等保测评_等级保护_网络安全测评_IT审计_信息系统审计_等保测评机构

在中华人民共和国境内收集和产生的个人信息
和重要数据提供给境外机构、组织、个人的应进行数据出境安全评估

2016年11月7日

《网络安全法》通过：首次对关键信息基础设施运营者提出了数据本地化以及出境数据安全评估的要求，同时规定安全评估的要求，同时规定安全评估应当按照国家网信部门会同国务院有关部门制定的办法进行。

2017年4月11日

《个人信息和重要数据出境安全评估办法（征求意见稿）》与2017年6月13日《个人信息出境安全评估办法（征求意见稿）》：将个人信息和数据出境安全评估的责任主体扩大至网络运营者，确立了安全评估的适用范围、评估程序、监管机构、评估内容等基本规则，构建数据。

2017年8月25日

《信息安全技术数据出境安全评估指南（征求意见稿）》：细化了重要数据出境方面的评估流程。对评估方法、评估要点做了明确。

重要数据出境评估范围

《个人信息和重要数据出境评估办法》第九条出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估；

a) 含有或累计含有50万人以上的个人信息；
b) 数据量超过1000GB；
c) 包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；
d) 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
e) 关键信息基础设施运营者向境外提供个人信息和重要数据;
f) 其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

《重要数据出境评估指南》 4.3.2主管部门评估启动条件国家网信部门、行业主管部门根据数据出境类型、数量、范围、重要程度等，酌情组织开展主管部门评估。具有下列情形之一的，国家网信部门、行业主管部门可启动主管部门评估；

a) 一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的；
b) 包含核设施、生物化学、国防军工、人口健康等领域数据，大型工程活动、海洋环境、敏感地理信息数据，以及其他重要数据的;
c) 涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的;
d) 关键基础设施运营者数据出境的；
e) 其他可能影响国家安全、经济发展和社会公共利益的；
f) 大量用户投诉、举报的；
g) 全国性行业协会建议的；
h) 其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的。

重要数据出境评估服务流程

出境数据安全现状调研和差距分析
出境数据安全意识培训

现状调研及差距分析

开展数据出入境评估（从管理和技术
的维度开展）
编写数据出入境评估报告

现状调研及差距分析

检查修订

项目启动

编写数据出境计划编写数据出境计划（目的、范围、类型、规模、管控措施等）

协助整改数据出境管理体系设计（管理/技术）
编写管理制度（人员、制度、合同、
审计、上报等）
技术整改指导（权限、访问控制、日
志保存等）

项目验收

数据出境安全评估重点

合法正当
风险可控

合法性

· 不属于法律法规明令禁止的
· 符合我国与其他国家数据出境条约、协议的
· 个人信息主体同意的
· 不属于有关部门依法认定不能出境的

正当性

· 业务活动必须的
· 履行合同义务所必须的
· 履行我国法律义务要求的
· 司法协助需要的
· 其他维护国家安全、社会公共利益、公民合法权益需要的

个人信息属性评估

· 类型和敏感程度
· 数量
· 范围
· 技术脱敏情况

重要数据属性评估要点

· 类型
· 数量
· 范围
· 技术脱敏情况

发送方技术和管理能力

· 管理制度保障能力
· 技术手段保障能力

接收方的安全保护能力

· 主体审查
· 管理保障能力
· 技术保障能力

接收方所在国家或区域政治法律环境

· 个人信息
· 重要数据

等级保护

IT审计服务

安全服务

数据安全服务

关于我们