在數據跨境系列的前兩篇文章中，為大家介紹了目前我國的數據出境的合規(guī)政策、安全評估適用場景，以及相關要求。同時，對數據出境安全評估的重點內容、難點等進行了闡述。 本文作為跨境系列第三篇文章，我們將以服務內容、服務工具和服務實施過程等內容，詳細為您介紹電科網安數據出境安全評估服務解決方案，幫您搞定數據出境安全評估中遇到的問題。

方案背景

2022年7月，中央網信辦發(fā)布了《數據出境安全評估辦法》，同年9月配套發(fā)布了《數據出境安全評估指南》。其中，《辦法》明確了關鍵信息基礎設施運營者、重要數據處理者和達到一定數量的個人信息處理者數據出境應進行數據安全評估。相關企業(yè)應根據上述要求開展數據出境評估自評估工作，并向網信部門申報。

— 數據出境處理流程—

問題與挑戰(zhàn)

《指南》中也明確了出境安全評估的申報材料，提供了相應填報模板，要求企業(yè)按照模板內容完成自評估并填寫相應內容。通過對填報內容進行梳理、分析可知，企業(yè)在完成數據出境安全風險自評估時，需以業(yè)務為主線，梳理和掌握數據出境活動所涉主體、技術、法律合同、管理制度的全貌和細節(jié)，并依據詳盡的、客觀的事實梳理，就各類風險進行專業(yè)性的認定和評價。
當前，為滿足申報要求，企業(yè)多采用以人工訪談、調查問卷等方法為主的方式進行數據出境場景梳理，再根據法規(guī)、標準進行風險評估，并形成評估報告。然而，在具體實踐中往往存在以下痛點：

·

評估事項、評估標準理解不充分

企業(yè)缺少對出境相關法規(guī)、標準的研究與解讀，針對數據跨境這一特定場景的安全要求、合規(guī)要求沒有深入理解，評估材料中的填寫的內容往往無法支撐監(jiān)管側對其出境合法性、正當性、必要性的要求。

·

人工梳理出境活動協(xié)調難、還原不準確企業(yè)在梳理數據出境的鏈路時，需將業(yè)務、數據與鏈路三者對應起來。目前企業(yè)多采取的自行評估或聘請律所開展評估所使用的人工梳理模式，在實際中由于缺乏技術支撐，容易導致業(yè)務梳理不清、業(yè)務識別不全、業(yè)務數據與出境鏈路對不齊等問題。

·

評估內容涉及多層面、多維度，單一能力團隊無法支撐數據出境安全評估內容涉及數據出境行為合法性評估、境內外數據保障能力評估、法律文件合規(guī)性評估、數據出境過程和出境行為綜合性風險評估，這要求團隊能力應涵蓋業(yè)務專家、網絡和數據安全專家、法律合規(guī)專家、專業(yè)評估人員，僅由單一能力的團隊無法支撐多維度評估的開展。

解決方案

針對企業(yè)在自評估實踐中的難點，電科網安提出了“專業(yè)團隊”+“工具檢測”的數據出境安全評估服務解決方案。方案依托專業(yè)的數據梳理團隊、法律服務團隊、安全評估團隊和針對出境數據合規(guī)場景研制的專業(yè)檢測工具，為企業(yè)提供滿足數據出境安全評估要求的一站式服務，幫助企業(yè)高效、快捷地完成數據出境合規(guī)要求。

— 服務模式—

01

專業(yè)工具輔助梳理，厘清數據出境活動詳情

數據出境自評估最基礎的工作是做好數據出境活動詳情事實的梳理。電科網安采用人工梳理和專業(yè)數據出境檢測工具相結合的梳理方式，從出境業(yè)務、出境信息基礎設施、出境信息系統(tǒng)、出境數據四個方面對企業(yè)進行調研、檢測和梳理，完成出境數據活動中重點要素的關聯(lián)對齊，并利用專業(yè)工具檢測、還原出企業(yè)數據跨境行為詳情和個人信息、重要數據及其他數據的詳情。

02

評估全生命周期安全保障能力，理清數據出境活動的安全風險

出境自評估要求對數據出境活動全生命周期的安全保障能力進行評價。電科網安擁有專業(yè)的安全評估服務團隊，在多年信息安全風險評估、數據安全風險評估等項目實踐中累積了豐富的經驗。

電科網安將上述經驗沉淀成為科學的方法論和專業(yè)的評估矩陣，使用評估矩陣對境內外數據安全管理能力、技術能力進行能力評價和風險定級，幫助用戶理清數據出境全周期的安全風險。

03

與專業(yè)律所合作，交付專業(yè)數據出境合規(guī)法律評估服務

電科網安與多家專業(yè)律所合作，為數據出境合規(guī)評估提供專業(yè)法律服務。用戶也可選用自身合作的法律服務機構，電科網安將其嵌套到整個數據出境評估完整的解決方案中即可。出境合規(guī)的法律評估服務通過資料調閱，調研訪談等方式，梳理數據處理者及境外接收方的基本情況，評估境外接收方國家或地區(qū)的法律環(huán)境，并針對企業(yè)法律文件的合規(guī)性及個人信息權利保障開展調研評估，以專業(yè)律所團隊儲備及完備的業(yè)務流程，為企業(yè)提供數據出境合規(guī)法律評估服務。

04

數據出境安全風險綜合定級，評估、處置、跟蹤三個環(huán)節(jié)促進風險閉環(huán)管理

在風險評定環(huán)節(jié)，電科網安利用出境數據梳理、數據安全保障能力評估、法律合規(guī)性評估的結果進行綜合評定。為使風險評估結果更加準確，電科網安根據多年信息安全專業(yè)經驗和行業(yè)最佳實踐編制了風險評價的參考指引，指導評估服務人員對各風險點進行參考打分，最終以量化的方式計算出風險分值。 完成風險定級后，評估團隊將結合企業(yè)的業(yè)務場景，綜合考量后給出企業(yè)數據出境的風險清單和處置建議，協(xié)助企業(yè)完善出境安全技術策略、管理制度，加強企業(yè)在數據跨境過程中的整體防護能力，幫助企業(yè)實現評估、處置、跟蹤三個環(huán)節(jié)的閉環(huán)風險管理。

05

編制評估申報材料，協(xié)助企業(yè)申報，實現完整交付

協(xié)助企業(yè)完成風險處置后，服務團隊將梳理的情況、風險評估的情況、整改閉環(huán)的情況進行整理，幫助企業(yè)完成數據出境安全評估申報書、數據出境自評估報告等申報材料的編寫和準備，并協(xié)助企業(yè)按照申報指南的要求向網信辦發(fā)起申報。此外，服務團隊還將支撐企業(yè)整個申報、審核的流程，及時按需響應申報過程需求，實現完整交付。

服務工具

電科網安通過自研的數據出境檢測工具，為梳理企業(yè)出境評估服務提供支撐。工具面向數據跨境合規(guī)要求設計，能夠對企業(yè)數據跨境流量進行深度分析，還原企業(yè)數據跨境的行為，識別跨境數據中的個人信息、重要數據等數據內容，幫助評估人員清晰還原數據跨境活動詳情。

— 數據出境的國家（地區(qū)）統(tǒng)計—

— 工具功能

· 跨境資產識別：檢測工具通過識別企業(yè)跨境信息資產，明確企業(yè)涉及出境的業(yè)務流程、數據中心、出境鏈路和信息系統(tǒng)的情況，完整、清晰地描述企業(yè)數據出境活動，核準數據出境事實細節(jié)。· 跨境數據識別：檢測工具能夠識別跨境行為中的數據內容，自動發(fā)現個人信息、重要數據、其他數據等不同數據出境內容，并對跨境的數據量進行字段級的統(tǒng)計和分析，為分析企業(yè)數據跨境風險提供支撐。· 跨境行為識別：檢測工具支持HTTP/HTTPS、API、FTP、郵件、應用系統(tǒng)等多種方式的跨境行為識別，通過跨境行為要素維度建模，幫助企業(yè)建立起數據跨境的全局圖景。· 數據出境情況綜合分析：檢測工具能夠按照網信辦合規(guī)要求進行自動統(tǒng)計和分析，并通過圖表、報表、報告等多種形勢呈現，幫助用戶掌握企業(yè)出境情況的全局和細節(jié)。支持從系統(tǒng)中導出針對不同維度報表，直接支撐自評估申報。 — 工具優(yōu)勢· 出境數據精確識別與還原：清晰還原各種類型的跨境數據，從數據維度梳理出境數據規(guī)模、數據種類、敏感程度、數據范圍、出境方式等信息，并提供了達到字段級別的呈現效果，為團隊的數據梳理工作提供了事實依據與數據支撐。· 緊貼跨境監(jiān)管要求呈現出境活動全貌：能夠按照監(jiān)管側合規(guī)要求，提供數據出境活動數據中心、出境鏈路、應用系統(tǒng)、數據多維度的統(tǒng)計分析結果，幫助服務團隊更好了解企業(yè)數據出境活動全貌，實現高效、全面的梳理評估服務。

方案優(yōu)勢

·

專業(yè)的技術檢測工具輔助，實現快速精確梳理

解決方案采用了電科網安專門針對數據跨境合規(guī)要求設計的數據出境檢測工具，能夠對企業(yè)數據跨境流量進行深度分析，還原企業(yè)數據跨境的行為，識別出境數據內容，幫助企業(yè)理清出境數據詳情。

·

專業(yè)團隊提供服務，實現高效、科學的評估電科網安的數據出境評估服務團隊由涵蓋網絡與數據安全、法律合規(guī)、風險評估領域的高水準、經驗豐富的專家構成，團隊成員長期在安永、IBM等知名企業(yè)從事數據安全風險評估、個人信息保護影響等相關服務，并具備多項網絡安全、數據安全、信息科技審計相關資質證書。在項目實施時，電科網安以明確的責任分工，成熟的項目協(xié)作管理流程，為企業(yè)提供便捷、快速的整體服務。

·

豐富的數據合規(guī)治理經驗，成熟的數據出境評估案例

電科網安的服務團隊長期與網信辦等監(jiān)管部門保持密切溝通，對跨境合規(guī)要求具有深刻理解。此外，電科網安擁有出境安全評估服務的成熟案例，擁有大型數據合規(guī)項目交付經驗，能夠以豐厚的經驗積累為企業(yè)解決出境合規(guī)問題。

案例分享

某跨境物流企業(yè)為開展出境物流業(yè)務，委托電科網安進行對數據跨境情況進行梳理，并支撐其開展數據出境安全評估和申報工作。01

用戶痛點

該企業(yè)跨境業(yè)務環(huán)境復雜，在本地數據中心、境內公有云、境外公有云上都有跨境業(yè)務的相關部署，并且采用了運營商專線、專線+VPN、互聯(lián)網、云服務商專線等多種出境方式。此外，該企業(yè)還具有跨部門業(yè)務系統(tǒng)多、數量多，數據內容涉及個人數據、敏感個人信息等特征。前期，該企業(yè)已經開展了部分梳理工作，發(fā)現工作量很大，整體進展緩慢。02

解決方案

為解決上述痛點，電科網安和企業(yè)通過分析論證，確定了以律所、安全風險評估、數據梳理團隊以及檢測工具結合的數據出境風險評估服務方案，以數據跨境檢測工具梳理的數據出境活動詳情為基礎，支撐律所和安全評估團隊的數據出境安全風險評估。

— 業(yè)務上云—

03

實施效果

依照上述方案，電科網安服務團隊快速行動，在30個工作日實現了服務的快速交付，取得了如下效果：· 利用技術檢測工具，采集分析數據中心、出境鏈路的業(yè)務流量，累計分析出境業(yè)務流量15G+，涉及近200個系統(tǒng)、1000+個接口，實現數據出境詳情的客觀還原，形成完善的出境數據資產清單、數據出境鏈路圖。· 對企業(yè)涉及數據跨境的各關聯(lián)部門進行訪談調研，結合出境數據資產清單、數據出境鏈路圖提供的詳盡事實，實現出境風險的科學評價，輸出了數據安全保障能力報告、風險整改清單等評估成果。· 按照監(jiān)管部門要求的填報維度，幫助企業(yè)進行出境風險自評估報告、數據出境安全評估申報表的編制，協(xié)助企業(yè)按照申報指南的要求向網信辦發(fā)起申報，并根據網信辦反饋的指導建議進行申報材料的更正、補充，為企業(yè)提供了申報全流程的支撐。