天融信：构建常态化治理、持续性改进的数据安全闭环

12月16日，2021网络安全创新发展高峰论坛在北京成功举行。论坛旨在围绕数据安全、关键信息基础设施保护、零信任等方面的议题，搭建对话、沟通和合作平台，探讨技术发展趋势，解读政策法规，为保障我国关键信息基础设施、重要网络和数据安全贡献力量。天融信科技集团数据安全咨询专家钟诚在圆桌对话环节围绕“两法一条例”颁布对数字经济的影响，与参会嘉宾展开讨论。

天融信数据安全咨询专家钟诚（左二）发言

近年来，互联网、大数据、云计算、人工智能、区块链等技术加速创新，日益融入经济社会发展各领域全过程，数字经济发展速度之快、辐射范围之广、影响程度之深前所未有，正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。今年，《数据安全法》《个人信息保护法》相继颁布，这既与我国数字经济蓬勃发展的现实需要相匹配，也是对近年来在网络安全、数据安全、个人隐私保护等热点问题上法律缺失的有力回应。

钟诚提出，《数据安全法》的出台从国家立法层面，建立起数据安全法律的顶层架构。随着更多相关规范制度相继出台，数据安全治理技术手段和服务体系应因时因地制宜，完善数据分类分级，充分考量数据安全治理中安全责任、风险评估等问题，建立常态化治理、持续性改进的数据安全闭环体系，从而提升国家整体数据安全治理能力，创造更健康、可靠的数据安全环境。

从业务实际出发 因地制宜实行数据分类分级

《数据安全法》和《个人信息保护法》的实施给行业发展带来挑战，主要问题在于原有的网络安全管理方式需适应数据安全管理的要求，其次是如何在使用场景中保护更重要的数据。由于不同行业、不同企业间业务的差异性，为建立统一的数据分类分级标准带来较大难度，数据分类分级方法需根据实际情况制定。目前比较公认的是四级分级，根据业务、合规等因素进行区分，通过数据安全治理来界定、判断、标定及保护数据，并协调数据安全与网络安全的关系，以等级保护为基础，将网络安全防护措施与数据安全管控需求相统一。

从数据安全治理出发 着重关注数据安全的难点

随着《数据安全法》的落地，数据安全与业务贴合越加紧密，用户的需求已经由单一产品转变为整体数据安全需求。从数据治理角度出发，应该重点关注数据安全责任、风险评估等问题，尤其是作为数据安全难点的风险评估，应通过识别业务场景、数据处理活动特点、分析风险偏好等，结合数据的价值或分级，以及相关脆弱性信息进行科学判断，并在此基础上，结合数据流动、变化、有范畴和时效性的特点及时进行调整。

从数据安全闭环建设出发 数据安全治理与运营相配合

未来数据安全体系建设需着重考虑数据安全建设的闭环问题，常态化治理、持续性改进，做好数据安全治理与数据安全运营的配合，形成治理和运营的数据交互、改进的闭环，例如治理环节的风险清单和策略应运用到运营环节，同时运营环节的成果也可以为治理环节提供依据；另外作为安全咨询提供商，应该把工作重点从文档交付转变为能力交付，助力用户建立安全机制、提供培训和实训等，做好数据安全赋能。

此外，大会公布了由《信息安全研究》杂志社评选的2019~2020年度优秀论文获奖名单，天融信《大数据平台数据安全防护技术》成功入选。论文从大数据安全面临的安全风险及现状，阐述了大数据平台的安全防护思路与当前可行的数据安全保护技术。

早在2012年，天融信就已着力研发数据安全全系列产品，并率先提出“以数据为中心的安全建设体系”建设思路，是国内最早一批布局数据安全的网络安全企业。同时，天融信也是注册数据安全治理专业人员认证（CISP-DSG）的独家运营机构，持续为国家培养和输出数据安全专业人才。近日，中国信息通信研究院开展的数据安全能力评测中，天融信数据安全智能管理平台达到进阶级产品能力，这是继首批通过基础级认证后，再次首批获得权威认证。

基于多年数据安全领域经验积累， 天融信创新提出涵盖数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设及数据安全监管建设的“六步走”数据安全保障体系建设思路，目前已在政府、能源、运营商等行业实现规模化实践落地。