考虑使用足够安全强度的鉴别（如MFA、UKey），并定期更换。
• 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和党登录连接超时自动退出等措施。成熟商用软件都有此功能，启用并设置符合组织策略的阈值即可；自行开发的软件可能忽视此项，注意落实。
• 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听（常指使用SSHv2）。
• 应采用口令、密码技术、生物技术等两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少使用密码技术来实现。
• 应对登录（设备系统、主机OS、应用软件）的用户分配账户和权限，最好形成清单文件并保持更新，便于与组织安全策略文件进行对照检查。
• 应重命名不便删除默认用户（例如windows系统的Administrator等），修改默认账户的口令；删除所有非必要的默认用户。
• 应及时删除或停用多余的、过期的账户，避免共享账户的存在。
• 应授予管理用户所需的最小权限，实现管理用户的权限分离（根据工作职责定义角色，为每个角色仅分配最小特权并定期审查。例如至少可分为系统管理员、不同用户组的管理员、不同组的审计员）。
• 应由授权主体（资产所有者/直接管理方）配置访问控制策略，以规定主体对客体（各种资源）的访问规则。
• 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库或数据表级。
• 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。通常是指启用AD、数据库、DLP、SEIM、安全审计产品中的安全标记功能。
• 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计（常指启用FW/UTM、IPS等各种系统中的审计功能并集成，对重要资源所在网络增设行为或内容审计系统、SIEM或风控UEBA）。
• 审计记录应当包含事件的日期、时间、用户、事件类型、是否成功、其他信息等。
• 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改和覆盖等（常指在内网高安全域布设日志设备、备份设备并加密保护、不允许外部访问、仅允许堡垒机访问等等安全策略）。
• 应对审计进程进行保护，防止未经授权的中断。通常应使用单独服务器和加固的OS、单独高权限用户执行审计程序；设置防火墙等规则只允许特定IP和端口访问审计程序；对审计进程进行实时监控，有异常进行告警。
• 应遵循最小安装原则，仅安装需要的组件和应用程序；关闭不必要的端口、服务。常见软件的安全控制可可参考CIS Benchmark（https://www.cisecurity.org/cis-benchmarks）。
• 关闭不用的高危端口，按组织安全策略对必要的服务及端口进行保护，包括封禁默认端口号、替换为同类安全协议、布设前置防护设备和运维审计系统等。
• 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。即互联网访问办公网全部走VPN；运维全走堡垒机；组织内部跨域访问按既定安全策略执行，例如除白名单外一律禁止访问。
• 应提供数据有效性校验功能（除应用系统自身要进行完整的数据验证外，可使用WAF、堡垒机、API安全检测卫士等），保证通过所有输入的内容符合系统设定要求。
• 应能够发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。建议与安全厂商签订威胁情报和漏洞信息共享协议，并自行或请第三方对应用系统进行渗透测试。
• 应能够检测对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。
• 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。通常包括安装防病毒网关、EDR、安装查杀恶意代码的软件（如国外Symantec、trendmicro、Kaspersky、McAfee、Sophos；国内火绒、绿盟），或启用终端系统自带的防护组件（如windows defender），并定期升级查杀引擎和更新病毒库。
• 可基于可信根对计算设备的系统引导程序、系统程序、重要配置、应用程序等进行可信验证；并在应用程序关键执行环节进行动态可信验证，检测到可信性受破坏时进行报警，并将审计记录报告安全中心。
• 应使用校验技术或密码技术保证重要数据（参考GB/T43697-2024的附录G）在传输过程中的完整性。
• 应使用校验技术或密码技术保证重要数据（参考GB/T43697-2024的附录G）在存储过程中的完整性。
• 应使用密码技术保证重要数据（参考GB/T43697-2024的附录G）在传输过程中的机密性。
• 应使用密码技术保证重要数据（参考GB/T43697-2024的附录G）在存储过程中的机密性。
• 对重要数据（参考GB/T43697-2024的附录G）的本地数据备份，应能按组织安全策略进行备份和恢复。
• 应提供异地（至少不是同一机房，最好是国内不同省市）实时数据备份功能，利用通信网络将重要数据实时批量传送至备用场地。
• 应提供重要数据处理系统（例如核心网站、ERP、CRM、SCM、BI、安全审计等系统的主服务器、主数据库）的热冗余，保证系统的高可用性。
• 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。建议在组织安全策略中设立带存储功能的设备变更的专项安全策略，使各部门各类变更遵循一致的数据清除约束并执行审计。
• 应保证存有敏感数据的存储空间被释放或重新分配时得到完全清除。
• 应仅采集和保存业务所需的用户个人信息；应禁止未授权访问和非法使用用户个人信息。更多参考个人信息保护相关checklist。
• 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作（常指经VPN访问的堡垒机上的运维系统、云计算管理控制系统等），并对这些操作进行审计。
• 应通过系统管理员对系统用户的身份进行配置管控。应该按组织整体和专项安全策略对不同类型用户进行用户组和角色划分，所有的用户都归属于某一用户组，具体的安全控制应仅作用于组和角色。对用户身份变更、鉴权和操作(系统加载启动、数据备份恢复、系统异常)进行必要的审计。
• 应通过系统管理员对系统的资源和运行进行配置管控。根据资产（含数据、设备、软件等）和风险识别制定整体和专项安全策略，为重要或中高风险资产制定系统管理策略，形成资源清单、配置清单，变更清单、操作白名单、越权访问审批流程，系统加载启动日志、运行异常日志和处理记录。此外，还需要遵循专项数据安全策略进行系统管理。
• 应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对其操作进行审计。
• 应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。
• 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作（如一律使用vpn+堡垒机），并对这些操作进行审计；
• 应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等等。
• 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；应建立一条安全传输路径（例如搭建专用管网，使用独立交换和线路），对网络中的安全设备或安全组件进行管理；
• 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；应对分散在各设备上的审计数据进行收集汇总分析，保证审计记录的留存时间符合法规要求（需要设置时间戳服务器、启用NTP等服务）。
• 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；应能对网络中发生的各类安全事件进行识别、报警和分析。
• 应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架（与ISO27001等类同）。
• 应对安全管理活动中的主要管理内容建立安全管理制度；应对管理人员或操作人员执行的日常管理操作建立操作规程。应形成由安全策略、管理制度、操作规程、记录表单等构成全面的安全管理制度体系。可参考ISO27001编制，要注意对应等保提及的区域边界、通信网络、计算环境、安全管理中心制定管理制度，并制定关于云计算、移动互联、物联网、工业控制系统等特定主题的管理制度。
• 应指定或授权专门的部门或人员负责安全管理制度的制定；安全管理制度应通过正式、有效的方式发布，并进行版本管理。
• 应定期对安全管理制度的合理性和适用性进行论证和审定，有不足或需改进的要进行修订。
• 应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权；应设立网络安全管理职能机构，设立安全管理各相关岗位并制定岗位职责。应设立系统管理员、审计管理员、安全管理员等岗位，并定义部门及各个工作岗位的职责。
• 应配备一定数量的系统管理员；应配备专职安全管理员，不可兼任（系统或业务管理）。建议负责组织网络安全的人员至少3人以上（分任系统管理、安全管理、安全审计等岗位）,系统管理员由IT部门或业务部门确定，部门内部业务系统或子网的安全、审计岗位由部门内部确定。
• 应根据各个部门和岗位职责明确授权审批事项、审批部门和批准人等；应针对系统变更、重要操作、物理访问、系统接入等事项执行审批过程；对重要活动建立逐级审批制度；应定期审查审批事项，及时更新审批信息（相关项目、部门和人等）。
• 应加强各类管理人员、内部机构与网安部门间的合作沟通，定期召开协调会处理网安问题；应加强网安职能部门、供应商、行业组织的合作交流；应建立外联单位列表，含名称、合作内容、联系人、联系方式等。
• 应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；应定期进行全面安全检查，包括现有安全技术的有效性、安全配置和策略的一致性、安全制度的执行情况等；应制定安全检查表格，实施检查，汇总检查数据，形成检查报告，对结果进行通报。
• 应指定或授权专门的部门或人员负责人员录用。录用前要做待录取人的身份、专业资格、资质、背景调查，符合组织安全策略的才能录用；要签订安全保密协议，并给予安全培训和考核，关键岗位人员要签署岗位责任协议。
• 应及时终止离岗人员的所有访问权限，取回组织发放的各类可充当身份标识和通过身份鉴权的证照，以及组织派发的设备、软件、数据（电子或非电子）。应办理严格调离手续，并承诺调离后的保密义务后方可离开。
• 应对与组织业务相关的各类人员（员工、供应商、潜在合作者）按组织安全策略进行安全意识培训、岗位技能培训，明确告知安全责任和奖惩措施；应针对不同岗位制定不同的培训计划，对基本知识、岗位操作规程等进行培训；应定期对不同岗位的人员进行技能考核。
• 外部人员物理访问受控区域前，应先提出书面申请，批准后由专人全程陪同并登记备案。
• 外部人员接入受控网络前，应先提出书面申请，批准后由专人开设账户、分配权限并登记备案。
• 外部人员离场后应及时清除其所有的访问权限；获得系统访问授权的外部人员要签署保密协议，不得进行非法操作、不得复制和泄漏任何敏感信息。
• 应以书面形式说明保护对象的安全保护等级，以及确定等级的方法和理由。要提前和当地公安主管部门沟通注意事项；国内有224+家当地公安认可的等保测评单位，建议咨询。
• 应组织相关部门和有关安全专家对定级结果的合理性和正确性进行论证和审定；
• 应保证定级结果经过相关部门的批准；应将备案材料报主管部门和当地公安机关备案。
• 应根据安全保护等级选择基本安全措施；开展风险分析，并按其结果补充和调整安全措施。
• 应根据保护对象的等保等级及与其他级别保护对象的关系进行安全整体规划和方案设计，设计内容应包含密码技术等，形成成套文件；应组织相关部门和专家对安全整体规划、配套文件的合理性和正确性进行论证和审定，批准后才能正式实施。建议同期开展关保、密码应用等方案和评审。
• 应确保网络通信产品、网络安全产品、密码产品的采购和使用符合国家规定。建议与关保相关要求一并考虑（参考相关Checklist）。
• 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。例如：关基设施采购涉及商密的产品和服务，要通过网信、密码局等部门审查。
• 应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。即需要保留采购过程资料备查。
• 等保二级所需安全系统小结：(1)防火墙类：NGFW、WAF、网页防篡改系统，位置数量取决于边界和区域的情况，防火墙要带有带宽管理模块；（2）审计类：日志审计系统、数据库审计系统、运维审计系统（常与堡垒机捆绑）；（3）防入侵类：IDS或IPS、EDR/主机杀毒软件、防病毒网关或网络杀毒软件、漏洞扫描系统、网络准入系统，数量和位置取决于重点区域的数量和位置；（4）安全运维类：终端管理软件（含补丁分发功能）、日志服务器、堡垒机+Ukey认证、数据备份系统、网络安全态势感知产品（含网络行为管理、安全集中管理）、异地容灾。注意，‘等保一体机’类产品需要慎重采购。
• 应将软件开发环境与实际（生产）运行环境物理分开，测试数据和测试结果受到控制；在开发过程中对安全性进行测试；在安装软件前进行恶意代码检测。
• 应制定软件开发管理制度，明确开发过程的控制方法和人员行为准则；应制定代码编写安全规范，要求开发人员参照规范编写代码。
• 应制定软件开发管理制度，明确开发过程的控制方法和人员行为准则；应制定代码编写安全规范，要求开发人员参照规范编写代码。可以参考国家标准中的编码指南、OWASP的安全编码指南、腾讯等企业的安全编码指南。
• 应具备软件设计的相关文档和使用指南，并对文档使用进行控制。如果关注SDLC，通常需要产品文档和流程文档两类。产品文档包括：（1）系统文档：需求说明书、体系设计、数据库设计、模块详细设计、源代码、验证和测试等质保文件、维护指南等；（2）用户文档：最终用户指南、系统管理员指南。流程文档包括：项目计划、测试计划、实施标准、会议记录、专项报告、合同与安全保密协议等。
• 应保证在软件开发过程中对安全性进行测试，在软件安装前进行恶意代码扫描。
• 应对程序资源库的修改、更新、发布进行授权和批准，并严格进行版本控制；应保证开发人员为专职人员，其开发活动受到控制、监视和审查。
• 应在外包软件交付前进行恶意代码检测；应要求开发单位提供软件设计文档和使用指南。如果关注SDLC，通常需要产品文档和流程文档两类。产品文档包括：（1）系统文档：需求说明书、体系设计、数据库设计、模块详细设计、源代码、验证和测试等质保文件、维护指南等；（2）用户文档：最终用户指南、系统管理员指南。流程文档包括：项目计划、测试计划、实施标准、会议记录、专项报告、合同与安全保密协议等。
• 应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。
• 应指定或授权专门的部门或人员负责工程实施过程的管理；拥有安全工程实施方案并按其控制实施过程。实施方案通常包含：现状分析、目标任务、实施范围和主要环节、工作机制（明确分工）、相关支持（人财物）与管理、监督检查和责任追究等；应通过第三方工程监理控制项目的实施过程。
• 应制定测试验收方案，并依据方案实施测试，形成报告；应在上线前进行安全性测试，并出具安全测试报告。
• 应拥有交付清单并根据清单进行清点；完成运维人员技能培训；应提供建设过程文档和运维文档。
• 应定期（一年一次）进行等级测评，发现不符合的及时改正；应在发生重大变更时进行等级测评；应确保测评机构符合国家要求。
• 服务商的选择符合国家规定。如中央网信办令第8号、工信部令第20号等等；与供应商签订网络安全服务协议。应定期监督、评审和审核服务供应商的服务，并对其变更服务内容加以控制。
• 应制定机房安全管理制度，明确物理访问、物品进出、环境安全等内容；指定专门的部门和人负责机房安全，对进出人员、配电、空调、温湿度、消防等方面进行日常记录和维护管理。
• 应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。
• 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。
• 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；应对信息分类与标识方法作出规定，并对信息的使用、传输、存储等进行规范化管理。
• 应将介质存放在安全的环境中，对各类介质进行控制和保护，专人管理每个特定的存储环境，具有介质存储清单（名称、类型、地点、管理人、重要程度、核查人、核查时间）。
• 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。
• 应对各种设备、线路等指定专门的部门或人员定期进行维护管理。主要看日常维护记录、问题处理记录、实时监控能力，以及维修服务的审批、维修过程、监督过程等。
• 信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密。
• 含有存储介质的设备在报废和重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。
• 应采取必要的措施识别安全漏洞和隐患，对发现的漏洞和隐患及时修补，或评估可能的影响后修复。定期开展安全测评，形成安全测评报告，对问题采取应对措施。
• 设置不同的管理员角色（如系统管理员、网络管理员、安全审计员、运维操作员、业务操作员）进行运维，明确各个角色的责任和权限。
• 应指定专门部门和人员进行账户管理（例如：系统账户由IT部门与业务部门联合负责；客户账户由业务部门负责；安全运维审计账户由安全部门负责；员工账户由人力部门负责等等），对账户的申请、建立、删除进行核准和审计。
• 应制定体系化的安全管理制度，包括整体和专项的安全策略、账户管理、配置管理、日志管理、日常操作、升级管理、口令管理等方面，并有效实施。对重要设备的配置和操作形成规范性手册并实施；详细记录运维日志，包括日常巡检、运维记录、参数设置与修改。
• 应制定专门部门和人员对日志、监测、报警数据进行分析、统计；应严格控制变更性运维，经审批后才可改变连接、安装组件、调整参数等；操作过程要留下不可更改的审计日志；操作结束后要同步更新配置信息库（CMDB）。
• 应严格控制运维工具、远程运维，经审批后才可接入操作，操作过程要留下不可更改的审计日志；结束后要删除工具中的敏感数据、立即关闭远程运维接口通道。
• 应保证所有与外部的连接都得到了授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。
• 应定期组织全员防恶意代码的培训和日常宣传；在外来计算或存储设备接入系统前，要进行恶意代码检测；应拥有恶意代码防范管理策略，包括防护软件的授权使用、定期病毒库升级、定期查杀等；对解惑的恶意代码进行分析和处理。应定期验证防恶意代码技术的有效性。
• 应记录和保存基本配置信息，包括网络拓扑结构、设备安装的软件和依赖组件、软件组件版本和补丁、各个设备或软件组成的配置参数等。应将基本配置信息改变纳入变更管理，实施对配置信息改变的控制，并及时更新基本配置库（CMDB）。
• 密码应用要遵循国家标准（GB/T 39786-2021 、GB/T 43206-2023）和行业标准（GM/T 0117-2022、GM/T 0125-2022、JR/T 0255—2022等等）。
• 应使用国家密码管理主管部门认证核准的密码技术和产品。可通过 https://service.scctc.org.cn/index.html 查询产品证书是否有效。
• 应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施；应建立变更申报、审批控制程序，按程序控制所有变更，记录实施过程；应建立变更中止、失败恢复等程序，明确过程控制方法和人员责任，必要时进行恢复过程演练。
• 应识别需要定期备份的业务信息、数据、软件等；应制定详细的备份策略，包括备份内容、方式、位置、频度、存储介质、保存期、过期后处置方式。
• 应根据数据的重要性和数据对系统运行的影响，制定备份策略和恢复策略，备份程序和恢复程序。
• 应制定安全事件报告和处置流程，规定现场处理、事件报告、后期恢复的管理责任；及时向安全管理部门（网信、公安、业务主管）报告发现的安全弱点和可疑事件
• 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训；对造成系统中断、信息泄漏的重大事件采取专项处理程序和报告程序。
• 应制定统一的应急预案框架，包括：启动预案条件、应急组织构成（角色与职责）、预防和预警机制、应急响应/处理流程、应急保障、系统恢复流程、应急计划的测试培训演练、应急预案的变更等内容；根据预案进行人员培训和演练。对重要事件制定专项应急预案；定期对应急框架和专项预案进行评估和修订完善。
• 应确保外包运维服务商的选择符合国家规定（主要参考网信办发布的众多《令》、《互联网政务应用安全管理规定》等）；应与外包运维服务商签订相关协议（含SLA、安全保密、现场保障、专家咨询等），明确运维范围和工作内容。
• 应保证选择的外包运维商在技术和管理上有等保运维能力，并将能力要求在合同/协议中明确；协议还应明确列出安全要求，例如涉及敏感信息处理的要求、IT设施应急保障要求等等。

汽车数据处理

以下内容参考了国家互联网办公室令第7号《汽车数据安全管理若干规定（试行）》。

• 对汽车数据进行了分类分级。在分类上，可按设计、生产、销售、使用、运维等过程分类；在级别上，至少分为敏感个人信息、一般个人信息、重要数据、非重要数据等。
• 建立隐私保护政策等数据安全管理文件，阐明本组织需要处理汽车数据的合法依据（基于个人的同意、基于合法的合同、基于法定义务等）。
• 基于互联网的数据处理系统，按照网络安全等级保护制度（并结合当地网信、公安要求）进行规划、建设、备案、测评和运维。
• 未脱敏、未去标识的信息，特别是敏感个人信息和重要数据，尽量不收集、尽量车内处理、尽量不外传、尽量适度精度、尽量脱敏。
• 隐私保护策略应以显著方式、清晰易懂的方式编写并通过用户手册、车机显示屏、语音、手机App等多种形式告知用户。
• 拥有可公开访问的隐私政策，该政策描述了与个人数据相关的所有流程。其中应包含内容有：信息处理者名称、联系方式、收集及停止收集的方式、数据处理的目的、方式、信息种类、保存地点、保存期限、个人行使个人信息保护法规的方式和程序等等。
• 如果数据处理是基于用户同意的，则此类同意必须是用户自愿的、具体的、知情的和可撤销的。应有过程记录等可证明这一点，并提供了用户可访问的修改“用户同意”的工具。
• 因保证行车安全等需要，无法征得个人同意采集到的车外个人信息，应进行匿名化处理、去标识处理。
• 敏感个人信息，应明确数据处理的合法依据且应取得个人单独同意，并提供采集提示、终止收集便利，个人要求删除的应当在10个工作日内删除。
• 重要数据（目前含6类）的处理，应向省级网信等（还包括公安、工信等）部门提交风险评估报告，说明重要数据的种类、数量、范围、保存地点与期限、使用方式、处理活动、向第三方提供情况、数据安全风险及其应对措施等。
• 重要数据应在中国境内存储，尽量不外传、不外储。特别地，向境外提供需要通过国家网信办等部门的审批，具体参考最新的《促进和规范数据跨境流动规定》。
• 重要数据处理应每年12月25日前向省级网信部门报告数据安全管理情况，包括负责任人姓名、联系方式、数据种类、规模、目的、必要性、安防措施、保存地点和期限、向境外提供情况、安全事件与处置情况、数据相关用户投诉和处置情况、其他要求的情况。
• 设立了汽车数据处理活动投诉渠道，如网站或支持系统。

数据出境安全评估

以下内容参考了国家互联网办公室令第11号《数据出境安全评估办法》、第16号《促进和规范数据跨境流动规定》。

• 在向境外提供国内运营中收集和产生的数据前，对准备出境的数据进行了清点，拥有并维护数据清单（类型、敏感度、数量、国内处理者、境外接受者、范围、目的、处理过程、安全防护、维权方式、联系人……），开展了数据出境安全风险自评估。
• 在自评估全面讨论了（1）合法性，即数据出境及境外接收者数据处理的目的、范围、方式的合法性；（2）可能的安全风险，即出境数据的规模、范围、种类、敏感程度，以及对国家、公众、组织、个人的风险；（3）境外接收方的责任义务、应对风险的防护能力、事后维权方式；（4）其他安全事项。
• 提供数据前，通过所在地省级网信部门向国家网信申报并通过了数据出境安全风险评估。特别是向境外提供重要数据的、运营关键信息基础设施的、处理100万人以上个人信息的、累计向境外提供10万人个人信息的、累计1万人敏感个人信息的等等。
• 为获得国家网信部门审批，备有数据出境安全评估申报书、风险自评估报告、与境外接收方签订的法律文件、其他要求文件、企业经营证照等。
• 为获得国家网信部门审批，已按照《出境标准合同备案指南（第二版）》、《个人信息出境标准合同备案指南（第二版）》进行申报，申报系统网址 https://sjcj.cac.gov.cn。
• 与境外接收方订立的法律文件中明确约定了任何可能场景的数据安全保护责任义务，包括：（1）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；（2）数据在境外的保存地点、期限，以及到期或合同终止时出境数据的处理措施；（3）对出境数据再转移的限制要求；（4）境外接收方发生控制权、经营范围等各种变化时、所在国家和地区数据安全法规变动时、不可抗力发生时的数据安全保护措施；（5）违约时的补救措施、违约责任、争议解决方式；（6）数据被泄漏、破坏、丢书等时的应急要求和维权方式。
• 申报过程一般会超过2个月。对于已按要求提交的申请，国家网信办7个工作日内确认是否受理；受理后45个工作日内完成评估，情况复杂的会延长。
• 对国家网信办的评估结果有异议的，要在收到评估结果15个工作日内提交复评，并补充、更在所有材料。
• 通过数据出境安全评估的结果有效期为2年（2024年3月后新规改为3年），出现任何可能影响到数据安全的新情况都需要重新申报；有效期届满，仍需向境外提供数据的，在届满前60日重新申报；2024年3月新规是批准可延长有效期3年。
• 参考GB/T43697-2024第6.5条及附录G识别是否涉及重要数据，如果涉及则要申报重要数据出境安全评估（更严格）；如果不涉及则申报个人信息或一般数据出境安全评估。
• 不包含个人信息、重要数据的，在国际贸易、跨境运输、学术合作、跨国制造、市场营销等活动中产生的数据跨境流动免予申报评估、不用订立个人信息出境标准合同、不用通过个人信息保护认证。
• 数据来自于国外，中转到国内处理但没有新增国内的个人信息和重要数据的，免予申报评估。
• 个人事务（如购物、汇款、邮递）、按合同进行人力资源管理、紧急情况保护生命财产、非关基人累计提供少于10万条非敏感个人信息的，不用申报数据出境评估、不用订立个人信息出境标准合同、不用通过个人信息保护认证。
• 自由贸易试验区内数据处理者向境外提供负面清单外的数据，免予申报评估。
• 需要申报数据出境安全评估的情况：（1）关基运营人向外提供个人信息或重要数据；（2）非关基运营人1个自然年累计向外提供重要数据或100万以上个人信息、1万以上敏感个人信息。
• 需要签订个人信息出境标准合同或通过个人信息保护认证的情况：（1）非关基运营人1个自然年内累计向外提供10万人以上、100万人以内个人信息的；（2）非关基运营人1个自然年内累计向外提供1万以内敏感个人信息的。
• 数据出境安全评估结果有效期3年（原规定是2年）。如果需要延长，可在有效期满前60个工作日提出延长申请，延长评估结果有效期3年（原规定无此条款）。