附件A
(规范性)
汽车企业数据安全管理体系要求评测方法
监管部门、第三方机构等组织对汽车数据安全管理体系进行检查,应依照下表A.1进行。
表A.1汽车数据安全管理体系检查要求
118.1.4数据资产清单中的数据范围覆盖各种存储媒介中的数据。
128.1.51.制度文件中针对较高敏感性程度的数据规定了较严格的权限审批流程;
微型车>法拉利撞车事件
2.制度文件中针对数据关键操作和超权限操作专门规定了审批机制;
3.制度文件中对于权限审批日志记录保存期限的规定符合8.1.5要求。
雨燕论坛138.1.61.制度文件中针对较高敏感性程度的数据各处理环节规定了较严格的保护机制;
2.制度文件中规定了数据关键操作(批量修改、导出、删除等)日志至少保存6个月的要求。
148.1.7  1.制度文件中规定了个人信息保护影响评估的机制;
2.存在相应报告和处理情况记录模板。
158.2.61.通过文档查验,确认数据处理者在数据安全管理制度中有明确的数据采集要求;
2.通过访谈相关驾驶人和现场核验车端面板、隐私协议、车外视频图像的匿名化效果等,确认上述内容已落实。
168.2.7通过文档查验,确认数据处理者在数据安全管理制度中有明确的数据存储要求。178.2.8通过文档查验,确认数据处理者在数据安全管理制度中有明确的数据使用要求。188.2.9通过文档查验,确认数据处理者在数据安全管理制度中有明确的数据加工要求。
198.2.101.通过文档查验,确认数据处理者在数据安全管理制度中有明确的数据传输要求;
2.通过数据处理者提交的秘密性证明文件(包括采用的加密算法、PKI架构、逻辑专用传输信道等),确认数据传输满足合规性要求;
3.通过使用设备进行汽车回传数据抓包的方式,查验并确认数据传输加密已落实。
208.2.111.通过文档查验,确认数据处理者在数据安全管理制度中有明确的数据提供、委托处理要求;
2.通过数据处理者提交的与数据接收方和受托方签订的合同条款,确认上述内容已落实。
218.2.12通过文档查验,确认数据处理者在数据安全管理制度中有明确的数据公开要求。228.2.13通过文档查验,确认数据处理者在数据安全管理制度中有明确的数据删除要求。238.2.14查阅数据处理者是否拥有数据全生命周期各阶段数据处理活动的工作记录表。
248.3  1.检查存在数据访问权限管理制度的正式文件,内容至少包含8.3的管控要求;
2.检查存在权限申请、修改、废除的记录。
258.41.检查是否在用户反馈及投诉管理机制文件中明确了用户权利和用户可以行使权益请求的渠道和方法,方法是否落实,以及是否告知用户;
2.检查是否在用户反馈及投诉管理机制文件中明确了满足8.4要求的用户反馈及投诉受理流程;
3.检查是否有留存记录用户反馈及投诉请求的执行内容的文件。
268.51.通过文档查验,确认数据处理者是否有明确的产品数据安全管理制度,以及制度当中是否包含了产品开发阶段数据安全风险评估和风险处置方案向开发团队传递的要求;
2.通过数据处理者提交的PRD文档、UAT测试报告、数据安全风险评估报告、风险处置方案的传递文件、合规落地工作记录等文件,确认8.5的要求已落实。
278.6.1查阅数据安全运营管理相关制度文件和工作文件,确认汽车数据安全管理组织制定的安全运营策略符合7.7.1要求。
288.6.2确认制定了数据安全监控策略,并有对应技术手段进行数据安全保障,具备监控记录文件。
298.6.3确认制定了数据安全事件管理流程,并具备其中过程文件如应急响应处置计划、安全事件记录单、应急演练记录等。
308.7.1查阅数据风险管理相关制度文件和工作文件,检查具备风险评估机制,检查存在相应的风险评估报告。
318.7.2查阅数据安全风险处置相关制度和工作文件,检查具备安全事件处置机制,确认留存处置计划、安全声明、数据安全风险处置结果等文件。
迈锐宝广告
328.8.1制度文件中规定了数据出境安全评估申报的条件和实施要求。
338.8.2制度文件中规定了个人信息出境应履行的“告知-同意”程序要求。
348.8.3制度文件中规定了重要数据出境应在汽车数据安全年报中补充报告要求。358.8.4制度文件中规定了数据移交司法或执法机构的限制要求或审批要求。368.8.5制度文件中规定了数据流量路由至的相关要求。
378.91.检查存在数据提供和委托处理制度的正式文件,内容至少包含8.9.1~8.9.6各项的要求;
宝马x6二手车2.检查存在8.9.7所列正式文件或记录。
388.101.检查是否具有数据安全审计管理机制文件,是否建立数据安全审计团队;
2.检查是否在数据安全审计管理机制文件中明确了满足8.10要求的数据安全审计流程;
3.检查是否保留历次数据安全审计的审计计划和审计报告等相关文件。
398.121.检查存在数据安全文化建设制度的正式文件;
2.检查存在安全文化调研报告,数据安全文化建设培训计划以及培训实施记录;
3.访谈安全文化建设差距分析机制的执行人,明确其履行了流程规定职责。
409.1检查是否存在最高管理层协调数据安全管理体系所需资源的相关证明,例如重点会议纪要等。
419.2检验数据安全管理人员是否具备数据安全、个人信息保护等相关领域资质资格。
奔驰没有备胎爆胎怎么办429.3访谈数据安全管理体系相关人员,确认其是否了解9.3所列内容。
439.41.检查是否存在创建、更新和充分保护文件化信息,以及保证文件化信息分发、访问、检索、使用、存储、控制变更的流程机制,且具体过程符合9.4.2至9.4.3要求;
2.检查本标准要求的文件化信息得到了建立。
4410检查存在结合数据安全目的和数据安全风险评估的结果,对数据安全管理流程机制进行规划、实现和变更的机制且形成了正式文件。前述机制应符合10.1至10.3要求。
45111.检查存在对于数据安全绩效以及数据安全管理体系有效性进行监视、测量、分析和评价的机制,且存在相应的文件化信息佐证监视和测量结果;
2.检查存在管理层评审数据安全管理体系的机制,且存在评审决议、数据安全管理体系变更需求等记录文档。
46121.存在对于不符合项纠正的流程机制,具体过程符合12.1要求;
2.持续存在关于不符合项性质、针对不符合项的后续措施、措施执行结果的记录文档。如某一时间段内相关记录文档缺失,应访谈确认具体情况。