发布日期:2022-07-07
国家互联网信息办公室令
第11号
国家互联网信息办公室主任 庄荣文
2022年7月7日
数据出境安全评估办法
来源:“网信中国”微信公众号
作者: 联盟秘书处
数据出境安全评估办法
《数据出境安全评估办法》已经2022年5月19日国家互联网信息办公室2022年第10次室务会议审议通过,现予公布,自2022年9月1日起施行。 第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。 第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。 第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项: (一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; (四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; (六)其他可能影响数据出境安全的事项。 第六条 申报数据出境安全评估,应当提交以下材料: (一)申报书; (二)数据出境风险自评估报告; (三)数据处理者与境外接收方拟订立的法律文件; (四)安全评估工作需要的其他材料。 第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。 国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项: (一)数据出境的目的、范围、方式等的合法性、正当性、必要性; (二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求; (三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险; (四)数据安全和个人信息权益是否能够得到充分有效保障; (五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务; (六)遵守中国法律、行政法规、部门规章情况; (七)国家网信部门认为需要评估的其他事项。 第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容: (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; (三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; (五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; (六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。 第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。 数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。 第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。 评估结果应当书面通知数据处理者。 第十三条 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。 第十四条 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估: (一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的; (二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的; (三)出现影响出境数据安全的其他情形。 有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。 第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。 第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。 第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 CCSC-数据安全
发布日期:2022-07-06CCSC-数据安全一、CCSC—数据安全概述
网络安全能力认证(英文名称Certification for Cyber Security Competence)—数据安全方向, 简称“CCSC—数据安全”,将帮助学员构建数据安全知识框架,掌握数据安全治理工作的核心能力,并在模拟实践中习得实际工作环境中所需的技能,使学员具备在企业中建立数据安全管理体系和防护体系、开展数据安全规划等工作的能力。对准予注册的申请人,CNCERT将发放CCSC-数据安全认证证书。
国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称CNCERT或CNCERT/CC),是中央网信办直属事业单位,是党和国家网络空间安全的中坚力量和权威机构,也是国家“网络安全万人培训资助计划”的发起和技术指导单位之一,具有国家网信人才培养和继续教育的强大能力和公信力。
二、知识体系
培训课程遵循“KSA”,即知识(Knowledge)、技能(Skill)、能力(Ability)的设计原则,将课程内容按照实践单元划分为“数据安全基础”、“数据分类分级”、“数据安全风险评估”、“数据安全管理体系”和“数据生命周期安全”5个知识域,每个知识域内均按照“概念介绍”、“标准解读”、“过程方法”、“建设实践”和“案例介绍”5种课程类型。图1 知识体系
三、培训内容及赋能模块 知识类 内容介绍 提升能力 1 数据安全基础
完整、体系化的数据安全基础知识介绍。 使学员对数据安全基础知识有更全面和深刻的认识。 2 数据分类分级 数据分类分级工作所必须的基础知识、标准解读、实施方法以及实践等。 使学员掌握数据分类分级工作的原理,并能够实施。 3 数据安全风险评估 数据安全风险评估相关的基础知识、标准解读、实施方法以及实践等。 使学员掌握多种数据安全风险评估工作的实施方法。 4 数据安全管理体系 数据安全管理体系相关的基础知识、标准解读、实施方法以及实践等。 使学员理解数据安全管理体系的建设方法。 5 数据生命周期安全 数据生命周期安全防护相关的基础知识、标准解读、实施方法以及实践等。 使学员理解数据安全防护体系的建设方法,掌握重要控制措施的原理与实现方式。 6 补充知识域 个人信息保护的相关国内外法律标准解读,案例分析与实践。 使学员理解对个人信息的保护要求,掌握对个人信息保护的实现方式。
四、证书特点及含金量
(一)证书特点
1、强有力的认证单位:CCSC—数据安全认证证书,对准予注册的申请人,由国家计算机网络应急技术处理协调中心即CNCERT发放认证证书,CNCERT是我国网络安全应急体系的核心协调机构。
2、强有力的技术支撑:本认证课程是基于绿盟科技数据安全咨询服务多年实践开发所得,代表了绿盟科技的数据安全研究水平和专业的咨询服务能力,得于了CNCERT的认可。
3、数据安全认证市场稀缺:与市面上数据安全相关的证书相比,由于本课程内容覆盖范围广,研究视角独特,填补了一部分市场空缺,完善了数据安全领域的认证体系。
(二)证书含金量
1、对个人:获取数据安全专业能力,提升个人在数据安全技术、管理等方面的专业性和服务能力,促进职业发展。同时,对具有一定信息安全基础,想从事数据安全相关工作的人员是一块重要的敲门砖。
2、对企业:充分提升企业人员数据安全治理能力,帮助企业培养和发展专业化数据安全人才,满足了有关法律规定的岗位要求。
五、CCSC-数据安全适用对象
l 专业IT人员:从事系统和应用开发、运营、信息安全、项目管理等职业的专业IT人员;
l 合规与风险管理:负责评估企业安全实践以及合规,与审计和风险管理相关的专业人员;
l 数据治理:从事数据治理相关工作的管理与实施人员;
l 其它具备一定IT基础,希望从事数据安全相关职业的人员。
六、课程安排日期 时间 课程 第一天
9:00-12:00 数据安全基本概念 数据安全法律综述 14:00-17:00 《数据安全法》解读 《个人信息保护法》解读 《GB/T 35273-2020 个人信息安全规范》解读 第二天
9:00-12:00数据分类分级基础概念 《JR/T 0197-2020 金融数据安全数据分级指南》解读 运营商行业数据安全分类分级标准解读 14:00-17:00 数据分类分级方法及原理 数据安全评估方法 第三天
9:00-12:00
《BG/T 39335-2020个人信息安全影响评估》解读 数据安全合规评估实践 个人信息安全影响评估实践
14:00-17:00基于数据全生命周期的数据安全防护体系介绍 数据全生命周期基本概念 运营商行业数据全生命周期安全管控解读 第四天
9:00-12:00数据安全管理框架 《数据安全能力成熟度模型》解读 数据安全管理体系建设实践 14:00-17:00 《JR/T 0171-2020 个人金融信息保护技术规范》 某金融企业数据安全管理体系建设实践 第五天 2小时 考试
七、证书样本八、培训费用及优惠条件
全国统一定价8800元/人,含培训费、考试费、注册费、年金(三年);
九、联系方式
电话:15823299700;邮箱:85950300@qq.com猫头鹰电信网络预警处置SaaS服务平台
发布日期:2022-07-02猫头鹰电信网络预警处置SaaS服务平台猫头鹰电信网络诈骗预警处置SaaS服务平台通过技术手段获取诈骗电话线路上各类关键设备(包括群呼服务器、电话软交换设备、GOIP网关等)的相关信息,将获取到的信息脱敏后,在系统平台上进行展示。展示的信息中含有潜在受害者的手机号码,以此可以对该潜在受害者进行劝阻工作。该产品来自于无糖信息技术有限公司。涉网电信诈骗(大狗)侦控打击平台
发布日期:2022-07-02涉网电信诈骗(大狗)侦控打击平台涉网电信诈骗侦控打击平台(大狗)能够针对电信网络诈骗犯罪专业化、智能化、跨境化等特征,提供诈骗网站识别及监控、预警数据分析、嫌疑人追踪一体化服务能力。该产品来自于无糖信息技术有限公司。小七反诈预警小程序
发布日期:2022-07-02小七反诈预警小程序小七反诈平台平台是一款面向区县级公安机关电信网络诈骗预警小程序,由反诈小七卫士(民警端)、小七反诈(民众端)和雪鸮后台三个部分组成,小七卫士和小七反诈都以微信小程序为基础,其中小七反诈为群众客户端,主要功能是让群众注册、加入保护圈以及接收防骗提醒。反诈卫士为民警客户端,主要用于民警对受害人进行预警处置。管理后台对反诈小七卫士和小七反诈进行管理。该产品来自于无糖信息技术有限公司。哨兵信息科技集团有限公司
发布日期:2022-07-02国家工业控制系统与产品安全质量监督检验中心西南实验室(哨兵科技)
哨兵信息科技集团有限公司(简称“哨兵科技”)成立于 2019 年 1 月,注册资本 6500 万元。2019年7月,国家工业信息安全发展研究中心在西南地区成立了国家工业控制系统与产品安全质量监督检验中心西南实验室(简称“西南实验室”),哨兵科技作为西南实验室落地实体企业,开展西南地区工业信息安全服务业务,支撑信息安全行业主管部门提升网络安全监管能力,为西南地区各类工业控制、工业自动化、工业互联网及工控安全相关企事业单位提供产品信息安全检测、风险检查评估、等保咨询、信息安全培训、信息安全技能赛事、信息化安全监理、信息安全靶场定制等服务。西南实验室(哨兵科技)拥有10套关键工艺场景与半实物仿真基础环境,能够与工业信息安全实训平台、工控安全靶场、工控安全靶场资源(虚拟化资源、组件库)、工控安全竞赛系统展开虚实互联对接,使靶场环境具备了虚实联动能力。西南实验室(哨兵科技)已获得国家工业信息安全应急服务支撑单位、国家工业信息安全测试评估机构(三级)、国家CICSVD技术支持组成员单位能力认定,连续两届被评为成都市工业信息安全应急服务支撑单位;2021年被评为成都市网络信息安全产业影响力TOP30企业、国家高新技术企业、四川天府新区质量提升示范企业。西南实验室(哨兵科技)目前已取得CMA、风险评估服务、ISO27001等多项资质,并通过了ISO9001、45001、14001三体系质量认证,取得各类知识产权20余项。西南实验室(哨兵科技)已协助工信部、公安部、国家工业信息安全发展研究中心、四川省经信厅、成都市经信局等承办了“2019年中国工业信息安全大会”“2019世界信息安全大会”和2019年-2021年的“工业信息安全技能大赛”;连续承办了2019年、2020年“天府杯国际网络安全大赛”;连续承办了2019年、2020年“成都市工业信息安全培训会”;参与了四川省2020护网行动;为中国石油、东方电气、攀钢集团、成都国检、积微物联、天味食品等企事业单位提供工业(互联网)信息安全检测、风险评估、安全咨询等服务。目前,西南实验室(哨兵科技)的业务区域正以四川(成都)为中心,向重庆、云南、西藏等区域覆盖。哨兵信息科技集团有限公司 官网
重庆无糖信息技术有限公司
发布日期:2022-07-02重庆无糖信息技术有限公司成都无糖信息技术有限公司创立于2017年,员工220人,其中技术人员155人,是以国内知名白帽黑客团队PKAV为核心的高新技术/自主创新型企业,致力于反网络犯罪领域的安全技术研究与系统平台研发。公司在WEB安全、漏洞挖掘网络攻防等研究领域具备卓越的技术实力和丰富的实战经验,为国家及各省市公安机关提供高效专业的反网络犯罪情报分析服务和一体化实战解决方案。
2021年4月重庆无糖信息技术有限公司成立,主要深耕重庆业务,重点服务重庆区域刑总、经总及各个区县反诈业务,从商务、售前、产品、实施运维各个环节团队完整、分工明确,重点提升本地化工作响应速度与服务能力。根据项目情况需要,同时根据各区业务差异,特色需求,成都无糖公司总部团队也将全面响应各区县反诈项目建设推进工作。
公司拥有具有ISO9001体系认证,ISO27001体系认证,项目管理专业人员认证(PMP),网络规划设计师等管理体系认证,同时也拥有注册信息安全专业人员(CISE),信息安全保障人员认证证书(CISAW),注册渗透测试工程师(CISP-PTE)等专业技术认证证书,也跟国家部委/省级部门签署有网络安全方向联合实验室协议。网络及电话预警系统,小七反诈小程序等产品拥有多项专利及软件著作权,网络电话预警与溯源系统是工信部在网络安全应用试点示范性项目。
2018年,公司与公安部成立打击电信诈骗专项联合实验室。公司先后与北京市公安局、上海市公安局、重庆市公安局、四川省公安厅、湖南省公安厅、陕西省公安厅、浙江省公安厅、山东省公安厅、广东省公安厅、河北省公安厅等数十个厅级公安机关展开业务合作,签署战略协议、打造联合实验室,为其提供各类信息化平台建设和技术支撑服务。同时公司与全国各地区160余个地级市公安机关、300余个区县级公安机关展开深入合作,为其提供各类涉网犯罪打击反制服务与产品。无糖产品介绍
1、猫头鹰电信网络预警处置SaaS服务平台猫头鹰电信网络诈骗预警处置SaaS服务平台通过技术手段获取诈骗电话线路上各类关键设备(包括群呼服务器、电话软交换设备、GOIP网关等)的相关信息,将获取到的信息脱敏后,在系统平台上进行展示。展示的信息中含有潜在受害者的手机号码,以此可以对该潜在受害者进行劝阻工作。
2、小七反诈预警小程序小七反诈平台平台是一款面向区县级公安机关电信网络诈骗预警小程序,由反诈小七卫士(民警端)、小七反诈(民众端)和雪鸮后台三个部分组成,小七卫士和小七反诈都以微信小程序为基础,其中小七反诈为群众客户端,主要功能是让群众注册、加入保护圈以及接收防骗提醒。反诈卫士为民警客户端,主要用于民警对受害人进行预警处置。管理后台对反诈小七卫士和小七反诈进行管理。
3、涉网电信诈骗(大狗)侦控打击平台涉网电信诈骗侦控打击平台(大狗)能够针对电信网络诈骗犯罪专业化、智能化、跨境化等特征,提供诈骗网站识别及监控、预警数据分析、嫌疑人追踪一体化服务能力。重庆无糖信息技术有限公司官网
【访企拓岗】重庆人文科技学院与绿盟、跃途、若可签订校企合作协议
发布日期:2022-07-02为全面贯彻落实“书记校长联系百家企业活动”,促进毕业生更好就业、更高就业,促进会员单位之间的合作,6月30日上午由重庆信息安全产业技术创新联盟组织了绿盟科技集团、重庆跃途科技有限公司、重庆若可网络安全测评有限公司到重庆人文科技学院进行访企拓岗活动。
首先参观了中兴通讯ICT产教融合创新中心,校企就业对接会在学校会议中心召开,重庆人文科技学院副校长孙敏、计算机工程学院党政班子、各系部主任等老师参加会议。会议由孙宝刚主持。
座谈会上,孙敏副校长首先代表学校对各位企业代表的到来表示热烈的欢迎。随后企业代表纷纷介绍了各自企业发展历程、业务开展情况、合作典型案例、就业生态圈、未来发展规划等进行交流发言。
会上,孙敏副校长介绍了重庆人文科技学院办学理念与发展历程,计算机相关专业作为学校优势专业的发展情况,强调学校1248人才培养思路,产教融合,校企合作等培养全面发展的高素质技术技能型人才。建议从指导学生论文、项目申报等全面、全方位、全覆盖开展校企合作,更加深入交流合作,以达到合作共赢目标。
最后,计算机工程学院院长黄正洪在总结讲话中介绍学院师资、发展目标、思路学做结合,深化校企合作,加强应用能力培养,此次特邀企业进校洽谈、对接就业,就是为进一步做好学院就业工作,促进学院实习实践更高质量开展。
经过洽谈,学校与绿盟科技集团、重庆跃途科技有限公司、重庆若可网络安全测评技术有限公司公司3家企业举行了校企合作签约仪式,副校长孙敏代表学校与单位签订校外实践教学基地协议以及签订就业基地协议。在互动交流环节,参会人员还就校园招聘、学生实习实践、智慧平台搭建等具体事宜进行深入交流。
此次活动的开展,是校会企合作的又一次新尝试,通过由重庆信息安全产业技术创新联盟秘书长/重庆市合川区网络安全学会协调,同企业精准对接,挖掘更多实习就业机会,创造校会企合作新机遇,学院将继续开展“请进来、走出去”访企拓岗系列活动。
慧云工业互联网平台
发布日期:2022-07-01慧云工业互联网平台基于腾讯云,利用物联网、大数据、人工智能、数字孪生、云计算、5G等新一代信息技术,持续建设“慧云”工业互联网平台,其主要建设内容包含:慧物联、慧制造、慧应用、慧决策、慧场景、慧服务、慧人才、慧知识、慧资源、慧新闻、慧媒体、慧论坛;针对工业企业数据开发利用程度低、管理决策效率低、产业链结构复杂、信息不对称、协作效率低、制造竞争力低下、运营成本高、企业发展新模式探索难等问题,基于数据、应用和服务的平台化、实现企业数据整合、企业资源共享,构建企业数据仓库;同时通过全链条数据贯通分析,实现企业组织架构优化、动态精准服务、辅助管理决策、高效网络化协同,加快工业知识沉淀等目标,帮助工业企业实现快速数字化转型。同时,慧冠科技自主研发了Hui-MES制造执行系统、Hui-EAM设备管理系统、Hui-EMS能源管理系统、Hui-Safe安全管理系统,并通过平台的Hui-APP应用中心向企业提供软件服务,支持公有云(注册即用)、私有云或混合云部署。Hui-Cloud”慧云”工业互联网平台为企业打造新一代信息技术环境下的新型能力,为企业数字化转型升级提供了强有力支撑。
