1. 服务简介

数据安全评估服务是依据国家互联网信息办公室（以下简称国家网信办）于2022年7月7日发布的《数据出境安全评估办法》要求，数据出境安全评估审查的目标是对企业的数据出境活动进行全面的风险评估和合规性审查。在评估过程中，专业的评估机构将根据相关的法律法规要求和国际标准，对企业的数据处理流程、安全控制措施、网络架构、访问权限管理、数据加密等方面进行评估和验证。

数据安全评估服务的主要内容包括以下几个方面：

l 数据处理流程评估：评估机构将对企业的数据处理流程进行全面审查和评估，包括数据的收集、存储、处理、传输和销毁等环节。评估的重点是确保数据处理流程符合国家和行业的法规要求，并采取适当的安全控制措施来保护数据的安全性和完整性。

l 安全控制措施评估：评估机构将对企业的安全控制措施进行评估，包括网络安全、身份验证、访问控制、加密措施、防火墙设置等方面。通过评估措施的有效性和完善性，确保企业的数据处理活动在安全的环境下进行，并防止未经授权的数据访问和泄露。

l 合规性审查：评估机构将审查企业的合规性情况，包括企业是否遵循相关的法律法规和行业标准，在数据处理过程中是否严格遵守隐私保护、授权使用等方面的要求。评估还将评估企业的合规制度和流程是否健全，并提出改进建议以进一步提高合规性。

l 风险评估和报告：评估机构将对企业的数据出境风险进行评估，并生成详尽的风险评估报告。报告将详细列出评估的结果、问题和潜在风险，并提供改进建议和整改措施。这将帮助企业更好地了解其数据出境活动中的安全隐患，并采取相应的措施来降低风险。

通过数据安全评估服务，企业能够全面了解其数据处理和传输过程中的安全风险，并得到专业机构的审查和建议。这有助于企业加强数据安全意识和管理，提高合规性水平，并有效应对潜在的数据安全风险和威胁。数据安全评估服务为企业提供了一种可靠的保障，确保数据在出境过程中得到充分的保护和控制，提升用户和合作伙伴对企业的信任和满意度。

2. 服务收益

数据安全评估服务带来的收益有以下方面：

l 降低数据安全风险：数据安全评估服务帮助企业识别和评估数据出境过程中的安全风险，并提供相关的改进建议和风险管理措施。通过对风险的识别和缓解措施的实施，企业能够降低数据泄露、未经授权访问和滥用等风险，保护企业数据的安全和完整性。

l 提高合规性水平：数据安全评估服务确保企业在数据处理和传输过程中符合国家的法律法规和行业标准。评估机构将审查企业的数据处理活动并提供关于合规性的建议和指导，帮助企业建立合规的数据处理管理制度和流程，提高合规性水平，并降低可能面临的法律风险。

l 增强品牌声誉：通过完成数据安全评估并获得认证，企业能够证明其对数据安全的高度重视，并向外部展示其合规性和可信赖性。这有助于提升企业的品牌声誉，增强市场竞争力，吸引更多用户和合作伙伴的信任，并以此为基础扩大业务和提升企业的市场份额。

l 加强客户关系：通过进行数据安全评估并采取相应的改进建议，企业能够提供更安全、更可靠的数据处理和传输服务。这将增强用户的信任感，加强用户与企业之间的关系，提升用户满意度和忠诚度，为企业长期的客户关系提供坚实的基础。

l 提升数据管理能力：数据安全评估不仅评估企业的安全风险，还审查企业的数据处理流程和管理制度。通过接受评估机构的建议和指导，企业能够改善数据管理流程，提升数据处理和传输的效率和安全性。这有助于企业提升数据管理能力，加强内部数据安全意识和员工培训，提高组织对数据安全的整体水平。

3. 申报条件

组织申请数据安全评估审查需满足以下条件：

1) 数据处理者向境外提供重要数据：此项条件适用于那些向境外提供重要数据的数据处理者。重要数据可以是包含商业机密、知识产权等重要信息的数据。企业需要在申报时明确指出其是否属于向境外提供重要数据的范畴，并准备相关证明材料以满足评估机构的要求。

2) 关键信息基础设施（CII）运营者和处理大量个人信息的数据处理者向境外提供个人信息：此项条件适用于关键信息基础设施运营者和处理100万以上个人信息的数据处理者。企业需要清楚地了解自身是否属于这一范畴，并向评估机构提供相关证明材料，包括相关数据处理活动的细节和规模等。

3) 数据处理者向境外提供一定数量的个人信息：此项条件适用于那些在过去一年内向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。企业需要明确了解自身数据出境情况，并确保数据量符合评估要求。申报时，企业需提供相关的数据出境记录和相关证据，以便评估机构正确评估其数据安全风险和合规性。

4) 其他依法需要申报的情形：国家网信部门规定的其他需要申报数据安全评估的情形，企业需关注并遵守相关规定。企业应仔细阅读和理解相关法规和政策，确保在满足评估要求的同时进行申报。

4. 申报流程

组织申请数据安全评估审查的申报流程包括以下步骤：

1) 准备阶段：在申报数据安全评估服务之前，企业需要进行充分的准备工作。这包括了解评估的相关标准和要求，确保企业已满足申报条件。同时，企业需要组建专门的团队负责数据安全评估事务，并明确各个团队成员的任务和职责。

2) 数据出境风险自评估：申报数据安全评估服务前，企业需要进行数据出境风险的自评估。这包括对数据处理和传输过程中的风险进行全面评估，并制定相应的风险管理措施和整改计划。自评估报告将成为申报过程中的重要参考资料，展示企业对数据安全风险的认知和整改措施的有效性。

3) 提交申报材料：企业需要准备并提交相关的申报材料。这包括企业基本信息、数据处理流程的描述、内部控制措施的文件和记录、技术措施和安全设施的说明、合作协议或合同等。在提交申报材料时，企业需确保材料的准确性和完整性，并按照要求提供所需的证据和支持文件。

4) 评估和审查：评估机构将对企业的申报材料进行评估和审查。评估的重点将放在数据处理流程、安全控制措施、合规性等方面。评估机构可能会与企业进行进一步的沟通和交流，以获取更多需要的信息和了解企业的实际情况。通过评估和审查，评估机构将评估企业的数据安全风险和合规性水平，并做出评估结果的决定。

5) 评估报告和建议：评估机构将根据对企业的评估和审查，编写评估报告并提出相应的建议。报告将包括评估结果、问题和潜在的风险，并给出改进建议和整改要求。企业需认真评估报告中的建议，并根据需要进行改进，以进一步提高数据安全和合规性水平。

5. 申报资料

在申请数据安全评估审查时，组织需要提供以下一些资料：

1) 企业基本信息：在申报数据安全评估服务时，企业需要提供准确而完整的基本信息。这包括企业的名称、注册地址、联系方式等。这些信息将帮助评估机构了解企业的法人身份和运营情况。

2) 数据处理流程描述：企业需要提供详细且准确的数据处理流程描述，包括数据的收集、存储、处理、传输和销毁等环节。描述应该包括处理流程的涉及部门、技术控制措施、数据流向、数据出境情况等。目的是让评估机构了解企业数据处理的全貌和出境情况。

3) 安全控制措施文件和记录：企业需要提供与安全控制措施相关的文件和记录。这些文件可能包括安全政策、访问控制策略、数据加密和身份验证措施、安全培训记录等。此外，还应该提供与数据处理和传输安全相关的技术文件和报告。

4) 数据合规性文件和政策：企业需要提供与数据合规性相关的文件和政策。这可能包括隐私政策、用户协议、数据处理协议等合规性文件。这些文件明确规定了个人信息的处理、使用和保护规范，以确保个人信息的合法处理和保护。

5) 合作协议或合同：如果企业在数据处理和传输过程中与外部合作伙伴有关，需要提供与这些合作伙伴之间的合作协议或合同。合作协议或合同需要明确约定个人信息共享、传输和保护方面的条款和约定，以确保合作伙伴符合数据安全的相关要求。

6) 数据出境风险自评估报告：在申报数据安全评估服务之前，企业需要进行数据出境风险的自评估，并准备自评估报告。该报告应包括对数据处理和传输过程中风险的全面评估，以及相应的风险管理和整改计划。自评估报告展示了企业对数据安全风险的认知和整改情况。