电科网安数据出境安全评估服务解决方案

在数据跨境系列的前两篇文章中，为大家介绍了目前我国的数据出境的合规政策、安全评估适用场景，以及相关要求。同时，对数据出境安全评估的重点内容、难点等进行了阐述。 本文作为跨境系列第三篇文章，我们将以服务内容、服务工具和服务实施过程等内容，详细为您介绍电科网安数据出境安全评估服务解决方案，帮您搞定数据出境安全评估中遇到的问题。

方案背景

2022年7月，中央网信办发布了《数据出境安全评估办法》，同年9月配套发布了《数据出境安全评估指南》。其中，《办法》明确了关键信息基础设施运营者、重要数据处理者和达到一定数量的个人信息处理者数据出境应进行数据安全评估。相关企业应根据上述要求开展数据出境评估自评估工作，并向网信部门申报。

— 数据出境处理流程—

问题与挑战

《指南》中也明确了出境安全评估的申报材料，提供了相应填报模板，要求企业按照模板内容完成自评估并填写相应内容。通过对填报内容进行梳理、分析可知，企业在完成数据出境安全风险自评估时，需以业务为主线，梳理和掌握数据出境活动所涉主体、技术、法律合同、管理制度的全貌和细节，并依据详尽的、客观的事实梳理，就各类风险进行专业性的认定和评价。
当前，为满足申报要求，企业多采用以人工访谈、调查问卷等方法为主的方式进行数据出境场景梳理，再根据法规、标准进行风险评估，并形成评估报告。然而，在具体实践中往往存在以下痛点：

·

评估事项、评估标准理解不充分

企业缺少对出境相关法规、标准的研究与解读，针对数据跨境这一特定场景的安全要求、合规要求没有深入理解，评估材料中的填写的内容往往无法支撑监管侧对其出境合法性、正当性、必要性的要求。

·

人工梳理出境活动协调难、还原不准确企业在梳理数据出境的链路时，需将业务、数据与链路三者对应起来。目前企业多采取的自行评估或聘请律所开展评估所使用的人工梳理模式，在实际中由于缺乏技术支撑，容易导致业务梳理不清、业务识别不全、业务数据与出境链路对不齐等问题。

·

评估内容涉及多层面、多维度，单一能力团队无法支撑数据出境安全评估内容涉及数据出境行为合法性评估、境内外数据保障能力评估、法律文件合规性评估、数据出境过程和出境行为综合性风险评估，这要求团队能力应涵盖业务专家、网络和数据安全专家、法律合规专家、专业评估人员，仅由单一能力的团队无法支撑多维度评估的开展。

解决方案

针对企业在自评估实践中的难点，电科网安提出了“专业团队”+“工具检测”的数据出境安全评估服务解决方案。方案依托专业的数据梳理团队、法律服务团队、安全评估团队和针对出境数据合规场景研制的专业检测工具，为企业提供满足数据出境安全评估要求的一站式服务，帮助企业高效、快捷地完成数据出境合规要求。

— 服务模式—

01

专业工具辅助梳理，厘清数据出境活动详情

数据出境自评估最基础的工作是做好数据出境活动详情事实的梳理。电科网安采用人工梳理和专业数据出境检测工具相结合的梳理方式，从出境业务、出境信息基础设施、出境信息系统、出境数据四个方面对企业进行调研、检测和梳理，完成出境数据活动中重点要素的关联对齐，并利用专业工具检测、还原出企业数据跨境行为详情和个人信息、重要数据及其他数据的详情。

02

评估全生命周期安全保障能力，理清数据出境活动的安全风险

出境自评估要求对数据出境活动全生命周期的安全保障能力进行评价。电科网安拥有专业的安全评估服务团队，在多年信息安全风险评估、数据安全风险评估等项目实践中累积了丰富的经验。

电科网安将上述经验沉淀成为科学的方法论和专业的评估矩阵，使用评估矩阵对境内外数据安全管理能力、技术能力进行能力评价和风险定级，帮助用户理清数据出境全周期的安全风险。

03

与专业律所合作，交付专业数据出境合规法律评估服务

电科网安与多家专业律所合作，为数据出境合规评估提供专业法律服务。用户也可选用自身合作的法律服务机构，电科网安将其嵌套到整个数据出境评估完整的解决方案中即可。出境合规的法律评估服务通过资料调阅，调研访谈等方式，梳理数据处理者及境外接收方的基本情况，评估境外接收方国家或地区的法律环境，并针对企业法律文件的合规性及个人信息权利保障开展调研评估，以专业律所团队储备及完备的业务流程，为企业提供数据出境合规法律评估服务。

04

数据出境安全风险综合定级，评估、处置、跟踪三个环节促进风险闭环管理

在风险评定环节，电科网安利用出境数据梳理、数据安全保障能力评估、法律合规性评估的结果进行综合评定。为使风险评估结果更加准确，电科网安根据多年信息安全专业经验和行业最佳实践编制了风险评价的参考指引，指导评估服务人员对各风险点进行参考打分，最终以量化的方式计算出风险分值。 完成风险定级后，评估团队将结合企业的业务场景，综合考量后给出企业数据出境的风险清单和处置建议，协助企业完善出境安全技术策略、管理制度，加强企业在数据跨境过程中的整体防护能力，帮助企业实现评估、处置、跟踪三个环节的闭环风险管理。

05

编制评估申报材料，协助企业申报，实现完整交付

协助企业完成风险处置后，服务团队将梳理的情况、风险评估的情况、整改闭环的情况进行整理，帮助企业完成数据出境安全评估申报书、数据出境自评估报告等申报材料的编写和准备，并协助企业按照申报指南的要求向网信办发起申报。此外，服务团队还将支撑企业整个申报、审核的流程，及时按需响应申报过程需求，实现完整交付。

服务工具

电科网安通过自研的数据出境检测工具，为梳理企业出境评估服务提供支撑。工具面向数据跨境合规要求设计，能够对企业数据跨境流量进行深度分析，还原企业数据跨境的行为，识别跨境数据中的个人信息、重要数据等数据内容，帮助评估人员清晰还原数据跨境活动详情。

— 数据出境的国家（地区）统计—

— 工具功能

· 跨境资产识别：检测工具通过识别企业跨境信息资产，明确企业涉及出境的业务流程、数据中心、出境链路和信息系统的情况，完整、清晰地描述企业数据出境活动，核准数据出境事实细节。· 跨境数据识别：检测工具能够识别跨境行为中的数据内容，自动发现个人信息、重要数据、其他数据等不同数据出境内容，并对跨境的数据量进行字段级的统计和分析，为分析企业数据跨境风险提供支撑。· 跨境行为识别：检测工具支持HTTP/HTTPS、API、FTP、邮件、应用系统等多种方式的跨境行为识别，通过跨境行为要素维度建模，帮助企业建立起数据跨境的全局图景。· 数据出境情况综合分析：检测工具能够按照网信办合规要求进行自动统计和分析，并通过图表、报表、报告等多种形势呈现，帮助用户掌握企业出境情况的全局和细节。支持从系统中导出针对不同维度报表，直接支撑自评估申报。 — 工具优势· 出境数据精确识别与还原：清晰还原各种类型的跨境数据，从数据维度梳理出境数据规模、数据种类、敏感程度、数据范围、出境方式等信息，并提供了达到字段级别的呈现效果，为团队的数据梳理工作提供了事实依据与数据支撑。· 紧贴跨境监管要求呈现出境活动全貌：能够按照监管侧合规要求，提供数据出境活动数据中心、出境链路、应用系统、数据多维度的统计分析结果，帮助服务团队更好了解企业数据出境活动全貌，实现高效、全面的梳理评估服务。

方案优势

·

专业的技术检测工具辅助，实现快速精确梳理

解决方案采用了电科网安专门针对数据跨境合规要求设计的数据出境检测工具，能够对企业数据跨境流量进行深度分析，还原企业数据跨境的行为，识别出境数据内容，帮助企业理清出境数据详情。

·

专业团队提供服务，实现高效、科学的评估电科网安的数据出境评估服务团队由涵盖网络与数据安全、法律合规、风险评估领域的高水准、经验丰富的专家构成，团队成员长期在安永、IBM等知名企业从事数据安全风险评估、个人信息保护影响等相关服务，并具备多项网络安全、数据安全、信息科技审计相关资质证书。在项目实施时，电科网安以明确的责任分工，成熟的项目协作管理流程，为企业提供便捷、快速的整体服务。

·

丰富的数据合规治理经验，成熟的数据出境评估案例

电科网安的服务团队长期与网信办等监管部门保持密切沟通，对跨境合规要求具有深刻理解。此外，电科网安拥有出境安全评估服务的成熟案例，拥有大型数据合规项目交付经验，能够以丰厚的经验积累为企业解决出境合规问题。

案例分享

某跨境物流企业为开展出境物流业务，委托电科网安进行对数据跨境情况进行梳理，并支撑其开展数据出境安全评估和申报工作。01

用户痛点

该企业跨境业务环境复杂，在本地数据中心、境内公有云、境外公有云上都有跨境业务的相关部署，并且采用了运营商专线、专线+VPN、互联网、云服务商专线等多种出境方式。此外，该企业还具有跨部门业务系统多、数量多，数据内容涉及个人数据、敏感个人信息等特征。前期，该企业已经开展了部分梳理工作，发现工作量很大，整体进展缓慢。02

解决方案

为解决上述痛点，电科网安和企业通过分析论证，确定了以律所、安全风险评估、数据梳理团队以及检测工具结合的数据出境风险评估服务方案，以数据跨境检测工具梳理的数据出境活动详情为基础，支撑律所和安全评估团队的数据出境安全风险评估。

— 业务上云—

03

实施效果

依照上述方案，电科网安服务团队快速行动，在30个工作日实现了服务的快速交付，取得了如下效果：· 利用技术检测工具，采集分析数据中心、出境链路的业务流量，累计分析出境业务流量15G+，涉及近200个系统、1000+个接口，实现数据出境详情的客观还原，形成完善的出境数据资产清单、数据出境链路图。· 对企业涉及数据跨境的各关联部门进行访谈调研，结合出境数据资产清单、数据出境链路图提供的详尽事实，实现出境风险的科学评价，输出了数据安全保障能力报告、风险整改清单等评估成果。· 按照监管部门要求的填报维度，帮助企业进行出境风险自评估报告、数据出境安全评估申报表的编制，协助企业按照申报指南的要求向网信办发起申报，并根据网信办反馈的指导建议进行申报材料的更正、补充，为企业提供了申报全流程的支撑。