作为负责保障城市燃气供应的重要企业,上海燃气高度重视数据安全建设,美创科技通过美创数据安全治理咨询服务,从数据资产梳理、数据安全风险评估、数据安全建设规划等方面出发,加强数据安全建设,实现数据安全治理能力强化提升,为数据安全治理体系的建立健全夯实基础,实现数据安全主动防护、有序治理、持续提升。
上海燃气有限公司(下称“上海燃气”)是综合性城市燃气运营企业,负责保障上海市燃气安全服务供应。截至2020年底,上海燃气服务天然气用户640万户,年供应天然气逾90亿立方米。
公司高度重视数字化改革对企业生产经营、运营管理、服务水平等方面的提升,其应用系统作为关键信息基础设施,所涉及的数据涵盖工业、运营、个人信息等数据。
随着横向《网络安全法》、等保2.0、《数据安全法》、《个人信息保护法》等合规性要求,及纵向垂直行业安全标准要求的需要,对数据采集、存储、共享、使用、销毁等环节的安全性均提出了明确要求,需要在实现基础设施安全保障的前提下,充分利用数据开展业务。
一、 现状需求
此背景下,上海燃气为响应国家法律法规要求,保障业务系统安全,此次以客服类系统为切入点,开展数据安全治理工作。作为一家拥有海量数据资产的企业,上海燃气目前在数据安全治理工作落地方面,存在以下困境:
1.对数据资产使用权限缺乏有效性梳理,未落实数据分类分级管理并制定相应的权限管控。
2.公司目前已建立较为完善的信息安全保障制度体系,但数据安全建设工程浩大,面对海量数据资产,若无切实有效的数据安全制度流程,则难以掌握数据流向。
3.在等保合规基础上,公司有意识进一步提升数据安全防护能力,降低数据安全隐患可能带来的风险,但在具体落地方面仍存在难点。
二、 解决方案
于上海燃气数据安全防护的现状和具体需求,美创科技围绕“让数据更安全更有价值”的核心目标,按照政策法规要求,以DSMM为抓手,以数据流向和应用场景为切入点开展数据安全治理咨询。咨询内容共分为以下三个阶段:
第一阶段:数据资产梳理
通过问卷调研、工具探查等方式多维度盘点数据资产,厘清客服类数据资产现状,并在此基础上进行数据分类分级,为后续数据安全精细化管控提供基础。数据资产梳理完成了如下内容:
1、 数据资产盘点:通过工具探查客服类数据资产情况,为分类分级实施做好准备工作。
2、 数据权限现状:盘点清楚用户具备哪些权限,数据可以被哪些用户增删改查,权限过大用户有哪些等。
3、 数据流向梳理:盘点清楚客服类数据从采集、传输、共享交换到销毁的流向。
4、 数据分类分级:完成数据分类和分级,共分四级,其中一半为敏感数据,同时明确各级数据的安全要求。
第二阶段:数据安全风险评估
对上海燃气数据安全现状进行分析,识别和分析数据资产在全生命周期各阶段风险,并给予中立的加固建议。数据安全风险评估内容包括如下:
1、 基础风险评估:通过安全基线检查、漏洞扫描、渗透测试等方式,发现在数据处理环境中存在的安全漏洞,并提供加固建议。
2、 数据安全能力差距评估:基于客服类业务实际情况量体裁衣,深度分析和评估当前组织安全能力现状,帮助其清楚自身在生命周期各阶段的能力现状与目标的差距。
3、 数据安全合规评估:全面解读和分析《数据安全法》、《个人信息保护法》以及地方办法条例内容,通过联合对标分析,全面评估组织数据安全合规情况和合规风险,并提供针对性的加固建议。
4、 数据全生命周期风险评估:参考信息安全风险分析方法,从资产和风险两大视角出发,基于数据分级结果,建立组织风险评估模型,识别组织面临的数据安全风险,通过定性分析和定量分析方法,评估数据资产面临风险。
第三阶段:数据安全建设规划
基于数据安全风险评估的结果,结合客户方的实际情况,提供针对性的数据安全建设规划方案。
1、 管理制度建设:结合客户方实际,基于合规要求,完成部分相关数据安全相关制度建设,为后续管理提供依据。
2、 数据安全建设规划:从管理、技术和运营三个维度规划,开展数据安全建设的短、中、远期规划和建设工作,明确建设依据、建设规划、建设路径、建设周期、建设优先级等内容,为数据安全建设道路提供指引。
三、 项目价值
1、摸清家底,把控风险
通过数据资产梳理,厘清数据重要性和敏感度,实现各类数据资产的识别分类、账户权限梳理,可以帮助客户快速、清晰了解数据安全现状和风险点,为数据安全建设提供依据。
2、规划方向,指引建设
基于保护目标和风险点清晰的必要条件下,通过建议采取适当、合理的管理措施和安全防护措施,为上海燃气数据安全后续建设提供指引。
3、树立标杆,促进发展
作为该行业优先落地数据安全咨询组织,积极响应国家号召,不仅符合法律法规要求,更为后续数据安全精细化防护策略落地提供依据,为数据共享交换保驾护航,同时也为同行业树立了榜样。
浙公网安备 33010502006954号 
