18项互联网数据安全要求,企业自查清单完整版
数据安全早已不是可选项,而是企业合规经营的底线。无论你是初创团队还是成熟公司,对照以下18项核心要求逐条自检,才能避免踩中监管红线。每一条都对应具体操作,建议打印出来逐项核对。
一、数据收集与存储(第1-6项)
1. 最小必要原则:只收集业务直接相关的数据,拒绝“能收尽收”。比如做电商的,没必要收集用户通讯录。
2. 明示同意:收集前必须弹窗或文字告知用途,得到用户主动勾选同意,不能默认打钩。
3. 分级分类管理:将数据分为一般、重要、核心三级,标注敏感字段(如身份证、银行卡),并设置不同访问权限。
4. 加密存储:所有个人敏感信息(如密码、支付信息)必须采用国密算法或AES-256加密,不得明文存储。
5. 访问日志记录:谁在什么时间、从哪台设备访问了什么数据,日志至少保存6个月以上,且不可篡改。
6. 备份与容灾:核心数据每日全量备份,增量备份每4小时一次,异地灾备机房距离超过100公里。
二、数据传输与处理(第7-12项)
7. 传输加密:前端到服务器必须启用HTTPS/TLS 1.2以上协议,内部API调用使用加密通道。
8. 脱敏展示:客服后台、数据报表中,姓名中间字用代替,手机号只显示前三位和后四位。
9. 数据血缘可追溯:每一次数据加工、流转、共享都要有记录,能追溯到原始来源和最终去向。
10. 共享控制:与第三方合作时,必须签署数据安全协议,限定使用范围,不得二次转售。
11. 数据出境评估:只要涉及向境外传输数据(包括存储在海外服务器),必须通过国家网信办安全评估。
12. 防泄露监控:部署DLP(数据防泄露)系统,监控敏感文件外发、邮件附件、U盘拷贝等行为。
三、权限管理与应急响应(第13-18项)
13. 账号实名与最小权限:每个员工只能访问职责范围内的数据,离职立即注销账号,每季度复核权限。
14. 多因素认证:管理员登录必须开启手机验证码或硬件密钥,杜绝仅凭密码登录。
15. 开发安全嵌入:代码上线前必须通过白盒扫描、渗透测试,禁止在代码中硬编码密钥或明文密码。
16. 漏洞24小时内修复:高危安全漏洞发现后,必须在24小时内打补丁;中危漏洞72小时内修复。
17. 数据泄露应急预案:每半年至少演练一次事件响应流程,明确谁负责上报、谁联系执法部门。
18. 日志保留与销毁:用户注销账号后,个人数据应在30天内彻底清除(包括备份),并提供删除证明。
以上18项缺一不可。企业可以按部门划分责任:技术部负责加密与日志,法务部负责协议与合规,安全部负责监控与演练。建议每季度对照清单复查一次,一旦发现缺项立即整改。数据安全不是成本,而是企业生存的护城河。
