制定安全风险评估

以下为针对“多账户公有云（生产/测试分账）、VPC 通过公网 ALB 暴露、Kubernetes 集群承载核心服务、若干云主机开放 SSH”的风险评估与落地方案。内容围绕：优先级加固清单（映射至 CIS 基线）、网络分段与安全组最小化策略、K8s 与节点加固、关键监控与告警、备份与恢复验证、应急响应与回滚、演练计划与频率。

说明与基准
- 适用基线参考：
  - CIS Controls v8（核心控制域：1、3、4、5、6、7、8、11、12、13、16、17）
  - CIS Cloud Foundations Benchmark（按使用云厂商对应基线）
  - CIS Kubernetes Benchmark（集群/节点/策略基线）
  - CIS Linux Benchmark（云主机/容器宿主机）
- 术语与环境：以下以云中立策略描述；如为 AWS，ALB/WAF/CloudTrail/Config/GuardDuty/KMS；Azure 对应 ALB/WAF/ActivityLog/Policy/Defender/Key Vault；GCP 对应 External HTTP(S) LB/Cloud Armor/Audit Logs/SCC/KMS。

一、按风险优先级的加固清单（映射至 CIS 基线）
优先级定义：P0（立即/变更窗口内必须完成）、P1（短期，≤30天）、P2（中期，≤90天）

P0（互联网暴露面、身份与日志、核心数据）
- 仅 ALB 公网暴露，节点与后端实例无公网 IP；ALB 前置 WAF 与速率限制；强制 TLS 1.2+、强密码套件、HSTS；开启 ALB/WAF 访问日志集中存储与保留
  - CIS v8: 12、13、3、8；CIS Cloud Foundations: Logging/Network；K8s: Ingress/Exposure
- 生产/测试跨账户隔离并启用组织级防护：组织级审计日志（不可变/跨账户集中）、策略防护（SCP/Policy）禁止关闭日志、禁止创建公网存储与过宽安全组
  - CIS v8: 8、12、5、6；Cloud Foundations: Account/Logging/Networking
- 身份与访问控制：强制 SSO + MFA；禁用/限制根账号；最小权限（基于角色/属性），关键角色套权限边界；禁止长生命周期 Access Keys；关键操作审批与 Just-in-Time
  - CIS v8: 5、6；Cloud Foundations: IAM；K8s: RBAC
- SSH 收敛：优先使用系统会话管理（如 SSM/Session Manager）或堡垒机；若保留 SSH，仅允许管理网段，禁用密码登录与root直登，使用短期证书或一次性公钥；启用服务端审计
  - CIS v8: 6、12、8；CIS Linux
- 日志与可观测性：开启并集中收集云控制面审计日志、VPC/子网流日志、DNS 日志、WAF/ALB 日志；K8s 审计日志、控制面与节点日志，接入 SIEM；配置跨账户只写桶、版本化、对象锁/保留策略
  - CIS v8: 8、13；Cloud Foundations: Logging；K8s: Audit
- 数据与密钥加密：存储卷/对象存储/数据库/备份加密（KMS/HSM 管控密钥）；K8s Secrets 使用 envelope-KMS；etcd 加密
  - CIS v8: 3；Cloud Foundations: Data Protection；K8s: etcd/Secrets
- 集群暴露面收敛：K8s API 仅私网访问（VPN/内网/特定来源），禁用匿名认证；启用 RBAC、限制 cluster-admin 绑定、审计 ClusterRoleBinding 变更
  - CIS v8: 6、8；K8s: API Server/RBAC
- 供应链与镜像：强制使用受信任私有镜像仓库；构建期与拉取期镜像漏洞扫描；签名与策略校验（如 cosign+准入策略）
  - CIS v8: 16、7；K8s: Admission/Policies

P1（最小权限网络、工作负载与节点加固、脆弱性管理）
- 网络最小化：安全组“默认拒绝”，仅放通 ALB 到 Ingress/节点暴露端口，节点至数据层精确端口；NACL 作为第二层拒绝高风险端口；私网出网通过 NAT/代理并做域名/IP 白名单
  - CIS v8: 12、13；Cloud Foundations: Networking
- K8s 安全策略：默认拒绝 NetworkPolicy；PodSecurity（restricted）或 Kyverno/Gatekeeper 策略限制（禁止 privileged、hostPath、hostNetwork、特权能力、要求 seccomp=RuntimeDefault、readOnlyRootFilesystem、runAsNonRoot）
  - CIS v8: 16、4；K8s: PSP/PSS/Admission/Policies
- Kubelet/节点：禁用匿名 Kubelet；仅 HTTPS；限制只允许 API Server 授权；节点元数据服务加固（仅 IMDS v2 / 阻止容器 SSRF）；主机防火墙开启
  - CIS v8: 4、12；K8s: Kubelet；Linux Benchmark
- 漏洞与配置基线：主机与容器镜像按 SLA 打补丁；kube-bench/benchmarks 定期评估；IaC 基础设施基线扫描（CI 阶段 + 部署前阻断）
  - CIS v8: 7、4；各 Benchmarks
- EDR/反恶意软件：节点与控制平面接入 EDR；容器运行时威胁检测（syscall/eBPF）与阻断策略
  - CIS v8: 10、13

P2（韧性、流程、优化）
- 横向移动与异常检测：东西向流量可视化与 IDS/NSM；异常 DNS/出网行为告警；服务账户滥用检测
  - CIS v8: 13、8
- 资源与配额：为命名空间与工作负载配置 requests/limits 与配额，防止 DoS/资源枯竭
  - CIS v8: 16
- 访问批准与变更：高风险变更强制变更窗口/回滚点；GitOps 与变更审计对齐
  - CIS v8: 17、4

二、网络分段与安全组最小化策略
- 账户与网络边界
  - 生产/测试分账户与独立 VPC；跨账户利用私网对等/传输网关/私有链接；集中式日志与安全服务账户。
  - 公网仅 ALB 所在子网（Public Subnet）；K8s 节点、应用、数据库在私网子网（Private Subnet）。
- 路由与出入口
  - Internet Gateway 仅关联公共子网；私网经 NAT 出网；敏感工作负载限制出网或经代理/网关做域名/IP 白名单。
  - 私网入站仅来自 ALB/管理网段/VPN。
- 安全组（示例）
  - SG-ALB：入站 80/443 来自 0.0.0.0/0；出站仅到 SG-APP-INGRESS 必要端口（如 30000-32767 NodePort 或 Ingress Controller 目标端口/私有 IP）。
  - SG-APP-NODES：入站仅来自 SG-ALB（应用端口）、集群控制面（API/健康探针）；出站到数据库/缓存端口白名单；禁止到 0.0.0.0/0 的任意出站。
  - SG-DB：入站仅来自 SG-APP-NODES 指定端口；不允许来自公网或测试账号。
  - SG-ADMIN/BASTION：入站仅来自管理 VPN/CIDR；出站最小化到目标管理端口；优先替代为会话管理服务。
- NACL
  - 默认拒绝高风险端口（22/3389 等）从公网方向；对公有子网入站仅开放 80/443。
- API 与元数据
  - K8s API 私网访问或特定来源白名单；云实例元数据仅允许强化版本（如 IMDSv2），并限制容器访问。

三、Kubernetes 集群与节点加固要点
- 控制面
  - API Server：禁用匿名/基本认证；启用审计日志；限源访问；Admission Webhook 强制策略（资源配额、镜像签名、PSS/Kyverno/Gatekeeper）。
  - etcd：数据加密（KMS）；专用安全组；仅允许 API Server 访问；备份/快照加密。
  - RBAC：最小权限；禁止将用户/SA 绑定 cluster-admin；分离只读与变更权限；使用命名空间隔离责任域。
- 工作负载策略
  - Pod 安全：默认拒绝 + 限制性策略（no privileged/hostPath/hostNetwork、drop ALL capabilities + 最小白名单、readOnlyRootFilesystem、runAsNonRoot、seccomp=RuntimeDefault、SELinux/AppArmor）。
  - 网络策略：命名空间级与应用级默认拒绝；只开放到必要服务与 DNS。
  - 供应链：仅允许从受信镜像仓库拉取；镜像签名与漏洞阈值门禁（阻断高危/Crit）。
  - 机密管理：使用外部密钥/密文管理（KMS/Secret Manager）；避免将 Secrets 以环境变量持久化到日志。
- 节点与运行时
  - 只使用受支持的发行版与 Containerd；禁用 Docker socket 暴露；定期内核/容器运行时补丁。
  - Kubelet：仅 TLS；禁用只读端口/匿名；认证授权到 API Server。
  - 系统加固：CIS Linux 基线（最小化软件包、内核参数、日志与审计、文件权限、时间同步）；主机防火墙入站默认拒绝。
  - 观测与防护：节点安装 EDR/eBPF 传感器；限制对云元数据与管理平面的访问。

四、关键监控与告警点（审计日志/网络/身份/配置漂移）
- 审计日志
  - 云控制面：关闭/修改审计日志、KMS/密钥策略变更、S3/对象存储公共访问、删除安全工具、WAF/ALB 配置变更。
  - K8s：创建/修改 ClusterRole/Binding、创建带特权/host* 的 Pod、exec/port-forward 事件、Secrets/List/Get 高频访问、API Server 异常 4xx/5xx。
- 网络与流量
  - VPC/子网流日志：来自私网到互联网的异常出站、非常见国家/ASN 访问、端口扫描/连接失败暴增。
  - WAF/ALB：高错误率、爆发性 4xx/5xx、规则命中激增、Bot/恶意 IP。
  - DNS：DGA/隧道可疑域名、解析失败暴增。
- 身份与访问
  - Root/全局管理员使用；无 MFA 登录；异常地理位置/自治系统登录；创建/使用长期 Access Keys；跨账户角色异常调用。
- 配置漂移与合规
  - IaC 漂移检测；安全组出现 0.0.0.0/0 的敏感端口；存储桶改为公共；日志桶去除阻删策略；K8s 策略被禁用；镜像拉取源改为公网未受信仓库。
- 告警管控
  - 分级告警（P1 立刻值班、P2 工作时间）；告警抑制与关联规则；将关键告警接入应急编排（自动隔离 SG/NetworkPolicy、临时下线 ASG 实例、冻结凭证）。

五、备份与恢复验证项
- 目标与范围
  - 定义 RPO/RTO；覆盖：etcd、K8s 清单（GitOps 源/Helm）、容器镜像仓库、数据库/状态卷（快照/PITR）、对象存储、WAF/ALB 配置、KMS/密钥材料（策略备份）。
- 备份安全
  - 备份跨账户/跨区域存放；加密（KMS）；对象锁/不可变（WORM/保留期）；最小权限访问；备份流水审计。
- 验证流程
  - 每月演练：在隔离环境恢复单命名空间与全集群；校验服务依赖（DNS/Secret/ConfigMap/CRD）完整性。
  - 数据一致性校验（校验和/应用层一致性）；数据库执行基于时间点恢复并跑回归测试。
  - 恢复后密钥与凭证轮换（防止备份中凭证泄漏重用）。
  - 基础设施对象重建验证（ALB/WAF/安全组/路由），确保业务连通。
- 文档与自动化
  - 可执行 Runbook 与 IaC 自动恢复脚本；恢复演练记录与差距整改单。

六、应急响应流程与回滚方案
- 触发与分级
  - 明确告警到事件分级标准（账号接管、数据外泄嫌疑、集群特权逃逸、供应链污染等为最高级）。
- 流程（NIST/CIS IR 对齐）
  - 准备：通讯录、值班、凭证库、黄金镜像、隔离脚本、证据保全存储。
  - 识别与遏制：快速隔离（收紧 SG、应用 NetworkPolicy deny all、WAF 阻断、下线受控 ASG 实例）、冻结可疑凭证、锁定镜像仓库标签。
  - 根除与恢复：清理后门/恶意容器；从可信镜像与 IaC 重建；使用干净密钥/Secrets；逐步放开网络策略。
  - 事后复盘：时间线、缺陷根因、基线更新与检测规则增强。
- 回滚策略
  - 应用层：K8s 部署使用分阶段（蓝绿/金丝雀），一键回滚到上一个稳定版本；配置变更同样版本化。
  - 基础设施：IaC 驱动（计划/变更集）支持回滚；在变更前自动生成回滚计划与备份快照。
  - 数据层：严格区分回滚与前滚修复；对有状态服务执行受控恢复（先只读校验，再切换写入）。

七、演练计划与频率建议
- 桌面演练（季度）：跨团队（开发/运维/安全/法务）覆盖账号接管、WAF 绕过与大流量攻击、镜像仓库供应链污染、K8s cluster-admin 被滥用。
- 技术演练（半年度）：红蓝对抗或紫队，验证检测与阻断（从告警到自动收敛脚本执行、隔离/回滚）。
- 备份恢复演练（每月）：单命名空间与全量恢复各一次，记录 RTO/RPO 实际值。
- DR 演练（年度）：跨区域恢复与故障转移。
- 演练度量：MTTD/MTTR、成功率、误报率、自动化覆盖率；每次演练输出整改清单与责任人。

变更窗口前的必做清单（摘要）
- 完成 P0 项：公网暴露面/WAF/TLS、集中日志/对象锁、MFA/SSO/根账号限制、SSH 收敛与白名单、K8s API 私网化与 RBAC、Secrets/etcd/KMS 加密、镜像源与扫描、关键告警规则与工单流转。
- 演练一次最小化隔离与回滚：对单一服务进行 NetworkPolicy 全拒与一键回滚验证。
- 生成回滚点：基础设施快照、应用版本与数据库恢复点已就绪并可验证。

上述措施与基线映射
- CIS Controls v8：1（资产清单）、3（数据保护）、4（安全配置）、5/6（账户与访问控制）、7（漏洞管理）、8（审计日志）、11（数据恢复）、12/13（网络管理与监控）、16（应用安全）、17（应急响应）
- CIS Benchmarks：Cloud Foundations（账户/IAM/日志/网络/加密）、Kubernetes Benchmark（API/RBAC/Kubelet/策略/审计）、Linux Benchmark（系统与服务加固）

如需，我可根据具体云厂商与现网配置导出可执行的任务分解（含负责人/SLA/验证脚本与策略示例）。

以下为针对“跨境数据分析与营销自动化（云端，第三方营销平台处理；涉及客户个人信息与员工人事数据）”的风险评估与整改规划输出。内容围绕 GDPR、ISO 27001/27701、网络安全等级保护（等保）及相关跨境合规要求，形成处理活动清单、合法性与同意管理评估、数据最小化与留存策略、处理者评审要点与 DPIA 触发条件、跨境传输评估概要、风险分级与整改里程碑、证据清单与工单模板。

一、数据处理活动清单（Records of Processing Activities）
- 客户数据（个人信息）
  - 收集：注册与线索捕获（姓名、联系方式）、cookie/SDK 行为日志、网页/APP 事件、来源渠道标识
  - 归并与数据清洗：身份解析（ID 合并）、重复数据消除、质量校验
  - 画像与分群：基于行为与属性的自动化分类与评分（潜在兴趣、活跃度）
  - 营销自动化：触发式消息、A/B 测试、重定向广告、个性化推荐
  - 分析与报表：转化分析、渠道效果评估、预测模型训练与评估
  - 同意与偏好管理：同意采集、撤回/拒绝、Cookie/追踪管理、电子通信偏好中心
  - 共享与传输：与第三方营销平台、广告网络、云分析服务的数据交换；跨境传输
  - 留存与删除：归档、冷数据迁移、定期删除；备份与灾难恢复
  - 数据主体权利响应：访问、更正、删除、限制处理、可携带；申诉与投诉处理
- 员工人事数据
  - 收集：招聘与入职信息、合同、绩效记录、培训日志、工时与薪酬
  - 处理：薪酬发放、绩效分析、合规审计（含访问控制审计）、安全监测（如访问日志）
  - 共享：人力资源外包/薪酬服务商、云 HR 系统；必要的跨境共享（如全球总部报表）
  - 留存与删除：符合法定保存期与业务需要的留存；离职后的分层留存与销毁
  - 数据主体权利响应：员工查询、更正、删除请求与争议处理

二、合法性基础与同意管理评估
- 客户数据（GDPR 视角）
  - 行为追踪与营销个性化：需符合电子通信/追踪规则（如 ePrivacy 下的终端设备访问需事先同意）。使用 cookie/SDK 进行跨站或应用内跟踪，应取得有效、可撤回的同意。
  - 电子直销通信（Email/SMS/推送）：通常以事先同意为基础；如采用合法利益，需要完成利益衡量测试，并提供易用的拒绝机制，且受当地电信营销规则限制。
  - 分析与改进（聚合/匿名统计）：可基于合法利益，但须最小化并评估对隐私影响；尽量使用匿名或强伪名化。
  - 合同履行：与用户注册、服务交付直接相关的数据处理可基于合同履行。
- 员工数据（GDPR 视角）
  - 雇佣关系：合同履行、法律义务（税务、社保）为主要基础；绩效与安全监控需合法利益评估并保持透明，避免过度监控。
  - 敏感数据（如健康）：需满足法律义务或取得明确同意并采取更高保护。
- 中国个人信息保护法（PIPL）与跨境相关
  - 一般处理需取得知情同意；跨境、敏感个人信息、自动化决策等需“单独同意”及进行个人信息保护影响评估（PIPIA）。
  - 自动化决策不得对个人在交易价格等方面实施不合理差别待遇；应提供拒绝或人工复核通道。
- 同意管理要求（统一）
  - 同意界面清晰、分层（营销通信、行为追踪、第三方共享、跨境传输等分项）。
  - 可撤回机制与偏好中心（记录时间戳、版本、来源；撤回后及时停用相关处理）。
  - 记录可审计：同意与撤回日志、Cookie 同意历史、设备标识与政策版本。
  - 法律基础登记与切换：在 RoPA 中标注每类处理的合法基础，并保持一致性与可稽核性。

三、数据最小化与留存策略
- 最小化
  - 字段级审查：去除与营销目标无关的个人敏感信息；行为日志采集采用事件白名单与采样策略，避免过度颗粒化。
  - 模型训练：优先采用匿名或强伪名化数据；引入差分隐私或聚合统计以降低可识别性。
  - 访问最小化：按角色与职责配置细粒度 RBAC；默认拒绝策略；审批与定期复核。
- 留存
  - 原则：基于目的限制与法定义务确定期限；定期评审。不同司法辖区保留期差异较大，制定“主保留表”并按地区覆盖。
  - 客户数据：营销相关数据在最后一次互动后设定合理的保留窗口，过期匿名化或删除；日志类数据分离安全审计留存与营销用途留存。
  - 员工数据：按照劳动/税务法规与审计要求分层留存；到期后分区删除或不可逆匿名化。
  - 执行与证据：自动化留存策略、到期清单、删除作业记录、备份同步删除策略与例外审批。

四、第三方处理者评审要点与 DPIA 触发条件
- 处理者/服务商评审要点（GDPR Art. 28、ISO 27001/27701 供应商管理）
  - 合同与数据处理协议（DPA）：角色界定（控制者/处理者）、处理目的与范围、分处理者审批、违约与终止、返还/删除条款。
  - 安全控制：加密（静态/传输）、密钥管理、访问控制、日志与监控、漏洞管理与补丁、渗透测试与安全开发流程。
  - 隐私控制：同意与偏好支持、数据隔离与伪名化、最小化、数据主体权利协助条款。
  - 合规证据：ISO 27001/27701、SOC 2 Type II、独立审计报告；数据驻留与跨境机制（SCC/BCR/认证）。
  - 事件响应：发现后通知时限、内容、配合调查与取证、根因与补救要求。
  - 可审计性：现场/远程审计权、指标与报告频率、关键控制映射清单。
- DPIA 触发条件（示例，需结合规模与具体场景）
  - 系统性且大规模的个人画像与自动化决策（营销评分、分群、价格个性化）。
  - 大规模处理行为数据或敏感数据（如员工健康、位置）。
  - 使用新技术或结合多源数据进行跟踪与监控（跨平台、跨设备标识）。
  - 数据出境结合画像/匹配，且数据主体难以行使权利或影响重大。
  - 在中国境内，开展敏感个人信息处理、自动化决策或个人信息出境需进行 PIPIA。

五、跨境传输评估概要
- GDPR（EEA→第三国）
  - 选择机制：充分性决议、标准合同条款（SCC）、具有约束力的公司规则（BCR）；个别例外仅限特殊情形。
  - 传输影响评估（TIA，Schrems II 要求）：评估接收国法律对个人数据的保护充分性与政府访问风险；制定补充措施（端到端加密、强伪名化、数据分片、访问透明度）。
  - 合同与运营配套：更新隐私声明与 RoPA；建立对等的数据主体权利通道；限制目的与再传输；日志与审计。
- 中国 PIPL（境内→境外）
  - 机制选择：国家网信部门安全评估（触发阈值或重要数据）、标准合同（中国版 SCC）、个人信息保护认证。
  - 前置要求：开展 PIPIA；取得数据主体“单独同意”；与境外接收方签署合同并履行备案；建立跨境数据传输台账与年度评估。
  - 技术与运营措施：尽量本地化存储与最小必要出境；强加密与密钥本地托管；访问控制与最小化；数据主体权利的境外保障。
- 统一控制
  - 数据分级与出境白名单；字段级脱敏/伪名化；密钥与证书管理分域；跨境链路加密与完整性校验；监控与审计可追溯。

六、风险分级与整改里程碑
- 风险分级标准
  - 高风险：不具备合法机制的跨境传输；未开展 DPIA/TIA/PIPIA 的画像与自动化决策；缺乏有效同意管理且开展行为追踪；处理敏感数据缺乏附加措施；第三方缺失关键安全与隐私控制。
  - 中风险：留存策略未落实自动化执行；访问控制与日志审计不充分；供应商审计权与事件条款不完善；数据主体权利流程不稳定。
  - 低风险：文档不一致、培训不足、监控指标不完善等管理类问题。
- 差距示例（待现场验证）
  - 缺少完整 RoPA 与数据流向图；同意记录不可稽核；Cookie 管理未覆盖所有渠道；未完成 SCC/BCR/TIA/PIPIA；处理者合同未对分处理者与删除条款作出明确约束；留存与删除策略未自动化落地；跨境链路与静态加密缺少证明材料。
- 整改里程碑（以季度审计前 90 日为参考）
  - 0–30 天
    - 完成数据盘点与 RoPA；绘制数据流与系统边界图。
    - 部署或校准同意/偏好管理平台（CMP）；更新隐私声明与选择退出路径。
    - 启动关键第三方尽调与 DPA 修订；列出跨境机制选择与初步 TIA/PIPIA 范围。
  - 31–60 天
    - 完成 DPIA 与 TIA/PIPIA；确定并实施补充技术措施（加密、伪名化、数据分片）。
    - 落地留存与删除自动化（策略、作业、审计）；访问控制与日志增强（RBAC、SIEM 告警）。
    - 完成 SCC/认证/备案流程提交；补齐数据主体权利响应流程与工单。
  - 61–90 天
    - 供应商安全/隐私审计与整改闭环；渗透测试与漏洞修复验证。
    - 审计证据归集与抽样自查；开展员工与市场团队合规培训。
    - 管理评审与风险再评估；形成持续改进计划与年度审计路线。

七、需收集的证据清单（审计与合规证明）
- 组织与政策
  - 隐私政策与通知版本、Cookie 政策、数据保护与信息安全方针；角色与职责（DPO/安全负责人）。
  - RoPA、数据分类分级与跨境清单；DPIA/TIA/PIPIA 报告与批准记录。
- 合同与法律机制
  - DPA、SCC（欧盟/中国版）、BCR/认证证书；分处理者清单与审批记录；跨境备案材料与台账。
- 技术与控制
  - 加密配置与密钥管理文档；访问控制矩阵与权限审批/复核记录；日志审计与监控告警记录。
  - 留存与删除策略、自动化作业与执行日志；备份策略与恢复演练报告；渗透测试、漏洞扫描与修复证据。
  - 同意与偏好管理日志（时间戳、版本、渠道）；Cookie 同意记录与标签管理配置；数据主体权利请求与响应工单。
- 供应商与运营
  - 供应商安全评审报告、合规证书（ISO 27001/27701、SOC 2）、审计权执行记录；事件响应演练与真实事件报告。
  - 变更管理与发布记录；培训签到与测验结果；管理评审与改进纪要。

八、工单模板列表（用于整改与审计准备）
- 通用整改工单模板
  - 标题：问题简述与对象系统
  - 描述：问题背景、现状、影响范围、期望状态
  - 控制/法规映射：GDPR 条款（如 Art. 30/32/35/44）、ISO 27001/27701 控制域、PIPL/等保要求
  - 责任人与协作方：业务、法务、IT、安全、供应商
  - 优先级与截止日期：风险等级与时间线
  - 验收标准：可验证的结果与证据清单
  - 附件：相关文档/截图/日志
- 任务示例模板
  - “建立与启用同意管理平台（CMP）”
    - 控制/法规映射：GDPR 同意要求、ePrivacy、ISO 27701（同意管理）、PIPL 单独同意
    - 验收：多渠道弹窗/偏好中心上线；同意/撤回日志可审计；隐私声明更新
  - “完成营销画像 DPIA 与 TIA/PIPIA”
    - 映射：GDPR Art. 35/44；PIPL 出境与自动化决策评估
    - 验收：评估报告、管理批准、补充措施落地
  - “第三方营销平台 DPA 与分处理者审查”
    - 映射：GDPR Art. 28；ISO 27001 供应商管理
    - 验收：签署 DPA、分处理者清单与审批、审计权条款
  - “数据留存与自动化删除上线”
    - 映射：GDPR 目的限制与数据最小化；ISO 27001/27701 数据生命周期管理
    - 验收：策略配置与执行日志、备份同步删除、例外审批
  - “跨境机制与备案”
    - 映射：GDPR SCC/BCR、PIPL 标准合同/认证/安全评估
    - 验收：合同签署、备案材料提交、台账与年度评估计划
  - “访问控制与日志审计增强”
    - 映射：GDPR Art. 32；ISO 27001 技术控制；等保访问与审计要求
    - 验收：RBAC 生效、权限复核记录、SIEM 告警与审计报告

注意事项与建议
- 司法辖区差异显著：留存期限、电子直销规则、跨境流程与阈值需由法务按地区确认后固化为主保留表与机制选择清单。
- 优先级：先法定高风险项（跨境机制、DPIA/TIA/PIPIA、同意管理、处理者合同），再技术落地（加密、访问、日志、留存/删除），最后完善文档与培训。
- 角色清晰：指定数据保护负责人与业务数据管家，建立跨部门治理例会与审计前自查清单。

该输出可直接用于差距分析与审计准备，后续可将每一项分解为项目计划与工单，持续跟踪整改闭环。