核心提示 当前,随着大数据技术、数字经济的快速发展,数据安全治理面临诸多挑战。电力大数据数量多、涉及客户规模大、覆盖面广,数据安全关系电网生产、经营管理、客户服务,甚至国家安全及社会稳定,因此做好数据安全治理至关重要。电网企业应从安全管理机制、合规机制、安全技术服务能力等方面入手,做好数据安全治理和防控。
企业数据安全治理面临新的形势和挑战
随着我国数据安全法律法规的不断完善,以及数据流通、应用与共享的快速推进,企业数据安全治理面临安全合规风险增加的新形势和安全管理机制仍待健全等一系列挑战。
● 数据安全合规工作需持续完善
近年来,我国数据安全法律法规不断完善,对企业在数据和个人信息安全保护方面的监管要求日趋严格,执法力度不断加大。2016年以来,我国颁布《中华人民共和国网络安全法》,实施《信息安全技术—网络安全等级保护基本要求》国家标准,强化企业在数据安全方面的主体责任。目前,《中华人民共和国数据安全法(草案)》《中华人民共和国个人信息保护法(草案)》全文已公布,数据安全和个人信息保护立法工作已提上日程。企业的数据安全合规工作需根据国家法律法规和相关政策要求持续完善,避免给数据业务发展带来法律风险。
● 数据安全管理机制仍待健全
数据安全管理风险是大数据应用面临的突出风险。企业将海量数据集中存储,方便数据分析和处理。但数据链条长、暴露面广,加大了防控数据外泄的难度,也对数据安全管理提出更高要求。许多企业在发展数据业务的过程中,存在“重业务、轻安全”的思想,人员数据安全保护意识薄弱,数据安全防护不到位,容易导致大规模数据泄露事件发生。
● 数据泄露风险不断增加
随着数据挖掘、机器学习、人工智能等技术的应用,大数据分析能力进一步提升。敏感信息已能从碎片化、非敏感的数据中提取,涉及企业核心利益及国家安全的信息甚至可以从海量数据中被分析出来。此外,针对数据的网络黑产活动专业化程度不断提升,使得由系统漏洞、网络攻击等造成的数据泄露问题日趋严重。
电力数据安全治理和风险防控任重道远
在“数字新基建”加快发展的背景下,电力大数据业务快速发展,电网企业数据开放程度进一步加大。大数据已成为电网企业的核心资产和生产要素。电力大数据包括营销、财务、物资、电网生产等海量数据,数量多、客户规模大、覆盖面广,一旦数据被篡改、泄露或攻击,将会对电网生产、经营管理、客户服务,甚至国家安全及社会稳定造成极大的影响。电网企业数据安全治理和风险防控任重道远。
目前,国家电网有限公司数据安全治理和防控工作已初见成效:初步建立数据安全保护机制,印发《国家电网有限公司关于进一步规范数据安全工作的通知》等数据安全应用相关规定,完成商业秘密、工作秘密和个人隐私数据、敏感事项等数据的梳理,明确数据全生命周期的安全防护要求,并建立内部数据管控制度;不断提升数据安全保障能力,编制数据中台安全防护方案,配置数据分级、敏感数据识别、脱敏等安全规则;对重要数据加密传输、加密存储,在数据使用环节遵循最小授权原则,结合业务场景采用脱敏、水印等手段实现差异性保护。
在客户个人信息的保护方面,国家电网公司明确个人数据接入使用合规要求、个人信息数据收集原则,对个人信息等敏感数据进行脱敏处理,健全个人信息化保护机制。
数据安全治理需技术、管理、人才多管齐下
电网企业数据安全治理与风险防控工作仍处于起步阶段。建议电网企业从健全安全管理机制、推进合规机制建设、提升安全技术服务能力及培养数据安全专家人才4个方面入手,开展数据安全治理和风险防控。
● 健全安全管理机制,担起关键信息基础设施和数据安全保护责任
应坚持“安全分区、分类分级、依法合规”的防护原则,以法规监管、业务需求、标准指引为出发点,统筹规划,构建覆盖组织、策略、流程和工具的安全管理体系,既防内又防外,对关键信息基础设施实施重点保护。
建议电网企业建立权责明晰、分工合理、协同高效的数据安全管理组织体系,落实数据采集、传输、存储、处理、交换、销毁等全生命周期保护措施,规范数据分类分级,确定安全职责和权利,推进安全管理制度建设;建立数据外发备案和数据安全应急响应机制,加强数据处理、使用、外发等安全评估,强化评估及责任追究,实现安全管理体系化、规范化和标准化。
● 树立法律红线意识,推进安全合规机制建设
电网企业应紧跟国家法律法规要求,深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法(草案)》《中华人民共和国个人信息保护法(草案)》等相关法律法规和政策要求,加强数据安全法律意识宣贯,在数据业务发展中树立法律法规红线意识;深入分析数据安全案例,推进数据安全态势预警与案例分析通报建设;依法依规落实个人信息安全保护要求,合法合规获取、使用个人信息,规范数据采集、处理、交互等环节数据确权机制,实现数据来源合法、处理可控、去向溯源,避免侵犯客户个人隐私或违规获取客户个人信息。
● 提升数据安全技术服务能力,开展标准化统一管理
建议电网企业做好数据安全技术的顶层设计,夯实数据安全基础设施建设,提升数据中台安全防护水平,坚守“明细数据不出中台”的原则,严防敏感数据泄露;加快应用数据脱敏、水印溯源、大数据态势感知等技术,探索研究匿名化、数据标签、多方安全计算等应用场景,逐步实现数据安全能力模块化、标准化,并基于共享服务化的数据安全合规管控机制,打通各级数据中心,贯通数据保护环节,形成一体化运作的数据安全防护体系,实现安全服务能力的开放调用、策略统一管理、风险统一研判;提升数据安全监测、攻防验证能力,与业务场景结合,持续完善数据安全技术和工具,实现对数据安全技术和工具的能力验证。
● 培养数据安全人才队伍,筑牢安全防线
电网企业应加强数据安全人才的引进和培养,以数据安全专家为骨干,结合律所合规、产业攻防方面人才,建设数据安全专家队伍,强化数据安全人员履职能力和职业素养。同时应促进数据安全管理部门与业务部门融合,协同推进数据安全相关工作,强化数据安全责任落实,培养既懂业务又懂安全的专业人才;加强公司各单位数据安全人才队伍交流合作,建立常态沟通协助机制,形成数据安全专业人才培养、技术创新、产业发展的良好生态。
(作者单位:国家电网有限公司大数据中心)
评论