構建技術與管理并重的能力體系——2023數據安全技術創新與管理認證研討會召開

2023年3月16日，由安全牛主辦的2023數據安全技術創新與管理認證研討會在北京圓滿落幕，近百位甲方用戶單位代表和網絡安全廠商代表齊聚一堂，從數據安全技術的建設應用、管理認證和創新發展等視角，剖析當前國內數據安全行業的應用需求和發展現狀，并展望數據安全技術的發展演進趨勢。超過三千人次嘉賓在線觀看會議直播。

安全牛總編輯 陳偉

安全牛總編輯陳偉在會議致辭時表示：保障數據安全已經成為了國家和企業的共同責任。在過去的幾年里，國家相關部門出臺了一系列數據安全相關法規和標準，如《網絡安全法》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》這“三法一條例”的陸續發布，從國家到社會與個人已經逐步形成了加強數據安全保護的態勢。但是，企業組織要想獲得更好的數據安全防護水平，還需要建立技術與管理并重的數據安全管控體系，從數據安全的規劃、治理機制、生命周期管理、技術應用、日常運營、評估認證等多方面組織開展綜合能力建設。同時，為確保數據安全技術防線的有效運轉，企業組織需要建立的數據安全管理體系，并探討用自動化手段提升數據安全管理效率的途徑。

中國網絡安全審查技術與認證中心 程瑜琦

在2022年，國家市場監督管理總局和國家互聯網信息辦公室聯合發布了“關于開展數據安全管理認證工作的公告”和”關于實施個人信息保護認證的公告“，在數據安全與個人信息保護領域引起較大的反響。本次研討會也特別邀請到中國網絡安全審查技術與認證中心網絡安全審查二部專家程瑜琦，從數據安全認證的背景、認證依據、實施規則和流程、企業申報準備等方面，進行了詳細的介紹和解讀。程瑜琦表示：建立針對數據安全管控體系建立認證評價機制，是推進各類組織數據安全工作標準化、制度化、常態化的重要手段。由于政企組織的數據敏感性和管理的復雜性，因此各類企業機構應積極響應國家主管部門的審查要求，盡快開展數據安全管理的認證工作，以促進數據安全管理體系的建立與健全。

某金融保險集團科技中心信息安全部 王巖

在數字經濟時代，數據已成為推動廣大金融企業快速發展的新血液。而踐行數據安全發展觀，不斷提升數據安全防護能力，則是加快金融組織數字化轉型步伐的關鍵環節。在本次會議中，國內某大型保險集團科技中心信息安全部專家王巖分享了《大數據背景下企業構建數據安全體系的挑戰與思考》。根據日常工作實踐總結，王巖為金融機構的數據安全能力優化提出了4點思考和建議：

• 數據安全管理是金融機構數據資產管理的重要組成部分，無論是制定數據標準、形成元數據、設計主數據，還是在對外數據共享時，均應考慮變化對數據安全影響與挑戰；
• 對應用系統前端的數據安全防護應以業務部門為驅動，優先從系統權限角度尋找安全解決方案；
• 大量實踐表明，金融機構應細化數據運維人員的職責與責任場景，并基于職責與場景進行授權，才能保障運維側數據的長治久安；
• 做好終端數據安全防護很重要，不僅要能夠實現系統運營時的問題收集與分析，還有能夠根據實際業務場景變化及時優化調整安全管控措施。

在新一代數據安全技術創新與應用實踐研討環節，美創科技數據安全產品專家高宇萍以《數據流轉防護落地實踐》為題、上海觀安信息技術股份有限公司數字安全部總經理劉德林以《數字中國建設背景下的數據安全治理實踐》為題、綠盟科技數據安全解決方案架構師葉孫木以《數據安全管控平臺實踐和展望》為題、谷安天下咨詢審計業務合伙人張兵以《企業級數據安全防護體系建設實踐》為題，分別進行了主題分享。

美創科技數據安全產品專家 高宇萍

高宇萍表示：數據是在流轉和使用的過程中才能真正體現出價值。然而在整個數據安全生命周期中，數據流轉階段也是數據安全事故頻發重災區。對于企業用戶而言，如何有效應對數據流轉過程中產生的一系列安全問題，已成為數據安全建設的重要命題。美創科技致力于研究覆蓋企業數據生命周期全過程的安全防護機制，幫助客戶進行數據安全合規建設、業務流轉、數據流轉梳理、數據安全評估以及數據安全運營建設，以整體規劃、技術方案和運營管理等多層次融合，提升用戶的數據流轉和使用安全性。

觀安信息數字安全部總經理 劉德林

劉德林表示：數字中國建設需要網絡安全行業全方位的支撐與保障，以應對多變、復雜的網絡攻擊和數據安全威脅。企業數據安全治理體系框架要遵循數據安全原則，以數據安全分級為基礎，建立覆蓋數據生命周期全過程的安全防護體系。觀安建議企業開展數據安全治理建設時，可以參考以下關鍵步驟，第一：建立數據安全組織架構，加強數據安全管控領導；第二：完善數據安全管理體系，建立數據全流程管控機制；第三：實施數據安全風險評估，摸清機構風險現狀；第四：數據分類分級是一個閉環管理過程，應該制定數據分級保護策略，提升重要數據保護水平；第五：落實審計與監督，形成安全管控閉環機制。

綠盟科技數據安全解決方案架構師 葉孫木

葉孫木表示：隨著針對數據的攻擊活動不斷增加，僅部署單點數據安全產品已經難以應對持續的數據安全風險，企業組織需要實現更加體系化的數據安全能力，對數據處理全流程進行監管和防護。綠盟科技以“數據安全管控平臺 + 流量探針”建設為基礎，持續幫助企業用戶開展新一代數據安全運營能力建設，通過以平臺建設為抓手，可對企業用戶的數據安全情況進行全局掌握，實現數據資產情況“可知”、數據安全運營情況“可視”，數據安全風險“可控”。

谷安天下咨詢審計業務合伙人 張兵

張兵表示：基于數據安全防護的整體視角，企業組織應該從數字化轉型背景下的數字風險、管控要求和風險治理的框架方法三方面出發，由表入里，結合企業實際發展情形，構建數據安全風險的三道防線。第一道防線是數據安全治理的科技手段；二道防線是數據安全風險、內控與合規管理；三道防線是數據安全的審計管理，需要引進先進技術工具開展實質性審計，并通過互聯網暴露面安全風險評估工具，發現已經泄露的敏感數據。

在本次研討會上，安全牛還聯合美創科技、觀安信息、綠盟科技、天融信、億賽通、奇安信、閃捷信息、瑞數信息8家國內數據安全領域代表性廠商，共同發布《數據安全管理認證建設指引》與《數據安全管控平臺應用指南》兩本重磅研究報告，通過用戶訪談、企業調研和案例研究，為廣大政企用戶更好開展新一代數據能力建設與技術應用提供幫助和參考。