美創解讀｜《資料安全法》實施，企業資料安全合規技術能力建設

9月1日，《中華人民共和國資料安全法》已正式施行，《個人資訊保護法》也將緊隨其後，將在11月1日落地生效。隨著我國兩部法律相繼頒佈實施，安全合規趨緊，企業加強資料安全能力建設已勢所必然。美創科技副總裁受邀解讀企業如何實現資料安全合規建設。

 

為進一步推動《資料安全法》的貫徹落實，提升組織機構的資料安全保障能力，有效應對資料安全風險挑戰，構建良好的資料安全產業生態，區塊鏈技術與資料安全工信部重點實驗室舉辦《資料安全法》專題研討會（線上）。國家工信安全中心領導、業內知名專家學者、企業代表多視角解讀當前企業面臨的資料安全問題，交流共享資料安全合規經驗。

 

美創科技副總裁王利強受邀參加，並在研討會上進行《企業資料安全合規技術能力建設》主題演講，解讀企業如何從頂層設計出發實現以資料為物件的安全治理體系建設，資料安全能力如何匹配合規要求。

 

從框架、方法到工具

推動資料安全合規技術能力建設

日前，廣泛關注的《資料安全法》正式實施，對監管、企業單位以及資料安全廠商意義重大。作為我國資料領域的基礎法律，數安法對監管部門行使資料治理權力、開展資料安全監管，為企業合法處理資料、保障資料處理安全等，都提供了充分的法律依據。作為資料安全廠商，美創科技也明顯感受到企業對資料的重視程度，越來越多的企業也紛紛開啟對資料安全治理的探索工作。

 

王利強表示：美創科技對企業該如何做好資料的安全基建，完善資料安全治理體系，有十多年專案經驗和研究積累。在大量實踐中，美創結合安全法律規範要求，提煉總結出 資料安全治理體系整體建設框架，資料安全建設六大步驟模組和十大實踐指南，以一整套框架體系、方法論和工具，幫助企業構建一條實現資料安全能力全面提升的可行道路。

 

一、“五大保障”形成資料安全治理體系框架：

資料安全治理體系框架由安全戰略保障、安全管理保障、基礎支撐能力保障、安全技術保障、建設運營保障五個維度構成，自上而下幫助使用者牢築資料安全治理體系，並實現資料安全狀態的持續提升。

 

• 在資料安全戰略保障層面：全面瞭解法律法規、行業標準規範等，才能更好的指導安全建設，促使資料安全合規性、規範性要求不斷提高。

• 在資料安全管理保障層面：安全建設離不開組織管理的保障，需要建立完善的制度流程、組織架構，同時包保障合理的人員配備，從而更好的推進安全工作落地。

• 在資料安全基礎支撐保障層面：從身份鑑別、入侵檢測、入侵防禦、高危操作防護等形成一系列資料安全通用能力，更好的支撐安全技術保障。

• 在資料安全技術保障層面：基於上述安全基礎支撐能力，根據資料流動特徵，從資料全生命週期和應用場景出發提供相應的安全防護技術，完成針對性資料安全防護措施落地。

• 在資料安全建設運營保障層面：建立資料安全運營中心，彙集關鍵資訊基礎設施的安全資料，形成包括資產管理、合規監管、態勢感知、通報預警和應急指揮等一系列運營管理能力。

 

二、“六大步驟、十大實踐指南”確保安全合規建設有效落地

基於整體資料安全治理框架，王利強從整理落地實踐角度出發，介紹美創科技根據資料安全法合規要求形成的資料安全建設落地的六大步驟和十大實踐指南，為企業如何有序開展資料安全落地實施工作提供整體路徑指南。

“六大步驟、十大實踐指南”貫穿安全治理、規劃設計到技術落地，具體涵蓋現狀梳理、風險評估、資料安全架構、產品技術保障、安全建設運營、資料治理與應用等各個維度。比如：

 

1 、“五步法：明現狀、定規劃、立組織、定製、建標準”：美創科技依據《資訊保安技術 資料安全能力成熟度模型》以及GartnerDSG、微軟DGPC、NIST IPDRR等國外模型，建立了一套輕量、敏捷化的資料安全治理諮詢方法論，幫助企業使用者快速有效進行現狀梳理（資料資產梳理與分類分級）、風險評估，充分了解自身的資料安全合規情況，為安全規劃和技術防護提供依據。

資料安全治理諮詢方法論

在使用者重點關注的資料分類分級保護中，使用者實踐中普遍存在“無標準難規範，有標準難落地、已落地難應用”的難點問題，美創科技在多年業務實踐中形成了一套可操作落地的方法論和配套軟體工具，從前期諮詢、專案實施和產品沉澱三步實現有效的資料分類分級，並生成視覺化的分類分級報告，方便使用者篩選和檢視不同敏感程度的資料分佈和資訊。

資料資產梳理

在安全風險評估中，美創科技針對資料資產面臨的威脅、存在的弱點、造成的影響以及三者綜合作用所帶來的風險可能性評估環節。基於資料安全能力成熟度模型，安全資料全生命週期分階段，採用不同的能力評估等級，從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量，並劃分等級，結合資料分類分級結果，最終對敏感資料採取相應的安全策略和防護措施提供有力依據。

 

2 、“資料安全技術研究和產品能力，做好資料安全基礎支撐保障”：美創科技作為零信任資料安全的倡導者和踐行者，形成落地更適應數字化轉型發展的新一代零信任安全架構，並形成完善的資料安全能力地圖（如：資料發現、分類分級、身份鑑別、入侵防護、訪問控制、資料脫敏、備份與恢復等），從人員身份的動態鑑別、資料資產精細化動態化授權、使用者異常行為預警阻斷、威脅風險的持續檢測和響應等方面更好應對無邊界環境下的資料安全挑戰。

 

3 、“規範資料處理活動，具備保障持續安全狀態的能力”：美創科技認為資料安全並非單點保護，需要實現點、線、面的全面保障。對此，針對目前資料面臨的安全威脅呈現動態變化的特點，美創科技幫助使用者基於資料流向進行覆蓋資料全生命週期的安全管理，實現資料全鏈路的安全保障，實現“資料在哪裡，安全在哪裡，安全跟著資料走”，基於安全運營與風險監控，實現資料資產全域可管、風險全域可視、策略全域聯動，促進資料安全治理的閉環形成，最終實現有序、快速響應的資料安全運營能力。

 

4 、“統籌發展與安全，促進以資料為關鍵要素的數字經濟發展”：

也就是美創科技在資料治理領域的實踐，根據美創資料治理“四定六步”法，幫助使用者從資料發現，資料歸集，資料清洗、資料建模開發、資料資產管理、資料應用與服務等方面，幫助資料安全合規使用，最終幫助使用者在確保資料安全合規的條件下，發揮資料要素價值，實現安全與發展兼顧，推動使用者更安全的實現資料驅動下的數字化轉型發展。

資料治理“四定六步”法

最後，王利強強調：DT時代，資料作為一種新型的生產要素，廣泛地應用在各類數字化場景中，面臨的威脅風險更加複雜多樣。實現資料安全能力的全方位提升，離不開清晰的全域性視角和成熟產品技術的保障，也離不開國家監管部門、行業主管單位、使用者單位和資料安全企業多方協作，共同推動資料分類分級、安全評估、重要資料識別等標準制定，實現我國資料安全治理水平持續提升。

——來自國家工信安全中心、對外經濟貿易大學、360集團、騰訊科技（深圳）有限公司、武漢東湖大資料交易中心、北京盈科律師事務所、北京煉石網路技術有限公司的專家代表參加此次會議。

 

美創科技在9月1日啟“政企資料安全建設諮詢”專項行動，致力於幫助政府企業資料安全建設無從下手、不知道如何開展的困難、幫助使用者實現場景化、結合業務的資料安全建設，歡迎合作諮詢。