近日,以“數(shù)字驅(qū)動(dòng),助推智慧能源創(chuàng)新發(fā)展”為主題的第三屆能源企業(yè)數(shù)字化創(chuàng)新發(fā)展論壇在北京成功舉辦。美創(chuàng)科技北京中心技術(shù)總監(jiān)李航進(jìn)行《數(shù)字化轉(zhuǎn)型下的數(shù)據(jù)安全治理實(shí)踐》主題演講,為能源企業(yè)構(gòu)建扎實(shí)的數(shù)據(jù)安全防護(hù)能力帶來新思路。
圖:美創(chuàng)科技北京中心技術(shù)總監(jiān)李航
今年3月,國家發(fā)展改革委、國家能源局印發(fā)《“十四五”現(xiàn)代能源體系規(guī)劃》,文件指出:要加快能源產(chǎn)業(yè)數(shù)字化智能化升級,推動(dòng)能源基礎(chǔ)設(shè)施數(shù)字化。同時(shí)要完善能源風(fēng)險(xiǎn)應(yīng)急管控體系,強(qiáng)化重要能源設(shè)施、能源網(wǎng)絡(luò)安全防護(hù)。
能源行業(yè)是國民經(jīng)濟(jì)基礎(chǔ)性行業(yè),能源安全是國家安全的重要組成部分,任何的數(shù)據(jù)泄露都可能會(huì)帶來無法預(yù)估的損失。然而隨著新興技術(shù)入局,數(shù)據(jù)作為核心生產(chǎn)要素,逐漸集中、訪問邊界更加開放、使用方式越發(fā)復(fù)雜、數(shù)據(jù)權(quán)責(zé)已經(jīng)分離,遭受安全威脅的暴露面不斷增加,形勢更為嚴(yán)峻。
但目前,能源企業(yè)數(shù)據(jù)安全建設(shè)過程中普遍存在以下問題:
數(shù)據(jù)分類分級難開展
能源企業(yè)數(shù)據(jù)規(guī)模龐大結(jié)構(gòu)復(fù)雜,如何認(rèn)定重要數(shù)據(jù)和核心數(shù)據(jù),如何準(zhǔn)確掌握資產(chǎn)情況,進(jìn)行分類分級和常態(tài)化運(yùn)營管理,成本高、周期長、準(zhǔn)確率低是一大難點(diǎn)。
數(shù)據(jù)資產(chǎn)難確權(quán)
能源企業(yè)數(shù)據(jù)資產(chǎn)使用復(fù)雜, IT部門、業(yè)務(wù)部門、安全部門等多方均會(huì)接觸到數(shù)據(jù),數(shù)據(jù)的所有權(quán),使用權(quán),安全責(zé)任等難清晰劃分。
數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)難防范
數(shù)據(jù)跨境流動(dòng)安全風(fēng)險(xiǎn)復(fù)雜交織,在監(jiān)管方數(shù)據(jù)跨境要求未明晰的情況下,如何開展數(shù)據(jù)安全合規(guī)自查自糾,是一項(xiàng)亟待解決的問題。
傳統(tǒng)的信息安全建設(shè)無法覆蓋現(xiàn)有的數(shù)據(jù)安全問題,因此能源企業(yè)需要數(shù)據(jù)安全治理思路體系化夯實(shí)安全防護(hù)能力。
能源企業(yè)數(shù)據(jù)安全治理實(shí)踐路徑
基于十余年積累,美創(chuàng)以Gartner DSG、DSMM數(shù)據(jù)安全能力成熟度模型、Gartner CARTA、等保2.0以及零信任2.0數(shù)據(jù)安全架構(gòu)為參考模型,沉淀總結(jié)出適合能源企業(yè)的數(shù)據(jù)安全治理實(shí)踐路徑,并在實(shí)踐中不斷優(yōu)化,有效落地。
圖:美創(chuàng)數(shù)據(jù)安全治理實(shí)踐路徑
組織現(xiàn)狀識別 發(fā)現(xiàn)問題制定計(jì)劃
通過專業(yè)咨詢團(tuán)隊(duì)+自動(dòng)化數(shù)據(jù)發(fā)現(xiàn)和分類分級工具,對企業(yè)系統(tǒng)架構(gòu)、業(yè)務(wù)流程及網(wǎng)絡(luò)拓?fù)溥M(jìn)行梳理,明確敏感數(shù)據(jù)有哪些、都存儲在哪里、流轉(zhuǎn)情況如何,最終形成數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)流向圖及數(shù)據(jù)權(quán)限清單。
從合規(guī)和能力兩個(gè)角度出發(fā),對組織數(shù)據(jù)安全現(xiàn)狀進(jìn)行分析(如基礎(chǔ)風(fēng)險(xiǎn)評估、安全能力差距評估、合規(guī)評估等),并依據(jù)組織對風(fēng)險(xiǎn)的容忍度,給出處置建議。從而摸清底數(shù)、明確權(quán)責(zé)、制定計(jì)劃,為數(shù)據(jù)安全保護(hù)奠定基礎(chǔ)。
安全體系建設(shè) 需求分析解決問題
在合規(guī)目標(biāo)的指導(dǎo)下,結(jié)合組織現(xiàn)狀、數(shù)據(jù)分類分級結(jié)果、進(jìn)行符合企業(yè)實(shí)際業(yè)務(wù)場景的數(shù)據(jù)安全建設(shè)。包括:
管理體系建設(shè) :完整合理的組織架構(gòu)、人員配置,以此確保相關(guān)工作的落地執(zhí)行,定義決策層、管理層、監(jiān)督層、執(zhí)行層的安全職責(zé)及動(dòng)態(tài)協(xié)同機(jī)制。依據(jù)法規(guī)政策、參考ISO框架、DSMM模型完成制度規(guī)范建設(shè)。
技術(shù)體系建設(shè) :以數(shù)據(jù)安全管理平臺為中心,基于分類分級結(jié)果,對安全產(chǎn)品的有效性和合理性進(jìn)行充分評估,提出指導(dǎo)意見,進(jìn)行前期的安全策略設(shè)計(jì),并借助相應(yīng)的安全能力(數(shù)據(jù)脫敏、數(shù)據(jù)庫透明加密、數(shù)據(jù)庫審計(jì)等)進(jìn)行落地,以實(shí)現(xiàn)數(shù)據(jù)安全策略聯(lián)動(dòng)管控,1+1大于2的效果。
治理成效評估 檢查驗(yàn)證評估效果
基于前期建設(shè)效果進(jìn)行檢驗(yàn)評估,通過這一階段徹底杜絕“不知道、不合理、不執(zhí)行”的現(xiàn)象,進(jìn)而達(dá)到持續(xù)優(yōu)化數(shù)據(jù)安全管理體系的目的。
過程跟蹤 :制度、流程正式發(fā)布后,涉及崗位人員在日常工作中對流程有效性、合理性進(jìn)行檢驗(yàn),并提出改進(jìn)建議。
成果反饋 :通過安全檢查、風(fēng)險(xiǎn)評估、攻防演練、網(wǎng)絡(luò)安全周等活動(dòng)對組織架構(gòu)、制度流程、技術(shù)工具和人員能力進(jìn)行檢驗(yàn)。
體系化完善 固定成績問題總結(jié)
數(shù)據(jù)安全需要持續(xù)構(gòu)建、不斷改進(jìn)、提升防護(hù)效果,數(shù)據(jù)安全運(yùn)營是必不可少的一環(huán),需要將數(shù)據(jù)安全納入組織現(xiàn)有的信息安全管理體系中,同時(shí)從數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測、數(shù)據(jù)安全事件應(yīng)急管理、數(shù)據(jù)安全審計(jì)等方面來建設(shè)以資產(chǎn)為核心的數(shù)據(jù)安全運(yùn)營體系。定期對現(xiàn)有的數(shù)據(jù)安全能力進(jìn)行審視,發(fā)現(xiàn)存在不足進(jìn)行相應(yīng)處置,最終達(dá)到持續(xù)提升數(shù)據(jù)安全能力這一目標(biāo)。
能源安全無小事,數(shù)據(jù)安全本身的復(fù)雜性以及數(shù)據(jù)安全產(chǎn)品的碎片化導(dǎo)致數(shù)據(jù)安全建設(shè)落地的難度比較大,因此要有體系化思維,系統(tǒng)化作戰(zhàn),這也是能源企業(yè)未來數(shù)字化進(jìn)程中應(yīng)具備的基本能力,美創(chuàng)基于沉淀的治理經(jīng)驗(yàn)和產(chǎn)品能力,提供更為專業(yè)、全棧的產(chǎn)品與服務(wù),助力能源企業(yè)數(shù)據(jù)更安全!
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!