10月29日**互聯(lián)網(wǎng)信息辦公室(下稱“**網(wǎng)信辦”)發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(下稱“《意見稿》”)并公開征求意見。《意見稿》是對數(shù)據(jù)出境安全評估問題監(jiān)管上的新回應(yīng)，其將監(jiān)管、從嚴(yán)監(jiān)管的理念**得更為徹底，也對涉及數(shù)據(jù)出境的企業(yè)進(jìn)一步預(yù)設(shè)了相應(yīng)的合規(guī)義務(wù)。出境評估的立法歷史隨著《數(shù)據(jù)安全法》、《數(shù)據(jù)安全法》和《個人信息保護(hù)法》作為數(shù)據(jù)出境評估所依據(jù)的上位法的確定，以《數(shù)據(jù)出境安全評估辦法(征求意見稿)》是作為與法律條文相配套的數(shù)據(jù)出境安全評估辦法，使得數(shù)據(jù)出境安全評估的法律體系得以明晰，以引導(dǎo)數(shù)據(jù)出境安全評估相關(guān)工作?！稊?shù)據(jù)出境安全評估辦法(征求意見稿)》要點解析(1)基本概念《辦法》中明確規(guī)定網(wǎng)絡(luò)運(yùn)營者在中華*****境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評估。也就是說，如果實施，交通導(dǎo)航、電子商務(wù)、社交網(wǎng)絡(luò)等各類涉及數(shù)據(jù)收集與跨境傳輸?shù)钠髽I(yè)，都將受到監(jiān)管。數(shù)據(jù)出境：是指網(wǎng)絡(luò)運(yùn)營者將在中華*****境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，提供給位于境外的機(jī)構(gòu)、**、個人。 組建一支專業(yè)的評估團(tuán)隊，團(tuán)隊成員應(yīng)涵蓋技術(shù)、法務(wù)、業(yè)務(wù)等多領(lǐng)域?qū)I(yè)人才，為評估提供準(zhǔn)確的信息。深圳金融信息安全介紹

并制定相應(yīng)的隱私保護(hù)措施和控制措施。同時，我們還會為客戶提供***的數(shù)據(jù)安全管理體系建設(shè)培訓(xùn)和指導(dǎo)服務(wù)，幫助客戶建立符合《銀行保險機(jī)構(gòu)數(shù)據(jù)安全管理辦法》要求的管理體系，并持續(xù)監(jiān)控和優(yōu)化其運(yùn)行效果。針對此次《辦法》落地，我們認(rèn)為金融機(jī)構(gòu)可從以下方面著手提升落地效果：01開展合規(guī)差距評估與體系設(shè)計。通過對照《辦法》條款，識別現(xiàn)有制度與技術(shù)短板。例如，協(xié)助機(jī)構(gòu)建立數(shù)據(jù)資產(chǎn)地圖，明確分類分級標(biāo)準(zhǔn)，并設(shè)計覆蓋數(shù)據(jù)采集、存儲、共享、銷毀的全流程管控方案。02構(gòu)建適配的技術(shù)防護(hù)體系。針對金融機(jī)構(gòu)的IT環(huán)境特點，推薦部署數(shù)據(jù)加密、***、水印等技術(shù)工具。例如，在數(shù)據(jù)共享場景中采用聯(lián)邦學(xué)習(xí)技術(shù)，實現(xiàn)“數(shù)據(jù)可用不可見”；在數(shù)據(jù)分析環(huán)節(jié)應(yīng)用隱私計算，平衡數(shù)據(jù)利用與安全。03強(qiáng)化第三方風(fēng)險管理。金融機(jī)構(gòu)常依賴外部供應(yīng)商處理數(shù)據(jù)，需協(xié)助其建立供應(yīng)商準(zhǔn)入評估機(jī)制，明確數(shù)據(jù)安全責(zé)任條款，并通過定期審計確保第三方合規(guī)。例如，在合作協(xié)議中約定數(shù)據(jù)泄露時的賠償責(zé)任和應(yīng)急支持義務(wù)。04推動全員安全意識提升。設(shè)計定制化培訓(xùn)課程，覆蓋高層管理者至**員工。例如，針對業(yè)務(wù)人員開展數(shù)據(jù)分類分級實操培訓(xùn)，針對技術(shù)人員講解新型攻擊防御策略。 北京證券信息安全介紹安言咨詢基于20多年的咨詢經(jīng)驗和對ISO42001標(biāo)準(zhǔn)的深刻理解，形成了自己獨特的項目實施方法論。

那該如何著手保護(hù)呢？因此，數(shù)據(jù)分類分級便顯現(xiàn)出其不可替代的重要性。通過分類分級，就能夠更精細(xì)地識別出數(shù)據(jù)的類別以及敏感的程度。在此基礎(chǔ)上，再利用安全技術(shù)進(jìn)行保護(hù)，同時確保業(yè)務(wù)正常進(jìn)行，實現(xiàn)按需訪問，即什么權(quán)限的人訪問什么數(shù)據(jù)，未經(jīng)授權(quán)不可觸碰某些數(shù)據(jù)等等。其實這個道理換個視角一想就能明白，比如你是一個班級的班長，你得到老師授權(quán)，需要對學(xué)生進(jìn)行身份證號、社交賬號、興趣愛好、父母職業(yè)、家庭收入、家庭地址、家人聯(lián)系方式等信息電子化采集。這些采集信息用于困難學(xué)生的幫扶工作。這些信息如果不做分類分級，允許所有人無差別訪問，必然會導(dǎo)致大規(guī)模的個人信息泄露。針對校園詐騙的犯罪行為層出不窮，這些信息很可能會被不法分子利用。此時，數(shù)據(jù)分類分級就顯得尤為重要。普通學(xué)生能看到同學(xué)姓名和興趣愛好，班長能多看到社交賬號，班主任能進(jìn)一步看到學(xué)生的父母職業(yè)、家庭收入，而扶貧工作小組的工作人員則能進(jìn)而看到家庭地址、家人聯(lián)系方式等等。雖然在**的實際操作過程中，數(shù)據(jù)比這個案例要復(fù)雜得多，但也能說明，只有把數(shù)據(jù)的類別和級別劃分清楚，才能既保護(hù)好重要的數(shù)據(jù)，又利用好重要的數(shù)據(jù)?，F(xiàn)實中，數(shù)據(jù)分類分級做與不做。

個人信息：是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。重要數(shù)據(jù)：是指與**安全、經(jīng)濟(jì)發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照**有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識別指南。(2)立法目的目前**上已形成了成熟、系統(tǒng)的跨境數(shù)據(jù)流動管理制度框架，如：——歐盟與美國達(dá)成的隱私盾協(xié)議(Shield)——世界經(jīng)合**的《隱私保護(hù)和個人數(shù)據(jù)跨境流通的指南》——亞太經(jīng)合**的《跨境隱私規(guī)則》隨著**經(jīng)濟(jì)貿(mào)易的不斷加深，我國的信息服務(wù)業(yè)以及境外大型跨國公司的數(shù)據(jù)出境活動日益頻繁，其中可能涉及到我國公民個人隱私甚至涉及我國**安全、經(jīng)濟(jì)發(fā)展和社會公共利益相關(guān)的重要數(shù)據(jù)，**迫切需要對這些企業(yè)數(shù)據(jù)出境行為進(jìn)行規(guī)范和指引。(3)安全評估適用范圍數(shù)據(jù)處理者向境外提供再中華*****境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評估的個人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。(4)哪些出境數(shù)據(jù)需要評估除此之外，比如以下幾個普遍關(guān)注的情況也屬于數(shù)據(jù)出境——境外鏡像、遠(yuǎn)程訪問;——去標(biāo)識化。 評估準(zhǔn)備階段是整個數(shù)據(jù)安全風(fēng)險評估工作的基石。

明確各部門和人員在數(shù)據(jù)安全方面的職責(zé)和權(quán)限。對業(yè)務(wù)系統(tǒng)展開調(diào)研，梳理關(guān)鍵業(yè)務(wù)流程以及支撐這些流程的系統(tǒng)架構(gòu)，清晰掌握數(shù)據(jù)在企業(yè)內(nèi)部的流轉(zhuǎn)路徑。進(jìn)行數(shù)據(jù)資產(chǎn)識別，詳細(xì)盤點企業(yè)所擁有的數(shù)據(jù)類型、規(guī)模以及分布情況。對數(shù)據(jù)處理活動進(jìn)行深入分析，識別數(shù)據(jù)生命周期每個環(huán)節(jié)可能存在的風(fēng)險點。同時，對現(xiàn)有的技術(shù)防護(hù)措施進(jìn)行核查，檢查這些措施是否能夠有效保障數(shù)據(jù)安全，是否存在漏洞或薄弱環(huán)節(jié)。第三階段：風(fēng)險識別——精細(xì)定位病灶依據(jù)標(biāo)準(zhǔn)要求，風(fēng)險識別階段需重點聚焦四大領(lǐng)域，精細(xì)定位潛在的數(shù)據(jù)安全風(fēng)險。在數(shù)據(jù)安全管理方面，審查企業(yè)的制度體系是否健全，**架構(gòu)是否合理，人員管理是否規(guī)范。在數(shù)據(jù)處理活動安全方面，對數(shù)據(jù)全生命周期各環(huán)節(jié)進(jìn)行細(xì)致排查，如傳輸過程中是否采取了有效的加密措施等。在數(shù)據(jù)安全技術(shù)方面，檢查網(wǎng)絡(luò)安全防護(hù)是否到位，訪問控制是否嚴(yán)格等。在個人信息保護(hù)方面，審查企業(yè)是否遵循處理原則，是否充分履行告知同意義務(wù)等內(nèi)容。具體評估內(nèi)容看以下圖片：第四階段：風(fēng)險分析與評價——科學(xué)診斷風(fēng)險分析與評價階段是對識別出的風(fēng)險進(jìn)行科學(xué)診斷的重要環(huán)節(jié)。首**行危害程度分析。 進(jìn)行發(fā)生可能性評估，綜合考慮威脅出現(xiàn)的頻率以及企業(yè)現(xiàn)有的防護(hù)能力，判斷風(fēng)險發(fā)生的概率。廣州信息安全報價

OWASP自2023年起持續(xù)發(fā)布AI應(yīng)用風(fēng)險Top10榜單，并于今年3月27日更名為OWASP Gen AI安全項目。深圳金融信息安全介紹

重要;overflow-wrap：break-word！important;”>往期推薦***重要;overflow-wrap：break-word！important;”>***重要;overflow-wrap：break-word！重要;顏色：rgba（0,0,0，）;font-family：system-ui，-apple-system，BlinkMacSystemFont，“HelveticaNeue”，“PingFangSC”，“HiraginoSansGB”，“MicrosoftYaHeiUI”，“MicrosoftYaHei”，Arial，sans-serif;字體樣式：普通;font-variant-ligatures：普通;font-variant-caps：normal;字母間距：“>***重要;overflow-wrap：break-word！重要;字體大?。?4px;>***重要;overflow-wrap：break-word！important;”>***重要;overflow-wrap：break-word！important;”>***重要;overflow-wrap：break-word！重要;顏色：#000000;字體大?。?4px;>***重要;overflow-wrap：break-word！important;”>***“>001安言觀察|本周網(wǎng)數(shù)安全資訊（第4期）***mportant;overflow-wrap：break-word！重要;clear：兩者;**小高度：1em;顏色：rgba（0,0,0，）;font-family：system-ui，-apple-system。BlinkMacSystemFont?！癏elveticaNeue”，“PingFangSC”，“HiraginoSansGB”，“MicrosoftYaHeiUI”。 深圳金融信息安全介紹