天融信「数据安全风险管控体系建设」入选北京数字经济标杆企业成果集-凯发k8国际首页登录

文章来源：北京软协官方微信公众号

近日，北京软件和信息服务协会发布《2024北京数字经济标杆企业成果集》（以下简称《成果集》）。天融信「数据安全风险管控体系建设」入选《成果集》“数字基础技术标杆”，以技术创新助力首都数字经济发展。

作为北京软件和信息服务业协会副会长单位，天融信立足北京近30年，持续发挥网安领军企业优势，不断加强关键核心技术攻关，已累计获得2项国家科技进步奖、8项省部级科技进步奖、2项社会科技奖，用实际行动助力我国和首都数字经济高质量发展！

成果背景

数字中国建设是我国“十四五”规划中提出的重大发展战略，其关键目标之一是提升政务数字化、智能化水平。大数据、云计算、人工智能等新技术在政务服务管理中快速发展和应用，给数字政府建设带来便利的同时也引入了许多安全风险。数据作为数字政府建设的核心要素，可信可控的数据安全屏障是数字政府建设的生命线。

天融信参考gb/t 24364-2023《信息安全技术 信息安全风险实施指南》和gb/t 37988-2019《信息安全技术 数据安全能力成熟度模型》两个国家标准，开展数据资产识别、数据生命周期监管和风险监测，确保数据在收集、存储、使用、加工、传输、提供、公开等各个环节都能得到有效保护，防止数据泄露和滥用，构建适应业务发展的数据安全风险管控和安全保护体系，实现数据全方位安全监控与审计溯源，保护数据资源的安全合规。

数据安全风险管控体系建设减少了数据泄露、数据非法利用、数据篡改或破坏等风险，保障数据使用安全、共享与公开安全、流通安全和业务的连续性、稳定性，提升政府的治理能力，推动数据价值的释放，为数字经济高质量发展和高水平安全提供基础。

成果亮点

在国家标准规范的指导下，天融信根据某部委的实际业务需求及数据安全建设目标，搭建数据安全管理平台，开发数据资产管理、数据分类分级、数据安全防护、数据安全审计等功能，满足部委对数据全生命周期管理、风险发现和监测等需求。同时，天融信持续跟踪平台应用情况并加速迭代更新，实现数据安全风险管控、态势感知和持续运营。

数据安全风险管控体系建设帮助部委取得如下关键成果，为数字政府建设提供安全的数据环境，保障数据资源的安全、有序流动和利用，为数字经济发展保驾护航。

构建资产基础信息库 | 为数据安全风险识别奠定基础

数据安全管理平台的非侵入式风险探知子系统，从资产基础信息、安全漏洞信息、僵木蠕恶意代码信息监测入手，准确构建资产基础信息库，实施分析和验证安全风险点，形成资产脆弱性识别和威胁情报管理能力，从而建立信息安全风险识别管理能力。

实现数据安全治理 | 促进数据合规流通使用

根据部委的数据安全合规、风险控制和业务需求，遵循《数据安全能力成熟度模型》对数据安全关键能力的描述，在业务、场景、数据资产、数据分类分级、数据风险等方面进行识别分析，通过数据安全管控平台构建数据资产分类分级、数据资产视图、数据风险监控、数据安全审计、多维度统计分析等数据安全能力，对部委各业务阶段的数据情况持续跟踪和动态监测，建立全方位、多层次、立体化的数据安全能力。

构建全业务数据安全防护能力 | 实现数据持续运营

通过数据安全管理平台下安全大数据治理子系统，按照国家和部委的数据安全治理标准建立适合部委的安全数据采集机制，对采集到的数据资产、威胁、风险等信息进行建模分析，建立数据风险评估流程，支撑风险处置、安全指标管理和安全策略调整，并通过数据安全管控平台构建可感知、可量化、可管控、可追溯、可运营的全业务数据安全防护能力。

成果效益

应用效益

（1）以7亿条/日的速度采集六大类设备的安全日志，建立20余个分析模型，实现安全事件的深度分析和挖掘，响应速度提升50%，分析效率提升60%，问题报告准确度达90%。

（2）配置13种识别规则，纳管数据库、应用、账号等五类资产数据，按照所属中心、网络域、应用、业务系统、集群资产、资产等7个维度进行数据流向展示，形成人员画像和数据画像，实现数据行为的监控和审计。

（3）经过数据安全治理，为部委建立满足数据安全能力成熟度3级的数据安全保护体系，并实现对10余种防护探针的数据采集，提供数据资产管理、分类分级、安全防护、告警与响应和安全审计等5大管控应用，可视化展示数据资产分布、数据安全流转、数据安全告警、数据安全风险、数据资产防护和重要数据分布等6类安全态势，满足部委数据安全管理需求。

社会效益

（1）向政企单位提供详尽的信息安全风险管理的指引与建议，帮助政企单位识别潜在风险、准确评估风险影响、实施有效控制并持续监控信息安全，保障数据要素的安全流通。

（2）基于网络安全国家标准，规范信息安全风险管理的流程和方法，为其他政企单位在管理信息安全风险时遵循最佳实践、提高管理效率和质量提供参考，有效抵御数字经济发展过程中数据安全问题带来的风险。

（3）为信息安全技术和服务的提供方提供可靠的建设方法，也为信息安全技术和服务的使用方提供可靠的产品和服务，满足使用方数据安全建设和风险管理的需求。

经济效益

（1）通过数据安全能力成熟度模型的评估，帮助部委全面了解自身的数据安全能力水平，建设数据安全防护能力，提高了部委的信息安全水平，并为其他组织提供了参考，有效降低组织由于信息泄露或数据篡改等数据安全事件带来的经济损失。

（2）通过数据安全管理平台帮助部委直观了解自身存在的数据安全风险，明确了数据安全建设方向和重点，帮助部委合理投入资源，降低建设成本和运营成本。

（3）满足国家标准对信息安全风险评估、数据安全能力成熟度评估的要求，帮助部委满足我国法律法规的要求，从而避免因违规带来的经济处罚和声誉损失。