案例解析 | 浙江省某厅局政务数据安全治理实践
政务数据安全是确保数字政府良好运行的重要因素,围绕数据开放共享的安全问题是数字政府建设工作过程中的关注重点。
国务院印发《关于加强数字政府建设的指导意见》中提出,要依法依规地促进数字高效共享,确保各类数据和个人信息的安全,提出要加强对政务数据统筹管理,全面提升数据共享的服务、资源汇聚、安全保障等一体化水平。
加强数据安全保障,满足《网络安全法》、等保2.0、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规要求,浙江省某厅局以相关业务系统为切入点,与美创科技共同开展重点应用核心数据安全治理工作。
本项目依据《数据安全法》、《个人信息保护法》等法律法规标准要求,截止目前已完成对该单位重点应用的数据安全现状摸底、数据安全风险评估和分析,涵盖合规安全、组织建设、制度建设、技术工具等模块。
具体数据安全治理服务内容如下:
明确该单位数据安全的管理层、执行层和监督层,建立安全保障小组或责任人机制,明确职责。
在制度建设方面该单位目前已经具备较为完整的信息安全保障体系和制度,本期数据安全治理服务项目中新增《XXX公共数据安全管理实施细则》、《XXX公共数据合作方管理规范》和《XXX数据安全应急演练预案》等。
在技术建设方面通过对重点业务系统进行安全基线、安全漏洞、第三方权限审批、密码口令、数据采集、数据处理等安全检查,排查数据安全漏洞并提供加固建议,防范安全事件发生,避免发生高危操作等安全风险点,保障业务连续性。
根据《数据安全法》、《个人信息保护法》等法律法规和地方监管要求,为规范和完善数据安全管理体系,启动数据安全治理服务项目。
本期交付物可总结为1+2+1,其“1”是协助该单位建立了一套数据安全管理制度规范,包括数据安全实施细则、合作方管理制度等,该套规范体系是落实数据安全管理风险防范的抓手;其“2”是对该单位数据安全现状进行评估,厘清其在管理和技术方面与目标能力的差距,识别相关重要业务系统在数据全生命周期各阶段的风险和综合风险。组织对重点业务系统展开了应急演练服务,输出数据安全事件应急演练模拟演练报告;最后一个“1”是根据评估现状和加固建议,结合单位业务规划提供针对性的数据安全规划建设方案。
部分交付物示例:
一)数据业务流向图
二)X厅局基础评估报告(其一)
数据安全能力差距评估结果示例
三)数据安全相关制度
X厅局数据安全应急演练方案
四)数据安全事件应急演练模拟演练报告
本期数据安全治理服务,为该厅局后续建立数据安全精细化防护策略落地提供依据,为数据共享交换保驾护航,同时也为同类行业数据安全项目树立了标杆。
项目基于组织发展战略和合规要求,自上而下规划建设,从组织、制度、技术和人员四个维度进行数据安全建设和持续改进。以数据资产的视角对整个数据生命周期过程进行监管,保障该单位重点应用的核心数据资产安全。覆盖组织建设、制度流程、技术工具和人员能力各个维度,涵盖数据资产分布、数据安全风险分析、业务数据流向以及安全能力赋能等,实现常态化的数据安全监管。
同时,数据安全制度编撰并发文后,将为该单位提供数据安全管理依据,且在管理和执行上有较大提升,后续根据业务发展和实际情况进行优化。
请输入标题
请输入标题
请输入标题
请输入标题