自《資料安全法》、《個人資訊保護法》等法律法規頒佈以來，資料安全治理，作為體系化提升資料安全保障能力的重要抓手，得到越來越多的重視， “具體該如何有效落地”也成為不少單位組織普遍關注的話題。

從率先推出資料安全治理諮詢服務，到在各行業實踐中完成從V1.0到V3.0版本的進化，美創科技以完善、流程化的方法路徑和自動化工具，持續推動資料安全治理在行業中有效落地。

為此，我們彙集了金融、政府、能源、製造四個行業案例實踐，分享資料安全治理落地過程，以供更多使用者參考。

PART 1

金融行業

某金融機構資料安全治理專案

2021年，銀保監會開出第一張罰單，某銀行因涉及制卡資料違規明文留存、資料安全管理較粗放、存在資料洩露風險、網際網路入口網站洩露敏感資訊等六項問題，罰款數百萬元。

在金融行業資料安全監管整改力度逐漸加大的背景下，某金融機構資料安全體系化建設提上議程。但由於該機構場景眾多，內外部資料採集、資料共享交換、資料分析、資料上報等，安全風險各及其防護方案各不相同， 先建設哪些，再建設哪些，缺少明確的規劃思路 。

對此，基於金融行業資料安全需求，以 “長短結合、充分利現、平穩過渡”為思路，美創科技提出適合該金融機構的資料安全治理路徑，方案包括：

資料安全制度規範

透過現狀調研與溝通，編寫符合該機構戰略和業務發展的資料安全制度體系，最終確定 《資料安全管理制度》、《資料安全人員管理規範》、《資料安全應急響應管理制度》等制度 ，覆蓋資料全生命週期各階段，圍繞組織、流程、技術、人員等維度制定，為其組織資料安全管理上提供有力支撐。

合規性評估與安全風險評估

合規性評估和加固建議： 聯合對標13項法規、條例，充分了解其資料安全合規情況， 以規避可能存在的法律風險，做到“早發現、早處理”。該部分評估對相關法律法規條款逐一進行解讀、現狀描述，同時對每個條款衍生或關聯的相關法律、法規、標準和指南等內容進行標識，最後針對存在的風險提供建議。

資料全生命週期評估和加固建議： 結合實際情況，從技術和管理兩個維度，涵蓋資料生命週期風險評估和資料基線及漏洞評估，基於訪談和工具分析現有的資料安全風險，最終得出當前資料業務的安全風險總體情況，並 以GAP圖清晰展示，提供安全加固建議。

資料安全建設規劃

資料安全建設規劃依照前期資料安全諮詢專案的評估差距進行補足，著眼於資料全生命週期安全，針對不同的階段提供技術加固方案，考慮到使用者資料安全建設的緊迫性，分為短期和長期建設規劃，包括資料安全防護可用的產品或技術手段、建設週期、先後順序，以及建設完成後差距評估，為其明確資料安全規劃建設之路。

交付物清單包括

《資料安全諮詢報告》
《資料安全建設規劃方案》
《資料安全管理制度》
《資料安全人員管理規範》
《資料安全應急響應管理制度》

PART2

政府行業

某大資料局資料安全分類分級專案

資料分類分級是資料安全治理必不可少的環節和首要工作，2021年，某省大資料局印發《公共資料分類分級指南》（試行），要求各個大資料局按照規範對資料分類分級，並要求對資料進行分級管理。

作為分類分級指南的試點單位，基於省大資料局下發的規範檔案，美創科技為某市大資料局提供資料分類分級解決方案，透過 自動化工具（暗資料發現與分類分級系統）+人工的方式 幫助其進行人口綜合庫資料梳理和分類分級。

美創暗資料發現與分類分級落地流程

分類分級標準梳理

結合《公共資料分類分級指南》、《人口綜合庫資料規範》、《資訊保安技術個人資訊保安規範》等規範，對該市大資料局的人口庫進行梳理， 形成《市大資料局資料分類分級參考規範》，並將標準內建到分類分級工具中 。

資料資產發現

透過暗資料發現產品提前配置好人口庫的分類分級及發現模版，對所在的資料庫開展資產發現作業，實現 自動化的資料業務型別識別，對資料含義進行標識。

資料安全建設規劃

在業務型別識別基礎上完成對人口庫資料的分類分級， 透過工具進行標籤管理，並生成視覺化的分類分級報告。

最終完成並交付如下內容：

交付物清單

識別人口庫敏感資料，包括：姓名、地址、出生日期、身份證號、手機號碼等個人敏感資訊。
透過自動化工具大幅提高分類分級效率 ，總計分類超過30個類別，包括個人自然資訊、個人資產資訊、社會活動資訊、個人家庭資訊等。
分類分級結果透過視覺化報告展示，包括敏感資料分佈和佔比、業務型別數量排序、不同分類的資料量對比等資訊，有序展現，一目瞭然。
資產發現和分類分級的結果可 透過標準介面的方式，對接安全產品和大資料局其他資料資源管理平臺，完成對資料資產的安全訪問和高效管理。

PART3

能源行業

某大型能源集團資料安全治理專案

該某大型能源集團其應用系統作為關鍵資訊基礎設施，涵蓋工業、運營、個人資訊等資料。隨著橫向《網路安全法》、等保2.0、《資料安全法》、《個人資訊保護法》、《關鍵資訊基礎設施保護條例》等法律法規，及縱向垂直行業安全標準，對資料安全提出明確要求，資料安全建設刻不容緩。

在此背景下，該集團 以核心業務系統為切入點，以DSMM為抓手，從而逐步建立健全資料安全治理體系，整體階段包括：

資料資產梳理

透過問卷調研、工具探查等方式多維度盤點資料資產，釐清資料資產現狀，並在此基礎上進行資料分類分級：

資料資產盤點： 透過工具探查資料資產情況，為分類分級實施做好準備工作。

資料許可權現狀： 盤點清楚使用者具備哪些許可權，資料可以被哪些使用者增刪改查，許可權過大使用者有哪些等。

資料流向梳理： 盤點資料從採集、傳輸、共享交換到銷燬的流向。

資料分類分級： 完成資料分類和分級，共分四級，其中敏感表佔比約60%，敏感欄位佔比約50%，同時明確了各級資料的安全要求。

資料安全風險評估

對資料安全現狀進行分析，識別和分析資料資產在全生命週期各階段風險，並給予中立的加固建議，包括：

基礎風險評估： 透過安全基線檢查、漏洞掃描、滲透測試等方式，發現資料處理環境中存在的安全漏洞，提供加固建議。
資料安全能力差距評估： 基於組織實際情況，深度分析和評估當前組織安全能力現狀，幫助其釐清自身在生命週期各階段的能力現狀與目標的差距。
資料安全合規評估： 全面解讀和分析《資料安全法》、《個人資訊保護法》以及地方辦法條例內容，透過聯合對標分析，全面評估組織資料安全合規情況和合規風險，提供針對性的加固建議。
資料全生命週期風險評估 ：參考資訊保安風險分析方法，從資產和風險兩大視角出發，基於資料分級結果，建立組織風險評估模型，透過定性分析和定量分析方法，評估資料資產所面臨風險。

資料安全建設規劃

基於資料安全風險評估的結果，結合實際情況，提供針對性的資料安全建設規劃方案：

管理制度建設： 基於合規要求，完成部分資料安全相關制度，為後續管理提供依據。
資料安全建設規劃： 從管理、技術和運營三個維度規劃，開展資料安全建設的短、中、長期規劃和建設工作，明確建設依據、建設規劃、建設路徑、建設週期、建設優先順序等內容，指引資料安全建設道路。

交付物清單

PART4

製造行業

某製造企業資料安全治理專案

《資料安全法》、《資料出境安全評估辦法》等法律法規檔案相繼頒佈，面臨日趨嚴格的監管和資料安全威脅態勢，作為擁有海量敏感資料資產，並存在跨國業務的大型製造企業，亟需分析組織內部整體在資料全生命週期過程中存在的安全合規風險，建立符合實際情況的安全管理和安全技術建設。

結合使用者“資料安全合規”實際需求，以及在“重要資料”、“關鍵資料”、“資料跨境”等存在的難題，美創科技本次方案以“資料分類分級”和“合規對標”為抓手，以三個階段逐步推進：

識別敏感資料，完善分類分級

由於現階段暫無製造業的分類分級指南，美創科技本次以《工業資料分類分級指南（試行）》為基礎，參考公共資料、物流交通、能源、電信、金融行業的分類分級實踐結果。 在企業原有分類分級的基礎上，細化補充了資料類別和級別，並且設計了基於資料分類分級結果的資料許可權。

資料安全風險評估

對資料安全現狀進行分析，識別和分析資料資產在全生命週期各階段風險，包括對《資料安全法》、《個人資訊保護法》、《通用資料保護條例》等 國內外法律法規檔案進行全面解讀和分析， 參考資訊保安風險分析方法，透過定性分析和定量分析的方法， 分析並計算資料資產所面臨的風險值， 並給予中立的加固建議。

資料安全建設規劃

基於資料安全風險評估的結果，結合實際情況，提供針對性的資料安全建設規劃方案，明確建設依據、建設規劃、建設路徑、建設週期、建設優先順序等內容，指引資料安全建設道路，完善《資料安全管理辦法》、《資料全生命週期管理制度》、《資料介面安全管理規範》、《資料脫敏規範》、《資料安全風險評估管理制度》等 5 份制度規範。此外， 透過培訓賦能和專案實施過程中的成果移交，協助組織形成一套基礎的資料安全合規評估工具，讓組織具備常態化的自評估能力。

讓資料安全治理卓有成效的落地，充分滿足監管合規與業務發展需求，美創參考DSG、DSMM模型，結合CARTA、IPDRR、PDCA方法論，基於多年經驗不斷進化適合組織的資料安全治理實踐路徑，以評估規劃、建設指導、成效評估、持續改進為主線，從組織架構、制度流程、人員能力和技術工具建設四個方面構建資料安全治理體系，以更好幫助解決企業組織建立起資料安全保障體系。

美創科技四個行業資料安全治理實踐案例

相關文章