近日,以“數(shù)字驅(qū)動,助推智慧能源創(chuàng)新發(fā)展”為主題的第三屆能源企業(yè)數(shù)字化創(chuàng)新發(fā)展論壇在北京成功舉辦。美創(chuàng)科技北京中心技術(shù)總監(jiān)李航進行《數(shù)字化轉(zhuǎn)型下的數(shù)據(jù)安全治理實踐》主題演講,為能源企業(yè)構(gòu)建扎實的數(shù)據(jù)安全防護能力帶來新思路。
圖:美創(chuàng)科技北京中心技術(shù)總監(jiān)李航
今年3月,國家發(fā)展改革委、國家能源局印發(fā)《“十四五”現(xiàn)代能源體系規(guī)劃》,文件指出:要加快能源產(chǎn)業(yè)數(shù)字化智能化升級,推動能源基礎(chǔ)設(shè)施數(shù)字化。同時要完善能源風險應急管控體系,強化重要能源設(shè)施、能源網(wǎng)絡(luò)安全防護。
能源行業(yè)是國民經(jīng)濟基礎(chǔ)性行業(yè),能源安全是國家安全的重要組成部分,任何的數(shù)據(jù)泄露都可能會帶來無法預估的損失。然而隨著新興技術(shù)入局,數(shù)據(jù)作為核心生產(chǎn)要素,逐漸集中、訪問邊界更加開放、使用方式越發(fā)復雜、數(shù)據(jù)權(quán)責已經(jīng)分離,遭受安全威脅的暴露面不斷增加,形勢更為嚴峻。
但目前,能源企業(yè)數(shù)據(jù)安全建設(shè)過程中普遍存在以下問題:
數(shù)據(jù)分類分級難開展
能源企業(yè)數(shù)據(jù)規(guī)模龐大結(jié)構(gòu)復雜,如何認定重要數(shù)據(jù)和核心數(shù)據(jù),如何準確掌握資產(chǎn)情況,進行分類分級和常態(tài)化運營管理,成本高、周期長、準確率低是一大難點。
數(shù)據(jù)資產(chǎn)難確權(quán)
能源企業(yè)數(shù)據(jù)資產(chǎn)使用復雜, IT部門、業(yè)務部門、安全部門等多方均會接觸到數(shù)據(jù),數(shù)據(jù)的所有權(quán),使用權(quán),安全責任等難清晰劃分。
數(shù)據(jù)跨境流動風險難防范
數(shù)據(jù)跨境流動安全風險復雜交織,在監(jiān)管方數(shù)據(jù)跨境要求未明晰的情況下,如何開展數(shù)據(jù)安全合規(guī)自查自糾,是一項亟待解決的問題。
傳統(tǒng)的信息安全建設(shè)無法覆蓋現(xiàn)有的數(shù)據(jù)安全問題,因此能源企業(yè)需要數(shù)據(jù)安全治理思路體系化夯實安全防護能力。
能源企業(yè)數(shù)據(jù)安全治理實踐路徑
基于十余年積累,美創(chuàng)以Gartner DSG、DSMM數(shù)據(jù)安全能力成熟度模型、Gartner CARTA、等保2.0以及零信任2.0數(shù)據(jù)安全架構(gòu)為參考模型,沉淀總結(jié)出適合能源企業(yè)的數(shù)據(jù)安全治理實踐路徑,并在實踐中不斷優(yōu)化,有效落地。
圖:美創(chuàng)數(shù)據(jù)安全治理實踐路徑
組織現(xiàn)狀識別 發(fā)現(xiàn)問題制定計劃
通過專業(yè)咨詢團隊+自動化數(shù)據(jù)發(fā)現(xiàn)和分類分級工具,對企業(yè)系統(tǒng)架構(gòu)、業(yè)務流程及網(wǎng)絡(luò)拓撲進行梳理,明確敏感數(shù)據(jù)有哪些、都存儲在哪里、流轉(zhuǎn)情況如何,最終形成數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)流向圖及數(shù)據(jù)權(quán)限清單。
從合規(guī)和能力兩個角度出發(fā),對組織數(shù)據(jù)安全現(xiàn)狀進行分析(如基礎(chǔ)風險評估、安全能力差距評估、合規(guī)評估等),并依據(jù)組織對風險的容忍度,給出處置建議。從而摸清底數(shù)、明確權(quán)責、制定計劃,為數(shù)據(jù)安全保護奠定基礎(chǔ)。
安全體系建設(shè) 需求分析解決問題
在合規(guī)目標的指導下,結(jié)合組織現(xiàn)狀、數(shù)據(jù)分類分級結(jié)果、進行符合企業(yè)實際業(yè)務場景的數(shù)據(jù)安全建設(shè)。包括:
管理體系建設(shè) :完整合理的組織架構(gòu)、人員配置,以此確保相關(guān)工作的落地執(zhí)行,定義決策層、管理層、監(jiān)督層、執(zhí)行層的安全職責及動態(tài)協(xié)同機制。依據(jù)法規(guī)政策、參考ISO框架、DSMM模型完成制度規(guī)范建設(shè)。
技術(shù)體系建設(shè) :以數(shù)據(jù)安全管理平臺為中心,基于分類分級結(jié)果,對安全產(chǎn)品的有效性和合理性進行充分評估,提出指導意見,進行前期的安全策略設(shè)計,并借助相應的安全能力(數(shù)據(jù)脫敏、數(shù)據(jù)庫透明加密、數(shù)據(jù)庫審計等)進行落地,以實現(xiàn)數(shù)據(jù)安全策略聯(lián)動管控,1+1大于2的效果。
治理成效評估 檢查驗證評估效果
基于前期建設(shè)效果進行檢驗評估,通過這一階段徹底杜絕“不知道、不合理、不執(zhí)行”的現(xiàn)象,進而達到持續(xù)優(yōu)化數(shù)據(jù)安全管理體系的目的。
過程跟蹤 :制度、流程正式發(fā)布后,涉及崗位人員在日常工作中對流程有效性、合理性進行檢驗,并提出改進建議。
成果反饋 :通過安全檢查、風險評估、攻防演練、網(wǎng)絡(luò)安全周等活動對組織架構(gòu)、制度流程、技術(shù)工具和人員能力進行檢驗。
體系化完善 固定成績問題總結(jié)
數(shù)據(jù)安全需要持續(xù)構(gòu)建、不斷改進、提升防護效果,數(shù)據(jù)安全運營是必不可少的一環(huán),需要將數(shù)據(jù)安全納入組織現(xiàn)有的信息安全管理體系中,同時從數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全風險監(jiān)測、數(shù)據(jù)安全事件應急管理、數(shù)據(jù)安全審計等方面來建設(shè)以資產(chǎn)為核心的數(shù)據(jù)安全運營體系。定期對現(xiàn)有的數(shù)據(jù)安全能力進行審視,發(fā)現(xiàn)存在不足進行相應處置,最終達到持續(xù)提升數(shù)據(jù)安全能力這一目標。
能源安全無小事,數(shù)據(jù)安全本身的復雜性以及數(shù)據(jù)安全產(chǎn)品的碎片化導致數(shù)據(jù)安全建設(shè)落地的難度比較大,因此要有體系化思維,系統(tǒng)化作戰(zhàn),這也是能源企業(yè)未來數(shù)字化進程中應具備的基本能力,美創(chuàng)基于沉淀的治理經(jīng)驗和產(chǎn)品能力,提供更為專業(yè)、全棧的產(chǎn)品與服務,助力能源企業(yè)數(shù)據(jù)更安全!
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!