数据出境咨询及评估申报服务
以《数据出境安全评估办法》和《个人信息标准合同评估办法》为指南,协助企业进行出境申报
1.项目启动
选择和确定申报业务。策划申报方案。确定项目负责人。项目启动培训。
2.业务访谈
了解跨境的业务流程。了解接收方以及接收方的安全保护能力。
3.个人信息字段梳理
梳理个人信息字段表,统计需要跨境的个人信息类型。形成个人信息清单。
4.数据地图
描述个人信息采集/存储/传输/销毁等生命周期,以及各环节中个人信息的流转情况。
5.风险评估
通过识别各环节个人信息流转的技术控制措施,评估风险点,识别风险。
6.风险处置
对识别的风险进行处理,以满足跨境申报的要求,包括合规、技术和管理等措施。
7.评估报告
整理并编写个人信息标准合同安全评估报告。收集并汇总材料。
8.申报材料
提交申报材料
客户案例
艾素菲护肤品
从项目启动到提交风险报告历时4个月时间。投入人员为高级顾问1人,实施顾问1人。共计服务人天约为60人天
背景:艾素菲护肤品是国际知名化妆品公司,需要打通大陆和香港的会员系统,实现会员信息和积分同步。需求分析:系统部署在大陆境内,会员通过APP和线下门店进行注册。注册会员在香港和大陆需同步使用其会员积分和优惠券。据业务发展评估,需要进行个人信息跨境申报。
交付物和产出:隐私政策重构以及单独同意书编写。个人信息保护影响评估报告PIA以及整改建议。提交给上海网信办的个人信息跨境传输申报材料。上海网信办颁发的同意出境备案通知书(编号003,上海第三家通过个人信息备案的企业)。
服务内容:修改其隐私政策结构,按照《个人信息保护法》第39条要求,建立基于“单独同意”的隐私政策。针对《个人信息出境标准合同备案指南》的要求和流程进行个人信息保护影响评估(PIA)。编写和提交申报材料,并获取备案证。
数云
从项目启动到测评获证历时6个月时间。投入人员为高级顾问1人,实施顾问2人。共计服务人天约为220人天。
背景:数云是提供客户关系管理系统的平台服务商,品牌方使用数云的平台上对消费者会员进行服务和关怀。需求分析:数云需要向品牌方证明其平台有足够的信息安全能力,以及有足够能力遵循个人信息保护的相关要求。
交付物和产出:基于信息资产和个人信息的风险管理产出物:信息资产风险评估报告,个人信息影响评估报告(PIA)。信息和个人信息管理体系制度和执行流程体系文件集。英国标准机构(BSI)颁发的ISO/IEC27001以及ISO/IEC27018管理体系证书。
服务内容:以ISO/IEC27001为标准构建可持续落地以及能被审核的信息安全管理体系。以ISO/IEC27018(公有云个人信息保护管理体系)为标准建立基于云服务商的个人信息管理体系。获取国际权威认证机构关于两个体系的证书,以展示自身关于信息安全和个人信息保护的能力。
南洋商业银行
从项目启动到测评获证历时7个月时间。投入人员为高级顾问1人,实施顾问3人。共计服务人天约为250人天
背景:银行有大量个人金融信息,以及其受到银监会的信息安全监管要求,需要满足合规并建立严格的安全保护措施。需求分析:符合《银行业金融机构数据治理指引的通知》合规要求,并根据各标准要求建立数据安全管理体系制度。获取数据安全相关认证,证明自身的符合性。
交付物和产出:银保监发〔2018〕22号文对标拆解及安全目标评估报告。JR/T0171—2020对标拆解以及安全目标及评估报告。GB/T37988数据安全能力成熟度评估报告及整改。中国信通院颁发的GB/T37988数据安全能力成熟度三级测评证书。
服务内容:银保监发〔2018〕22号《中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知》合规要求对标。《个人金融信息(数据)保护技术规范》(JR/T0171—2020)要求对标,并对个人金融数据进行分级分类。获取数据安全相关认证,证明自身数据安全保护能力。
江阴农商银行
从项目启动到测评获证历时10个月时间。投入人员为高级顾问2人,实施顾问2人。共计服务人天约为300人天。
背景:银行有大量个人金融信息,以及其受到银监会的信息安全监管要求,需要满足合规并建立严格的安全保护措施。需求分析:符合《银行业金融机构数据治理指引的通知》合规要求,并根据各标准要求建立数据安全管理体系制度。获取数据安全相关认证,证明自身的符合性。
交付物和产出:银保监发〔2018〕22号文对标拆解及安全目标评估报告。JR/T0171—2020对标拆解以及安全目标及评估报告。GB/T37988数据安全能力成熟度评估报告及整改。中国信通院颁发的GB/T37988数据安全能力成熟度三级测评证书。
服务内容:银保监发〔2018〕22号《中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知》合规要求对标。《个人金融信息(数据)保护技术规范》(JR/T0171—2020)要求对标,并对个人金融数据进行分级分类。针对现有50个业务系统针对标准进行风险评估。获取数据安全相关认证,证明自身数据安全保护能力。
安联保险集团
从项目启动到测评获证历时7个月时间。投入人员为高级顾问1人,实施顾问2人。共计服务人天约为210人天。
背景:保险行业有大量个人信息,以及其受到保监会的信息安全监管要求,需要满足合规并建立严格的安全保护措施。需求分析:符合《中国银保监会关于印发监管数据安全管理办法(试行)的通知》合规要求,建立数据安全管理体系制度。获取数据安全相关认证,证明自身的符合性。
交付物和产出:银保监发〔2020〕43号文对标拆解及安全目标评估报告。ISO/IEC27001风险评估报告及管理体系文件。英国标准机构(BSI)颁发的ISO/IEC27001管理体系证书。
服务内容:银保监发〔2020〕43号《中国银保监会关于印发监管数据安全管理办法(试行)的通知》合规要求对标。ISO/IEC27001信息安全管理体系建设。获取信息安全相关认证,证明自身信息安全保护能力。
上汽通用五菱
从项目启动到提交风险报告历时5个月时间。投入人员为高级顾问1人,实施顾问3人。共计服务人天约为150人天。
背景:上汽通用五菱作为整车厂,有汽车研发设计资料,以及4S交付的新能源补贴车主的个人信息。需求分析:符合《个人信息保护法》合规要求,保护车主的个人信息。针对内部数据进行分级分类,并制定不同类别的数据保护制度。对15套主要核心业务系统进行风险评估。
交付物和产出:15套核心业务系统的业务流程评估报告,包括渗透测试报告和APP合规报告等。数据资产分级分类管理制度,以及数据资产分级分类表。云服务商信息安全能力评估报告及整改建议。
服务内容:针对菱菱通、骏客营销、客户管理等15套系统进行技术和业务流程风险评估。对研发数据和个人信息等建立数据分级分类制度,并将数据资产进行分级分类。对重要业务系统依托的云平台服务商安全能力进行评估和审核,确保其按照SLA协议提供安全能力的有效性。
SMIC
从项目启动到提交风险报告历时6个月时间。•投入人员为高级顾问1人,实施顾问2人。•共计服务人天约为180人天。
背景:中芯国际作为芯片研发和生产企业,需要保护其芯片研发资料以及保护其客户芯片代工的设计资料。需求分析:建立一套严格的信息安全管理体系制度,保护自身和客户的知识产权,并需要提交符合性报告,以满足客户的信息安全审计需求。
交付物和产出:信息安全管理体系制度和执行流程体系文件集。信息安全能力成熟度差距分析报告和整改建议。英国标准机构(BSI)颁发的ISO/IEC27001管理体系证书。代工客户需要的符合性审计报告。
服务内容:建立一套信息安全管理体系流程制度,并持续执行。按照建立的信息安全管理体系流程,对自身现有信息安全水平进行评估,对不符合项进行整改。针对其代工客户的要求建立相关标准和流程,并提供信息安全审计报告。
欧莱雅
从项目启动到提交风险报告历时8个月时间。投入人员为高级顾问1人,实施顾问3人。共计服务人天约为240人天。
背景:欧莱雅中国是全球最大的化妆品厂家,其在业务过程中获取大量的消费者会员信息。需求分析:提供线上会员系统的隐私政策和符合性评估,建立基于信息安全和个人信息保护的管理体系,对其供应商进行信息安全要求和审计。
交付物和产出:基于个人信息的风险管理产出物:个人信息影响评估报告(PIA)以及个人信息保护管理体系制度。APP个人信息检测报告以及整改建议。供应商信息安全审查检测表以及三个供应商的审核报告。英国标准机构(BSI)颁发的ISO/IEC27701管理体系证书
服务内容:以ISO/IEC27701为标准构建可持续落地以及能被审核的个人信息保护管理体系。根据《App违法违规收集使用个人信息自评估指南》进行自评估并根据不符合项进行整改。建立针对其供应商的信息安全审计要求和标准,并针对其供应商进行抽查审计
