近日,以“数字驱动,助推智慧能源创新发展”为主题的第三届能源企业数字化创新发展论坛在北京成功举办。美创科技北京中心技术总监李航进行《数字化转型下的数据安全治理实践》主题演讲,为能源企业构建扎实的数据安全防护能力带来新思路。
图:美创科技北京中心技术总监李航
今年3月,国家发展改革委、国家能源局印发《“十四五”现代能源体系规划》,文件指出:要加快能源产业数字化智能化升级,推动能源基础设施数字化。同时要完善能源风险应急管控体系,强化重要能源设施、能源网络安全防护。
能源行业是国民经济基础性行业,能源安全是国家安全的重要组成部分,任何的数据泄露都可能会带来无法预估的损失。然而随着新兴技术入局,数据作为核心生产要素,逐渐集中、访问边界更加开放、使用方式越发复杂、数据权责已经分离,遭受安全威胁的暴露面不断增加,形势更为严峻。
但目前,能源企业数据安全建设过程中普遍存在以下问题:
数据分类分级难开展
能源企业数据规模庞大结构复杂,如何认定重要数据和核心数据,如何准确掌握资产情况,进行分类分级和常态化运营管理,成本高、周期长、准确率低是一大难点。
数据资产难确权
能源企业数据资产使用复杂, IT部门、业务部门、安全部门等多方均会接触到数据,数据的所有权,使用权,安全责任等难清晰划分。
数据跨境流动风险难防范
数据跨境流动安全风险复杂交织,在监管方数据跨境要求未明晰的情况下,如何开展数据安全合规自查自纠,是一项亟待解决的问题。
传统的信息安全建设无法覆盖现有的数据安全问题,因此能源企业需要数据安全治理思路体系化夯实安全防护能力。
能源企业数据安全治理实践路径
基于十余年积累,美创以Gartner DSG、DSMM数据安全能力成熟度模型、Gartner CARTA、等保2.0以及零信任2.0数据安全架构为参考模型,沉淀总结出适合能源企业的数据安全治理实践路径,并在实践中不断优化,有效落地。
图:美创数据安全治理实践路径
组织现状识别 发现问题制定计划
通过专业咨询团队+自动化数据发现和分类分级工具,对企业系统架构、业务流程及网络拓扑进行梳理,明确敏感数据有哪些、都存储在哪里、流转情况如何,最终形成数据资产清单、数据流向图及数据权限清单。
从合规和能力两个角度出发,对组织数据安全现状进行分析(如基础风险评估、安全能力差距评估、合规评估等),并依据组织对风险的容忍度,给出处置建议。从而摸清底数、明确权责、制定计划,为数据安全保护奠定基础。
安全体系建设 需求分析解决问题
在合规目标的指导下,结合组织现状、数据分类分级结果、进行符合企业实际业务场景的数据安全建设。包括:
管理体系建设:完整合理的组织架构、人员配置,以此确保相关工作的落地执行,定义决策层、管理层、监督层、执行层的安全职责及动态协同机制。依据法规政策、参考ISO框架、DSMM模型完成制度规范建设。
技术体系建设:以数据安全管理平台为中心,基于分类分级结果,对安全产品的有效性和合理性进行充分评估,提出指导意见,进行前期的安全策略设计,并借助相应的安全能力(数据脱敏、数据库透明加密、数据库审计等)进行落地,以实现数据安全策略联动管控,1+1大于2的效果。
治理成效评估 检查验证评估效果
基于前期建设效果进行检验评估,通过这一阶段彻底杜绝“不知道、不合理、不执行”的现象,进而达到持续优化数据安全管理体系的目的。
过程跟踪:制度、流程正式发布后,涉及岗位人员在日常工作中对流程有效性、合理性进行检验,并提出改进建议。
成果反馈:通过安全检查、风险评估、攻防演练、网络安全周等活动对组织架构、制度流程、技术工具和人员能力进行检验。
体系化完善 固定成绩问题总结
数据安全需要持续构建、不断改进、提升防护效果,数据安全运营是必不可少的一环,需要将数据安全纳入组织现有的信息安全管理体系中,同时从数据资产梳理、数据安全风险监测、数据安全事件应急管理、数据安全审计等方面来建设以资产为核心的数据安全运营体系。定期对现有的数据安全能力进行审视,发现存在不足进行相应处置,最终达到持续提升数据安全能力这一目标。
能源安全无小事,数据安全本身的复杂性以及数据安全产品的碎片化导致数据安全建设落地的难度比较大,因此要有体系化思维,系统化作战,这也是能源企业未来数字化进程中应具备的基本能力,美创基于沉淀的治理经验和产品能力,提供更为专业、全栈的产品与服务,助力能源企业数据更安全!
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com