天融信：構建常態化治理、持續性改進的數據安全閉環

12月16日，2021網絡安全創新發展高峰論壇在北京成功舉行。論壇旨在圍繞數據安全、關鍵信息基礎設施保護、零信任等方面的議題，搭建對話、溝通和合作平臺，探討技術發展趨勢，解讀政策法規，為保障我國關鍵信息基礎設施、重要網絡和數據安全貢獻力量。天融信科技集團數據安全咨詢專家鐘誠在圓桌對話環節圍繞“兩法一條例”頒布對數字經濟的影響，與參會嘉賓展開討論。

天融信數據安全咨詢專家鐘誠（左二）發言

近年來，互聯網、大數據、云計算、人工智能、區塊鏈等技術加速創新，日益融入經濟社會發展各領域全過程，數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有，正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。今年，《數據安全法》《個人信息保護法》相繼頒布，這既與我國數字經濟蓬勃發展的現實需要相匹配，也是對近年來在網絡安全、數據安全、個人隱私保護等熱點問題上法律缺失的有力回應。

鐘誠提出，《數據安全法》的出臺從國家立法層面，建立起數據安全法律的頂層架構。隨著更多相關規范制度相繼出臺，數據安全治理技術手段和服務體系應因時因地制宜，完善數據分類分級，充分考量數據安全治理中安全責任、風險評估等問題，建立常態化治理、持續性改進的數據安全閉環體系，從而提升國家整體數據安全治理能力，創造更健康、可靠的數據安全環境。

從業務實際出發 因地制宜實行數據分類分級

《數據安全法》和《個人信息保護法》的實施給行業發展帶來挑戰，主要問題在于原有的網絡安全管理方式需適應數據安全管理的要求，其次是如何在使用場景中保護更重要的數據。由于不同行業、不同企業間業務的差異性，為建立統一的數據分類分級標準帶來較大難度，數據分類分級方法需根據實際情況制定。目前比較公認的是四級分級，根據業務、合規等因素進行區分，通過數據安全治理來界定、判斷、標定及保護數據，并協調數據安全與網絡安全的關系，以等級保護為基礎，將網絡安全防護措施與數據安全管控需求相統一。

從數據安全治理出發 著重關注數據安全的難點

隨著《數據安全法》的落地，數據安全與業務貼合越加緊密，用戶的需求已經由單一產品轉變為整體數據安全需求。從數據治理角度出發，應該重點關注數據安全責任、風險評估等問題，尤其是作為數據安全難點的風險評估，應通過識別業務場景、數據處理活動特點、分析風險偏好等，結合數據的價值或分級，以及相關脆弱性信息進行科學判斷，并在此基礎上，結合數據流動、變化、有范疇和時效性的特點及時進行調整。

從數據安全閉環建設出發 數據安全治理與運營相配合

未來數據安全體系建設需著重考慮數據安全建設的閉環問題，常態化治理、持續性改進，做好數據安全治理與數據安全運營的配合，形成治理和運營的數據交互、改進的閉環，例如治理環節的風險清單和策略應運用到運營環節，同時運營環節的成果也可以為治理環節提供依據；另外作為安全咨詢提供商，應該把工作重點從文檔交付轉變為能力交付，助力用戶建立安全機制、提供培訓和實訓等，做好數據安全賦能。

此外，大會公布了由《信息安全研究》雜志社評選的2019~2020年度優秀論文獲獎名單，天融信《大數據平臺數據安全防護技術》成功入選。論文從大數據安全面臨的安全風險及現狀，闡述了大數據平臺的安全防護思路與當前可行的數據安全保護技術。

早在2012年，天融信就已著力研發數據安全全系列產品，并率先提出“以數據為中心的安全建設體系”建設思路，是國內最早一批布局數據安全的網絡安全企業。同時，天融信也是注冊數據安全治理專業人員認證（CISP-DSG）的獨家運營機構，持續為國家培養和輸出數據安全專業人才。近日，中國信息通信研究院開展的數據安全能力評測中，天融信數據安全智能管理平臺達到進階級產品能力，這是繼首批通過基礎級認證后，再次首批獲得權威認證。

基于多年數據安全領域經驗積累， 天融信創新提出涵蓋數據安全治理評估、數據安全組織結構建設、數據安全管理制度建設、數據安全技術保護體系建設、數據安全運營管控建設及數據安全監管建設的“六步走”數據安全保障體系建設思路，目前已在政府、能源、運營商等行業實現規模化實踐落地。