CCIA技術沙龍 | “資料安全風險評估及安全服務實踐” 沙龍成功舉辦

2022年12月8日，由中國網路安全產業聯盟（CCIA）主辦、CCIA資料安全工作委員會支援、杭州美創科技股份有限公司承辦的“資料安全風險評估及資料安全服務實踐”主題技術沙龍成功舉辦。

 

當前，我國數字經濟快速發展、數字化轉型持續深入，促進資料要素依法有序流動，資料安全已是事關國家安全和經濟社會發展的重大議題。而隨著數字化的發展，資料安全正在面臨更高的要求和更大的威脅挑戰，體系化的資料安全建設，不僅僅是產品技術建設支撐，作為安全建設中必不可少的內容，資料安全服務也日益受到業界關注。對此，本期沙龍聚焦資料安全評估、資料安全運營等資料安全服務，國家網際網路應急中心、美創科技、數安行專家代表共同探討分享相關方案與實踐。本次沙龍也是中國網路安全產業聯盟“CCIA技術沙龍”系列活動之一。

 

 

中國網路安全產業聯盟副秘書長許玉娜表示，資料安全所面臨風險和威脅的多樣性、多變性使得我們的處置方法和應對策略，已經不能再依靠單一的產品來完成和解決，以資料安全諮詢規劃、分類分級、資料安全評估、安全運營為主的資料安全服務正在成為提升資料安全能力的重要手段。中國網路安全產業聯盟一直為聯盟會員搭建溝通、交流、合作的平臺，也衷心地希望各會員單位與聯盟共同探索現階段資料安全面臨的問題與挑戰，讓資料安全在企業數字化和產業化轉型中進一步發揮更強大的中堅力量。

 

隨後，各位專家代表進行主題分享，並與線上聽眾開展了熱烈討論。

 

 

國家網際網路應急中心

《開展資料安全風險評估，促進資料要素有序流通》

 

從為什麼需要開展，如何開展資料安全風險評估進行詳細分享，國家網際網路應急中心高階工程師林星辰錶示，資料安全風險評估是建立資料要素有序流通的重要手段之一，是行業主管監管部門依法行政的重要抓手，也是企業合法合規利用資料的機制保障。開展資料安全風險評估工作，應以《資料安全法》等法律法規及行業標準為依據，確定需開展資料安全的場景，以資料資產為評估物件，以發現資料處理活動中的風險為主要目的，從邏輯維度（如計算環境安全、資料自身安全、合法合規的行為要求等）、資料處理活動維度（如資料收集、儲存、使用、加工等）綜合研判分析。在資料安全風險評估工具使用上，林星辰介紹，目前市面上已有諸如資料資產探測工具、資料分類分級工具、資料介面探測工具等，單位組織可結合自身需求場景選擇適當的方法與工具。

 

 

杭州美創科技股份有限公司

《資料安全服務及案例實踐》

 

 

當前，數字化業務的開展、資料流動共享、威脅形勢、合規要求的極大變化，帶來資料安全保護工作的顛覆性轉變，大大增加了資料安全建設工作的複雜性。政企機構面臨諸多痛點難題，對資料安全的需求不僅僅是產品技術實現有效防護，更對前期規劃及後期資料運維、安全運營服務提出更高的需求，美創科技以治理諮詢、安全運維及資料運營三大服務體系構築“知、建、管”三位一體的資料安全閉環服務，切實幫助使用者有效開展資料安全建設，持續提升資料安全能力，如資料安全建設初期，美創科技提供整體資料安全治理諮詢，以及資料分類分級、資料跨境安全評估、資料安全風險評估、個人資訊風險評估在內的專項諮詢服務，著眼解決使用者存在的資料安全“需求不明確、責任不清晰、管理不規範、建設不匹配”等一系列問題。同時，美創科技資料安全諮詢服務團隊負責人王彥翔結合案例實踐詳細分享美創科技資料安全服務的整體方案路徑。

 

 

北京數安行科技有限公司

《基於DataSecOps的資料安全合規防護體系建設》

 

 

數字化轉型程式中，面向網路和系統邊界的傳統資料安全防護方案，很難應對資料流動過程中的合規及未知的攻擊竊取風險，這需要將資料防護措施從傳統的邊界攔截延展到資料運營全流程。對此，數安行CTO苑海彬提出DataSecOps資料運營安全防護理念，核心思想強調資料全生命週期流轉運營過程中的內嵌安全屬性，以全鏈路資料識別和跟蹤、輕量化自適應防護、全流程風險監測評估為三大核心，重點圍繞資料識別與資料流對映、保護自動化、風險持續監控、資料安全合規評估等四個方面進行資料安全體系建設。透過DataSecOps的防護理念，可以更全面地識別資料，更有效地保護重要資料，更早地識別風險，打破業務、IT以及資料安全團隊的溝通界限，從而整體上降低資料安全建設成本，提升資料安全建設收益。

 

本次聚焦“資料安全風險評估及資料安全服務實踐”主題的沙龍，多位專家暢所欲言、各抒己見，提出了許多真知灼見，也為政企開展資料安全風險評估和資料安全服務建設提供了開闊的思路和寶貴的經驗，希望有更多的企業能夠享受資料安全服務建設所帶來的益處。今後，中國網路安全產業聯盟也將繼續加強會員單位間的合作和服務，為各界提供一個開闊視野、拓寬思維的交流平臺。