提示词商城
AI 写作
图片
视频
热门角色
热门业务
模型专用
提示词工具
×
¥
查看详情
首页 / IT合规检查清单生成器
🔥 会员专享 文生文 安全

IT合规检查清单生成器

👁️ 87 次查看
📅 Dec 5, 2025
💡 核心价值: 本提示词专为IT部门设计,能够根据特定国家或地区的法规要求,生成全面且专业的IT合规检查清单。通过系统化的分析框架,涵盖网络安全、数据保护、系统运维等关键领域,确保检查项目的完整性和实用性。输出结果采用结构化格式,便于IT团队直接应用于合规审计和风险评估工作,提升企业信息技术管理的规范性和安全性。

🎯 可自定义参数(3个)

国家或地区
需要生成合规检查清单的国家或地区名称
行业类型
企业所属的行业类型,用于定制化检查内容
检查重点
合规检查的重点领域

🎨 效果示例

中国大陆金融服务业IT合规检查清单(全面检查版)

适用范围:在中国大陆运营或向中国大陆境内提供金融服务(银行、保险、证券、基金、支付清算、互联网金融等)的机构及其IT/数据处理活动。面向总部与境内子公司、分支机构、外包服务商与云服务场景。

说明:本清单围绕网络安全、数据安全、个人信息保护、系统运维及行业特有要求进行全面核查。检查项目基于现行有效法律法规与主流国家/行业标准,附带检查要点与参考依据,便于审计与落地整改。

一、按领域分类的检查项目表格

1) 合规治理与组织

检查项目 具体描述 检查要点 合规依据
合规治理架构 建立覆盖网络安全、数据安全、隐私保护的治理架构与职责矩阵(董事会/高管/首席信息安全官/数据保护负责人) 有任命文件、例会纪要、年度计划、KPI/KRI与审计跟踪 网络安全法;数据安全法;个人信息保护法
制度与流程体系 完整制度库:安全政策、数据治理、PI处理、供应商管理、SDLC、日志与审计、事件响应、跨境数据 制度现行有效、年度评审与更新记录、流程图和RACI清晰 同上及等保2.0相关标准
合规评估与内审 每年至少一次合规自评与内审,形成差距分析与整改闭环 自评报告、问题台账、整改计划、复核结项 个人信息保护法(合规义务);等保2.0测评要求
人员背景与保密 要害岗位履职条件、背景核查与保密协议、离岗交接 取样核查与台账可追溯 网络安全法(安全管理)
合规培训与考核 全员年度培训,敏感岗位与外包人员专项培训与考试 课程大纲、签到记录、考核成绩与追踪改进 个人信息保护法(内部管理与培训)

2) 网络安全等级保护(等保2.0)

检查项目 具体描述 检查要点 合规依据
定级与备案 关键信息系统按等保2.0开展定级(金融机构核心业务通常≥三级)并向公安机关备案 定级报告、专家评审意见、备案回执 网络安全法;等保2.0(如GB/T 22239-2019等)
等保建设与整改 按定级结果实施技术与管理控制并完成整改 控制项覆盖网络、主机、应用、数据、管理五大域 同上
等保测评 三级及以上系统由具备资质机构年度测评与重大变更后复测 测评报告、问题闭环、复测记录 等保2.0测评要求
安全审计与日志 关键系统日志、审计与留存;三级系统具备集中审计与关联分析 日志留存≥6个月,关键系统更长留存策略 网络安全法第21条;等保2.0

3) 关键信息基础设施(如适用)

检查项目 具体描述 检查要点 合规依据
CIIO识别与备案 识别是否属于关基运营者并按主管部门要求备案 主管部门通知/认定、备案凭证 关键信息基础设施安全保护条例(2021)
本地化与安全要求 落实人员、组织、技术更高标准与审查要求 安全责任制、采购安全审查、监测预警、演练 同上、网络安全审查办法(2022)
供应链与采购审查 关键网络产品与服务安全审查(可能影响国家安全时) 审查申请材料、评估结论与整改执行 网络安全审查办法(2022)

4) 数据治理与分级分类(数据安全法)

检查项目 具体描述 检查要点 合规依据
数据目录与资产清单 全量数据资产盘点、数据地图、数据流向与系统映射 定期更新、系统/流程可追溯 数据安全法
数据分级分类 按重要程度与敏感程度进行分级分类与管控 规则与标注落地、调用与导出受控 数据安全法;相关国家标准与行业规范
最小必要与脱敏 采集/使用/共享遵循最小必要;非生产环境脱敏 采集清单、字段级权限、脱敏策略与验证 数据安全法;等保2.0
数据全生命周期 生成、存储、使用、共享、出境、归档、销毁的全流程管理 留痕与审批、定期清理/销毁记录 数据安全法
重要数据识别 开展重要数据识别与目录管理(含行业/区域目录对照) 方法论、识别报告、审批与动态更新 数据安全法;相关配套政策

5) 个人信息保护(PIPL)

检查项目 具体描述 检查要点 合规依据
合法性基础与告知 明确处理目的、方式、范围、保留期并进行充分告知;获取相应合法性基础 隐私政策、场景化告知、留痕与版本管理 个人信息保护法
最小必要与目的限制 按目的限制、最小必要收集使用;过度收集禁止 字段清单与必要性论证、审批与评审 个人信息保护法
敏感个人信息 对生物识别、医疗健康、金融账户、行踪等敏感PI获取单独同意并开展PIA 敏感PI清单、单独同意留痕、PIA报告 个人信息保护法
未成年人保护 14岁以下需监护人同意与专项保护 年龄识别与监护核验、保护措施与日志 个人信息保护法
个体权利响应 查阅、更正、删除、撤回同意、限制处理等权利响应机制 工单SLA、身份核验、防滥用与证据留存 个人信息保护法
自动化决策与画像 提供可解释与拒绝选择;对定向推送提供便捷退出 策略说明、申诉通道、测试与偏差评估 个人信息保护法
第三方与委托处理 明确委托/共享/转让边界与合同义务、审计检查 DPA/委外合同、最小范围共享、退出与返还/删除 个人信息保护法

6) 跨境数据流动与数据出境

检查项目 具体描述 检查要点 合规依据
出境路径选择 依据数据类型、规模与主体属性选择:安全评估、标准合同或认证,或适用豁免 适用性判定、门槛与豁免条件核对、路径合规档案 数据出境安全评估办法(2022);个人信息出境标准合同办法(2023);促进和规范数据跨境流动规定(2024)
PIPIA/风险评估 出境前开展个人信息保护影响评估/数据出境风险评估 评估报告、复核与批准、周期复评 个人信息保护法;相关实施规则
合同与备案 标准合同签署与备案、第三方接收方约束 合同条款完整性、备案凭证、再转移限制 标准合同办法(2023)
传输安全与访问控制 跨境传输通道加密、最小访问、审计与监控 传输加密、跨境访问白名单、会话审计 网络安全法;密码法
豁免场景管理 交易履约、人力资源管理、应急救护等必要性豁免留痕 必要性证明、数据最小化、记录与留存 促进和规范数据跨境流动规定(2024)

提示:安全评估、标准合同或认证的适用门槛与豁免条件需以最新部门规章与配套指引为准,并结合是否CIIO、是否涉及重要数据与个人信息规模等综合判定。

7) 加密与密钥管理(密码法)

检查项目 具体描述 检查要点 合规依据
商用密码合规 使用符合国家规定的商用密码产品与算法(如SM系列) 产品认证/检测证明、清单管理 密码法及配套规定
传输与存储加密 数据在传输、静态与备份场景加密 密钥长度与算法、密钥轮换/分权保管 密码法;等保2.0
密钥生命周期管理 生成、分发、使用、归档、吊销与销毁流程 双人双控、HSM使用与访问审计 同上
机密区与要害系统 金融交易、账户与凭证信息严格加密隔离 加密覆盖率、解密最小化 个人信息保护法;等保2.0

8) 安全开发与系统上线(SDLC/DevSecOps)

检查项目 具体描述 检查要点 合规依据
安全需求与设计 在需求/设计阶段纳入安全与隐私要求 STRIDE/威胁建模、隐私设计原则 等保2.0;个人信息保护法
代码安全 代码扫描、开源成分分析(SCA)、安全门禁 漏洞修复SLA、许可合规 漏洞管理规定(2021)
测试与验收 渗透测试、接口与权限测试、数据脱敏测试 测试报告与缺陷关闭、上线批准 等保2.0
变更与发布 变更评审、回滚方案、双人复核 变更记录与审计、紧急变更后评审 网络安全法(安全管理)

9) 身份与访问控制(IAM/零信任)

检查项目 具体描述 检查要点 合规依据
强身份认证 关键系统启用多因素认证(MFA) 管理员/远程/生产账号强制MFA 等保2.0
最小权限与周期审计 RBAC/ABAC、定期权限核查与回收 高权账号隔离、审批闭环 等保2.0
第三方访问管控 供应商/外包/远程维护的临时授权与审计 跳板机、会话留痕、时间窗控制 网络安全法;PIPL(委托处理)

10) 网络与主机安全

检查项目 具体描述 检查要点 合规依据
区域与边界防护 分区分域、东西/南北向访问控制与审计 防火墙/微分段/IPS策略最小化 等保2.0
终端与服务器防护 EDR/AV、基线加固、补丁与配置合规 基线合规率、白名单、漏洞暴露面 等保2.0
数据库与中间件 账号分离、审计、加密与脱敏 高危操作双人复核、敏感查询审计 等保2.0
安全监测 SOC/SIEM、威胁情报、异常检测 告警分级与处置SLA、演练记录 网络安全法

11) 日志、审计与证据保全

检查项目 具体描述 检查要点 合规依据
日志留存 关键系统日志集中存储与不可抵赖 留存≥6个月,关键业务更长备份 网络安全法第21条;等保2.0
审计覆盖 管理员操作、敏感数据访问、跨境传输、接口调用全覆盖 样本抽查与追溯性验证 等保2.0
证据保全 事件证据封存与链路完整性 时间戳、签名、只读存储 网络安全法

12) 漏洞、补丁与脆弱性管理

检查项目 具体描述 检查要点 合规依据
漏洞收集与响应 漏洞源订阅、预警与分级响应 高危(含零日)加急处置SLA 网络产品安全漏洞管理规定(2021)
补丁与变更 补丁测试、分批发布与回滚 漏洞-补丁闭环台账 等保2.0
基线核查 定期配置/合规基线核查 合规率量化与整改计划 等保2.0

13) 安全事件响应与通报

检查项目 具体描述 检查要点 合规依据
事件分级与流程 预先定义分级、处置流程、指挥体系与通讯录 值班机制、演练记录、RCA产出 网络安全法;数据安全法;PIPL
外部通报 按主管与属地要求向网信/公安/通信/金融监管等通报 各监管联系人清单、模板与时限满足最严要求 相关法律及监管通报要求
用户通知 涉及个人信息泄露等高风险事件的用户通知 通知模板、风险缓释与客服预案 个人信息保护法

说明:金融监管部门(如国家金融监督管理总局、人民银行、证监会)对重大事件的通报时限与内容常有专门要求,应以所持牌照/批复文件及最新监管通知为准,遵循“从严从快”。

14) 业务连续性与灾难恢复(BCM/DR)

检查项目 具体描述 检查要点 合规依据
BIA与风险评估 关键业务影响分析与RTO/RPO指标设定 指标经管理层批准并年度复评 行业通行做法;等保2.0(管理要求)
多活/同城/异地灾备 交易/清算等关键系统具备冗余与演练 半年/年度演练、故障注入与复盘 同上
数据备份与恢复 在线+离线备份、演练验证与加密 备份完整性与可恢复性证据 数据安全法;密码法

15) 第三方/外包与云合规

检查项目 具体描述 检查要点 合规依据
外包管理 准入评估、合同安全条款、现场与远程审计 数据本地化、保密与分包限制、退出条款 个人信息保护法(委托处理);(适用)银行保险机构信息科技外包风险监管办法(2021)
云服务合规 云服务资质核验、数据驻留与多租户隔离评估 租户隔离测试、主密钥控制、日志可得性 网络安全法;等保2.0;密码法
跨境远程维护 将境外远程访问视同数据出境场景进行控制 访问白名单、时间窗、全程审计与批准 数据出境相关规定

16) 物理与机房安全

检查项目 具体描述 检查要点 合规依据
机房分级与防护 物理隔离、门禁多因素、视频监控与巡检 访客登记、录像留存、环境监测 等保2.0(物理环境)
媒介与设备管理 介质加密、出入库登记与销毁 关键介质双人双锁、销毁记录 数据安全法;密码法
电力与环境 UPS、双路市电、消防与防水 定检与演练记录 同上

17) 合规对接与行业特有要求

检查项目 具体描述 检查要点 合规依据
金融消费者权益保护 客户隐私、营销合规、投诉处理与留痕 直销话术管控、退出机制、投诉闭环 人民银行等消费者保护规定
反洗钱与风控数据 依法留存与调阅、可追溯与安全性 留存期限与最小化平衡 反洗钱法及配套规定
行业标准与认证 参考ISO/IEC 27001、PCI DSS等(适用时) 认证证书、整改记录 行业最佳实践(非强制)

二、合规要求与参考标准说明(核心清单)

  • 法律法规(现行有效)

    • 中华人民共和国网络安全法(2017)
    • 中华人民共和国数据安全法(2021)
    • 中华人民共和国个人信息保护法(2021)
    • 关键信息基础设施安全保护条例(国务院,2021)
    • 网络安全审查办法(2022)
    • 网络产品安全漏洞管理规定(2021)
    • 数据出境安全评估办法(国家网信办,2022)
    • 个人信息出境标准合同办法及模板(国家网信办,2023)
    • 促进和规范数据跨境流动规定(国家网信办等,2024)
    • 中华人民共和国密码法(2019)
    • 金融消费者权益保护相关规定(人民银行等,视牌照适用)
    • 银行保险机构信息科技外包风险监管办法(原银保监会,2021;现由国家金融监督管理总局沿用)

  • 国家/行业标准与规范(典型)

    • 等保2.0国家标准体系(如GB/T 22239-2019《网络安全等级保护基本要求》及配套测评、设计与管理规范)
    • 信息安全技术 个人信息安全规范(GB/T 35273-2020,推荐性)
    • 个人信息保护认证实施规则(国家认证认可监督管理委员会/网信部门发布的实施规则,适用于“认证”路径)
    • 其他与行业相关的技术与管理规范(依主管部门与场景选用)

注:对于跨境数据、重要数据认定、CIIO认定、事件通报时限等,需以最新部门规章、主管部门通知与持牌监管要求为准,并保留书面合规判断与佐证材料。

三、实施建议与注意事项

  • 先行评估与分层推进

    • 快速完成系统清单、数据地图与定级盘点,优先覆盖核心交易与清算系统(通常为等保三级及以上)。
    • 并行开展PIPL合规差距评估(合法性基础、告知与同意、敏感PI、第三方共享、权利响应),形成“高风险事项清单”。

  • 数据出境治理闭环

    • 建立“出境判定—路径选择—PIA/风险评估—合同/评估/认证—运行监控—年度复核”的标准流程。
    • 动态跟踪2024年以来跨境“豁免场景”适用条件与各地“重要数据/负面清单/自由贸易区目录”等政策,保留必要性与最小化证明。

  • 强化要害控制

    • 以“最小权限+强身份认证+全量审计”为高权操作三大基线;对远程维护一律跳板审计与时间窗控制。
    • 关键数据全生命周期加密与密钥分权管理;生产数据出测试严格脱敏并记录可追溯。

  • 例行测评与演练

    • 等保年度测评与重大变更复测必须闭环;渗透测试至少年度开展并覆盖互联网边界与关键业务链路。
    • 事件响应、灾备切换与用户通知演练至少每年一次,执行“从严从快”的多监管通报演练。

  • 供应商与云风险

    • 供应商分级管理与现场审计结合;合同中明确数据本地化、出境约束、分包限制、安全事件通报与退出条款。
    • 评估云服务商合规资质、跨境链路、KMS管控与租户隔离;涉及关基或国家安全可能影响时评估是否触发网络安全审查。

  • 证据与留痕

    • 日志集中与不可抵赖,关键系统日志按法定要求留存≥6个月,建议关键业务更长留存并定期恢复演练。
    • 对所有合规判定形成书面“合规备忘录”与管理层批准,以应对监管抽查与审计追溯。

  • 风险优先级与度量

    • 以对客户资金安全、交易连续性、敏感/大规模PI的影响作为优先分级标准,设定可量化KRI(如漏洞暴露时长、权限超期率、出境合规及时率)。

如需,我可根据贵机构的系统架构、数据类型与持牌情况,进一步细化:等保测评条目对标矩阵、PIPL场景化合法性基础映射、跨境路径选择决策树、外包合同安全条款模板、以及年度审计抽样计划。

欧盟医疗健康行业数据保护合规检查清单

适用范围:适用于在欧盟境内运营或面向欧盟个人提供医疗健康服务的组织(医院、诊所、电子健康平台、医疗SaaS、实验室、保险健康服务等),重点覆盖个人健康数据处理的隐私与安全合规。
法规框架基线:GDPR(EU 2016/679)、ePrivacy 指令(2002/58/EC 及成员国实施法)、NIS2(EU 2022/2555,按各成员国落实的国家法规)、(如适用)MDR 医疗器械法规(EU 2017/745)。并参考 EDPB 指南、ENISA 指南及国际标准(ISO/IEC 27001/27701、IEC 81001-5-1、IEC 62304 等)。


下表为按领域分类的可执行检查项目,含检查要点、合规依据与证据要点。优先级分为:必须(法律强制或核心高风险)、高(强烈建议/常见审计重点)、中(提升成熟度/降低残余风险)。

一、治理与问责(Accountability)

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
治理与问责 指定并有效履职DPO 医疗机构大规模处理健康数据必须指定DPO;DPO独立性、直接向最高管理层报告;参与DPIA和事件响应。 GDPR Art.37–39 DPO任命文件、岗位说明、汇报机制、参与记录、培训证书 必须
治理与问责 处理活动记录(ROPA) 完整记录控制者/处理者的处理活动:目的、数据类别(健康数据等)、数据主体、接收方、保存期限、技术与组织措施。 GDPR Art.30 ROPA清单、系统/应用台账、数据流图、更新频率 必须
治理与问责 隐私设计与默认保护 在系统架构、需求、部署阶段嵌入最小化、分离、加密、访问控制;默认收集最少必要数据。 GDPR Art.25 架构设计评审记录、变更评审模板、默认配置基线、代码评审证据 必须
治理与问责 政策与程序体系 已发布且执行的数据保护政策、记录管理、访问控制、第三方管理、泄露通报、加密、日志等制度。 GDPR Art.5(2), 24, 32 最新版本政策、审计追踪、执行证据、例行评审记录 必须
治理与问责 员工背景审查与保密 含涉敏岗位背景审查与职业保密承诺;医疗保密与职业秘密合规。 GDPR Art.32(4); 成员国卫生法 人员审查与保密协议、入离职清单、权限回收记录
治理与问责 定期合规审计与管理评审 至少年度隐私与安全内审,整改闭环;管理层评审。 GDPR Art.24, 32; NIS2风险管理 内审计划、发现与整改、KPI/KRI、管理评审纪要

二、合法性基础与特殊类别数据

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
合法性基础 明确并记录处理的法律依据 为每一处理场景明确Art.6基础(如合同、法定义务、重大利益)与Art.9例外((h)医疗保健、(i)公共卫生、(j)科研) GDPR Art.6, 9 法律依据矩阵、患者告知文案、系统中依据标注 必须
同意管理 同意的获取与撤回 仅在需要同意的场景(如非必要Cookie/营销/某些远程监测)获取有效同意;支持易撤回与记录。 GDPR Art.7; ePrivacy 同意界面截图、同意日志、撤回流程与SLA
透明度 隐私声明与患者告知 多渠道、清晰易懂、涵盖目的、数据类别、权利、接收方、跨境传输、保存期限等;适配多语言。 GDPR Art.12–14 隐私声明版本、发布位置、变更记录 必须
数据最小化 仅收集必要健康数据 与医疗目的紧密相关;避免过度监测与冗余字段;对自由文本进行最小化或分层访问。 GDPR Art.5(1)(c) 字段清单与必要性评审、表单设计、抽样核查 必须

三、数据保护影响评估(DPIA)与风险管理

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
DPIA 触发判定与实施 大规模处理健康数据、系统性监控、远程医疗平台等场景必须开展DPIA;DPO参与并记录残余风险与措施。 GDPR Art.35; EDPB DPIA清单 DPIA报告、风险登记簿、批准与复评记录 必须
风险管理 NIS2风险管理措施 识别威胁、供应链风险、业务连续性、加密、身份鉴别、补丁、日志、事件处理;基于成员国实施法要求。 NIS2 Art.21–23(落地于成员国法) 风险评估、BCP/DR演练、漏洞管理台账、事件预案 必须
事件报告 数据泄露与网络事件通报 向监管机构在72小时内通报个人数据泄露;对高风险个体“无不当延迟”通知。NIS2重大事件24小时预警、72小时通报、1个月最终报告(以成员国法为准)。 GDPR Art.33–34; NIS2 事件分类标准、时间线证据、通报模板与记录 必须

四、数据主体权利

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
权利响应 访问、更正、删除、限制、可携、反对 在1个月内响应(可延长2个月并告知);身份验证稳健;医嘱/法定留存的例外处理合规。 GDPR Art.12, 15–22 工单记录、时效SLA、身份核验流程、模板回复 必须
审计追踪可视化 向患者提供访问日志(如当地法要求) 能展示谁在何时访问其电子病历,异常访问申诉渠道。 GDPR Art.15; 成员国卫生法 审计日志、患者门户展示、流程文档
儿童数据 监护人同意与年龄门槛 涉及未成年人时按成员国规定(13–16岁区间)获取监护人同意并验证。 GDPR Art.8 年龄门槛矩阵、监护验证记录

五、处理者与第三方管理(含云服务)

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
处理者合同 数据处理协议(DPA) 按Art.28签署DPA,明确处理范围、保密、分处理者审批、安全措施、协助权利请求与审计。 GDPR Art.28–29 已签DPA、分处理者清单与审批、审计权条款 必须
供应链安全 供应商评估与持续监控 准入评估、定期审计/证明(ISO 27001/27701、SOC 2)、安全条款、退出与数据返还/删除。 GDPR Art.28; NIS2供应链 评估报告、合规证书、渗透/漏洞证明、退出演练
云与托管 数据位置与密钥管理 明确数据驻留/备份位置;密钥在受控KMS/HSM,分权管理;日志与支持数据的个人数据最小化。 GDPR Art.32; EDPB传输建议 架构与数据流、密钥策略、KMS/HSM配置、云共享责任说明

六、跨境数据传输

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
传输机制 适当性与保障措施 优先适用欧盟“充分性决定”(如对参加EU-US Data Privacy Framework的美国接收方);否则使用2021版SCC并完成传输影响评估(TIA)与必要补充措施(加密、分割等)。 GDPR Ch.V; 2021/914 SCC; EDPB 01/2020 传输登记、SCC签署、TIA报告、技术补充措施说明 必须
透明与权利 告知与权利可及 隐私声明包含跨境信息、接收方、保障机制;确保权利行使不受影响。 GDPR Art.13–14 隐私声明文本、合同附件、信息提供记录

七、安全措施(技术与组织)— 处理安全(Art.32)

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
访问控制 最小权限与强认证 基于角色的最小权限;对管理员与远程访问实施MFA;定期访问复核与离职即时回收。 GDPR Art.32; NIS2 RBAC矩阵、MFA覆盖率、季度权限复核记录、离职清单 必须
加密 传输与存储加密 传输使用TLS 1.2+(优选1.3)与PFS;存储采用业界公认算法(如AES-GCM);密钥轮换与分权。 GDPR Art.32 加密策略、配置截图/扫描、密钥轮换日志 必须
审计与日志 可追溯审计日志 记录访问病历的用户、时间、操作、来源;防篡改与留存策略;集中化监测与告警。 GDPR Art.5(2), 32 日志留存策略、SIEM告警、抽样日志、篡改防护说明 必须
漏洞与补丁 漏洞管理与修补 周期扫描、渗透测试、风险分级修复SLA;关键医用系统补丁与变更评估。 GDPR Art.32; NIS2 扫描报告、渗透测试报告、SLA达成率、变更单
业务连续性 备份与恢复演练 定期备份(含离线/不可变副本),最小化RTO/RPO以支持临床安全;年度恢复演练。 NIS2; 医疗安全最佳实践 备份策略、演练记录、恢复报告、RTO/RPO指标
终端与网络 终端加固与分段 关键医疗设备与EHR网络分段;端点防护、应用白名单、安全基线与配置合规。 GDPR Art.32; NIS2 网络拓扑、分段ACL、基线合规率、EDR覆盖率
安全开发 安全SDLC与隐私评审 代码审计、依赖漏洞治理、隐私威胁建模、发布前安全门;对健康数据接口(FHIR、HL7)做授权与输入校验。 GDPR Art.25, 32 SDLC流程、SAST/DAST报告、威胁模型、发布清单

八、电子通信与Cookie(ePrivacy)

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
Cookie与追踪 非必要Cookie同意 非必要Cookie/SDK在获取同意前不落地;提供拒绝同意同等便捷;记录偏好。 ePrivacy(各国法); GDPR Art.7 CMP配置、标签管理器规则、同意日志 必须
通信保密 医患通信保密与加密 医患消息/远程会诊采用端到端或会话级加密;防止未授权访问与泄露。 ePrivacy; GDPR Art.32 架构说明、协议配置、渗透/泄露攻击模拟记录
营销限制 直销与促销限制 医疗场景中直销需事先同意并提供退订;避免将健康数据用于个性化广告。 ePrivacy; GDPR Art.21 营销名录、同意记录、退订流程

九、数据生命周期管理(保留与删除)

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
保留期限 与目的和法律要求一致 医疗记录保留期限遵循成员国卫生法;非医疗必需副本到期删除或匿名化。 GDPR Art.5(1)(e) 留存矩阵、自动化清理任务、审计抽查 必须
数据分类 分类与标记 对健康数据、标识符、研究数据、日志等分类分级并匹配控制强度。 GDPR Art.32 分类政策、资产清单、标记实践
匿名化/假名化 降低再识别风险 研究与次要用途尽可能匿名化;需保留关联时使用假名化并实施分离与访问限制。 GDPR Art.25, 32, 89; WP29 Opinion 05/2014; ENISA指引 技术方案、风险评估、重识别测试记录

十、科研与二次使用(如适用)

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
合法性与伦理 科研合法性与保障 明确Art.9(2)(j)或当地法授权;伦理审批(如适用);Art.89保障(最小化、假名化、访问限制)。 GDPR Art.9, 89 伦理批件、科研DPIA、数据访问控制
数据共享 受控共享与审计 数据共享协议(DUA)、共享最小化、访问审计、再利用限制。 GDPR Art.28, 89 DUA文本、共享日志、审计记录

十一、医疗器械与健康软件(如适用)

检查领域 检查项目 描述与检查要点 合规依据 取证要点/证据 优先级
资质与标识 软件是否构成医疗器械 若健康软件用于诊断/治疗决策,确认MDR适用,完成合规评估与CE标识。 MDR (EU 2017/745) 合格评定文件、风险管理、CE证据 必须(如构成医疗器械)
安全工程 医疗软件网络安全 采用IEC 81001-5-1、IEC 62304(软件生命周期)与MDCG网络安全指南;维护SBOM、更新策略。 MDR一般安全性能要求;MDCG指导 安全文件包、SBOM、更新与通报记录

合规要求与参考标准说明(精选)

  • 法律与监管

    • GDPR(EU 2016/679):核心条款 Art.5(原则)、Art.6/9(合法性与特殊类别)、Art.12–22(数据主体权利)、Art.25(隐私设计/默认)、Art.30(处理记录)、Art.32(安全)、Art.33/34(泄露通报)、Art.35(DPIA)、Chapter V(跨境传输)
    • ePrivacy 指令及成员国实施法:电子通信保密、Cookie/追踪、直销限制
    • NIS2(EU 2022/2555):对医疗保健等“重要/关键实体”的网络与信息系统安全及重大事件通报要求(以各成员国转置法为准)
    • MDR(EU 2017/745):对构成医疗器械的软件适用的安全与性能要求
    • 成员国卫生与患者保密法:医疗记录保存、职业保密、患者访问日志等(需以当地法为准)

  • 标准与指南(实施参考)

    • ISO/IEC 27001:2022(信息安全管理)、ISO/IEC 27701(隐私信息管理)、ISO/IEC 27017/27018(云与公有云PII保护)
    • ENISA 医疗行业网络安全指南与假名化最佳实践
    • EDPB 跨境传输补充措施建议(Recommendations 01/2020)、DPIA相关指南
    • IEC 81001-5-1(健康软件网络安全—开发生命周期要求)、IEC 62304(医疗器械软件生命周期)
    • HL7 FHIR 安全与IUA/SMART on FHIR授权、IHE ATNA/XUA 审计与访问控制配置文件
    • ISO/TS 25237(健康信息假名化)、ISO 20889(去识别技术)

实施建议与注意事项

  • 建立单一事实来源:以数据清单/数据流为核心,联动ROPA、DPIA、传输登记、供应商清单,确保“一处变更全域更新”。
  • 将合规要求内化到技术基线:把Art.25/32要求转化为工程控制基线(访问控制、加密、日志、加固、变更门禁),纳入CI/CD与变更管理。
  • 明确双重通报机制:为GDPR与NIS2分别设定触发标准与时序,优先遵循更严格时限,建立跨法域通报联络表与模板。
  • 本地化差异管理:成员国对医疗保留期限、患者访问日志、儿童同意年龄、电子通信细则存在差异,建立“国家差异矩阵”并在产品/流程中参数化配置。
  • 供应链透明与冗余:对关键云与托管服务建立退出计划与数据返还/删除测试;定期验证备份可恢复性,覆盖临床关键系统。
  • 假名化与科研分域:将科研/分析环境与临床生产环境分域隔离,采用密钥分离与访问审批,减少再识别风险。
  • 加强用户行为监测:对异常访问病历和大批量导出建立行为分析与告警,结合最小化导出与水印溯源。
  • 保持时效性:持续跟踪成员国对NIS2的落地法规与主管机构指南,以及欧盟对跨境传输、医疗数据空间等后续规则更新。


如需,我可根据贵机构的系统架构(本地/云、EHR品牌、远程医疗模块、科研数据平台等)与成员国所在地,进一步细化为系统级检查脚本与取证清单。

美国加州(SaaS云服务)系统运维合规检查清单

适用范围:

  • 适用于在美国加州设有业务、或处理加州居民个人信息(Personal Information, PI)的SaaS云服务提供商。
  • 检查重点聚焦系统运维(Ops/SRE/CloudOps/DevOps)环节对隐私与安全合规的落地,包括配置、变更、监控、备份、事件响应、数据生命周期等。
  • 法规基线:CCPA/CPRA(Cal. Civ. Code §1798.100 et seq.)、CPRA实施细则(Cal. Code Regs. tit. 11, §7000–§7304)、合理安全措施(Cal. Civ. Code §1798.81.5)、加州数据泄露通知(Cal. Civ. Code §1798.29、§1798.82)。行业/联邦专项(如HIPAA/GLBA)如适用请叠加执行。

按领域分类的检查项目表格

领域 检查项目 目的/适用性 主要检查要点 合规/参考标准
资产与配置管理 云资产与数据清单 确保对处理加州PI的资产可见与可控 有端到端资产清单(账号、订阅、VPC/VNet、计算/存储/数据库、SaaS/PaaS组件);标注是否处理PI、数据类别、环境(Prod/Stg/Dev);与CMDB同步机制 CPRA §1798.100(c) 数据最小化/目的限制;NIST CSF 2.0 ID.AM;ISO 27001 A.5、A.8;CIS v8 C1
基线配置与漂移控制 以标准配置降低误配风险 CIS Benchmark/IaC基线;配置漂移检测与审批;高风险资源(公开存储桶、公开端口)防护 §1798.81.5 合理安全;CIS Benchmarks;NIST SP 800-53 CM-2/6
访问与身份管理 管理员身份与MFA 防止高权限滥用 管理员与云控制平面强制MFA;禁用共享账号;Just-In-Time与Break-glass流程;定期权限复核 CPRA合同义务-保密/访问限制;NIST 800-53 AC-2/5、IA-2;ISO 27001 A.5、A.6;SOC 2 CC6
最小权限与分权 降低横向移动与越权 RBAC/ABAC落地;生产变更需工单/审批;高敏操作双人复核 §1798.81.5;NIST CSF PR.AC;CIS v8 C6
变更与发布管理 变更流程与紧急变更 防止不可控变更影响可用性/安全 标准变更流程、风险评估、回退计划;紧急变更事后复盘;变更与发布分离 ISO 27001 A.8、A.12;SOC 2 CC8
IaC/配置即代码 提升可审计性与一致性 IaC代码评审与签名;合规策略(OPA/Conftest)准入;制品库管理 NIST 800-53 CM-3/5;CIS v8 C4
漏洞与补丁管理 扫描与修复SLA 降低已知漏洞暴露 持续漏洞扫描(主机/容器/镜像/依赖);风险分级与SLA(如高危≤15-30天);例外审批 §1798.81.5;NIST CSF PR.IP、DE.VE;CIS v8 C7
配置与依赖风险 防控第三方依赖风险 SBOM/依赖扫描;容器基线与最小镜像;不使用已弃用加密/协议 NIST 800-218 SSDF;ISO 27001 A.8
日志与监控 安全日志与留存 支持取证与审计 关键事件审计(身份、变更、数据访问、网络);时间同步;分级留存(生产≥90天热存、≥1年归档,按风险与目的限定) CPRA 目的/保存期限限制;NIST 800-92;SOC 2 CC7
可观测性与告警 快速发现异常 SLO/SLA监测;安全与可用性告警阈值;误报治理与告警演练 NIST CSF DE.AE;ISO 27001 A.8、A.12
备份与业务连续性 备份策略与恢复演练 防勒索与故障恢复 关键数据与配置定期备份;3-2-1策略;加密与不可变存储;年度恢复演练与RPO/RTO验证 §1798.81.5;ISO 27001 A.5、A.8;SOC 2 A1
多区域与故障切换 提升可用性 关键服务多AZ/多Region策略(视数据驻留合规而定);切换演练记录 SOC 2 Availability;NIST CSF PR.PS
事件响应与泄露通报 IR计划与分级 合规处置与通报 明确隐私事件分级、角色与RACI;执法/法律顾问联动;证据保全 CA泄露通知 §§1798.29/82;NIST 800-61r2;ISO 27035
通知与加密豁免判断 合规通知与减损 加密状态判定(密文+密钥未泄露可触发豁免);“不无故拖延”通知时限;模板与渠道预案 §§1798.29/82;AG/CPPA指导
数据生命周期与删除 数据分类与保留期限 对齐最小化与存储限制 数据分类(PI/敏感PI);保留清单(按目的与法定义务);超期自动清理 CPRA §1798.100(a)(3) 存储限制;11 CCR §§7000+
用户数据删除与去标识 DSR落地与测试 生产/备份删除或替代方案;去标识/聚合使用控制;删除执行证明 CPRA DSR要求;ISO 27018;SOC 2 Privacy
加密与密钥管理 传输/静态加密 减轻泄露风险 TLS 1.2+/1.3;静态加密(数据库、对象存储、备份);敏感PI强化加密 §1798.81.5;NIST 800-52/57;CIS v8 C3
KMS与密钥轮换 防止密钥滥用 托管KMS/HSM;最小权限访问;定期轮换;密钥托管审计 NIST 800-57;ISO 27001 A.8
云平台与多租户隔离 网络与租户隔离 防止跨租户访问 VPC分段/安全组/WAF;私有端点;租户级命名空间/数据库策略 §1798.81.5;CSA CCM v4;CIS AWS/Azure/GCP Benchmarks
公共暴露面最小化 降低外部攻击面 互联网暴露清单;仅必需服务开放;DDoS与BOT防护 NIST CSF PR.AC、PR.DS
第三方/服务提供商管理 合同条款与流向控制 合同满足CPRA要求 不出售/共享PI条款;仅为指示目的处理;保密;次级处理审批;协助DSR/安全措施;删除与返回 CPRA §§1798.140、1798.100(d);11 CCR(服务商/承包商条款)
第三方安全评估 持续性保障 初始尽调与年度评估;审计报告(SOC 2/ISO证书);整改跟踪 §1798.81.5;SOC 2 CC3;ISO 27036
DSR在运维落地 访问/删除请求技术支持 DSR技术可行性 日志/备份/数据湖中PI可检索与定位;部分删除或不可行说明的证据链 CPRA DSR;11 CCR §§7000+
儿童/敏感PI处理限制 限制用途与共享 年龄/同意管理在Ops侧的控制;敏感PI用途限制配置 CPRA §1798.121(敏感PI);儿童规则
环境分离与CI/CD安全 开发/测试/生产分离 降低数据泄漏 禁止生产PI下游到非生产;若必要,脱敏/匿名化;访问隔离 ISO 27001 A.8;SOC 2 CC7
流水线与签名 供应链安全 代码签名、镜像签名(SLSA/SCM防护);最小权限Runner NIST 800-218 SSDF;SLSA
可用性与容量管理 容量规划与弹性 避免中断与SLA违约 自动扩缩;容量预警;依赖服务SLA对齐 SOC 2 Availability;NIST CSF ID.BE
合规证明与记录 证据与审计轨迹 可审计与可证明 政策、流程、工单、日志、截图、抽样记录;年度审计与渗透测试报告 SOC 2、ISO 27001 内外审;NIST CSF GOV

注:上述部分条目属于“合理安全措施”和业界通行标准要求,并非加州法律逐条规定的技术细节;其目的是将CPRA的“合理、安全、最小化、存储限制、合同控制、DSR可执行”等义务转化为系统运维可操作检查点。

合规要求与参考标准说明(摘要)

  • 加州隐私与数据安全
    • CCPA/CPRA:Cal. Civ. Code §§1798.100–1798.199.100(含服务商/承包商义务、数据最小化、目的/保存限制、DSR权利、敏感PI处理限制等)
    • CPRA实施细则:Cal. Code Regs. tit. 11, §§7000–7304(消费者请求流程、通知、合同要素、去标识化要求等的操作化规范)
    • 合理安全措施:Cal. Civ. Code §1798.81.5(要求采取合理的安全程序与实践保护PI)
    • 数据泄露通知:Cal. Civ. Code §§1798.29、1798.82(发生泄露时“不得无故拖延”通知;加密且密钥未泄露通常不触发通知)
  • 框架与标准(用于证明“合理安全”与业界实践)
    • NIST CSF 2.0、NIST SP 800-53 rev.5、NIST SP 800-61r2(事件响应)、NIST SP 800-92(日志)、NIST SP 800-57(密钥管理)、NIST 800-218(SSDF)
    • ISO/IEC 27001:2022、27017(云安全)、27018(云隐私)
    • AICPA SOC 2 Trust Services Criteria(Security/Availability/Confidentiality/Privacy)
    • CIS Controls v8、CIS Benchmarks,CSA CCM v4
  • 契约控制(服务商/承包商)
    • CPRA要求与受托处理者签订合同,包含:仅按指示处理、不得出售/共享PI、保密义务、适当技术/组织措施、协助履行DSR、允许审核、次级处理约束、删除/返还、国际传输限制等(见Cal. Civ. Code §1798.100(d)、§1798.140定义与11 CCR相关条款)

实施建议与注意事项

  • 数据与系统基线

    • 建立数据处置目录(Record of Processing)映射到云资产清单;为每一类PI设定明确“目的与保留期限”,并在日志与备份策略中同步体现,避免超期保存。
    • 对生产数据复制到测试/分析环境实行脱敏/去标识,并由变更流程管控。

  • 运维流程与证据

    • 将所有高风险操作(访问开通、生产变更、紧急修复、备份恢复、密钥操作)纳入工单系统与审批闭环,保留审计轨迹不少于一年(依据业务/法律目的与最小化原则设定)。
    • 每年至少一次桌面演练与一次技术演练(事件响应、灾备切换、DSR删除在备份环境的执行路径)。

  • 技术控制要点

    • 在云平台启用组织级防护:强制MFA、SSO、条件访问、资源标记、策略准入(如AWS SCP、Azure Policy)、配置漂移告警。
    • 统一日志与可观测性平台,明确对PI访问、管理平面操作、网络边界事件的检测规则与告警SLA。
    • 密钥统一托管(KMS/HSM),对备份、数据湖、对象存储、数据库实行静态加密;对跨境/跨区域复制前进行合规评估。

  • 第三方与合同

    • 所有触达PI的第三方均需“服务提供商/承包商”合同条款;审核其SOC 2/ISO证据与渗透测试报告;对次级处理者列入清单并公告/审批。
    • 对日志与监控外包方同样适用合同条款与安全尽调,避免将含PI日志无控制地输出至第三方。

  • 泄露通报与沟通

    • 预制泄露通知模板(含法定要素);建立加密豁免判断流程与法务门槛;同态化练习“72小时内内部通报与决策”,对外通知遵循“不得无故拖延”。

  • 常见偏差与修复优先级

    • 未区分生产/非生产导致PI外泄至开发环境(优先:环境隔离+脱敏)
    • 公开存储桶或弱加密(优先:资产发现+策略准入+KMS强制)
    • 漏洞发现无SLA与例外泛滥(优先:按CVSS/可利用性定义SLA与例外到期)
    • 备份可用但恢复未验证(优先:季度恢复演练、记录RTO/RPO)

  • 变更管理与发布窗口

    • 在高峰/敏感期(促销、报税季等)实施冻结窗口;紧急变更需CTO/CISO级批准并48小时内复盘。

  • 说明

    • CPPA关于网络安全审计与风险评估的专项规定在2024年仍处于拟议状态(不作为强制条款引用);建议关注CPPA最新公告以适时更新检查清单。
    • 若处理受监管数据(如PHI/GLBA/学生数据),请叠加适用的联邦/行业规范(HIPAA、GLBA Safeguards Rule、COPPA、FERPA等)。

如需,我可以将本清单转换为可执行的审计打分表(含证据样例、严重度与整改建议)、或对贵司当前云平台(AWS/Azure/GCP)基于CIS Benchmark映射生成更细化的检查脚本与工单模板。

示例详情

📖 如何使用

30秒出活:复制 → 粘贴 → 搞定
与其花几十分钟和AI聊天、试错,不如直接复制这些经过千人验证的模板,修改几个 {{变量}} 就能立刻获得专业级输出。省下来的时间,足够你轻松享受两杯咖啡!
加载中...
💬 不会填参数?让 AI 反过来问你
不确定变量该填什么?一键转为对话模式,AI 会像资深顾问一样逐步引导你,问几个问题就能自动生成完美匹配你需求的定制结果。零门槛,开口就行。
转为对话模式
🚀 告别复制粘贴,Chat 里直接调用
无需切换,输入 / 唤醒 8000+ 专家级提示词。 插件将全站提示词库深度集成于 Chat 输入框。基于当前对话语境,系统智能推荐最契合的 Prompt 并自动完成参数化,让海量资源触手可及,从此彻底告别"手动搬运"。
即将推出
🔌 接口一调,提示词自己会进化
手动跑一次还行,跑一百次呢?通过 API 接口动态注入变量,接入批量评价引擎,让程序自动迭代出更高质量的提示词方案。Prompt 会自己进化,你只管收结果。
发布 API
🤖 一键变成你的专属 Agent 应用
不想每次都配参数?把这条提示词直接发布成独立 Agent,内嵌图片生成、参数优化等工具,分享链接就能用。给团队或客户一个"开箱即用"的完整方案。
创建 Agent

✅ 特性总结

按国家与行业一键生成合规清单,快速覆盖本地法规要点,减少资料搜集时间
覆盖网络安全、数据保护、运维管理等核心领域,避免漏项,保证检查体系完整
自动转译复杂条款为可执行检查项,配合明确标准与要点,便于现场核查落地
支持自定义检查重点与权重,一键生成适配场景的版本,满足审计与整改双需求
内置风险提示与整改建议,自动标注优先级,帮助团队高效制定合规行动计划
结构化输出清单与说明,直接用于审计取证和汇报,降低沟通与培训成本
敏捷适配多地区法规更新,避免使用过期要求,确保合规内容始终与时俱进
可作为审计前预检工具,快速发现差距与风险点,为预算与资源安排提供依据
支持团队协作与版本留存,清晰记录更新原因与调整历史,便于持续合规
面向金融、医疗、电商与政府等行业,提供差异化模板,开箱即用更贴合业务

🎯 解决的问题

为IT与合规团队提供一键式合规检查清单生成能力:支持按国家/地区、行业场景与关注重点定制输出,自动形成按领域分组的检查项、核查要点、参考依据与实施建议,直接用于年度审计、差距评估、整改计划与认证准备。核心价值在于减少准备时间与沟通成本,避免遗漏与重复劳动,统一审计口径,提升合规通过率与项目交付效率。

🕒 版本历史

当前版本
v2.1 2024-01-15
优化输出结构,增强情节连贯性
  • ✨ 新增章节节奏控制参数
  • 🔧 优化人物关系描述逻辑
  • 📝 改进主题深化引导语
  • 🎯 增强情节转折点设计
v2.0 2023-12-20
重构提示词架构,提升生成质量
  • 🚀 全新的提示词结构设计
  • 📊 增加输出格式化选项
  • 💡 优化角色塑造引导
v1.5 2023-11-10
修复已知问题,提升稳定性
  • 🐛 修复长文本处理bug
  • ⚡ 提升响应速度
v1.0 2023-10-01
首次发布
  • 🎉 初始版本上线
COMING SOON
版本历史追踪,即将启航
记录每一次提示词的进化与升级,敬请期待。

💬 用户评价

4.8
⭐⭐⭐⭐⭐
基于 28 条评价
5星
85%
4星
12%
3星
3%
👤
电商运营 - 张先生
⭐⭐⭐⭐⭐ 2025-01-15
双十一用这个提示词生成了20多张海报,效果非常好!点击率提升了35%,节省了大量设计时间。参数调整很灵活,能快速适配不同节日。
效果好 节省时间
👤
品牌设计师 - 李女士
⭐⭐⭐⭐⭐ 2025-01-10
作为设计师,这个提示词帮我快速生成创意方向,大大提升了工作效率。生成的海报氛围感很强,稍作调整就能直接使用。
创意好 专业
COMING SOON
用户评价与反馈系统,即将上线
倾听真实反馈,在这里留下您的使用心得,敬请期待。
加载中...
敬请期待...