企业可以从哪些方面提升数据资产防护能力?政策起草组专家+联通数科告诉你
7月21日,《蝶·变 聊透数字化转型》系列公益直播第一季在点亮智库视频号、中信联视频号等圆满收官。当日的第10期直播中,在国联股份高级副总裁张健的主持下,国家工业信息安全发展研究中心保障技术所所长李俊与来自联通数字科技有限公司的企业实践和解决方案专家们,共同就《工业和信息化领域数据安全管理办法(试行)》进行了讨论和分享,吸引了5000+人次的观众实时观看和参与。全场金句不断,干货满满,快来看看吧:
数据作为一种新型生产要素,已成为数字经济时代的核心战略资源和企业的重要资产。当前以勒索软件为代表的数据安全事件在企业中频繁发生。对企业数据安全应急能力提出了挑战。新形势下,企业,尤其是工业和信息化领域的企业,在数据的高效利用方面,还存在哪些挑战?如何保护企业自身的技术秘密?可以从哪些方面提升安全防护能力?
7月21日,国家工业信息安全发展研究中心保障技术所所长李俊、联通数字科技有限公司数字企业解决方案专家李宏发、联通数字科技有限公司高级咨询顾问李祺岩、联通数字科技有限公司数据智能事业部技术总监张松峰等,在国联股份高级副总裁张健的主持下,从政策解读、案例分析、解决方案等不同维度,分享了自己的思考和见解。
政策详解
首先,李俊所长对《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)进行了全面介绍,并详细解读了重要条款。
他介绍到,《管理办法》共八章四十一条,通过明确监管范围、监管机构、分级分类、重要数据备案管理、数据全生命周期安全管理、监测预警与应急管理、检测评估与认证管理、监督检查等重点内容,构建形成工业和信息化领域数据安全管理框架。
其中,数据分级分类管理部分提出数据分级分类方法、重要数据备案管理要求;数据全生命周期安全管理部分明确了数据实际、存储等环节管理要求;数据安全监测预警与应急管理部分提出监测预警机制、信息上报和共享机制等;数据安全检测、认证、评估管理部分提出安全检测与认证、安全评估等。
企业在数据利用方面还存在3大挑战
在圆桌思辨环节,张松峰表示,数据作为一种新型生产要素,在企业数字化转型过程中起着非常重要的作用。但部分企业在数据利用方面还存在着一些障碍和挑战,主要表现为三个方面:
一是原始数据质量不高。数据要素要想高效流通,数据源头一定要准确,否则会直接影响到后续数据的使用效果。
二是数据家底摸不清。明确数据资源分布,理清数据资源来源,是开展数据要素利用的基础。没有系统性、整体性、体系化的数据资产盘点,连有多少系统、每个系统有哪些数据都不清楚,想谈论数据资产和数据要素利用,无异于盲人摸象。
三是数据共享流通比较困难。目前由于缺乏统一的数据标准和数据治理体系,导致数据共享和流通比较困难。根据2021年的一份企业数据治理报告,虽然多数企业有数据治理意识,但是有数据治理部门的比例小于25%。“这也反映了一点企业内部数据管理混乱的问题。”
他认为,虽然工业和信息化部、全国信息化标准委员会近几年相继颁发了一些数据领域的标准,但整体来看,有些企业对这些标准还是比较谨慎,害怕泄露自己的数据家底,这也在一定程度上限制了数据要素的流通。
李祺岩则从组织管理和流程治理的角度,对企业的数据利用提出了建议。他表示,联通内部会将标准数据的一些定义环节,问责到具体处室。由处室对数据的质量、数据资产、数据的应用、成效等进行评估。本着谁使用谁评价的原则,进行数据的全生命周期管理。每一个环节,都有相应的主责组织牵头相应工作。这是联通将数据由资源转变为资产的前提条件。
他认为,当企业原有的组织结构,难以满足新的生产力、数据、技术要素的配置和需求的时候,就必须以组织变革、流程再造为重点,进一步梳理体制机制的建设,使生产关系更加适应于企业生产力的发展。
“三防”保护企业技术秘密
对许多企业来说,工艺数据、配方数据、知识专利等技术秘密,很可能是生存的立身之本。数据的安全和防护是数据利用的基础。那么,企业要如何保护自己的重要和核心数据呢?
李宏发提出了“人防”、“物防”、“技防”三大措施。
“人防”,指的是通过管理制度,包括值班制度、安保制度、关键敏感数据的分级分类管理、数据接触人员的安全记录、操作规程培训等,将个人的利益或职业生涯规划与企业的数据安全挂钩,减少企业内部主动的、人为的数据泄露事件。
“物防”,指的是物理安全的防护,防止非授权人员接触到相关数据的实体设施,包括门禁、围栏等。
“技防”,指的是通过数字技术提高数据安全防护的手段。比如数据加密、身份认证、安全评估、审计追踪、入侵监测等。
他介绍,现在还有几个有趣的趋势。一个是“桌面云化”,或者说“零数据终端”,所有敏感数据都集中在云资源池里,终端通过授权登录之后才能查看、操作,关机后,本地硬盘相关数据自动清零,usb、打印机等外设的使用也被管控、限制。
另一个是工艺数据的分布式存储。比如有一个企业,流水线工艺流程分了四个工位,每个工位对应一个电子看板。4个工位的人员都确认到位了,电子看板上就会下发对应工位的作业指导书和三维演示,但如果有人离开了工位,4个电子看板都会暂停,以防止工艺流程的整体泄密。
四方面提升数据安全防护能力
李俊则认为,企业要做好数据安全工作,应该从四个方面来开展。
一是做好分类分级,识别数据保护重点。
二是加强数据全生命周期的安全防护。
三是要同步推进监管驱动和行业自律的数据安全评估,常态化开展自查自纠,固本强基。
四是要完善数据的安全监测预警和应急处置机制。做到预防为主,平战结合。
案例:联通的“三层三维”数据安全策略体系
张松峰介绍,联通内部十分重视数据安全工作,提出了“安全合规是生命线,安全事件零容忍,敏感数据不出门”三大安全原则,并构建了全链条的自主可控的大数据安全体系。
具体来说,在安全策略方面,建立起了“三层三维”的数据安全策略体系。三层,指的是一级大纲、二级办法、三级细则。三维,是要明确数据安全管理的范围,包括基础安全的管理、数据安全的管理,以及业务安全的管理。其中,数据的分级分类是整个安全工作的基础。
在安全技术方面,从数据脱敏、数据加密、安全网关、数据追踪溯源、安全审计等方面,实现从数据采集、数据传输、数据存储、数据使用,到数据发布、数据销毁的数据全生命周期安全管理。
同时,充分融合区块链、多方隐私计算等技术,实现在安全合规数据不出门的前提下,联合数据的建模和应用。
在数据安全运营方面,创新性地提出从点到线到面,三维地对整个数据全生命周期安全防护情况开展评估,及时发现薄弱环节,并指导持续优化安全保障体系。
更多精彩回顾
此外,在当天的直播中,李宏发还结合舟山绿色石化基地的数字化转型实践,分享了化工园区的安全生产经验。他表示,园区已成为产业经济数字化发展的主要载体,我国目前已有重点化工园区616家,产值超千亿的超大园区17家。智慧化工园区建设成为专业园区建设的发力点。
李祺岩则分析了当前企业数据安全管理的3大痛点,缺少一套制度来指导构建安全体系、缺少一套安全平台来监督数据全生命周期、缺少一套数据安全运营机制来持续保持数据安全监管与检查的常态化和有效性,并分享了联通数科的相关解决方案。
更多精彩内容,扫码加入社群即可免费获取。参与群内活动,还有机会免费获取点亮人才数字化转型培训平台(peixun.dlttx.cn)课程包、数字化转型最新资讯等多重福利!
马上扫码,加入社群
7月21日,《蝶·变 聊透数字化转型》系列公益直播第一季在点亮智库视频号、中信联视频号等圆满收官。当日的第10期直播中,在国联股份高级副总裁张健的主持下,国家工业信息安全发展研究中心保障技术所所长李俊与来自联通数字科技有限公司的企业实践和解决方案专家们,共同就《工业和信息化领域数据安全管理办法(试行)》进行了讨论和分享,吸引了5000+人次的观众实时观看和参与。全场金句不断,干货满满,快来看看吧:
数据作为一种新型生产要素,已成为数字经济时代的核心战略资源和企业的重要资产。当前以勒索软件为代表的数据安全事件在企业中频繁发生。对企业数据安全应急能力提出了挑战。新形势下,企业,尤其是工业和信息化领域的企业,在数据的高效利用方面,还存在哪些挑战?如何保护企业自身的技术秘密?可以从哪些方面提升安全防护能力?
7月21日,国家工业信息安全发展研究中心保障技术所所长李俊、联通数字科技有限公司数字企业解决方案专家李宏发、联通数字科技有限公司高级咨询顾问李祺岩、联通数字科技有限公司数据智能事业部技术总监张松峰等,在国联股份高级副总裁张健的主持下,从政策解读、案例分析、解决方案等不同维度,分享了自己的思考和见解。
政策详解
首先,李俊所长对《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)进行了全面介绍,并详细解读了重要条款。
他介绍到,《管理办法》共八章四十一条,通过明确监管范围、监管机构、分级分类、重要数据备案管理、数据全生命周期安全管理、监测预警与应急管理、检测评估与认证管理、监督检查等重点内容,构建形成工业和信息化领域数据安全管理框架。
其中,数据分级分类管理部分提出数据分级分类方法、重要数据备案管理要求;数据全生命周期安全管理部分明确了数据实际、存储等环节管理要求;数据安全监测预警与应急管理部分提出监测预警机制、信息上报和共享机制等;数据安全检测、认证、评估管理部分提出安全检测与认证、安全评估等。
企业在数据利用方面还存在3大挑战
在圆桌思辨环节,张松峰表示,数据作为一种新型生产要素,在企业数字化转型过程中起着非常重要的作用。但部分企业在数据利用方面还存在着一些障碍和挑战,主要表现为三个方面:
一是原始数据质量不高。数据要素要想高效流通,数据源头一定要准确,否则会直接影响到后续数据的使用效果。
二是数据家底摸不清。明确数据资源分布,理清数据资源来源,是开展数据要素利用的基础。没有系统性、整体性、体系化的数据资产盘点,连有多少系统、每个系统有哪些数据都不清楚,想谈论数据资产和数据要素利用,无异于盲人摸象。
三是数据共享流通比较困难。目前由于缺乏统一的数据标准和数据治理体系,导致数据共享和流通比较困难。根据2021年的一份企业数据治理报告,虽然多数企业有数据治理意识,但是有数据治理部门的比例小于25%。“这也反映了一点企业内部数据管理混乱的问题。”
他认为,虽然工业和信息化部、全国信息化标准委员会近几年相继颁发了一些数据领域的标准,但整体来看,有些企业对这些标准还是比较谨慎,害怕泄露自己的数据家底,这也在一定程度上限制了数据要素的流通。
李祺岩则从组织管理和流程治理的角度,对企业的数据利用提出了建议。他表示,联通内部会将标准数据的一些定义环节,问责到具体处室。由处室对数据的质量、数据资产、数据的应用、成效等进行评估。本着谁使用谁评价的原则,进行数据的全生命周期管理。每一个环节,都有相应的主责组织牵头相应工作。这是联通将数据由资源转变为资产的前提条件。
他认为,当企业原有的组织结构,难以满足新的生产力、数据、技术要素的配置和需求的时候,就必须以组织变革、流程再造为重点,进一步梳理体制机制的建设,使生产关系更加适应于企业生产力的发展。
“三防”保护企业技术秘密
对许多企业来说,工艺数据、配方数据、知识专利等技术秘密,很可能是生存的立身之本。数据的安全和防护是数据利用的基础。那么,企业要如何保护自己的重要和核心数据呢?
李宏发提出了“人防”、“物防”、“技防”三大措施。
“人防”,指的是通过管理制度,包括值班制度、安保制度、关键敏感数据的分级分类管理、数据接触人员的安全记录、操作规程培训等,将个人的利益或职业生涯规划与企业的数据安全挂钩,减少企业内部主动的、人为的数据泄露事件。
“物防”,指的是物理安全的防护,防止非授权人员接触到相关数据的实体设施,包括门禁、围栏等。
“技防”,指的是通过数字技术提高数据安全防护的手段。比如数据加密、身份认证、安全评估、审计追踪、入侵监测等。
他介绍,现在还有几个有趣的趋势。一个是“桌面云化”,或者说“零数据终端”,所有敏感数据都集中在云资源池里,终端通过授权登录之后才能查看、操作,关机后,本地硬盘相关数据自动清零,usb、打印机等外设的使用也被管控、限制。
另一个是工艺数据的分布式存储。比如有一个企业,流水线工艺流程分了四个工位,每个工位对应一个电子看板。4个工位的人员都确认到位了,电子看板上就会下发对应工位的作业指导书和三维演示,但如果有人离开了工位,4个电子看板都会暂停,以防止工艺流程的整体泄密。
四方面提升数据安全防护能力
李俊则认为,企业要做好数据安全工作,应该从四个方面来开展。
一是做好分类分级,识别数据保护重点。
二是加强数据全生命周期的安全防护。
三是要同步推进监管驱动和行业自律的数据安全评估,常态化开展自查自纠,固本强基。
四是要完善数据的安全监测预警和应急处置机制。做到预防为主,平战结合。
案例:联通的“三层三维”数据安全策略体系
张松峰介绍,联通内部十分重视数据安全工作,提出了“安全合规是生命线,安全事件零容忍,敏感数据不出门”三大安全原则,并构建了全链条的自主可控的大数据安全体系。
具体来说,在安全策略方面,建立起了“三层三维”的数据安全策略体系。三层,指的是一级大纲、二级办法、三级细则。三维,是要明确数据安全管理的范围,包括基础安全的管理、数据安全的管理,以及业务安全的管理。其中,数据的分级分类是整个安全工作的基础。
在安全技术方面,从数据脱敏、数据加密、安全网关、数据追踪溯源、安全审计等方面,实现从数据采集、数据传输、数据存储、数据使用,到数据发布、数据销毁的数据全生命周期安全管理。
同时,充分融合区块链、多方隐私计算等技术,实现在安全合规数据不出门的前提下,联合数据的建模和应用。
在数据安全运营方面,创新性地提出从点到线到面,三维地对整个数据全生命周期安全防护情况开展评估,及时发现薄弱环节,并指导持续优化安全保障体系。
更多精彩回顾
此外,在当天的直播中,李宏发还结合舟山绿色石化基地的数字化转型实践,分享了化工园区的安全生产经验。他表示,园区已成为产业经济数字化发展的主要载体,我国目前已有重点化工园区616家,产值超千亿的超大园区17家。智慧化工园区建设成为专业园区建设的发力点。
李祺岩则分析了当前企业数据安全管理的3大痛点,缺少一套制度来指导构建安全体系、缺少一套安全平台来监督数据全生命周期、缺少一套数据安全运营机制来持续保持数据安全监管与检查的常态化和有效性,并分享了联通数科的相关解决方案。
更多精彩内容,扫码加入社群即可免费获取。参与群内活动,还有机会免费获取点亮人才数字化转型培训平台(peixun.dlttx.cn)课程包、数字化转型最新资讯等多重福利!
马上扫码,加入社群
工作时间
