在數(shù)據(jù)跨境系列的前兩篇文章中，為大家介紹了目前我國的數(shù)據(jù)出境的合規(guī)政策、安全評估適用場景，以及相關要求。同時，對數(shù)據(jù)出境安全評估的重點內(nèi)容、難點等進行了闡述。 本文作為跨境系列第三篇文章，我們將以服務內(nèi)容、服務工具和服務實施過程等內(nèi)容，詳細為您介紹電科網(wǎng)安數(shù)據(jù)出境安全評估服務解決方案，幫您搞定數(shù)據(jù)出境安全評估中遇到的問題。

方案背景

2022年7月，中央網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估辦法》，同年9月配套發(fā)布了《數(shù)據(jù)出境安全評估指南》。其中，《辦法》明確了關鍵信息基礎設施運營者、重要數(shù)據(jù)處理者和達到一定數(shù)量的個人信息處理者數(shù)據(jù)出境應進行數(shù)據(jù)安全評估。相關企業(yè)應根據(jù)上述要求開展數(shù)據(jù)出境評估自評估工作，并向網(wǎng)信部門申報。

— 數(shù)據(jù)出境處理流程—

問題與挑戰(zhàn)

《指南》中也明確了出境安全評估的申報材料，提供了相應填報模板，要求企業(yè)按照模板內(nèi)容完成自評估并填寫相應內(nèi)容。通過對填報內(nèi)容進行梳理、分析可知，企業(yè)在完成數(shù)據(jù)出境安全風險自評估時，需以業(yè)務為主線，梳理和掌握數(shù)據(jù)出境活動所涉主體、技術、法律合同、管理制度的全貌和細節(jié)，并依據(jù)詳盡的、客觀的事實梳理，就各類風險進行專業(yè)性的認定和評價。
當前，為滿足申報要求，企業(yè)多采用以人工訪談、調(diào)查問卷等方法為主的方式進行數(shù)據(jù)出境場景梳理，再根據(jù)法規(guī)、標準進行風險評估，并形成評估報告。然而，在具體實踐中往往存在以下痛點：

·

評估事項、評估標準理解不充分

企業(yè)缺少對出境相關法規(guī)、標準的研究與解讀，針對數(shù)據(jù)跨境這一特定場景的安全要求、合規(guī)要求沒有深入理解，評估材料中的填寫的內(nèi)容往往無法支撐監(jiān)管側(cè)對其出境合法性、正當性、必要性的要求。

·

人工梳理出境活動協(xié)調(diào)難、還原不準確企業(yè)在梳理數(shù)據(jù)出境的鏈路時，需將業(yè)務、數(shù)據(jù)與鏈路三者對應起來。目前企業(yè)多采取的自行評估或聘請律所開展評估所使用的人工梳理模式，在實際中由于缺乏技術支撐，容易導致業(yè)務梳理不清、業(yè)務識別不全、業(yè)務數(shù)據(jù)與出境鏈路對不齊等問題。

·

評估內(nèi)容涉及多層面、多維度，單一能力團隊無法支撐數(shù)據(jù)出境安全評估內(nèi)容涉及數(shù)據(jù)出境行為合法性評估、境內(nèi)外數(shù)據(jù)保障能力評估、法律文件合規(guī)性評估、數(shù)據(jù)出境過程和出境行為綜合性風險評估，這要求團隊能力應涵蓋業(yè)務專家、網(wǎng)絡和數(shù)據(jù)安全專家、法律合規(guī)專家、專業(yè)評估人員，僅由單一能力的團隊無法支撐多維度評估的開展。

解決方案

針對企業(yè)在自評估實踐中的難點，電科網(wǎng)安提出了“專業(yè)團隊”+“工具檢測”的數(shù)據(jù)出境安全評估服務解決方案。方案依托專業(yè)的數(shù)據(jù)梳理團隊、法律服務團隊、安全評估團隊和針對出境數(shù)據(jù)合規(guī)場景研制的專業(yè)檢測工具，為企業(yè)提供滿足數(shù)據(jù)出境安全評估要求的一站式服務，幫助企業(yè)高效、快捷地完成數(shù)據(jù)出境合規(guī)要求。

— 服務模式—

01

專業(yè)工具輔助梳理，厘清數(shù)據(jù)出境活動詳情

數(shù)據(jù)出境自評估最基礎的工作是做好數(shù)據(jù)出境活動詳情事實的梳理。電科網(wǎng)安采用人工梳理和專業(yè)數(shù)據(jù)出境檢測工具相結合的梳理方式，從出境業(yè)務、出境信息基礎設施、出境信息系統(tǒng)、出境數(shù)據(jù)四個方面對企業(yè)進行調(diào)研、檢測和梳理，完成出境數(shù)據(jù)活動中重點要素的關聯(lián)對齊，并利用專業(yè)工具檢測、還原出企業(yè)數(shù)據(jù)跨境行為詳情和個人信息、重要數(shù)據(jù)及其他數(shù)據(jù)的詳情。

02

評估全生命周期安全保障能力，理清數(shù)據(jù)出境活動的安全風險

出境自評估要求對數(shù)據(jù)出境活動全生命周期的安全保障能力進行評價。電科網(wǎng)安擁有專業(yè)的安全評估服務團隊，在多年信息安全風險評估、數(shù)據(jù)安全風險評估等項目實踐中累積了豐富的經(jīng)驗。

電科網(wǎng)安將上述經(jīng)驗沉淀成為科學的方法論和專業(yè)的評估矩陣，使用評估矩陣對境內(nèi)外數(shù)據(jù)安全管理能力、技術能力進行能力評價和風險定級，幫助用戶理清數(shù)據(jù)出境全周期的安全風險。

03

與專業(yè)律所合作，交付專業(yè)數(shù)據(jù)出境合規(guī)法律評估服務

電科網(wǎng)安與多家專業(yè)律所合作，為數(shù)據(jù)出境合規(guī)評估提供專業(yè)法律服務。用戶也可選用自身合作的法律服務機構，電科網(wǎng)安將其嵌套到整個數(shù)據(jù)出境評估完整的解決方案中即可。出境合規(guī)的法律評估服務通過資料調(diào)閱，調(diào)研訪談等方式，梳理數(shù)據(jù)處理者及境外接收方的基本情況，評估境外接收方國家或地區(qū)的法律環(huán)境，并針對企業(yè)法律文件的合規(guī)性及個人信息權利保障開展調(diào)研評估，以專業(yè)律所團隊儲備及完備的業(yè)務流程，為企業(yè)提供數(shù)據(jù)出境合規(guī)法律評估服務。

04

數(shù)據(jù)出境安全風險綜合定級，評估、處置、跟蹤三個環(huán)節(jié)促進風險閉環(huán)管理

在風險評定環(huán)節(jié)，電科網(wǎng)安利用出境數(shù)據(jù)梳理、數(shù)據(jù)安全保障能力評估、法律合規(guī)性評估的結果進行綜合評定。為使風險評估結果更加準確，電科網(wǎng)安根據(jù)多年信息安全專業(yè)經(jīng)驗和行業(yè)最佳實踐編制了風險評價的參考指引，指導評估服務人員對各風險點進行參考打分，最終以量化的方式計算出風險分值。 完成風險定級后，評估團隊將結合企業(yè)的業(yè)務場景，綜合考量后給出企業(yè)數(shù)據(jù)出境的風險清單和處置建議，協(xié)助企業(yè)完善出境安全技術策略、管理制度，加強企業(yè)在數(shù)據(jù)跨境過程中的整體防護能力，幫助企業(yè)實現(xiàn)評估、處置、跟蹤三個環(huán)節(jié)的閉環(huán)風險管理。

05

編制評估申報材料，協(xié)助企業(yè)申報，實現(xiàn)完整交付

協(xié)助企業(yè)完成風險處置后，服務團隊將梳理的情況、風險評估的情況、整改閉環(huán)的情況進行整理，幫助企業(yè)完成數(shù)據(jù)出境安全評估申報書、數(shù)據(jù)出境自評估報告等申報材料的編寫和準備，并協(xié)助企業(yè)按照申報指南的要求向網(wǎng)信辦發(fā)起申報。此外，服務團隊還將支撐企業(yè)整個申報、審核的流程，及時按需響應申報過程需求，實現(xiàn)完整交付。

服務工具

電科網(wǎng)安通過自研的數(shù)據(jù)出境檢測工具，為梳理企業(yè)出境評估服務提供支撐。工具面向數(shù)據(jù)跨境合規(guī)要求設計，能夠?qū)ζ髽I(yè)數(shù)據(jù)跨境流量進行深度分析，還原企業(yè)數(shù)據(jù)跨境的行為，識別跨境數(shù)據(jù)中的個人信息、重要數(shù)據(jù)等數(shù)據(jù)內(nèi)容，幫助評估人員清晰還原數(shù)據(jù)跨境活動詳情。

— 數(shù)據(jù)出境的國家（地區(qū)）統(tǒng)計—

— 工具功能

· 跨境資產(chǎn)識別：檢測工具通過識別企業(yè)跨境信息資產(chǎn)，明確企業(yè)涉及出境的業(yè)務流程、數(shù)據(jù)中心、出境鏈路和信息系統(tǒng)的情況，完整、清晰地描述企業(yè)數(shù)據(jù)出境活動，核準數(shù)據(jù)出境事實細節(jié)。· 跨境數(shù)據(jù)識別：檢測工具能夠識別跨境行為中的數(shù)據(jù)內(nèi)容，自動發(fā)現(xiàn)個人信息、重要數(shù)據(jù)、其他數(shù)據(jù)等不同數(shù)據(jù)出境內(nèi)容，并對跨境的數(shù)據(jù)量進行字段級的統(tǒng)計和分析，為分析企業(yè)數(shù)據(jù)跨境風險提供支撐。· 跨境行為識別：檢測工具支持HTTP/HTTPS、API、FTP、郵件、應用系統(tǒng)等多種方式的跨境行為識別，通過跨境行為要素維度建模，幫助企業(yè)建立起數(shù)據(jù)跨境的全局圖景。· 數(shù)據(jù)出境情況綜合分析：檢測工具能夠按照網(wǎng)信辦合規(guī)要求進行自動統(tǒng)計和分析，并通過圖表、報表、報告等多種形勢呈現(xiàn)，幫助用戶掌握企業(yè)出境情況的全局和細節(jié)。支持從系統(tǒng)中導出針對不同維度報表，直接支撐自評估申報。 — 工具優(yōu)勢· 出境數(shù)據(jù)精確識別與還原：清晰還原各種類型的跨境數(shù)據(jù)，從數(shù)據(jù)維度梳理出境數(shù)據(jù)規(guī)模、數(shù)據(jù)種類、敏感程度、數(shù)據(jù)范圍、出境方式等信息，并提供了達到字段級別的呈現(xiàn)效果，為團隊的數(shù)據(jù)梳理工作提供了事實依據(jù)與數(shù)據(jù)支撐。· 緊貼跨境監(jiān)管要求呈現(xiàn)出境活動全貌：能夠按照監(jiān)管側(cè)合規(guī)要求，提供數(shù)據(jù)出境活動數(shù)據(jù)中心、出境鏈路、應用系統(tǒng)、數(shù)據(jù)多維度的統(tǒng)計分析結果，幫助服務團隊更好了解企業(yè)數(shù)據(jù)出境活動全貌，實現(xiàn)高效、全面的梳理評估服務。

方案優(yōu)勢

·

專業(yè)的技術檢測工具輔助，實現(xiàn)快速精確梳理

解決方案采用了電科網(wǎng)安專門針對數(shù)據(jù)跨境合規(guī)要求設計的數(shù)據(jù)出境檢測工具，能夠?qū)ζ髽I(yè)數(shù)據(jù)跨境流量進行深度分析，還原企業(yè)數(shù)據(jù)跨境的行為，識別出境數(shù)據(jù)內(nèi)容，幫助企業(yè)理清出境數(shù)據(jù)詳情。

·

專業(yè)團隊提供服務，實現(xiàn)高效、科學的評估電科網(wǎng)安的數(shù)據(jù)出境評估服務團隊由涵蓋網(wǎng)絡與數(shù)據(jù)安全、法律合規(guī)、風險評估領域的高水準、經(jīng)驗豐富的專家構成，團隊成員長期在安永、IBM等知名企業(yè)從事數(shù)據(jù)安全風險評估、個人信息保護影響等相關服務，并具備多項網(wǎng)絡安全、數(shù)據(jù)安全、信息科技審計相關資質(zhì)證書。在項目實施時，電科網(wǎng)安以明確的責任分工，成熟的項目協(xié)作管理流程，為企業(yè)提供便捷、快速的整體服務。

·

豐富的數(shù)據(jù)合規(guī)治理經(jīng)驗，成熟的數(shù)據(jù)出境評估案例

電科網(wǎng)安的服務團隊長期與網(wǎng)信辦等監(jiān)管部門保持密切溝通，對跨境合規(guī)要求具有深刻理解。此外，電科網(wǎng)安擁有出境安全評估服務的成熟案例，擁有大型數(shù)據(jù)合規(guī)項目交付經(jīng)驗，能夠以豐厚的經(jīng)驗積累為企業(yè)解決出境合規(guī)問題。

案例分享

某跨境物流企業(yè)為開展出境物流業(yè)務，委托電科網(wǎng)安進行對數(shù)據(jù)跨境情況進行梳理，并支撐其開展數(shù)據(jù)出境安全評估和申報工作。01

用戶痛點

該企業(yè)跨境業(yè)務環(huán)境復雜，在本地數(shù)據(jù)中心、境內(nèi)公有云、境外公有云上都有跨境業(yè)務的相關部署，并且采用了運營商專線、專線+VPN、互聯(lián)網(wǎng)、云服務商專線等多種出境方式。此外，該企業(yè)還具有跨部門業(yè)務系統(tǒng)多、數(shù)量多，數(shù)據(jù)內(nèi)容涉及個人數(shù)據(jù)、敏感個人信息等特征。前期，該企業(yè)已經(jīng)開展了部分梳理工作，發(fā)現(xiàn)工作量很大，整體進展緩慢。02

解決方案

為解決上述痛點，電科網(wǎng)安和企業(yè)通過分析論證，確定了以律所、安全風險評估、數(shù)據(jù)梳理團隊以及檢測工具結合的數(shù)據(jù)出境風險評估服務方案，以數(shù)據(jù)跨境檢測工具梳理的數(shù)據(jù)出境活動詳情為基礎，支撐律所和安全評估團隊的數(shù)據(jù)出境安全風險評估。

— 業(yè)務上云—

03

實施效果

依照上述方案，電科網(wǎng)安服務團隊快速行動，在30個工作日實現(xiàn)了服務的快速交付，取得了如下效果：· 利用技術檢測工具，采集分析數(shù)據(jù)中心、出境鏈路的業(yè)務流量，累計分析出境業(yè)務流量15G+，涉及近200個系統(tǒng)、1000+個接口，實現(xiàn)數(shù)據(jù)出境詳情的客觀還原，形成完善的出境數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)出境鏈路圖。· 對企業(yè)涉及數(shù)據(jù)跨境的各關聯(lián)部門進行訪談調(diào)研，結合出境數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)出境鏈路圖提供的詳盡事實，實現(xiàn)出境風險的科學評價，輸出了數(shù)據(jù)安全保障能力報告、風險整改清單等評估成果。· 按照監(jiān)管部門要求的填報維度，幫助企業(yè)進行出境風險自評估報告、數(shù)據(jù)出境安全評估申報表的編制，協(xié)助企業(yè)按照申報指南的要求向網(wǎng)信辦發(fā)起申報，并根據(jù)網(wǎng)信辦反饋的指導建議進行申報材料的更正、補充，為企業(yè)提供了申報全流程的支撐。