自2019年起,天融信便与某电网客户携手开启了数据安全的实践之路。双方共同探索,天融信协助某电网持续完善数据安全体系建设,继2022年全国首批通过数据安全能力成熟度(Data Security Maturity Model,以下简称“DSMM”)三级认证后,再次取得突破,成为全国电力行业第一家通过DSMM四级认证的单位。
DSMM四级评估的重点在于“全面建立量化目标,实现安全过程的可度量”,即建立可测量的数据安全目标,确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础。项目整体建设中,天融信与客户一道,以DSMM模型为抓手,持续对标国标要求,全面推进数据安全治理和提升工作,最终顺利通过DSMM四级认证。
以数据安全量化控制为目标
整体提升企业内部安全性与合规性
DSMM认证能够全面且系统地引导企业构建起契合数字化转型需求的数据安全体系架构,精准地明确数据安全工作的各个关键环节与核心要点,有力地保障数据资产在全生命周期内的安全性、完整性与保密性。从DSMM三级到DSMM四级,可以说是从“充分定义”到“量化控制”的迈进。
DSMM四级认证围绕数据全生命周期,针对30个数据安全过程域,从组织建设、制度流程、技术工具、人员能力四大维度评估企业数据安全能力成熟度水平。天融信以数据安全量化控制为目标,帮助客户构建数据安全防护体系,采用PDCA循环的方式,从数据安全治理评估出发,结合天融信各项数据安全能力,帮助客户在组织建设、管理体系、防护能力、运营管控等过程中定位能力短板,及时补足提升,满足内外部监管要求。
加强组织建设
对标DSMM四级认证要求,天融信帮助客户进一步细化和优化组织架构,明确各部门和岗位的职责,建立覆盖各业务部门的数据安全领导小组,形成体系化的数据安全管理组织,有效平衡数据安全职能岗位与业务职能岗位的关系。
同时,天融信对企业的投入进行量化管理和评估,助力企业根据数据安全风险和业务需求,科学合理地分配资源,并对资源的使用效果进行监测和评估。比如,建立成本效益分析模型,评估每一项数据安全资源投入所带来的风险降低效果。
细化制度流程
依据DSMM四级认证要求,天融信给出整改和优化建议,确保企业制度流程更加精细和标准化,每一个流程环节都有明确、详细的操作指南和细则,最大程度地减少模糊性和不确定性,并执行定期更新。
基于丰富的数据安全建设经验,天融信协助客户建立了完整的数据安全指标体系,涵盖数据泄露风险指标、数据完整性指标、安全策略合规率等,借此对制度流程的执行效果进行精确评估和合理优化。同时,细化明确各类数据安全场景的审核流程,从审核的有效性和审核的效率层面充分考虑流程节点的制定。
改进技术工具
为了提高数据安全技术工具的智能化和自动化水平,天融信建议客户利用人工智能和机器学习等技术,自动分析敏感数据,并对安全风险进行智能化的监控。同时,确保技术工具具有很强的适应性和可扩展性,以便在数据量增长、新业务系统接入、网络架构调整等情况下,可灵活调整配置和防护策略。
经过长期数据安全建设,客户能够对技术工具管理的各项结果进行可视化展示,涵盖数据资产情况、数据存储访问和业务归属、数据分类分级及安全风险等方面。基于统一的数据安全技术平台,确保不同技术工具间具备高度集成性和协同性,可通过信息的实时共享和联动,实现协同分析和自动响应。同时,基于完整的性能评估指标体系,细化评估技术工具效果。
提升人员能力
综合分析客户与DSMM四级认证要求的差距项后,天融信给出数据安全职能绩效量化建议,对数据安全职能的运行效果以量化指标的形式进行定期衡量,并根据量化结果优化调整数据职能岗位的设置。
同时,经过长期建设和优化,客户对人员数据安全能力进行量化评估,建立了一套完整的数据安全能力评估指标体系,涵盖知识、技能、意识等多个维度。对于重要岗位,在数据安全技能方面,设定具体的操作任务,衡量员工完成任务的质量和效率。
“十四五”以来,国家出台了《关于加快推进能源数字化智能化发展的若干意见》等一系列新政策,明确提出要加快能源产业与数字技术融合发展,推动数字技术在电网等能源领域的广泛应用,以实现能源系统的智能化升级。在电网数字化转型进程中,数据安全已然成为不可或缺的重要支撑要素。天融信将在数据安全领域继续扎实实践,携手产业链上下游合作伙伴,共同为各行业数字化、智能化转型筑牢安全底座。
本文作者可以追加内容哦 !
