自《數據安全法》、《個人信息保護法》等法律法規出臺以來，數據安全治理，作為體系化提升數據安全保障能力的重要抓手，得到越來越多的重視，“具體該如何有效落地”也成為不少單位組織普遍關注的話題。

從率先推出數據安全治理咨詢服務，到在各行業實踐中完成從V1.0到V3.0版本的進化，美創科技以完善、流程化的方法路徑和自動化工具，持續推動數據安全治理在行業中有效落地。

為此，我們匯集了金融、政府、能源、制造四個行業案例實踐，分享數據安全治理落地過程，以供更多用戶參考。

PART1

金融行業

某金融機構數據安全治理項目

2021年，銀保監會開出第一張罰單，某銀行因涉及制卡數據違規明文留存、數據安全管理較粗放、存在數據泄露風險、互聯網門戶網站泄露敏感信息等六項問題，罰款數百萬元。

在金融行業數據安全監管整改力度逐漸加大的背景下，某金融機構數據安全體系化建設提上議程。但由于該機構場景眾多，內外部數據采集、數據共享交換、數據分析、數據上報等，安全風險各及其防護方案各不相同，先建設哪些，再建設哪些，缺少明確的規劃思路。

對此，基于金融行業數據安全需求，以“長短結合、充分利現、平穩過渡”為思路，美創科技提出適合該金融機構的數據安全治理路徑，方案包括：

數據安全制度規范

通過現狀調研與溝通，編寫符合該機構戰略和業務發展的數據安全制度體系，最終確定《數據安全管理制度》、《數據安全人員管理規范》、《數據安全應急響應管理制度》等制度，覆蓋數據全生命周期各階段，圍繞組織、流程、技術、人員等維度制定，為其組織數據安全管理上提供有力支撐。

合規性評估與安全風險評估

合規性評估和加固建議：聯合對標13項法規、條例，充分了解其數據安全合規情況，以規避可能存在的法律風險，做到“早發現、早處理”。該部分評估對相關法律法規條款逐一進行解讀、現狀描述，同時對每個條款衍生或關聯的相關法律、法規、標準和指南等內容進行標識，最后針對存在的風險提供建議。

數據全生命周期評估和加固建議：結合實際情況，從技術和管理兩個維度，涵蓋數據生命周期風險評估和數據基線及漏洞評估，基于訪談和工具分析現有的數據安全風險，最終得出當前數據業務的安全風險總體情況，并以GAP圖清晰展示，提供安全加固建議。

數據安全建設規劃

數據安全建設規劃依照前期數據安全咨詢項目的評估差距進行補足，著眼于數據全生命周期安全，針對不同的階段提供技術加固方案，考慮到用戶數據安全建設的緊迫性，分為短期和長期建設規劃，包括數據安全防護可用的產品或技術手段、建設周期、先后順序，以及建設完成后差距評估，為其明確數據安全規劃建設之路。

交付物清單包括

PART2

政府行業

某大數據局數據安全分類分級項目

數據分類分級是數據安全治理必不可少的環節和首要工作，2021年，某省大數據局印發《公共數據分類分級指南》（試行），要求各個大數據局按照規范對數據分類分級，并要求對數據進行分級管理。

作為分類分級指南的試點單位，基于省大數據局下發的規范文件，美創科技為某市大數據局提供數據分類分級解決方案，通過自動化工具（暗數據發現與分類分級系統）+人工的方式幫助其進行人口綜合庫數據梳理和分類分級。

美創暗數據發現與分類分級落地流程

分類分級標準梳理

結合《公共數據分類分級指南》、《人口綜合庫數據規范》、《信息安全技術 個人信息安全規范》等規范，對該市大數據局的人口庫進行梳理，形成《市大數據局數據分類分級參考規范》，并將標準內置到分類分級工具中。

數據資產發現

通過暗數據發現產品提前配置好人口庫的分類分級及發現模版，對所在的數據庫開展資產發現作業，實現自動化的數據業務類型識別，對數據含義進行標識。

數據安全建設規劃

在業務類型識別基礎上完成對人口庫數據的分類分級，通過工具進行標簽管理，并生成可視化的分類分級報告。

最終完成并交付如下內容：

交付物清單

• 識別人口庫敏感數據，包括：姓名、地址、出生日期、身份證號、手機號碼等個人敏感信息。

• 通過自動化工具大幅提高分類分級效率，總計分類超過30個類別，包括個人自然信息、個人資產信息、社會活動信息、個人家庭信息等。

• 分類分級結果通過可視化報告展示，包括敏感數據分布和占比、業務類型數量排序、不同分類的數據量對比等信息，有序展現，一目了然。

• 資產發現和分類分級的結果可通過標準接口的方式，對接安全產品和大數據局其他數據資源管理平臺，完成對數據資產的安全訪問和高效管理。

PART3

能源行業

某大型能源集團數據安全治理項目

該某大型能源集團其應用系統作為關鍵信息基礎設施，涵蓋工業、運營、個人信息等數據。隨著橫向《網絡安全法》、等保2.0、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施保護條例》等法律法規，及縱向垂直行業安全標準，對數據安全提出明確要求，數據安全建設刻不容緩。

在此背景下，該集團以核心業務系統為切入點，以DSMM為抓手，從而逐步建立健全數據安全治理體系，整體階段包括：

數據資產梳理

通過問卷調研、工具探查等方式多維度盤點數據資產，厘清數據資產現狀，并在此基礎上進行數據分類分級：

• 數據資產盤點：通過工具探查數據資產情況，為分類分級實施做好準備工作。

• 數據權限現狀：盤點清楚用戶具備哪些權限，數據可以被哪些用戶增刪改查，權限過大用戶有哪些等。

• 數據流向梳理：盤點數據從采集、傳輸、共享交換到銷毀的流向。

• 數據分類分級：完成數據分類和分級，共分四級，其中敏感表占比約60%，敏感字段占比約50%，同時明確了各級數據的安全要求。

數據安全風險評估

對數據安全現狀進行分析，識別和分析數據資產在全生命周期各階段風險，并給予中立的加固建議，包括：

• 基礎風險評估：通過安全基線檢查、漏洞掃描、滲透測試等方式，發現數據處理環境中存在的安全漏洞，提供加固建議。

• 數據安全能力差距評估：基于組織實際情況，深度分析和評估當前組織安全能力現狀，幫助其厘清自身在生命周期各階段的能力現狀與目標的差距。

• 數據安全合規評估：全面解讀和分析《數據安全法》、《個人信息保護法》以及地方辦法條例內容，通過聯合對標分析，全面評估組織數據安全合規情況和合規風險，提供針對性的加固建議。

• 數據全生命周期風險評估：參考信息安全風險分析方法，從資產和風險兩大視角出發，基于數據分級結果，建立組織風險評估模型，通過定性分析和定量分析方法，評估數據資產所面臨風險。

數據安全建設規劃

基于數據安全風險評估的結果，結合實際情況，提供針對性的數據安全建設規劃方案：

• 管理制度建設：基于合規要求，完成部分數據安全相關制度，為后續管理提供依據。

• 數據安全建設規劃：從管理、技術和運營三個維度規劃，開展數據安全建設的短、中、長期規劃和建設工作，明確建設依據、建設規劃、建設路徑、建設周期、建設優先級等內容，指引數據安全建設道路。

交付物清單

PART4

制造行業

某制造企業數據安全治理項目

《數據安全法》、《數據出境安全評估辦法》等法律法規文件相繼頒布，面臨日趨嚴格的監管和數據安全威脅態勢，作為擁有海量敏感數據資產，并存在跨國業務的大型制造企業，亟需分析組織內部整體在數據全生命周期過程中存在的安全合規風險，建立符合實際情況的安全管理和安全技術建設。

結合用戶“數據安全合規”實際需求，以及在“重要數據”、“關鍵數據”、“數據跨境”等存在的難題，美創科技本次方案以“數據分類分級”和“合規對標”為抓手，以三個階段逐步推進：

識別敏感數據，完善分類分級

由于現階段暫無制造業的分類分級指南，美創科技本次以《工業數據分類分級指南（試行）》為基礎，參考公共數據、物流交通、能源、電信、金融行業的分類分級實踐結果。在企業原有分類分級的基礎上，細化補充了數據類別和級別，并且設計了基于數據分類分級結果的數據權限。

數據安全風險評估

對數據安全現狀進行分析，識別和分析數據資產在全生命周期各階段風險，包括對《數據安全法》、《個人信息保護法》、《通用數據保護條例》等國內外法律法規文件進行全面解讀和分析，參考信息安全風險分析方法，通過定性分析和定量分析的方法，分析并計算數據資產所面臨的風險值，并給予中立的加固建議。

數據安全建設規劃

基于數據安全風險評估的結果，結合實際情況，提供針對性的數據安全建設規劃方案，明確建設依據、建設規劃、建設路徑、建設周期、建設優先級等內容，指引數據安全建設道路，完善《數據安全管理辦法》、《數據全生命周期管理制度》、《數據接口安全管理規范》、《數據脫敏規范》、《數據安全風險評估管理制度》等5份制度規范。此外，通過培訓賦能和項目實施過程中的成果移交，協助組織形成一套基礎的數據安全合規評估工具，讓組織具備常態化的自評估能力。

---

讓數據安全治理卓有成效的落地，充分滿足監管合規與業務發展需求，美創參考DSG、DSMM模型，結合CARTA、IPDRR、PDCA方法論，基于多年經驗不斷進化適合組織的數據安全治理實踐路徑，以評估規劃、建設指導、成效評估、持續改進為主線，從組織架構、制度流程、人員能力和技術工具建設四個方面構建數據安全治理體系，以更好幫助解決企業組織建立起數據安全保障體系。