数据安全评估（DSA）

数据安全评估（Data Security Assessment, DSA）是对企业在数据全生命周期（采集/传输/存储/使用/共享/删除）中所面临的风险、控制措施与执行有效性进行系统性验证的工作。对港信通而言，评估目标不仅是“满足条款”，更是形成可对监管、银行、合作方与审计方复用的一套证据化材料与整改路线图，降低合规与业务中断风险。

我们采用“业务场景—数据资产—威胁模型—控制映射—取证验证—整改闭环”的方法，重点解决以下三类高频问题：
1）数据到底在哪里、谁在用、给了谁（数据可视化与可追溯）；
2）控制有没有做、做得是否有效（制度+技术+运营三位一体验证）；
3）跨境/外包/云上场景如何满足尽调与问询（合同、日志、权限与持续监控证据）。

评估可对齐多种常用框架与监管关注点（按客户业务与所在地选择口径）：
信息安全与隐私管理：ISO/IEC 27001、27701、NIST CSF/800-53；
数据与隐私合规：本地个人资料/隐私法规要求、跨境传输与第三方共享合规要求；
金融合规联动：AML/KYC数据治理、交易监测数据留存与可解释性、审计追溯要求。

如需同步推进隐私合规，可衔接：个人信息保护 与 数据隐私政策制定。

我们建议将评估范围拆解为可执行的八个维度，便于形成明确的差距清单（GAP List）与整改优先级：

1. 数据资产盘点与分级分类：客户身份信息、交易与资金流数据、设备与行为数据、风控与监测模型数据、员工与供应商数据等。
2. 数据流映射（含跨境）：系统间、API、文件交换、BI/数据仓库、客服/工单、第三方SaaS/外包之间的流转路径与共享边界。
3. 权限与身份治理：最小权限、职责分离、特权账号、离职与变更、访问复核、MFA与密钥轮换。
4. 加密与密钥管理：传输/存储加密、HSM/密钥托管、证书生命周期、密钥权限分离与审计。
5. 日志留痕与可审计性：关键操作日志、查询与导出审计、集中存储、防篡改、保留期限与检索演练。
6. 安全开发与变更管理：SDLC、代码审查、漏洞管理、依赖组件与供应链、配置基线与变更审批。
7. 第三方与外包管理：尽调、合同安全条款、数据处理指令、分包控制、退出机制、持续监控证据。
8. 事件响应与业务连续性：告警闭环、分级响应、演练记录、取证与复盘、RTO/RPO与备份恢复验证。

如需与业务系统建设联动，我们可对接：KYC身份验证系统、eDon TM 交易监控系统、东查查 AML/CRM系统，形成“数据—风控—合规”一致的证据链。

以下为我们在金融与跨境业务中经常发现的“高频不通过点”，也是银行与大型合作方尽调最关注的部分：

• 权限过大与缺少复核：共享账号、特权账号未隔离、离职权限未及时回收、缺少周期性访问复核记录。
• 日志不可用：有日志但分散、无集中检索、无法关联到个人、保留期限不满足业务与合规需求，或缺少防篡改措施。
• 第三方管理薄弱：合同缺少数据处理条款/审计权/分包限制；供应商缺少年度复审与退出方案。
• 数据共享边界不清：集团内部共享、外包客服/运营共享、BI报表导出缺少审批与留痕，难以回答“给了谁、为何给、给了什么”。
• 云上配置风险：存储桶/数据库公网暴露、密钥管理弱、缺少基线与持续配置审计。
• 应急响应“纸面化”：缺少演练证据、告警闭环、取证流程与对外沟通机制，事件发生后无法快速自证与止损。

若涉及跨境合规要求，建议同步评估业务链路与对外材料一致性，必要时可延伸至：营销资料审查 与 跨境业务合规。

数据安全评估的项目费用通常取决于系统数量、第三方数量、是否涉及跨境数据流与是否需要出具可对外的审计证据包。若您的评估与牌照/银行尽调同步推进，建议将数据安全工作纳入整体合规预算进行统筹。

以下为香港MSO（Money Service Operator）申请常见成本矩阵（HKD）供预算规划参考：

如您同时推进开户与合规建设，可参考：香港（汇丰/渣打/恒生）开户 与 金融科技合规咨询，将材料口径与证据链一次性统一，降低重复沟通成本。

如您的目标是同时满足监管合规、银行尽调与客户审计，建议将数据安全评估与以下模块联动推进：

• 金融科技合规咨询：将数据治理纳入整体合规框架与审计证据链。
• 个人信息保护 / 数据隐私政策制定：统一对外披露与对内制度，降低口径不一致风险。
• 风险评估系统：把识别—处置—复评流程产品化，支撑持续合规。
• 跨境业务合规：覆盖跨境数据流与外包链路的法律与运营闭环。

如需我们协助进行范围界定与初步诊断，请通过 关于我们 提交您的系统清单与业务概况，我们将提供可执行的评估计划与交付清单。