看完这篇，让政务大数据安全问题“迎刃而解”

进入数字经济时代，数据成为关键生产要素，数据价值日益凸显，数据安全事件日益频发，对政府、企业组织及个人在政治经济生活等各方面造成巨大的损害。政府部门拥有海量数据资源，政务数据安全保障成为一个必选项，如何全方位构筑数据安全，为数字经济保驾护航，也已被提升到了国家战略高度。

2021年9月1日实施的《数据安全法》规定：

2021年11月1日实施的《个人信息保护法》针对个人信息数据安全防护以专门章节对国家机关处理个人信息做了特别规定。同时，各省市出台的标准、规范等针对个人数据、公共数据等数据收集、加工、共享、开放、交易、应用等数据安全要求，以及政务服务数据管理部门的数据安全职责也作了更详细的规定与要求。

· 需求与挑战

政务大数据中心集中存储着大量个人隐私数据、敏感数据、机密数据以及分析后的价值成果数据等。典型政务数据中心业务应用平台架构参考如下：

从数据全生命周期角度，从管理、制度规范、技术等维度，政务大数据中心数据安全治理主要关注需求点参考如下：

为满足数据安全防护需求，构建政务大数据中心数据安全治理体系主要面临以下几个方面挑战：

1）待建立健全数据安全组织，明确或完善数据安全岗位及责任，明确或完善数据安全建设战略目标与规划，持续有计划有步骤的实施；

2）待建立健全完整清晰的制度流程规范，使数据安全建设执行与监管做到有据可依；

3）待构建覆盖全数据形态、全数据生命周期、全流通环节数据安全场景的统一的技术防护体系，避免产品堆叠、重复建设、产品割裂、无法联动、无法合成作战的问题；

4）数据安全人员安全意识及安全能力待提升。

· 数据安全治理体系建设

01.现状梳理

通过现场问答、问卷、技术工具（数据资产梳理与分类分级、漏洞扫描与分析工具等）对数据安全现状进行梳理。

通过现场问答、问卷调查等，获取网络拓扑、网络安全区域、安全设备情况、应用系统情况、业务数据使用情况、开发运维安全情况、大数据平台、数据库、数据流向、制度文档规范等信息化建设及安全建设现状。

通过工具，如采用资产梳理及分类分级工具进行数据资产梳理，完成对数据资产全面细粒度的梳理与掌控：

通过工具发现安全风险问题（如：密码明文传输等）：

02.风险评估

参考《信息安全技术数据安全能力成熟度模型》数据安全过程域体系，并基于政务大数据中心实际情况构建数据安全指标评估体系，进行定性及定量数据安全风险分析评估，为数据安全方案规划建设提供依据。

数据安全过程域体系：

安全域评估参考示例如下：

数据安全指标评估体系，参考示例如下：

03.差距分析

分析当前数据安全治理体系建设与目标的差距大数据风险分析，如可参考《信息安全技术数据安全能力成熟度模型》能力成熟度等级3“充分定义”级要求为基线，识别与目标3级的差距，指导后续数据安全能力建设，参考如下图：

04.方案建设

通过规划数据安全组织管理体系架构，制定制度流程规范体系，建设数据安全技术防护体系，数据安全运营平台等，进行全生命周期数据安全治理体系构建。

05.组织管理体系建设

建立相互促进、相互监督的数据安全管理机制与组织机构，明确岗位人员职责与能力等。组织管理体系参考示例如下：

06.制度流程体系建设

制定数据安全相关体系文档，包括不限于明确数据全生命周期管理要求，访问权限管理，安全人员管理，合作方管理，安全应急响应，安全风险评估，安全教育培训等。制度流程体系参考示例如下：

07.技术防护体系建设

通过构建覆盖采集、传输、存储、处理、共享、销毁等数据全生命周期的技术能力防护体系，保障数据安全管理意图可以充分体现，保障政务大数据中心的数据安全。技术防护体系建设参考示例如下：

08.数据安全运营平台建设

通过数据安全运营平台建设，实现统一的数据安全运营监控，数据资产态势、安全风险态势、健康态势、脆弱性态势、数据流动、数据分布等实时感知呈现，实现事件分析与挖掘，风险趋势预测，智能预警，应急响应，联防联控等，参考示例如下：

09.持续优化

数据安全治理体系建设是一个复杂的系统化工程，需要根据实际情况不断的进行修正、持续优化，如持续进行组织安全职责的细化与完善，数据安全标准、规范及指南等修订，人员数据安全意识与能力持续提升，数据安全技术防护体系升级与更新换代等，保障数据安全管控措施的持续有效性。

· 客户价值

全面性：进行全面的数据资产梳理及数据安全风险评估，为用户建立完善的数据安全管理体系，完善的制度流程规范体系，提高数据安全治理能力。

统一性：构建统一的联动联防、合成作战的数据安全防控体系，可应对更加复杂的数据安全威胁及问题，提升数据安全防控能力。

智能化：构建一套AI分析与自学习智能化防护系统，能够快速对数据安全问题进行学习建模，行为预判，提高数据安全防护工作效果。

可视化：提供全方位的数据安全运营可视化能力，实现风险行为的快速识别与定位。

开放性：方案具备灵活开放的平台架构设计，可利旧，可接入第三方厂商数据安全产品。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!