在數據跨境系列的前兩篇文章中，為大家介紹了目前我國的數據出境的合規政策、安全評估適用場景，以及相關要求。同時，對數據出境安全評估的重點內容、難點等進行了闡述。 本文作為跨境系列第三篇文章，我們將以服務內容、服務工具和服務實施過程等內容，詳細為您介紹電科網安數據出境安全評估服務解決方案，幫您搞定數據出境安全評估中遇到的問題。

方案背景

2022年7月，中央網信辦發布了《數據出境安全評估辦法》，同年9月配套發布了《數據出境安全評估指南》。其中，《辦法》明確了關鍵信息基礎設施運營者、重要數據處理者和達到一定數量的個人信息處理者數據出境應進行數據安全評估。相關企業應根據上述要求開展數據出境評估自評估工作，并向網信部門申報。

— 數據出境處理流程—

問題與挑戰

《指南》中也明確了出境安全評估的申報材料，提供了相應填報模板，要求企業按照模板內容完成自評估并填寫相應內容。通過對填報內容進行梳理、分析可知，企業在完成數據出境安全風險自評估時，需以業務為主線，梳理和掌握數據出境活動所涉主體、技術、法律合同、管理制度的全貌和細節，并依據詳盡的、客觀的事實梳理，就各類風險進行專業性的認定和評價。
當前，為滿足申報要求，企業多采用以人工訪談、調查問卷等方法為主的方式進行數據出境場景梳理，再根據法規、標準進行風險評估，并形成評估報告。然而，在具體實踐中往往存在以下痛點：

·

評估事項、評估標準理解不充分

企業缺少對出境相關法規、標準的研究與解讀，針對數據跨境這一特定場景的安全要求、合規要求沒有深入理解，評估材料中的填寫的內容往往無法支撐監管側對其出境合法性、正當性、必要性的要求。

·

人工梳理出境活動協調難、還原不準確企業在梳理數據出境的鏈路時，需將業務、數據與鏈路三者對應起來。目前企業多采取的自行評估或聘請律所開展評估所使用的人工梳理模式，在實際中由于缺乏技術支撐，容易導致業務梳理不清、業務識別不全、業務數據與出境鏈路對不齊等問題。

·

評估內容涉及多層面、多維度，單一能力團隊無法支撐數據出境安全評估內容涉及數據出境行為合法性評估、境內外數據保障能力評估、法律文件合規性評估、數據出境過程和出境行為綜合性風險評估，這要求團隊能力應涵蓋業務專家、網絡和數據安全專家、法律合規專家、專業評估人員，僅由單一能力的團隊無法支撐多維度評估的開展。

解決方案

針對企業在自評估實踐中的難點，電科網安提出了“專業團隊”+“工具檢測”的數據出境安全評估服務解決方案。方案依托專業的數據梳理團隊、法律服務團隊、安全評估團隊和針對出境數據合規場景研制的專業檢測工具，為企業提供滿足數據出境安全評估要求的一站式服務，幫助企業高效、快捷地完成數據出境合規要求。

— 服務模式—

01

專業工具輔助梳理，厘清數據出境活動詳情

數據出境自評估最基礎的工作是做好數據出境活動詳情事實的梳理。電科網安采用人工梳理和專業數據出境檢測工具相結合的梳理方式，從出境業務、出境信息基礎設施、出境信息系統、出境數據四個方面對企業進行調研、檢測和梳理，完成出境數據活動中重點要素的關聯對齊，并利用專業工具檢測、還原出企業數據跨境行為詳情和個人信息、重要數據及其他數據的詳情。

02

評估全生命周期安全保障能力，理清數據出境活動的安全風險

出境自評估要求對數據出境活動全生命周期的安全保障能力進行評價。電科網安擁有專業的安全評估服務團隊，在多年信息安全風險評估、數據安全風險評估等項目實踐中累積了豐富的經驗。

電科網安將上述經驗沉淀成為科學的方法論和專業的評估矩陣，使用評估矩陣對境內外數據安全管理能力、技術能力進行能力評價和風險定級，幫助用戶理清數據出境全周期的安全風險。

03

與專業律所合作，交付專業數據出境合規法律評估服務

電科網安與多家專業律所合作，為數據出境合規評估提供專業法律服務。用戶也可選用自身合作的法律服務機構，電科網安將其嵌套到整個數據出境評估完整的解決方案中即可。出境合規的法律評估服務通過資料調閱，調研訪談等方式，梳理數據處理者及境外接收方的基本情況，評估境外接收方國家或地區的法律環境，并針對企業法律文件的合規性及個人信息權利保障開展調研評估，以專業律所團隊儲備及完備的業務流程，為企業提供數據出境合規法律評估服務。

04

數據出境安全風險綜合定級，評估、處置、跟蹤三個環節促進風險閉環管理

在風險評定環節，電科網安利用出境數據梳理、數據安全保障能力評估、法律合規性評估的結果進行綜合評定。為使風險評估結果更加準確，電科網安根據多年信息安全專業經驗和行業最佳實踐編制了風險評價的參考指引，指導評估服務人員對各風險點進行參考打分，最終以量化的方式計算出風險分值。 完成風險定級后，評估團隊將結合企業的業務場景，綜合考量后給出企業數據出境的風險清單和處置建議，協助企業完善出境安全技術策略、管理制度，加強企業在數據跨境過程中的整體防護能力，幫助企業實現評估、處置、跟蹤三個環節的閉環風險管理。

05

編制評估申報材料，協助企業申報，實現完整交付

協助企業完成風險處置后，服務團隊將梳理的情況、風險評估的情況、整改閉環的情況進行整理，幫助企業完成數據出境安全評估申報書、數據出境自評估報告等申報材料的編寫和準備，并協助企業按照申報指南的要求向網信辦發起申報。此外，服務團隊還將支撐企業整個申報、審核的流程，及時按需響應申報過程需求，實現完整交付。

服務工具

電科網安通過自研的數據出境檢測工具，為梳理企業出境評估服務提供支撐。工具面向數據跨境合規要求設計，能夠對企業數據跨境流量進行深度分析，還原企業數據跨境的行為，識別跨境數據中的個人信息、重要數據等數據內容，幫助評估人員清晰還原數據跨境活動詳情。

— 數據出境的國家（地區）統計—

— 工具功能

· 跨境資產識別：檢測工具通過識別企業跨境信息資產，明確企業涉及出境的業務流程、數據中心、出境鏈路和信息系統的情況，完整、清晰地描述企業數據出境活動，核準數據出境事實細節。· 跨境數據識別：檢測工具能夠識別跨境行為中的數據內容，自動發現個人信息、重要數據、其他數據等不同數據出境內容，并對跨境的數據量進行字段級的統計和分析，為分析企業數據跨境風險提供支撐。· 跨境行為識別：檢測工具支持HTTP/HTTPS、API、FTP、郵件、應用系統等多種方式的跨境行為識別，通過跨境行為要素維度建模，幫助企業建立起數據跨境的全局圖景。· 數據出境情況綜合分析：檢測工具能夠按照網信辦合規要求進行自動統計和分析，并通過圖表、報表、報告等多種形勢呈現，幫助用戶掌握企業出境情況的全局和細節。支持從系統中導出針對不同維度報表，直接支撐自評估申報。 — 工具優勢· 出境數據精確識別與還原：清晰還原各種類型的跨境數據，從數據維度梳理出境數據規模、數據種類、敏感程度、數據范圍、出境方式等信息，并提供了達到字段級別的呈現效果，為團隊的數據梳理工作提供了事實依據與數據支撐。· 緊貼跨境監管要求呈現出境活動全貌：能夠按照監管側合規要求，提供數據出境活動數據中心、出境鏈路、應用系統、數據多維度的統計分析結果，幫助服務團隊更好了解企業數據出境活動全貌，實現高效、全面的梳理評估服務。

方案優勢

·

專業的技術檢測工具輔助，實現快速精確梳理

解決方案采用了電科網安專門針對數據跨境合規要求設計的數據出境檢測工具，能夠對企業數據跨境流量進行深度分析，還原企業數據跨境的行為，識別出境數據內容，幫助企業理清出境數據詳情。

·

專業團隊提供服務，實現高效、科學的評估電科網安的數據出境評估服務團隊由涵蓋網絡與數據安全、法律合規、風險評估領域的高水準、經驗豐富的專家構成，團隊成員長期在安永、IBM等知名企業從事數據安全風險評估、個人信息保護影響等相關服務，并具備多項網絡安全、數據安全、信息科技審計相關資質證書。在項目實施時，電科網安以明確的責任分工，成熟的項目協作管理流程，為企業提供便捷、快速的整體服務。

·

豐富的數據合規治理經驗，成熟的數據出境評估案例

電科網安的服務團隊長期與網信辦等監管部門保持密切溝通，對跨境合規要求具有深刻理解。此外，電科網安擁有出境安全評估服務的成熟案例，擁有大型數據合規項目交付經驗，能夠以豐厚的經驗積累為企業解決出境合規問題。

案例分享

某跨境物流企業為開展出境物流業務，委托電科網安進行對數據跨境情況進行梳理，并支撐其開展數據出境安全評估和申報工作。01

用戶痛點

該企業跨境業務環境復雜，在本地數據中心、境內公有云、境外公有云上都有跨境業務的相關部署，并且采用了運營商專線、專線+VPN、互聯網、云服務商專線等多種出境方式。此外，該企業還具有跨部門業務系統多、數量多，數據內容涉及個人數據、敏感個人信息等特征。前期，該企業已經開展了部分梳理工作，發現工作量很大，整體進展緩慢。02

解決方案

為解決上述痛點，電科網安和企業通過分析論證，確定了以律所、安全風險評估、數據梳理團隊以及檢測工具結合的數據出境風險評估服務方案，以數據跨境檢測工具梳理的數據出境活動詳情為基礎，支撐律所和安全評估團隊的數據出境安全風險評估。

— 業務上云—

03

實施效果

依照上述方案，電科網安服務團隊快速行動，在30個工作日實現了服務的快速交付，取得了如下效果：· 利用技術檢測工具，采集分析數據中心、出境鏈路的業務流量，累計分析出境業務流量15G+，涉及近200個系統、1000+個接口，實現數據出境詳情的客觀還原，形成完善的出境數據資產清單、數據出境鏈路圖。· 對企業涉及數據跨境的各關聯部門進行訪談調研，結合出境數據資產清單、數據出境鏈路圖提供的詳盡事實，實現出境風險的科學評價，輸出了數據安全保障能力報告、風險整改清單等評估成果。· 按照監管部門要求的填報維度，幫助企業進行出境風險自評估報告、數據出境安全評估申報表的編制，協助企業按照申報指南的要求向網信辦發起申報，并根據網信辦反饋的指導建議進行申報材料的更正、補充，為企業提供了申報全流程的支撐。