信息安全技术数据出境安全评价指引-编制说明-全国信息安全.doc

信息安全技术 数据出境安全评估指南编制说明一、 任务来源信息安全技术 数据出境安全评估指南是国家标准化管理委员会批准的信息安全国家标准制定项目，国标计划号为XXX。本标准为自主制定标准，牵头单位为上海华东电信研究院，参与标准申请单位有工业和信息化部电信研究院、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司等11家单位，归口单位为全国信息安全标准化技术委员会（简称信安标委）。二、 项目的目的与意义数据出境安全评估指南是针对网络运营者开展个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估的规范指引，指南旨在提供个人信息和重要数据出境的安全评估的流程、要点和方法，指导网络运营者开展数据出境安全评估工作，为国家相关政策法律的落地实施奠定基础，有助于促进数据出境安全评估有序开展，维护国家安全、经济发展，保障社会公共利益、个人隐私安全。数据出境安全评估指南可以帮助数据出境各方参与主体： 明确数据出境安全评估管理流程 建立数据出境安全风险评估模型 衡量数据出境活动风险程度 判定网络运营者是否可以开展数据出境活动三、 主要工作过程数据出境安全评估指南国家标准制定项目：（一） 立项准备阶段1、2017年1月19日，标准牵头单位组织召开第一次研讨会，明确标准基本定位，研讨完善标准框架；2、2017年2月21日，标准牵头单位组织召开第二次研讨会，明确标准主要研究内容及要求；3、2017年3月，标准牵头单位组织召开第三次研讨会，进一步明确企业需求，深入了解典型企业数据出境场景；4、2017年4月，立项在大数据安全特别工作组获得通过；（二） 编制起草阶段1、2017年5月10日，标准编制组召开第一次封闭研讨会，并对标准草案进行修改完善；2、2017年5月25日、26日，标准编制组召开第二次封闭研讨会，并对标准草案进行修改完善；3、2017年6月19日、20日，标准编制组召开第三次封闭研讨会，并对标准草案进行修改完善；4、2017年6月27日，召开专家评审会，收集到对标准草案的修改完善的意见；5、2017年6月28日，召开大数据安全特别工作组会议，同意根据会议意见，对标准文稿修改后，作为征求意见稿提交；6、2017年7月3日、4日，标准编制组召开第四次封闭研讨会，并对标准草案进行修改完善，形成了信息安全技术 数据出境安全评估指南的征求意见稿。7、2017年8月25日，标准牵头单位组织召开企业研讨会，并对标准征求意见稿进行修改完善。四、 标准的主要内容本标准定义了数据出境安全评估流程、评估要点、评估方法等内容，国家网信部门、行业主管部门以及网络运营者按照本指南对向境外提供个人信息和重要数据的活动行为进行安全评估，发现重大安全隐患，及时采取有效措施，在合法正当必要的前提下，确保个人信息和重要数据安全流动，避免对国家安全、经济发展、社会公共利益和个人信息主体权益造成不利影响。本标准适用于网络运营者开展的个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。本标准涉及的主要内容包括：1、数据出境安全评估流程具体包括评估总体流程、安全自评估流程、主管部门评估流程。安全自评估流程包括：启动条件、工作组、制定数据出境计划、评估要点及方法、评估报告等。主管部门评估流程包括：启动条件、评估方案、工作组、评估要点及方法、评估报告、专家委员会审议等。2、数据出境评估要点评估要点包括合法正当性评估和风险可控性评估。风险可控性评估指标包括：个人信息属性评估要点、重要数据属性评估要点、数据发送方的安全保护能力、数据接收方的安全保护能力、数据接收方所在国家或地区的政治法律环境。3、个人信息和重要数据出境风险可控评估方法通过对个人信息的类型、重要数据的影响程度等级以及安全事件可能性等级进行综合判定，得出数据出境安全风险级别为：低、中、高、极高。五、产业化情况、推广应用论证和预期达到的经济效果已制定完成数据出境安全评估指南标准草案的试点工作方案，计划在重点领域开展试点落地，帮助企业提升数据出境安全评估能力，促进数据安全流动。六、 采用国际标准和国外先进标准情况本标准为自主制定。七、 与相关法律法规及国家有关规定、国内相关标准的关系本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。本标准与全国信息安全标准化技术委员会制定的个人信息安全规范相配套，将个人信息安全规范中个人信息安全相关要求作为基本实践的基础，实现个人信息安全评估。八、 有关问题的说明项目组在标准编制过程中，经历了内部讨论与论证、技术研讨会等过程，项目组在工作过程中遵循GB/T1.12009编制原则，对国内外现状做了