9.5檢查評估

金融業機構定期或不定期開展數據安全相關檢查和評估，包括合規審查、安全巡檢、安全評估等方面，安全要求如下：

a)應建立數據安全檢查評估機制，定期制定數據安全檢查評估計劃。

b)在產品或服務發布前，或業務功能發生重大變化時，應及時做好數據安全評估。

c)在國家及行業主管部門的相關要求發生變化時，或在業務模式、信息系統、運行環境發生重大變更時，或發生重大數據安全事件時，應進行數據安全評估。

d)應形成數據安全評估報告，并以此采取措施降低風險及可能帶來的損失。

e)每年至少應開展1次全面的數據安全檢查評估，評估方式包括但不限于自評估、外部第三方機構評估等。

f)數據安全檢查宜采取多種形式，如自查、內部檢查和外部檢查等，執行管理和技術并重的檢查原則，并通過技術工具對相關管理檢查內容進行驗證和確認。

g)針對檢查評估過程中發現的問題，應指定責任部門，制定適宜的整改計劃，并跟蹤落實。

h)應妥善留存有關安全評估報告，確保可供相關方查閱，并以適宜的形式對外公開。

i)應采取技術措施確保檢查評估記錄和檢查報告的安全留存。