在數(shù)據(jù)跨境系列的前兩篇文章中，為大家介紹了目前我國(guó)的數(shù)據(jù)出境的合規(guī)政策、安全評(píng)估適用場(chǎng)景，以及相關(guān)要求。同時(shí)，對(duì)數(shù)據(jù)出境安全評(píng)估的重點(diǎn)內(nèi)容、難點(diǎn)等進(jìn)行了闡述。 本文作為跨境系列第三篇文章，我們將以服務(wù)內(nèi)容、服務(wù)工具和服務(wù)實(shí)施過(guò)程等內(nèi)容，詳細(xì)為您介紹電科網(wǎng)安數(shù)據(jù)出境安全評(píng)估服務(wù)解決方案，幫您搞定數(shù)據(jù)出境安全評(píng)估中遇到的問(wèn)題。

方案背景

2022年7月，中央網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評(píng)估辦法》，同年9月配套發(fā)布了《數(shù)據(jù)出境安全評(píng)估指南》。其中，《辦法》明確了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、重要數(shù)據(jù)處理者和達(dá)到一定數(shù)量的個(gè)人信息處理者數(shù)據(jù)出境應(yīng)進(jìn)行數(shù)據(jù)安全評(píng)估。相關(guān)企業(yè)應(yīng)根據(jù)上述要求開(kāi)展數(shù)據(jù)出境評(píng)估自評(píng)估工作，并向網(wǎng)信部門(mén)申報(bào)。

— 數(shù)據(jù)出境處理流程—

問(wèn)題與挑戰(zhàn)

《指南》中也明確了出境安全評(píng)估的申報(bào)材料，提供了相應(yīng)填報(bào)模板，要求企業(yè)按照模板內(nèi)容完成自評(píng)估并填寫(xiě)相應(yīng)內(nèi)容。通過(guò)對(duì)填報(bào)內(nèi)容進(jìn)行梳理、分析可知，企業(yè)在完成數(shù)據(jù)出境安全風(fēng)險(xiǎn)自評(píng)估時(shí)，需以業(yè)務(wù)為主線，梳理和掌握數(shù)據(jù)出境活動(dòng)所涉主體、技術(shù)、法律合同、管理制度的全貌和細(xì)節(jié)，并依據(jù)詳盡的、客觀的事實(shí)梳理，就各類(lèi)風(fēng)險(xiǎn)進(jìn)行專(zhuān)業(yè)性的認(rèn)定和評(píng)價(jià)。
當(dāng)前，為滿足申報(bào)要求，企業(yè)多采用以人工訪談、調(diào)查問(wèn)卷等方法為主的方式進(jìn)行數(shù)據(jù)出境場(chǎng)景梳理，再根據(jù)法規(guī)、標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并形成評(píng)估報(bào)告。然而，在具體實(shí)踐中往往存在以下痛點(diǎn)：

·

評(píng)估事項(xiàng)、評(píng)估標(biāo)準(zhǔn)理解不充分

企業(yè)缺少對(duì)出境相關(guān)法規(guī)、標(biāo)準(zhǔn)的研究與解讀，針對(duì)數(shù)據(jù)跨境這一特定場(chǎng)景的安全要求、合規(guī)要求沒(méi)有深入理解，評(píng)估材料中的填寫(xiě)的內(nèi)容往往無(wú)法支撐監(jiān)管側(cè)對(duì)其出境合法性、正當(dāng)性、必要性的要求。

·

人工梳理出境活動(dòng)協(xié)調(diào)難、還原不準(zhǔn)確企業(yè)在梳理數(shù)據(jù)出境的鏈路時(shí)，需將業(yè)務(wù)、數(shù)據(jù)與鏈路三者對(duì)應(yīng)起來(lái)。目前企業(yè)多采取的自行評(píng)估或聘請(qǐng)律所開(kāi)展評(píng)估所使用的人工梳理模式，在實(shí)際中由于缺乏技術(shù)支撐，容易導(dǎo)致業(yè)務(wù)梳理不清、業(yè)務(wù)識(shí)別不全、業(yè)務(wù)數(shù)據(jù)與出境鏈路對(duì)不齊等問(wèn)題。

·

評(píng)估內(nèi)容涉及多層面、多維度，單一能力團(tuán)隊(duì)無(wú)法支撐數(shù)據(jù)出境安全評(píng)估內(nèi)容涉及數(shù)據(jù)出境行為合法性評(píng)估、境內(nèi)外數(shù)據(jù)保障能力評(píng)估、法律文件合規(guī)性評(píng)估、數(shù)據(jù)出境過(guò)程和出境行為綜合性風(fēng)險(xiǎn)評(píng)估，這要求團(tuán)隊(duì)能力應(yīng)涵蓋業(yè)務(wù)專(zhuān)家、網(wǎng)絡(luò)和數(shù)據(jù)安全專(zhuān)家、法律合規(guī)專(zhuān)家、專(zhuān)業(yè)評(píng)估人員，僅由單一能力的團(tuán)隊(duì)無(wú)法支撐多維度評(píng)估的開(kāi)展。

解決方案

針對(duì)企業(yè)在自評(píng)估實(shí)踐中的難點(diǎn)，電科網(wǎng)安提出了“專(zhuān)業(yè)團(tuán)隊(duì)”+“工具檢測(cè)”的數(shù)據(jù)出境安全評(píng)估服務(wù)解決方案。方案依托專(zhuān)業(yè)的數(shù)據(jù)梳理團(tuán)隊(duì)、法律服務(wù)團(tuán)隊(duì)、安全評(píng)估團(tuán)隊(duì)和針對(duì)出境數(shù)據(jù)合規(guī)場(chǎng)景研制的專(zhuān)業(yè)檢測(cè)工具，為企業(yè)提供滿足數(shù)據(jù)出境安全評(píng)估要求的一站式服務(wù)，幫助企業(yè)高效、快捷地完成數(shù)據(jù)出境合規(guī)要求。

— 服務(wù)模式—

01

專(zhuān)業(yè)工具輔助梳理，厘清數(shù)據(jù)出境活動(dòng)詳情

數(shù)據(jù)出境自評(píng)估最基礎(chǔ)的工作是做好數(shù)據(jù)出境活動(dòng)詳情事實(shí)的梳理。電科網(wǎng)安采用人工梳理和專(zhuān)業(yè)數(shù)據(jù)出境檢測(cè)工具相結(jié)合的梳理方式，從出境業(yè)務(wù)、出境信息基礎(chǔ)設(shè)施、出境信息系統(tǒng)、出境數(shù)據(jù)四個(gè)方面對(duì)企業(yè)進(jìn)行調(diào)研、檢測(cè)和梳理，完成出境數(shù)據(jù)活動(dòng)中重點(diǎn)要素的關(guān)聯(lián)對(duì)齊，并利用專(zhuān)業(yè)工具檢測(cè)、還原出企業(yè)數(shù)據(jù)跨境行為詳情和個(gè)人信息、重要數(shù)據(jù)及其他數(shù)據(jù)的詳情。

02

評(píng)估全生命周期安全保障能力，理清數(shù)據(jù)出境活動(dòng)的安全風(fēng)險(xiǎn)

出境自評(píng)估要求對(duì)數(shù)據(jù)出境活動(dòng)全生命周期的安全保障能力進(jìn)行評(píng)價(jià)。電科網(wǎng)安擁有專(zhuān)業(yè)的安全評(píng)估服務(wù)團(tuán)隊(duì)，在多年信息安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等項(xiàng)目實(shí)踐中累積了豐富的經(jīng)驗(yàn)。

電科網(wǎng)安將上述經(jīng)驗(yàn)沉淀成為科學(xué)的方法論和專(zhuān)業(yè)的評(píng)估矩陣，使用評(píng)估矩陣對(duì)境內(nèi)外數(shù)據(jù)安全管理能力、技術(shù)能力進(jìn)行能力評(píng)價(jià)和風(fēng)險(xiǎn)定級(jí)，幫助用戶理清數(shù)據(jù)出境全周期的安全風(fēng)險(xiǎn)。

03

與專(zhuān)業(yè)律所合作，交付專(zhuān)業(yè)數(shù)據(jù)出境合規(guī)法律評(píng)估服務(wù)

電科網(wǎng)安與多家專(zhuān)業(yè)律所合作，為數(shù)據(jù)出境合規(guī)評(píng)估提供專(zhuān)業(yè)法律服務(wù)。用戶也可選用自身合作的法律服務(wù)機(jī)構(gòu)，電科網(wǎng)安將其嵌套到整個(gè)數(shù)據(jù)出境評(píng)估完整的解決方案中即可。出境合規(guī)的法律評(píng)估服務(wù)通過(guò)資料調(diào)閱，調(diào)研訪談等方式，梳理數(shù)據(jù)處理者及境外接收方的基本情況，評(píng)估境外接收方國(guó)家或地區(qū)的法律環(huán)境，并針對(duì)企業(yè)法律文件的合規(guī)性及個(gè)人信息權(quán)利保障開(kāi)展調(diào)研評(píng)估，以專(zhuān)業(yè)律所團(tuán)隊(duì)儲(chǔ)備及完備的業(yè)務(wù)流程，為企業(yè)提供數(shù)據(jù)出境合規(guī)法律評(píng)估服務(wù)。

04

數(shù)據(jù)出境安全風(fēng)險(xiǎn)綜合定級(jí)，評(píng)估、處置、跟蹤三個(gè)環(huán)節(jié)促進(jìn)風(fēng)險(xiǎn)閉環(huán)管理

在風(fēng)險(xiǎn)評(píng)定環(huán)節(jié)，電科網(wǎng)安利用出境數(shù)據(jù)梳理、數(shù)據(jù)安全保障能力評(píng)估、法律合規(guī)性評(píng)估的結(jié)果進(jìn)行綜合評(píng)定。為使風(fēng)險(xiǎn)評(píng)估結(jié)果更加準(zhǔn)確，電科網(wǎng)安根據(jù)多年信息安全專(zhuān)業(yè)經(jīng)驗(yàn)和行業(yè)最佳實(shí)踐編制了風(fēng)險(xiǎn)評(píng)價(jià)的參考指引，指導(dǎo)評(píng)估服務(wù)人員對(duì)各風(fēng)險(xiǎn)點(diǎn)進(jìn)行參考打分，最終以量化的方式計(jì)算出風(fēng)險(xiǎn)分值。 完成風(fēng)險(xiǎn)定級(jí)后，評(píng)估團(tuán)隊(duì)將結(jié)合企業(yè)的業(yè)務(wù)場(chǎng)景，綜合考量后給出企業(yè)數(shù)據(jù)出境的風(fēng)險(xiǎn)清單和處置建議，協(xié)助企業(yè)完善出境安全技術(shù)策略、管理制度，加強(qiáng)企業(yè)在數(shù)據(jù)跨境過(guò)程中的整體防護(hù)能力，幫助企業(yè)實(shí)現(xiàn)評(píng)估、處置、跟蹤三個(gè)環(huán)節(jié)的閉環(huán)風(fēng)險(xiǎn)管理。

05

編制評(píng)估申報(bào)材料，協(xié)助企業(yè)申報(bào)，實(shí)現(xiàn)完整交付

協(xié)助企業(yè)完成風(fēng)險(xiǎn)處置后，服務(wù)團(tuán)隊(duì)將梳理的情況、風(fēng)險(xiǎn)評(píng)估的情況、整改閉環(huán)的情況進(jìn)行整理，幫助企業(yè)完成數(shù)據(jù)出境安全評(píng)估申報(bào)書(shū)、數(shù)據(jù)出境自評(píng)估報(bào)告等申報(bào)材料的編寫(xiě)和準(zhǔn)備，并協(xié)助企業(yè)按照申報(bào)指南的要求向網(wǎng)信辦發(fā)起申報(bào)。此外，服務(wù)團(tuán)隊(duì)還將支撐企業(yè)整個(gè)申報(bào)、審核的流程，及時(shí)按需響應(yīng)申報(bào)過(guò)程需求，實(shí)現(xiàn)完整交付。

服務(wù)工具

電科網(wǎng)安通過(guò)自研的數(shù)據(jù)出境檢測(cè)工具，為梳理企業(yè)出境評(píng)估服務(wù)提供支撐。工具面向數(shù)據(jù)跨境合規(guī)要求設(shè)計(jì)，能夠?qū)ζ髽I(yè)數(shù)據(jù)跨境流量進(jìn)行深度分析，還原企業(yè)數(shù)據(jù)跨境的行為，識(shí)別跨境數(shù)據(jù)中的個(gè)人信息、重要數(shù)據(jù)等數(shù)據(jù)內(nèi)容，幫助評(píng)估人員清晰還原數(shù)據(jù)跨境活動(dòng)詳情。

— 數(shù)據(jù)出境的國(guó)家（地區(qū)）統(tǒng)計(jì)—

— 工具功能

· 跨境資產(chǎn)識(shí)別：檢測(cè)工具通過(guò)識(shí)別企業(yè)跨境信息資產(chǎn)，明確企業(yè)涉及出境的業(yè)務(wù)流程、數(shù)據(jù)中心、出境鏈路和信息系統(tǒng)的情況，完整、清晰地描述企業(yè)數(shù)據(jù)出境活動(dòng)，核準(zhǔn)數(shù)據(jù)出境事實(shí)細(xì)節(jié)?！?跨境數(shù)據(jù)識(shí)別：檢測(cè)工具能夠識(shí)別跨境行為中的數(shù)據(jù)內(nèi)容，自動(dòng)發(fā)現(xiàn)個(gè)人信息、重要數(shù)據(jù)、其他數(shù)據(jù)等不同數(shù)據(jù)出境內(nèi)容，并對(duì)跨境的數(shù)據(jù)量進(jìn)行字段級(jí)的統(tǒng)計(jì)和分析，為分析企業(yè)數(shù)據(jù)跨境風(fēng)險(xiǎn)提供支撐?！?跨境行為識(shí)別：檢測(cè)工具支持HTTP/HTTPS、API、FTP、郵件、應(yīng)用系統(tǒng)等多種方式的跨境行為識(shí)別，通過(guò)跨境行為要素維度建模，幫助企業(yè)建立起數(shù)據(jù)跨境的全局圖景。· 數(shù)據(jù)出境情況綜合分析：檢測(cè)工具能夠按照網(wǎng)信辦合規(guī)要求進(jìn)行自動(dòng)統(tǒng)計(jì)和分析，并通過(guò)圖表、報(bào)表、報(bào)告等多種形勢(shì)呈現(xiàn)，幫助用戶掌握企業(yè)出境情況的全局和細(xì)節(jié)。支持從系統(tǒng)中導(dǎo)出針對(duì)不同維度報(bào)表，直接支撐自評(píng)估申報(bào)。 — 工具優(yōu)勢(shì)· 出境數(shù)據(jù)精確識(shí)別與還原：清晰還原各種類(lèi)型的跨境數(shù)據(jù)，從數(shù)據(jù)維度梳理出境數(shù)據(jù)規(guī)模、數(shù)據(jù)種類(lèi)、敏感程度、數(shù)據(jù)范圍、出境方式等信息，并提供了達(dá)到字段級(jí)別的呈現(xiàn)效果，為團(tuán)隊(duì)的數(shù)據(jù)梳理工作提供了事實(shí)依據(jù)與數(shù)據(jù)支撐。· 緊貼跨境監(jiān)管要求呈現(xiàn)出境活動(dòng)全貌：能夠按照監(jiān)管側(cè)合規(guī)要求，提供數(shù)據(jù)出境活動(dòng)數(shù)據(jù)中心、出境鏈路、應(yīng)用系統(tǒng)、數(shù)據(jù)多維度的統(tǒng)計(jì)分析結(jié)果，幫助服務(wù)團(tuán)隊(duì)更好了解企業(yè)數(shù)據(jù)出境活動(dòng)全貌，實(shí)現(xiàn)高效、全面的梳理評(píng)估服務(wù)。

方案優(yōu)勢(shì)

·

專(zhuān)業(yè)的技術(shù)檢測(cè)工具輔助，實(shí)現(xiàn)快速精確梳理

解決方案采用了電科網(wǎng)安專(zhuān)門(mén)針對(duì)數(shù)據(jù)跨境合規(guī)要求設(shè)計(jì)的數(shù)據(jù)出境檢測(cè)工具，能夠?qū)ζ髽I(yè)數(shù)據(jù)跨境流量進(jìn)行深度分析，還原企業(yè)數(shù)據(jù)跨境的行為，識(shí)別出境數(shù)據(jù)內(nèi)容，幫助企業(yè)理清出境數(shù)據(jù)詳情。

·

專(zhuān)業(yè)團(tuán)隊(duì)提供服務(wù)，實(shí)現(xiàn)高效、科學(xué)的評(píng)估電科網(wǎng)安的數(shù)據(jù)出境評(píng)估服務(wù)團(tuán)隊(duì)由涵蓋網(wǎng)絡(luò)與數(shù)據(jù)安全、法律合規(guī)、風(fēng)險(xiǎn)評(píng)估領(lǐng)域的高水準(zhǔn)、經(jīng)驗(yàn)豐富的專(zhuān)家構(gòu)成，團(tuán)隊(duì)成員長(zhǎng)期在安永、IBM等知名企業(yè)從事數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、個(gè)人信息保護(hù)影響等相關(guān)服務(wù)，并具備多項(xiàng)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息科技審計(jì)相關(guān)資質(zhì)證書(shū)。在項(xiàng)目實(shí)施時(shí)，電科網(wǎng)安以明確的責(zé)任分工，成熟的項(xiàng)目協(xié)作管理流程，為企業(yè)提供便捷、快速的整體服務(wù)。

·

豐富的數(shù)據(jù)合規(guī)治理經(jīng)驗(yàn)，成熟的數(shù)據(jù)出境評(píng)估案例

電科網(wǎng)安的服務(wù)團(tuán)隊(duì)長(zhǎng)期與網(wǎng)信辦等監(jiān)管部門(mén)保持密切溝通，對(duì)跨境合規(guī)要求具有深刻理解。此外，電科網(wǎng)安擁有出境安全評(píng)估服務(wù)的成熟案例，擁有大型數(shù)據(jù)合規(guī)項(xiàng)目交付經(jīng)驗(yàn)，能夠以豐厚的經(jīng)驗(yàn)積累為企業(yè)解決出境合規(guī)問(wèn)題。

案例分享

某跨境物流企業(yè)為開(kāi)展出境物流業(yè)務(wù)，委托電科網(wǎng)安進(jìn)行對(duì)數(shù)據(jù)跨境情況進(jìn)行梳理，并支撐其開(kāi)展數(shù)據(jù)出境安全評(píng)估和申報(bào)工作。01

用戶痛點(diǎn)

該企業(yè)跨境業(yè)務(wù)環(huán)境復(fù)雜，在本地?cái)?shù)據(jù)中心、境內(nèi)公有云、境外公有云上都有跨境業(yè)務(wù)的相關(guān)部署，并且采用了運(yùn)營(yíng)商專(zhuān)線、專(zhuān)線+VPN、互聯(lián)網(wǎng)、云服務(wù)商專(zhuān)線等多種出境方式。此外，該企業(yè)還具有跨部門(mén)業(yè)務(wù)系統(tǒng)多、數(shù)量多，數(shù)據(jù)內(nèi)容涉及個(gè)人數(shù)據(jù)、敏感個(gè)人信息等特征。前期，該企業(yè)已經(jīng)開(kāi)展了部分梳理工作，發(fā)現(xiàn)工作量很大，整體進(jìn)展緩慢。02

解決方案

為解決上述痛點(diǎn)，電科網(wǎng)安和企業(yè)通過(guò)分析論證，確定了以律所、安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)梳理團(tuán)隊(duì)以及檢測(cè)工具結(jié)合的數(shù)據(jù)出境風(fēng)險(xiǎn)評(píng)估服務(wù)方案，以數(shù)據(jù)跨境檢測(cè)工具梳理的數(shù)據(jù)出境活動(dòng)詳情為基礎(chǔ)，支撐律所和安全評(píng)估團(tuán)隊(duì)的數(shù)據(jù)出境安全風(fēng)險(xiǎn)評(píng)估。

— 業(yè)務(wù)上云—

03

實(shí)施效果

依照上述方案，電科網(wǎng)安服務(wù)團(tuán)隊(duì)快速行動(dòng)，在30個(gè)工作日實(shí)現(xiàn)了服務(wù)的快速交付，取得了如下效果：· 利用技術(shù)檢測(cè)工具，采集分析數(shù)據(jù)中心、出境鏈路的業(yè)務(wù)流量，累計(jì)分析出境業(yè)務(wù)流量15G+，涉及近200個(gè)系統(tǒng)、1000+個(gè)接口，實(shí)現(xiàn)數(shù)據(jù)出境詳情的客觀還原，形成完善的出境數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)出境鏈路圖。· 對(duì)企業(yè)涉及數(shù)據(jù)跨境的各關(guān)聯(lián)部門(mén)進(jìn)行訪談?wù){(diào)研，結(jié)合出境數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)出境鏈路圖提供的詳盡事實(shí)，實(shí)現(xiàn)出境風(fēng)險(xiǎn)的科學(xué)評(píng)價(jià)，輸出了數(shù)據(jù)安全保障能力報(bào)告、風(fēng)險(xiǎn)整改清單等評(píng)估成果?！?按照監(jiān)管部門(mén)要求的填報(bào)維度，幫助企業(yè)進(jìn)行出境風(fēng)險(xiǎn)自評(píng)估報(bào)告、數(shù)據(jù)出境安全評(píng)估申報(bào)表的編制，協(xié)助企業(yè)按照申報(bào)指南的要求向網(wǎng)信辦發(fā)起申報(bào)，并根據(jù)網(wǎng)信辦反饋的指導(dǎo)建議進(jìn)行申報(bào)材料的更正、補(bǔ)充，為企業(yè)提供了申報(bào)全流程的支撐。