域名預(yù)訂/競價，好“米”不錯過

近日，以“數(shù)字驅(qū)動，助推智慧能源創(chuàng)新發(fā)展”為主題的第三屆能源企業(yè)數(shù)字化創(chuàng)新發(fā)展論壇在北京成功舉辦。美創(chuàng)科技北京中心技術(shù)總監(jiān)李航進行《數(shù)字化轉(zhuǎn)型下的數(shù)據(jù)安全治理實踐》主題演講，為能源企業(yè)構(gòu)建扎實的數(shù)據(jù)安全防護能力帶來新思路。

圖：美創(chuàng)科技北京中心技術(shù)總監(jiān)李航

今年3月，國家發(fā)展改革委、國家能源局印發(fā)《“十四五”現(xiàn)代能源體系規(guī)劃》，文件指出：要加快能源產(chǎn)業(yè)數(shù)字化智能化升級，推動能源基礎(chǔ)設(shè)施數(shù)字化。同時要完善能源風(fēng)險應(yīng)急管控體系，強化重要能源設(shè)施、能源網(wǎng)絡(luò)安全防護。

能源行業(yè)是國民經(jīng)濟基礎(chǔ)性行業(yè)，能源安全是國家安全的重要組成部分，任何的數(shù)據(jù)泄露都可能會帶來無法預(yù)估的損失。然而隨著新興技術(shù)入局，數(shù)據(jù)作為核心生產(chǎn)要素，逐漸集中、訪問邊界更加開放、使用方式越發(fā)復(fù)雜、數(shù)據(jù)權(quán)責(zé)已經(jīng)分離，遭受安全威脅的暴露面不斷增加，形勢更為嚴峻。

但目前，能源企業(yè)數(shù)據(jù)安全建設(shè)過程中普遍存在以下問題：

數(shù)據(jù)分類分級難開展

能源企業(yè)數(shù)據(jù)規(guī)模龐大結(jié)構(gòu)復(fù)雜，如何認定重要數(shù)據(jù)和核心數(shù)據(jù)，如何準確掌握資產(chǎn)情況，進行分類分級和常態(tài)化運營管理，成本高、周期長、準確率低是一大難點。

數(shù)據(jù)資產(chǎn)難確權(quán)

能源企業(yè)數(shù)據(jù)資產(chǎn)使用復(fù)雜， IT部門、業(yè)務(wù)部門、安全部門等多方均會接觸到數(shù)據(jù)，數(shù)據(jù)的所有權(quán)，使用權(quán)，安全責(zé)任等難清晰劃分。

數(shù)據(jù)跨境流動風(fēng)險難防范

數(shù)據(jù)跨境流動安全風(fēng)險復(fù)雜交織，在監(jiān)管方數(shù)據(jù)跨境要求未明晰的情況下，如何開展數(shù)據(jù)安全合規(guī)自查自糾，是一項亟待解決的問題。

傳統(tǒng)的信息安全建設(shè)無法覆蓋現(xiàn)有的數(shù)據(jù)安全問題，因此能源企業(yè)需要數(shù)據(jù)安全治理思路體系化夯實安全防護能力。

能源企業(yè)數(shù)據(jù)安全治理實踐路徑

基于十余年積累，美創(chuàng)以Gartner DSG、DSMM數(shù)據(jù)安全能力成熟度模型、Gartner CARTA、等保2.0以及零信任2.0數(shù)據(jù)安全架構(gòu)為參考模型，沉淀總結(jié)出適合能源企業(yè)的數(shù)據(jù)安全治理實踐路徑，并在實踐中不斷優(yōu)化，有效落地。

圖：美創(chuàng)數(shù)據(jù)安全治理實踐路徑

組織現(xiàn)狀識別 發(fā)現(xiàn)問題制定計劃

通過專業(yè)咨詢團隊+自動化數(shù)據(jù)發(fā)現(xiàn)和分類分級工具，對企業(yè)系統(tǒng)架構(gòu)、業(yè)務(wù)流程及網(wǎng)絡(luò)拓撲進行梳理，明確敏感數(shù)據(jù)有哪些、都存儲在哪里、流轉(zhuǎn)情況如何，最終形成數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)流向圖及數(shù)據(jù)權(quán)限清單。

從合規(guī)和能力兩個角度出發(fā)，對組織數(shù)據(jù)安全現(xiàn)狀進行分析(如基礎(chǔ)風(fēng)險評估、安全能力差距評估、合規(guī)評估等)，并依據(jù)組織對風(fēng)險的容忍度，給出處置建議。從而摸清底數(shù)、明確權(quán)責(zé)、制定計劃，為數(shù)據(jù)安全保護奠定基礎(chǔ)。

安全體系建設(shè) 需求分析解決問題

在合規(guī)目標(biāo)的指導(dǎo)下，結(jié)合組織現(xiàn)狀、數(shù)據(jù)分類分級結(jié)果、進行符合企業(yè)實際業(yè)務(wù)場景的數(shù)據(jù)安全建設(shè)。包括：

管理體系建設(shè) ：完整合理的組織架構(gòu)、人員配置，以此確保相關(guān)工作的落地執(zhí)行，定義決策層、管理層、監(jiān)督層、執(zhí)行層的安全職責(zé)及動態(tài)協(xié)同機制。依據(jù)法規(guī)政策、參考ISO框架、DSMM模型完成制度規(guī)范建設(shè)。

技術(shù)體系建設(shè) ：以數(shù)據(jù)安全管理平臺為中心，基于分類分級結(jié)果，對安全產(chǎn)品的有效性和合理性進行充分評估，提出指導(dǎo)意見，進行前期的安全策略設(shè)計，并借助相應(yīng)的安全能力(數(shù)據(jù)脫敏、數(shù)據(jù)庫透明加密、數(shù)據(jù)庫審計等)進行落地，以實現(xiàn)數(shù)據(jù)安全策略聯(lián)動管控，1+1大于2的效果。

治理成效評估 檢查驗證評估效果

基于前期建設(shè)效果進行檢驗評估，通過這一階段徹底杜絕“不知道、不合理、不執(zhí)行”的現(xiàn)象，進而達到持續(xù)優(yōu)化數(shù)據(jù)安全管理體系的目的。

過程跟蹤 ：制度、流程正式發(fā)布后，涉及崗位人員在日常工作中對流程有效性、合理性進行檢驗，并提出改進建議。

成果反饋 ：通過安全檢查、風(fēng)險評估、攻防演練、網(wǎng)絡(luò)安全周等活動對組織架構(gòu)、制度流程、技術(shù)工具和人員能力進行檢驗。

體系化完善 固定成績問題總結(jié)

數(shù)據(jù)安全需要持續(xù)構(gòu)建、不斷改進、提升防護效果，數(shù)據(jù)安全運營是必不可少的一環(huán)，需要將數(shù)據(jù)安全納入組織現(xiàn)有的信息安全管理體系中，同時從數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全風(fēng)險監(jiān)測、數(shù)據(jù)安全事件應(yīng)急管理、數(shù)據(jù)安全審計等方面來建設(shè)以資產(chǎn)為核心的數(shù)據(jù)安全運營體系。定期對現(xiàn)有的數(shù)據(jù)安全能力進行審視，發(fā)現(xiàn)存在不足進行相應(yīng)處置，最終達到持續(xù)提升數(shù)據(jù)安全能力這一目標(biāo)。

能源安全無小事，數(shù)據(jù)安全本身的復(fù)雜性以及數(shù)據(jù)安全產(chǎn)品的碎片化導(dǎo)致數(shù)據(jù)安全建設(shè)落地的難度比較大，因此要有體系化思維，系統(tǒng)化作戰(zhàn)，這也是能源企業(yè)未來數(shù)字化進程中應(yīng)具備的基本能力，美創(chuàng)基于沉淀的治理經(jīng)驗和產(chǎn)品能力，提供更為專業(yè)、全棧的產(chǎn)品與服務(wù)，助力能源企業(yè)數(shù)據(jù)更安全!

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！