数据合规评估指南：合规评估实施流程（二）

风险识别和评估CAl-align: super; font-size: 10px; width: 1.2em; height: 1.2em; mask-position: 50% 50%; mask-repeat: no-repeat; mask-size: 100%; background-color: var(--weui-LINK); mask-image: url("data:image/svg+xml,%3csvg width='12' height='12' viewBox='0 0 12 12' fill='none' xmlns='http://www.w3.org/2000/svg'%3e%3cpath fill-rule='evenodd' clip-rule='evenodd' d='M7.60772 8.29444C7.02144 8.73734 6.29139 9 5.5 9C3.567 9 2 7.433 2 5.5C2 3.567 3.567 2 5.5 2C7.433 2 9 3.567 9 5.5C9 6.28241 8.74327 7.00486 8.30946 7.5877C8.3183 7.59444 8.3268 7.60186 8.33488 7.60994L10.4331 9.70816L9.726 10.4153L7.62777 8.31704C7.62055 8.30983 7.61387 8.30228 7.60772 8.29444ZM8 5.5C8 6.88071 6.88071 8 5.5 8C4.11929 8 3 6.88071 3 5.5C3 4.11929 4.11929 3 5.5 3C6.88071 3 8 4.11929 8 5.5Z' fill='%23576B95'/%3e%3c/svg%3e");">

（dpex网址：dp.ipfx.net，

1. 对照法律法规要求，逐一检查各个数据处理活动的合规性。
2. 分析数据流图，找出可能存在安全隐患的环节。
3. 审查过往的数据泄露事件或近似事件，总结可能存在的风险。
4. 考虑行业特有的风险因素，如金融行业的欺诈风险、医疗行业的患者隐私保护等。

• 可能性：极低（1年发生概率<1%）、低（1-5%）、中（5-20%）、高（20-50%）、极高（>50%）
• 影响：轻微（影响很小，可快速恢复）、一般（造成一定损失，但可控）、严重（造成重大损失或声誉受损）、灾难性（可能导致业务中断或巨额罚款）

合规差距分析

• 政策制度不完善：缺乏明确的数据管理政策或现有政策未及时更新。
• 技术措施不足：数据安全防护技术落后或未全面部署。
• 人员意识薄弱：员工对数据保护的重要性认识不足。
• 流程设计不合理：数据处理流程未充分考虑合规要求。

1. 高优先级：立即更新隐私政策，确保符合最新法规要求。
2. 中优先级：在3个月内完成全员数据保护培训。
3. 低优先级：在下一财年预算中增加数据安全技术升级的专项资金。

评估报告编制

1. 执行摘要：简要概述评估的背景、主要发现和关键建议。
2. 评估范围和方法：说明本次评估涵盖的业务范围和采用的评估方法。
3. 主要发现：详细列出识别的合规风险和差距，可以按风险等级排序。
4. 改进建议：针对每个主要问题提出具体的改进措施。
5. 行动计划：提出一个时间表，说明如何实施这些改进措施。
6. 附录：包括详细的数据资产清单、风险评估矩阵等支持性文档。

• 使用清晰、简洁的语言，避免过于技术化的术语。
• 使用图表来直观展示复杂的信息，如风险热力图、合规评分图等。
• 突出关键信息，使用醒目的标记或字体来强调最重要的发现和建议。
• 提供具体的实例来支持你的观点，但注意保护敏感信息。

    实现无需上传源文件，又可以完成公证存证的“私密存证”功能，满足企业在商业秘密、敏感数据方面的保密需求和存证保护需求。    

     手机、PC双平台随时随地存证，同时支持无开发接入系统，支持存证管理等，使用方法极其便捷。

     集成公安大数据+司法大数据+平台区块链+司法区块链+可信时间戳等，共同构成 “双认证+双存证”，具有司法效力。

      同时，联合第三方公证机构进行过程存证，全程实时留痕，确保证据链完整，保障了第三方存证的法律效力。

     平台出具的存证凭证由中国科学院国家授时中心保障其时间的权威和准确，是存证产生时间、内容完整性及不可否认性的有司法效力的电子凭证。