数据出境自评估报告.docx

《数据出境自评估报告.docx》由会员分享，可在线阅读，更多相关《数据出境自评估报告.docx（30页珍藏版）》请在第一文库网上搜索。

1、数据出境风险自评估报告数据处理者名称：XXXX公司（盖章）年 月日一、自评估工作简述1.1 基本情况数据处理者单位介绍20XX年底，信息安全技术数据出境安全评估指南下发，从个人信息属 性评估要点、重要数据属性评估要点、数据处理者的安全保护能力、境外接收方 的安全保护能力、境外接收方所在国家或区域的政治法律环境等维度明确对数据 出境安全管理的要求。此外，20XX年XXX公司下发了公司XX办法要求公 司按照信息安全技术数据出境安全评估指南完成数据出境自评估工作。鉴于此，为落实国家法律法规对于数据安全出境的相关合规要求，提高数据 安全出境保护水平，XXX公司特组织开展了本次数据出境自评估工作。1.2

2、 第三方评估单位情况第三方评估单位介绍1.3 评估时间本次自评估工作起止时间为20XX年XX月XX日至20XX年XX月XX日。1.4 组织情况XXX公司自评估小组人员:姓名职责评估小组负责人韩方法务中方法务自评估小组第三方参与人员:项目组职责现场组数据处理活动梳理、数据出境场景调研、数据出境行为个人信息保护影响评估、数据处 理者及境外接收方数据安全能力风险评估专家组远程支撑指导，报告审核法律组数据出境法律合同风险审查、数据出境合法 性、正当性、必要性评估、数据出境法律文 件合规风险评估、出境地法律环境调研1.5 评估依据中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护

3、法网络安全等级保护基本要求GB/T 22239-2019信息安全技术个人信息安全规范GB-T 35273-2020个人信息出境安全评估办法数据出境安全评估申报指南（第一版）数据出境安全评估办法1.6 实施流程评估准备阶段，20XX年XX月XX日一XX月XX日，根据自评估工作需要，第 Y方评估单位成立评估团队，制定数据出境评估工作方案，按合同约定选配实施 人员，做好评估前的装备调配、技术准备和安全保密教育等工作，并签订保密协 议及相关授权。评估调研阶段，20XX年XX月XX日-20XX年XX月XX日，评估团队依据数 据出境评估工作方案，开展现场调研工作，收集、调阅基础设施、硬件、软件、 网络、管

4、理和信息系统、管理机制等相关材料，并与XXX公司相关部门及人员进 行交流对接，分析研究评估对象数据的出境情况、出境数据业务使用场景、网络 与信息系统安全现状，以及涉及数据安全技术体系、数据安全管理体系、数据安 全运营体系的运行情况。评估实施阶段：20XX年XX月XX日-20XX年XX月XX日，评估人员开展现 场技术检测与数据采集工作，完成数据全生命周期梳理、数据安全风险评估和已 有数据保护措施的有效性验证。综合分析阶段：20XX年XX月XX日-20XX年XX月XX日，评估人员通过对 评估阶段采集到的基础数据进行梳理，综合评估涉及数据出境场景风险，并与 XX公司系统运维相关人员进行核实和确认，形

5、成数据出境自评估报告。1.7 实施方式本次数据出境评估主要从人员访谈、资料核查、技术手段核查三个方面开展： (1)人员访谈评估人员与业务负责人进行面对面访谈，检查其是否明确知晓相关安全管控 要求，并结合现场检查，核实其落实情况，并做记录。(2)资料核查现场稽核本次数据出境评估所涉及的管理制度、建设方案、操作审批单、审 批日志等电子或纸质资料，并做记录。(3)技术手段核查评估团队通过人工或自动化安全测试工具进行技术测试，获得数据出境处理 活动、安全保障能力等相关信息，并进行分析，以便取得证据的过程。二、出境活动整体情况2.1 数据处理者基本情况2.1.1 组织基本信息企业全称企业性质员工人数2.

6、1.2 股权结构和实际控制人信息XX公司持股情况(1)股权结构：按实际情况填写(2)实际控制人信息：按实际情况填写2.1.3 1.3组织架构信息评估单位部门分布情况数据处理者XXX公司组织架构如图所示：插入研判依据或证明材料截图数据处理者XXX公司分支机构组织机构图如图所示：插入研判依据或证明材料截图2.1.4 数据安全管理机构信息根据国家数据安全出境保障要求，为进一步加强数据安全管理工作，数据处 理者XXX公司任命XX部为数据安全管理部门，承担数据处理者XXX公司整体的 数据安全工作，各单位按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁 接入谁负责”的原则，执行落实数据安全管理责任。数据

7、处理者XXX公司XX部 组织架构如下：2.1.5 整体业务与数据情况数据处理者XXX公司主营业务为o等制度，全方位为保证数据安全流转，数据处理者XXX公司制定了保障数据生命周期安全运行，同时通过数据分类分级对本行数据进行梳理稽核，发现XXX公司数据包含。2.1.6 境内外投资情况按实际情况填写2.2 数据出境业务及承载系统情况2.2.1 数据出境业务基本情况经评估小组分析调研后，发现数据处理者XXX公司存在数据出境业务场景，为XXX场景。由XXX系统进行流转传输，按实际内容拓展L j批注II】：需写入如何流转相关出境数据内容其数据出境流转情况如下：图1 XXX场景2.2.2 数据出境资产情况数

8、据出境的数据类型及数据量，按实际情况概述序号系统名称出境场景数据类型数据量表1数据出境资产情况表2.2.3 数据出境信息系统情况数据出境系统与境外接收系统所涉及业务、两个系统的基本情况及后续数据 使用的方式，按实际情况概述。XXX场景涉及业务信息系统情况如下:序系统名称系统功能简介系统服服务器物接收系统域号务类型理位置名/IP12表2数据出境信息系统情况表2.2.4 数据出境数据中心情况数据处理者XXX公司数据出境涉及的数据中心包括位于，按实际情况概批注12:主写数据中心的制度管理规定及数据存储传XXX场景涉及数据中心情况，如下:序号系统名称数据中心名称数据中心类型数据中心物理位置12表3数据

9、中心情况表2.2.5 数据出境链路情况按实际情况填写。XXX场景数据出境链路情况，如卜:序号系统名称出境链路1表4数据出境链路表2.3 拟出境数据情况2.3.1 数据出境目的及合法正当性按实际情况填写XXX场景数据出境目的如下：序号境外接收系统出境数据类型数据出境日的数据出境范围数据出境方式1表5数据出境基本情况表XXX场景数据出境合法正当性如下:评估项评估要点阳详情评伯结论合法性评估梳理国家相关法律、行政法规及电信主管 部门要求，结合数据出境处理活动场景， 评估是否存在法律、行政法规明令禁止或 主管部门认定不得处理的情形.不存在法律、行政法规明令禁止或X管部门认定不得处理的情形。满足正当性评

10、估分析数据出境处理活动场景的目的和场 暴，评估处理活动是否具备正当理由，正 当理由包括但不限于：开展业务、科学研 完、执法调查、新闻报道、公益事业等.满足必要性评估根据业务的主要功能、实现方式及所涉及 的数据出境处理活动场景，评估处理的数 据种类、数量、频率是否为开展业务所必 需。满足2.3.2 数据出境规模数据处理者XXX公司共涉及客户数据出境、业务数据出境共2个数据出境场 景。核实际情况概j L 批注:调研数据出境类型、数据量大小、数据分类分XXX场景数据出境规模如下:序号系统名 称数据出境场景出境数据类型出境敏感数据类型及程度出境数据量12自2022年1月1日起，出境数据量（去重）表6数

11、据出境规模表注：此处人数为约值估算。2.3.3 拟出境数据境内外存储情况经评估小组调研发现境内接收系统为XXX系统，其数据存储于位于数据中心内；境外接收系统为XXX系统，其数据存储于位于数据中心。数据处理者XXX公司与境外接收方XXX公司对两中心的数据存储安全，设立相关制度 要求，严格保障数据出境的全生命周期安全。XXX场景数据存储平台情况如下:境内数据存储平台序号境内系统境内数据存储中心名称机房物理位置IP地址1境外数据存储平台序号境外接收系统境外数据存储中心名称机房物理位置IP地址1表7数据出境存储情况表2.3.4 境外其他接收方根据实际情况填写。第三接收方名称接收数据类型数据处理目的/表

12、8境外其他接收方信息/1批注4:制度2.4 数据处理者数据安全保障能力情况2 . 4.1数据安全管理能力1、机构人员Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图2、制度保障Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图3、分类分级XXXXX （详细说明该项评估情况） 插入研判依据或证明材料截图4、合规性评估Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图5、权限管理Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图6、安全审计7、合作方管理X （详细说明该项评估情况） 插入研判依据或证明材料截图8、应急响应XXXXXt详细说明

13、该项评估情况）插入研判依据或证明材料截图9、教育培训Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图10、举报投诉管理Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图11、个人信息权益保护批注|51:生命周期Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图3 .4.2数据安全技术能力I1、数据采集XXXXXE详细说明该项评估情况）2、数据传输X （详细说明该项评估情况） 插入研判依据或证明材料截图3、数据存储Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图4、数据使用Xxxxx （详细说明该项评估情况）插入研判依据或证明材料截图5

14、、数据开放共享Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图6、数据销毁Xxxxx（详细说明该项评估情况）插入研判依据或证明材料截图2.4.3数据安全保障措施有效性证明/j批注（6）：保障技术佐证1、系统备案信息Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图2、数据安全风险评估Xxxxx （详细说明该项评估情况） 插入研判依据或证明材料截图3、数据安全能力认证（1）数据识别Xxxxx （详细说明该项评估情况）插入研判依据或证明材料截图（2）操作审计Xxxxx （详细说明该项评估情况）插入研判依据或证明材料截图（3）数据防泄漏Xxxxx （详细说明该项评估情况）插入研判依据或证明材料截图（4）接口安全管理（5）个人信息保护XXXXX （详细说