案例1：某世界五百强跨国制造企业

一、背景情况

1. 某世界五百强跨国制造业企业

某世界五百强跨国企业是一家全球性的产品制造与服务公司，全球员工十余万名，产品广泛应用于自动化与电动出行、云计算和服务、商业建筑、医疗、机械、海事、矿业、交通、化工等领域。在中国境内拥有员工万余名，国内机构包括：办事处、工厂、物流中心和研发中心若干，经销商网络遍布全国。

  数据跨境情况

该企业集团境内外业务联系紧密，中国不但是其重要的生产中心之一，更是其庞大的市场中心和研发中心，数据跨境不仅涉及到企业集团内部的生产制造、市场销售、供应链、人力资源、财务、研发等广泛层面，而且还包括全球客户及供应商与集团境内机构、中国客户及供应商与集团总部和境外机构之间的市场销售、供应链、售后服务、技术支持等庞大的业务场景。

• 二、案例分享

重点难点

1. 业务场景繁杂

该企业集团是一家全球性的制造与服务企业，在中国、欧盟、美国等全球的市场及制造活动中，双多向业务交织，数据跨境业务场景几乎涵盖了企业经营、生产管理、供应链管理、科技研发的方方面面，涉及法域不少于5个。

为了从繁多的业务中将数据跨境相关业务、流程、系统平台梳理完整无遗漏，数安信成与企业中方人员、外方总部人员组建了联合项目组，制定了面向各业务和职能领域、信息安全、IT环境的数十个调研表和配套的工作流程，通过调研问卷、面对面沟通等多种形式，历时三个月完成了数据跨境业务场景的梳理工作。

2. IT环境复杂，业务系统众多

该企业集团信息化起步很早，其IT基础架构、网络安全、系统平台经历多年更新迭代，既有先进的私有云平台，也有老式的小型机、中大型机在用，运行的各类业务系统覆盖企业方方面面，业务场景梳理中涉及100多个信息系统，用户涵盖全球各地分支机构及员工、全球客户、全球供应商及经销网络，数据存储也遍及全球各主要经营场所。

为圆满完成IT环境的梳理，确保跨境数据不漏项，环境安全无漏洞，项目组引入多种自动化工具，协助项目组完成跨境数据资产的梳理、IT环境扫描等重点工作。

3. 重要数据识别困难

该企业集团的产品广泛应用于自动化与电动出行、医疗、机械、海事、矿业、交通、化工等领域，很多领域都属于关键信息基础设施范畴或国家重点关注行业，围绕这些领域的经销数据、售后数据、客户数据在全球范围内流动，以支持其业务运转，这其中牵扯到相当规模的数据出境风险，重要数据的识别是企业集团通过数据跨境合规的重要点，更是国家有关监管部门关注的重点，需要细致排查重要数据，并制定出满足企业经营和国家监管需要的合规方案。

4. 数据跨境合规牵扯多方

在业务场景梳理、重要数据识别和评估工作之后，项目组面临的下一个工作难点便是数据跨境合规整改方案的制定与落实。

合规整改方案涵盖业务合规、信息安全合规、IT合规，牵扯到相关跨国业务的流程再造、信息安全管理体系的补强，以及IT系统平台、网络安全、数据存储、数据脱敏等多层面的整改工作。为落实整改方案，项目组与该企业集团的中国总部、集团总部相关责任人面向各领域负责人、具体工作人员以单独沟通、集体说明会等多种方式统一思想认识，逐步落实方案。

案例实施过程分享

      本案例实施主要分为五个阶段，共21项主要工作：

案例成果分享

复杂情境下的数据跨境合规经验。本案例从业务场景层面基本涵盖了最复杂的数据跨境场景，通过该案例，我们积累了丰富的数据出境安全评估服务经验和能力。

安全评估流程标准化。通过对本案例实施过程的经验总结，我们形成了一整套数据出境安全评估服务的标准化流程，可根据企业的业务体量和复杂度定制化裁剪，快速推进工作。

安全评估工具应用。本案例引入了被动流量分析工具、主动数据库分析工具等第三方辅助工具，可快速进行企业拟出境数据资产、相关IT环境的合规性扫描和结论给定，极大提升了工作效率。同时，企业还引入了数据跨境监控预警设备，帮助企业持续性的对数据出境安全评估中所限定的数据范围和方式进行监控预警，防止因业务变动、个人行为等原因导致的合规破坏，消除司法风险。