信息化觀察網(wǎng)

本文來自虎符智庫，作者數(shù)據(jù)安全治理部。

工業(yè)領(lǐng)域數(shù)據(jù)安全管理與防護(hù)能力建設(shè)要以分類分級為基礎(chǔ)，圍繞重要數(shù)據(jù)、核心數(shù)據(jù)，補(bǔ)短固底強(qiáng)化基礎(chǔ)，實(shí)施分級防護(hù)與精細(xì)化管控、開展數(shù)據(jù)安全能力評估并持續(xù)運(yùn)營。

工業(yè)數(shù)據(jù)安全建設(shè)路徑：

1.以數(shù)據(jù)分類分級為基礎(chǔ)，識別重要數(shù)據(jù)資產(chǎn)，做到“摸清家底，識別關(guān)鍵”

2.識別典型業(yè)務(wù)場景，圍繞重要數(shù)據(jù)資產(chǎn)，“補(bǔ)短板”，強(qiáng)化基礎(chǔ)安全防護(hù)能力

3.基于數(shù)據(jù)分類分級結(jié)果實(shí)施分級管控與防護(hù)策略，做到“體系化管理，精細(xì)化管控”

4.持續(xù)數(shù)據(jù)安全能力評估，加強(qiáng)數(shù)據(jù)安全事件運(yùn)營，做到“查漏補(bǔ)缺，運(yùn)籌帷幄，持續(xù)運(yùn)營”

一、背景

《中華人民共和國數(shù)據(jù)安全法》（以下簡稱“數(shù)據(jù)安全法”）是數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，明確提出了行業(yè)數(shù)據(jù)安全監(jiān)管的職責(zé)，對于工業(yè)領(lǐng)域來講，需對本行業(yè)制定相關(guān)數(shù)據(jù)安全標(biāo)準(zhǔn)、監(jiān)測數(shù)據(jù)安全風(fēng)險(xiǎn)、區(qū)分本行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)，保障本行業(yè)的數(shù)據(jù)安全等要求。為貫徹落實(shí)數(shù)據(jù)安全法等法律法規(guī)對工業(yè)領(lǐng)域數(shù)據(jù)安全管理工作的要求，工業(yè)和信息化部擬發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》，用于加快和推進(jìn)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理工作制度化、規(guī)范化、并提升工業(yè)和電信行業(yè)數(shù)據(jù)安全保護(hù)能力，防范數(shù)據(jù)安全風(fēng)險(xiǎn)，同時(shí)相繼推出《工業(yè)領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別規(guī)則（草案）》《工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)要求（草案）》《工業(yè)數(shù)據(jù)安全評估指南（草案）》等，用來指導(dǎo)工業(yè)企業(yè)識別重要數(shù)據(jù)和核心數(shù)據(jù)、評估工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)能力和建設(shè)參考。

工業(yè)領(lǐng)域已成為我國數(shù)字化轉(zhuǎn)型與數(shù)字經(jīng)濟(jì)發(fā)展的前沿，隨著工業(yè)領(lǐng)域數(shù)字化轉(zhuǎn)型的推進(jìn)，工業(yè)企業(yè)由傳統(tǒng)的生產(chǎn)車間的生產(chǎn)制造逐步轉(zhuǎn)向數(shù)字產(chǎn)業(yè)化和生產(chǎn)數(shù)字化，而數(shù)據(jù)作為具有生產(chǎn)效益的數(shù)字要素，已成為數(shù)字化發(fā)展的關(guān)鍵。

工業(yè)領(lǐng)域的數(shù)據(jù)規(guī)模呈爆發(fā)式增長，泛在化流動(dòng)，并且向平臺化集中，同時(shí)，隨著業(yè)務(wù)系統(tǒng)上云、數(shù)據(jù)交互和流通（甚至存在跨境傳輸）需求的增加，針對于工業(yè)領(lǐng)域數(shù)據(jù)層面的安全管理、安全防護(hù)問題也逐漸增多，工業(yè)數(shù)據(jù)安全形式復(fù)雜且變得嚴(yán)峻。

如何對海量工業(yè)數(shù)據(jù)進(jìn)行有針對性的防護(hù)，促進(jìn)工業(yè)領(lǐng)域數(shù)據(jù)安全有序的流動(dòng)、保障業(yè)務(wù)應(yīng)用安全的使用、及時(shí)發(fā)現(xiàn)潛在數(shù)據(jù)風(fēng)險(xiǎn)并及時(shí)處置等，都是當(dāng)前工業(yè)領(lǐng)域數(shù)據(jù)安全管理與防護(hù)的難題。

二、工業(yè)數(shù)據(jù)安全建設(shè)路徑

對于工業(yè)領(lǐng)域的數(shù)據(jù)安全管理和能力建設(shè)，應(yīng)聚焦工業(yè)領(lǐng)域數(shù)據(jù)的內(nèi)容、特征，緊貼業(yè)務(wù)應(yīng)用場景，構(gòu)建以數(shù)據(jù)為核心，建立以“以分類分級為基礎(chǔ)，圍繞重要數(shù)據(jù)、核心數(shù)據(jù)，補(bǔ)短固底強(qiáng)化基礎(chǔ)，開展分級防護(hù)與精細(xì)化管控、安全能力評估并與持續(xù)運(yùn)營”的路線作為工業(yè)領(lǐng)域數(shù)據(jù)安全管理與防護(hù)能力建設(shè)的路線開展。

1、以數(shù)據(jù)分類分級為基礎(chǔ)，識別重要數(shù)據(jù)資產(chǎn)，做到“摸清家底，識別關(guān)鍵”

數(shù)據(jù)分類分級是工業(yè)領(lǐng)域數(shù)據(jù)安全管理與防護(hù)體系建設(shè)的基礎(chǔ)。

工業(yè)領(lǐng)域相關(guān)企業(yè)提供產(chǎn)品或服務(wù)時(shí)，相關(guān)產(chǎn)品的研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營管理、運(yùn)維服務(wù)等環(huán)節(jié)中產(chǎn)生和使用的數(shù)據(jù)類型眾多。其中，工業(yè)領(lǐng)域數(shù)據(jù)的主要來源包括：一是來源于企業(yè)內(nèi)部信息化管理系統(tǒng)，主要涉及到業(yè)務(wù)經(jīng)營管理相關(guān)的數(shù)據(jù)，如產(chǎn)品、工藝、生產(chǎn)、采購、營銷、訂單、服務(wù)、運(yùn)維、管理等方面的數(shù)據(jù)；二是來自產(chǎn)線設(shè)備的數(shù)據(jù)，主要包含生產(chǎn)過程中產(chǎn)線、設(shè)備、物流等環(huán)節(jié)的相關(guān)工況信息、工作面信息、運(yùn)行狀況信息、環(huán)境監(jiān)控信息等，這類數(shù)據(jù)量大，數(shù)據(jù)來源繁雜且具有很強(qiáng)的實(shí)時(shí)性；三是來自于工業(yè)企業(yè)的外部數(shù)據(jù)，一般情況下包括工業(yè)企業(yè)外部相關(guān)的供應(yīng)鏈數(shù)據(jù)、互聯(lián)網(wǎng)數(shù)據(jù)、工業(yè)產(chǎn)品或服務(wù)交付后產(chǎn)生的數(shù)據(jù)（如設(shè)備工況、工作面等數(shù)據(jù)），此類數(shù)據(jù)一般情況會與工業(yè)企業(yè)業(yè)務(wù)相融合，經(jīng)過開發(fā)分析與匯聚融合后，為工業(yè)企業(yè)提供數(shù)據(jù)支撐，促進(jìn)業(yè)務(wù)發(fā)展。

因此，工業(yè)領(lǐng)域數(shù)據(jù)類型多、數(shù)據(jù)來源復(fù)雜、體量大，若對所有數(shù)據(jù)無差別的進(jìn)行安全管理和防護(hù)，對于數(shù)據(jù)安全管理人員來說就顯得不科學(xué)和不現(xiàn)實(shí)。摸清工業(yè)企業(yè)具有的數(shù)據(jù)類型、識別要保護(hù)的數(shù)據(jù)類型就顯得很重要，將數(shù)據(jù)分類分級管理和開展工作賦能到工業(yè)企業(yè)相關(guān)業(yè)務(wù)條線，識別重點(diǎn)保護(hù)的數(shù)據(jù)類型，作為常態(tài)化管理工作是一種必然。

對于工業(yè)領(lǐng)域的數(shù)據(jù)分類分級與重要數(shù)據(jù)識別，應(yīng)至少做到以下幾點(diǎn)：

a)識別并對工業(yè)企業(yè)各個(gè)業(yè)務(wù)條線上的數(shù)據(jù)的敏感性進(jìn)行評價(jià)，識別出具有業(yè)務(wù)成果性、關(guān)鍵性、重要性、核心性相關(guān)聯(lián)的業(yè)務(wù)系統(tǒng)的數(shù)據(jù)（含個(gè)人數(shù)據(jù)）的敏感性，區(qū)分敏感數(shù)據(jù)類型，并進(jìn)行數(shù)據(jù)安全類型和數(shù)據(jù)安全級別的標(biāo)記；

b)按照工業(yè)和信息化領(lǐng)域的相關(guān)要求，需識別出對國家安全、行業(yè)發(fā)展（安全管控、經(jīng)濟(jì)運(yùn)行、行業(yè)競爭）、行業(yè)特色、出庫管制、供應(yīng)鏈安全等相關(guān)的重要數(shù)據(jù)、核心數(shù)據(jù)，并按照要求完成重要數(shù)據(jù)、核心數(shù)據(jù)的備案管理工作；

2、識別典型業(yè)務(wù)場景，圍繞重要數(shù)據(jù)資產(chǎn)，“補(bǔ)短板”，強(qiáng)化基礎(chǔ)安全防護(hù)能力

工業(yè)企業(yè)的數(shù)據(jù)具有海量、多態(tài)的特點(diǎn)，隨著工業(yè)企業(yè)相關(guān)業(yè)務(wù)的運(yùn)轉(zhuǎn)過程中，對數(shù)據(jù)的訪問場景多樣、路徑繁多，接觸人員角色復(fù)雜，不同業(yè)務(wù)場景下面對的數(shù)據(jù)安全風(fēng)險(xiǎn)不同，難以套用傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力去保障，每段業(yè)務(wù)流程中對數(shù)據(jù)的安全訪問與數(shù)據(jù)的級別、類別、數(shù)據(jù)全生命周期無法做到一一對應(yīng)，因此，很難在業(yè)務(wù)場景中根據(jù)數(shù)據(jù)全生命周期的邏輯作為數(shù)據(jù)安全能力建設(shè)的依據(jù)而落地技術(shù)保護(hù)措施。針對于類似于工業(yè)企業(yè)數(shù)據(jù)量大、數(shù)據(jù)來源復(fù)雜、數(shù)據(jù)業(yè)務(wù)場景眾多的情況，從識別業(yè)務(wù)場景出發(fā)，構(gòu)建數(shù)據(jù)安全能力：

a)典型業(yè)務(wù)場景識別：在工業(yè)企業(yè)的眾多業(yè)務(wù)場景中，不同產(chǎn)業(yè)類型的工業(yè)企業(yè)的主要經(jīng)濟(jì)業(yè)務(wù)類型存在差異化，一般包含資金籌集業(yè)務(wù)、生產(chǎn)準(zhǔn)備業(yè)務(wù)、產(chǎn)品生產(chǎn)業(yè)務(wù)、產(chǎn)品銷售業(yè)務(wù)、財(cái)務(wù)成果性差分配業(yè)務(wù)等五大類，工業(yè)企業(yè)不同的業(yè)務(wù)涵蓋可能涉及的經(jīng)濟(jì)業(yè)務(wù)類型不同，所以在不同的工業(yè)業(yè)務(wù)信息系統(tǒng)中，數(shù)據(jù)的類型、種類、數(shù)據(jù)敏感性存在差異化。在進(jìn)行數(shù)據(jù)安全管理活動(dòng)中，厘清并識別出工業(yè)企業(yè)關(guān)鍵性、核心性業(yè)務(wù)場景，是做數(shù)據(jù)安全風(fēng)險(xiǎn)識別的先決條件；

b)識別數(shù)據(jù)安全風(fēng)險(xiǎn)：針對于工業(yè)企業(yè)不同的業(yè)務(wù)類型，選擇典型的業(yè)務(wù)應(yīng)用場景，圍繞敏感數(shù)據(jù)（含重要數(shù)據(jù)、核心數(shù)據(jù)），發(fā)現(xiàn)關(guān)鍵的數(shù)據(jù)訪問業(yè)務(wù)系統(tǒng)的場景，通過開展數(shù)據(jù)安全維度的威脅建模、風(fēng)險(xiǎn)分析，暴露出典型業(yè)務(wù)場景中的數(shù)據(jù)安全風(fēng)險(xiǎn)問題；

c)補(bǔ)短固底，做好基礎(chǔ)防護(hù)：圍繞識別的數(shù)據(jù)安全風(fēng)險(xiǎn)，通過其暴露的安全問題，開展選取針對性的數(shù)據(jù)安全能力，并落地技術(shù)防護(hù)措施，在支撐工業(yè)企業(yè)業(yè)務(wù)正常開展的同時(shí)，確保典型業(yè)務(wù)場景下數(shù)據(jù)安全使用和數(shù)據(jù)安全能力的持續(xù)。

3、基于數(shù)據(jù)分類分級結(jié)果實(shí)施分級管控與防護(hù)策略，做到“體系化管理，精細(xì)化管控”

工業(yè)和信息化領(lǐng)域相關(guān)企業(yè)中的部門包含采購部門、人力資源部門、研發(fā)設(shè)計(jì)部門、生產(chǎn)制造部門、運(yùn)營維護(hù)部門、銷售營銷部門、法務(wù)部門、審計(jì)部門、數(shù)字化執(zhí)行部門、信息化部門等，其中數(shù)據(jù)安全管理的主要職責(zé)需要從工業(yè)企業(yè)全局和實(shí)際現(xiàn)狀考慮，在構(gòu)筑數(shù)據(jù)安全管理體系時(shí)應(yīng)充分考慮現(xiàn)有企業(yè)的相關(guān)管理體系、組織結(jié)構(gòu)和人員組成等情況，確定各相關(guān)方的數(shù)據(jù)安全管理職責(zé)。工業(yè)企業(yè)數(shù)據(jù)安全管理體系的構(gòu)建需要做到如下：

a)優(yōu)化數(shù)據(jù)安全管理體系，在企業(yè)原有相關(guān)的安全體系下構(gòu)建數(shù)據(jù)安全管理體系，優(yōu)化數(shù)據(jù)安全管理組織架構(gòu)；

b)明確數(shù)據(jù)安全組織職能分工，確定數(shù)據(jù)安全主管部門（信息化部或數(shù)字化部）職責(zé)各相關(guān)方職責(zé)，其中各相關(guān)方包含采購、人力、研發(fā)設(shè)計(jì)、生產(chǎn)制造、運(yùn)營維護(hù)、銷售營銷、法務(wù)、審計(jì)等部門；

c)明確數(shù)據(jù)安全崗位職責(zé)與說明，針對于數(shù)據(jù)安全管理、數(shù)據(jù)安全策略與數(shù)據(jù)安全實(shí)施相關(guān)的工作職責(zé)應(yīng)明確相關(guān)負(fù)責(zé)人、職責(zé)說明。

除了需要確定各相關(guān)方數(shù)據(jù)安全管理職責(zé)以外，還應(yīng)通過數(shù)據(jù)安全相關(guān)管理制度、規(guī)程中明確出數(shù)據(jù)安全管理的具體內(nèi)容，相關(guān)的數(shù)據(jù)安全管理制度包括但不限于數(shù)據(jù)安全管理辦法、數(shù)據(jù)分類分級規(guī)范、數(shù)據(jù)安全審計(jì)規(guī)范、數(shù)據(jù)安全評估辦法、數(shù)據(jù)安全應(yīng)急管理制度、數(shù)據(jù)內(nèi)部登記審批制度等等。

工業(yè)領(lǐng)域相關(guān)企業(yè)在開展業(yè)務(wù)時(shí)，對數(shù)據(jù)對訪問、使用等環(huán)節(jié)應(yīng)基于業(yè)務(wù)視角，對相關(guān)數(shù)據(jù)類型、數(shù)據(jù)的流向、流轉(zhuǎn)的系統(tǒng)與載體、流轉(zhuǎn)的數(shù)據(jù)量級、數(shù)據(jù)的流轉(zhuǎn)目的、數(shù)據(jù)存儲位置、數(shù)據(jù)的消費(fèi)方、數(shù)據(jù)使用方式等內(nèi)容進(jìn)行梳理并結(jié)合數(shù)據(jù)分類分級結(jié)果，構(gòu)建精細(xì)化的數(shù)據(jù)安全防護(hù)策略，其中包含但不限于：

a)分級防護(hù)策略：與數(shù)據(jù)分類分級結(jié)果、數(shù)據(jù)全生命周期維度、從數(shù)據(jù)安全管理，數(shù)據(jù)安全技術(shù)防護(hù)視角構(gòu)建數(shù)據(jù)安全防護(hù)策略；

b)精細(xì)化訪問控制策略：基于數(shù)據(jù)分類分級結(jié)果，從業(yè)務(wù)訪問數(shù)據(jù)資源的需求出發(fā)，制定可落地的訪問控制策略或技術(shù)措施，保護(hù)訪問角色、系統(tǒng)賬戶密碼安全，做到系統(tǒng)數(shù)據(jù)資產(chǎn)統(tǒng)一訪問納管；

c)場景化防護(hù)策略：圍繞業(yè)務(wù)場景和數(shù)據(jù)流轉(zhuǎn)，梳理數(shù)據(jù)脈絡(luò)，識別數(shù)據(jù)的訪問關(guān)系，制定貼合業(yè)務(wù)場景的數(shù)據(jù)安全能力和防護(hù)策略。

4、持續(xù)數(shù)據(jù)安全能力評估，加強(qiáng)數(shù)據(jù)安全事件運(yùn)營，做到“查漏補(bǔ)缺，運(yùn)籌帷幄，持續(xù)運(yùn)營”

對于工業(yè)企業(yè)來說，如何對自身的數(shù)據(jù)安全管理和防護(hù)能力進(jìn)行評價(jià)，需從綜合評價(jià)的角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析和診斷工業(yè)數(shù)據(jù)所面臨的威脅及其存在的脆弱性來評估工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)水平。開展數(shù)據(jù)安全能力評估的目的是通過數(shù)據(jù)安全防護(hù)評估，讓工業(yè)企業(yè)發(fā)現(xiàn)自己的數(shù)據(jù)安全能力的弱項(xiàng)和短板，及時(shí)查漏補(bǔ)缺，提升工業(yè)企業(yè)自身的數(shù)據(jù)安全能力，通過不斷且持續(xù)的數(shù)據(jù)安全能力評估活動(dòng)，使工業(yè)企業(yè)在數(shù)據(jù)安全能力建設(shè)過程中穩(wěn)扎穩(wěn)打，勒實(shí)基礎(chǔ)。評估工業(yè)企業(yè)的數(shù)據(jù)安全能力，主要參照《工業(yè)數(shù)據(jù)安全評估指南》規(guī)定的104項(xiàng)數(shù)據(jù)安全能力進(jìn)行評估，從評估結(jié)果得分確定工業(yè)企業(yè)數(shù)據(jù)安全能力的強(qiáng)弱，其中包含：

a)通用性數(shù)據(jù)安全管理能力評估，包含評估數(shù)據(jù)安全管理制度、組織機(jī)構(gòu)、人員保障、權(quán)限管理、系統(tǒng)與設(shè)備安全管理、供應(yīng)鏈數(shù)據(jù)安全管理、安全評估、日志留存和審計(jì)、監(jiān)測預(yù)警、信息共享和應(yīng)急處置等通用性的數(shù)據(jù)安全能力進(jìn)行評估；

b)分級防護(hù)能力評估，通過對一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)在數(shù)據(jù)全生命周期中差異化的數(shù)據(jù)安全防護(hù)能力方面進(jìn)行數(shù)據(jù)安全能力評估。

采取有效的數(shù)據(jù)安全監(jiān)測工具，是維護(hù)數(shù)據(jù)安全風(fēng)險(xiǎn)持續(xù)安全運(yùn)營的有效手段。

數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測需要關(guān)注對數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)現(xiàn)和控制能力，數(shù)據(jù)安全管理人員需要考慮如何去發(fā)現(xiàn)和識別業(yè)務(wù)上的數(shù)據(jù)風(fēng)險(xiǎn)，怎么去對產(chǎn)生的數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行治理和糾正，怎么在以后的運(yùn)營環(huán)節(jié)中規(guī)避這種數(shù)據(jù)風(fēng)險(xiǎn)，怎么對發(fā)現(xiàn)數(shù)據(jù)的風(fēng)險(xiǎn)進(jìn)行評估，可以對數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)生概率、影響對象以及影響程度進(jìn)行綜合分析，按照系統(tǒng)化、科學(xué)化管理思想，及時(shí)掌握工業(yè)企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢，研判分析可能發(fā)生重大數(shù)據(jù)安全事件風(fēng)險(xiǎn)的情況。

針對數(shù)據(jù)安全風(fēng)險(xiǎn)持續(xù)運(yùn)營，應(yīng)采取切實(shí)可行、能力完善的技術(shù)工具及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)事件，對數(shù)據(jù)安全事件持續(xù)監(jiān)測。圍繞對數(shù)據(jù)資產(chǎn)的管理、數(shù)據(jù)流動(dòng)監(jiān)測、數(shù)據(jù)風(fēng)險(xiǎn)管理、數(shù)據(jù)風(fēng)險(xiǎn)評估等能力，實(shí)現(xiàn)對數(shù)據(jù)安全風(fēng)險(xiǎn)的態(tài)勢、數(shù)據(jù)安全事件溯源的感知能力。對于數(shù)據(jù)安全風(fēng)險(xiǎn)等態(tài)勢感知能力，通過對單位時(shí)間段內(nèi)的數(shù)據(jù)資產(chǎn)分布、敏感數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢預(yù)測；對數(shù)據(jù)資產(chǎn)流動(dòng)的程序和載體，如數(shù)據(jù)庫、應(yīng)用、API等涉敏對象采取敏感數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢預(yù)測；對分布在不同位置、不同時(shí)間、不同類別、不同級別的數(shù)據(jù)資產(chǎn)的安全告警、事件處置等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢預(yù)測。三大安全態(tài)勢圍繞數(shù)據(jù)從分布、流動(dòng)、風(fēng)險(xiǎn)三個(gè)維度為運(yùn)營人員構(gòu)建了清晰的宏觀視圖。對于安全事件溯源能力，應(yīng)通過對數(shù)據(jù)資產(chǎn)內(nèi)容和相關(guān)方的溯源能力，將可疑的“人”、“數(shù)”、證據(jù)等信息按時(shí)間順序組織成為事件鏈，為運(yùn)營人員構(gòu)建細(xì)致的微觀視圖。

三、總結(jié)

工業(yè)領(lǐng)域相關(guān)企業(yè)開展數(shù)據(jù)安全能力建設(shè)，需要把握四個(gè)方面：

首先要切換視角，圍繞“保護(hù)重要數(shù)據(jù)資產(chǎn)”為目的，去梳理業(yè)務(wù)、識別典型業(yè)務(wù)場景，梳理數(shù)據(jù)資產(chǎn)，做好分類分級，識別重要的數(shù)據(jù)資產(chǎn)，摸清現(xiàn)有的管理及技術(shù)防護(hù)的現(xiàn)狀，盤清家底。

然后，圍繞重要的數(shù)據(jù)資產(chǎn)，重新審視已有的安全措施是否有效并覆蓋到了對重要數(shù)據(jù)資產(chǎn)的保護(hù)，加強(qiáng)基礎(chǔ)安全能力建設(shè)，補(bǔ)足短板。

同時(shí)，以數(shù)據(jù)分類分級為基礎(chǔ)，去規(guī)劃設(shè)計(jì)數(shù)據(jù)安全防護(hù)體系，結(jié)合業(yè)務(wù)的場景化以及迫切性，有序建設(shè)，逐步補(bǔ)全安全能力，將數(shù)據(jù)安全能力全面覆蓋數(shù)據(jù)在流轉(zhuǎn)過程中的各階段，涉及數(shù)據(jù)采集、傳輸、存儲、處理、交換和銷毀等各環(huán)節(jié)，使安全能力內(nèi)生于業(yè)務(wù)系統(tǒng)以及數(shù)據(jù)信息化基礎(chǔ)環(huán)境建設(shè)中，在業(yè)務(wù)流程中按需調(diào)用，靈活配置安全能力，達(dá)到深度融合、全面覆蓋。

最后，定期開展數(shù)據(jù)安全能力評估，不斷優(yōu)化和提升數(shù)據(jù)安全能力，持續(xù)運(yùn)營，只有不斷完善、不斷改進(jìn)，數(shù)據(jù)安全道路才能越走越遠(yuǎn)。