现场查阅或收集后查阅各系统的数据字典、系统架构、对外API接口清单、各API接口对外共享的数据类型,账号权限,安全措施等,具体查阅计划需根据各业务系统访谈及提供资料的情况而定。
针对被评估系统,展开从国家标准和行业标准角度开展访谈工作,可能涉及业务人员、维护方人员、安全管理人员、高层管理人员、业务执行人员等。
需通过业务负责人进行演示和分配账号,现场登录各业务系统前端页面检查功能安全性、日志完整性、认证强度、敏感数据处理等内容。
分析将不同数据安全生命周期的环节,进行调研,并根据现有国家要求、系统所面临风险进行归纳,记录所面临的问题和整改点。