数据出境自评估报告.docx

数据出境风险自评估报告 数据处理者名称： XXXX公司（盖章） 年 月 日 自评估工作简述 基本情况 数据处理者单位介绍 20XX年底，《信息安全技术 数据出境安全评估指南》下发，从个人信息属性评估要点、重要数据属性评估要点、数据处理者的安全保护能力、境外接收方的安全保护能力、境外接收方所在国家或区域的政治法律环境等维度明确对数据出境安全管理的要求。此外，20XX年XXX公司下发了 《公司XX办法》要求公司按照《信息安全技术 数据出境安全评估指南》完成数据出境自评估工作。 鉴于此，为落实国家法律法规对于数据安全出境的相关合规要求，提高数据安全出境保护水平，XXX公司特组织开展了本次数据出境自评估工作。 第三方评估单位情况 第三方评估单位介绍 评估时间 本次自评估工作起止时间为20XX年XX月XX日至20XX年XX月XX日。 组织情况 XXX公司自评估小组人员： 姓名 职责 评估小组负责人 韩方法务 中方法务 自评估小组第三方参与人员： 项目组 职责 现场组 数据处理活动梳理、数据出境场景调研、数据出境行为个人信息保护影响评估、数据处理者及境外接收方数据安全能力风险评估 专家组 远程支撑指导，报告审核 法律组 数据出境法律合同风险审查、数据出境合法性、正当性、必要性评估、数据出境法律文件合规风险评估、出境地法律环境调研 评估依据 《中华人民共和国网络安全法》 《中华人民共和国数据安全法》 《中华人民共和国个人信息保护法》 《网络安全等级保护基本要求》GB/T 22239-2019 《信息安全技术 个人信息安全规范》GB-T 35273-2020 《个人信息出境安全评估办法》 《数据出境安全评估申报指南（第一版）》 《数据出境安全评估办法》 实施流程 评估准备阶段：20XX年XX月XX日－XX月XX日，根据自评估工作需要，第三方评估单位成立评估团队，制定数据出境评估工作方案，按合同约定选配实施人员，做好评估前的装备调配、技术准备和安全保密教育等工作，并签订保密协议及相关授权。 评估调研阶段：20XX年XX月XX日－20XX年XX月XX日，评估团队依据数据出境评估工作方案，开展现场调研工作，收集、调阅基础设施、硬件、软件、网络、管理和信息系统、管理机制等相关材料，并与XXX公司相关部门及人员进行交流对接，分析研究评估对象数据的出境情况、出境数据业务使用场景、网络与信息系统安全现状，以及涉及数据安全技术体系、数据安全管理体系、数据安全运营体系的运行情况。 评估实施阶段：20XX年XX月XX日－20XX年XX月XX日，评估人员开展现场技术检测与数据采集工作，完成数据全生命周期梳理、数据安全风险评估和已有数据保护措施的有效性验证。 综合分析阶段：20XX年XX月XX日－20XX年XX月XX日，评估人员通过对评估阶段采集到的基础数据进行梳理，综合评估涉及数据出境场景风险，并与XX公司系统运维相关人员进行核实和确认，形成数据出境自评估报告。 实施方式 本次数据出境评估主要从人员访谈、资料核查、技术手段核查三个方面开展： （1）人员访谈 评估人员与业务负责人进行面对面访谈，检查其是否明确知晓相关安全管控要求，并结合现场检查，核实其落实情况，并做记录。 （2）资料核查 现场稽核本次数据出境评估所涉及的管理制度、建设方案、操作审批单、审批日志等电子或纸质资料，并做记录。 （3）技术手段核查 评估团队通过人工或自动化安全测试工具进行技术测试，获得数据出境处理活动、安全保障能力等相关信息，并进行分析，以便取得证据的过程。 出境活动整体情况 数据处理者基本情况 组织基本信息 企业全称 企业性质 员工人数 股权结构和实际控制人信息 XX公司持股情况 股权结构： 按实际情况填写 实际控制人信息： 按实际情况填写 组织架构信息 评估单位部门分布情况 数据处理者XXX公司组织架构如图所示： 插入研判依据或证明材料截图 数据处理者XXX公司分支机构组织机构图如图所示： 插入研判依据或证明材料截图 数据安全管理机构信息 根据国家数据安全出境保障要求，为进一步加强数据安全管理工作，数据处理者XXX公司任命XX部为数据安全管理部门，承担数据处理者XXX公司整体的数据安全工作，各单位按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则，执行落实数据安全管理责任。数据处理者XXX公司XX部组织架构如下： 整体业务与数据情况 数据处理者XXX公司主营业务为 。 为保证数据安全流转，数据处理者XXX公司制定了 等制度，全方位保障数据生命周期安全运行，同时通过数据分类分级对本行数据进行梳理稽核，发现XXX公司数据包含 。 境内外投资情况 按实际情况填写 数据出境业务及承载系统情况 数据出境业