能源企業數字化轉型背景下的資料安全治理實踐路徑

能源企業數字化轉型程式中，如何建立與之匹配的資料安全能力？

”

近日，以“數字驅動，助推智慧能源創新發展”為主題的第三屆能源企業數字化創新發展論壇在北京成功舉辦。美創科技北京中心技術總監李航進行《數字化轉型下的資料安全治理實踐》主題演講，為能源企業構建紮實的資料安全防護能力帶來新思路。

美創科技北京中心技術總監李航

今年3月，國家發展改革委、國家能源局印發《“十四五”現代能源體系規劃》，檔案指出： 要加快能源產業數字化智慧化升級，推動能源基礎設施數字化。同時要完善能源風險應急管控體系，強化重要能源設施、能源網路安全防護。

能源行業是國民經濟基礎性行業，能源安全是國家安全的重要組成部分，任何的資料洩露都可能會帶來無法預估的損失。然而隨著新興技術入局，資料作為核心生產要素，逐漸集中、訪問邊界更加開放、使用方式越發複雜、資料權責已經分離，遭受安全威脅的暴露面不斷增加，形勢更為嚴峻。

但目前，能源企業資料安全建設過程中普遍存在以下問題：

資料分類分級難開展
能源企業資料規模龐大結構複雜，如何認定重要資料和核心資料，如何準確掌握資產情況，進行分類分級和常態化運營管理，成本高、週期長、準確率低是一大難點。

資料資產難確權
能源企業資料資產使用複雜， IT部門、業務部門、安全部門等多方均會接觸到資料，資料的所有權，使用權，安全責任等難清晰劃分。

資料跨境流動風險難防範
資料跨境流動安全風險複雜交織，在監管方資料跨境要求未明晰的情況下，如何開展資料安全合規自查自糾，是一項亟待解決的問題。

傳統的資訊保安建設無法覆蓋現有的資料安全問題，因此能源企業需要資料安全治理思路體系化夯實安全防護能力。

能源企業資料安全治理實踐路徑

基於十餘年積累，美創以Gartner DSG、DSMM資料安全能力成熟度模型、Gartner CARTA、等保2.0以及零信任2.0資料安全架構為參考模型，沉澱總結出適合能源企業的資料安全治理實踐路徑，並在實踐中不斷最佳化，有效落地。

美創資料安全治理實踐路徑

組織現狀識別

發現問題制定計劃

透過專業諮詢團隊+自動化資料發現和分類分級工具，對企業系統架構、業務流程及網路拓撲進行梳理，明確敏感資料有哪些、都儲存在哪裡、流轉情況如何，最終形成資料資產清單、資料流向圖及資料許可權清單。

從合規和能力兩個角度出發，對組織資料安全現狀進行分析（如基礎風險評估、安全能力差距評估、合規評估等），並依據組織對風險的容忍度，給出處置建議。從而摸清底數、明確權責、制定計劃，為資料安全保護奠定基礎。

安全體系建設

需求分析解決問題

在合規目標的指導下，結合組織現狀、資料分類分級結果、進行符合企業實際業務場景的資料安全建設。包括：

管理體系建設：完整合理的組織架構、人員配置，以此確保相關工作的落地執行，定義決策層、管理層、監督層、執行層的安全職責及動態協同機制。依據法規政策、參考ISO框架、DSMM模型完成制度規範建設。

技術體系建設： 以資料安全管理平臺為中心，基於分類分級結果，對安全產品的有效性和合理性進行充分評估，提出指導意見，進行前期的安全策略設計，並藉助相應的安全能力（資料脫敏、資料庫透明加密、資料庫審計等）進行落地，以實現資料安全策略聯動管控，1+1大於2的效果。

治理成效評估

檢查驗證評估效果

基於前期建設效果進行檢驗評估，透過這一階段徹底杜絕“不知道、不合理、不執行”的現象，進而達到持續最佳化資料安全管理體系的目的。

過程跟蹤： 制度、流程正式釋出後，涉及崗位人員在日常工作中對流程有效性、合理性進行檢驗，並提出改進建議。

成果反饋： 透過安全檢查、風險評估、攻防演練、網路安全周等活動對組織架構、制度流程、技術工具和人員能力進行檢驗。

體系化完善

固定成績問題總結

資料安全需要持續構建、不斷改進、提升防護效果，資料安全運營是必不可少的一環，需要將資料安全納入組織現有的資訊保安管理體系中，同時從資料資產梳理、資料安全風險監測、資料安全事件應急管理、資料安全審計等方面來建設以資產為核心的資料安全運營體系。定期對現有的資料安全能力進行審視，發現存在不足進行相應處置，最終達到持續提升資料安全能力這一目標。

能源安全無小事，資料安全本身的複雜性以及資料安全產品的碎片化導致資料安全建設落地的難度比較大，因此要有體系化思維，系統化作戰，這也是能源企業未來數字化程式中應具備的基本能力，美創基於沉澱的治理經驗和產品能力，提供更為專業、全棧的產品與服務，助力能源企業資料更安全！