客戶簡介
上海燃?xì)庥邢薰荆ㄏ路Q“上海燃?xì)狻保┦蔷C合性城市燃?xì)膺\(yùn)營企業(yè)�,負(fù)責(zé)保障上海市燃?xì)獍踩?wù)供應(yīng)���。截至2020年底���,上海燃?xì)夥?wù)天然氣用戶640萬戶��,年供應(yīng)天然氣逾90億立方米���。
公司高度重視數(shù)字化改革對(duì)企業(yè)生產(chǎn)經(jīng)營、運(yùn)營管理���、服務(wù)水平等方面的提升��,其應(yīng)用系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施�,所涉及的數(shù)據(jù)涵蓋工業(yè)�、運(yùn)營、個(gè)人信息等數(shù)據(jù)�。
隨著橫向《網(wǎng)絡(luò)安全法》、等保2.0����、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等合規(guī)性要求���,及縱向垂直行業(yè)安全標(biāo)準(zhǔn)要求的需要���,對(duì)數(shù)據(jù)采集、存儲(chǔ)、共享�、使用、銷毀等環(huán)節(jié)的安全性均提出了明確要求�,需要在實(shí)現(xiàn)基礎(chǔ)設(shè)施安全保障的前提下,充分利用數(shù)據(jù)開展業(yè)務(wù)��。
需求分析
此背景下��,上海燃?xì)鉃轫憫?yīng)國家法律法規(guī)要求����,保障業(yè)務(wù)系統(tǒng)安全,此次以客服類系統(tǒng)為切入點(diǎn)���,開展數(shù)據(jù)安全治理工作�����。作為一家擁有海量數(shù)據(jù)資產(chǎn)的企業(yè)��,上海燃?xì)饽壳霸跀?shù)據(jù)安全治理工作落地方面,存在以下困境:
對(duì)數(shù)據(jù)資產(chǎn)使用權(quán)限缺乏有效性梳理���,未落實(shí)數(shù)據(jù)分類分級(jí)管理并制定相應(yīng)的權(quán)限管控���。
公司目前已建立較為完善的信息安全保障制度體系�����,但數(shù)據(jù)安全建設(shè)工程浩大�����,面對(duì)海量數(shù)據(jù)資產(chǎn)�����,若無切實(shí)有效的數(shù)據(jù)安全制度流程���,則難以掌握數(shù)據(jù)流向。
在等保合規(guī)基礎(chǔ)上�,公司有意識(shí)進(jìn)一步提升數(shù)據(jù)安全防護(hù)能力,降低數(shù)據(jù)安全隱患可能帶來的風(fēng)險(xiǎn)�����,但在具體落地方面仍存在難點(diǎn)��。
解決方案
基于上海燃?xì)鈹?shù)據(jù)安全防護(hù)的現(xiàn)狀和具體需求��,美創(chuàng)科技圍繞“讓數(shù)據(jù)更安全更有價(jià)值”的核心目標(biāo),按照政策法規(guī)要求����,以DSMM為抓手,以數(shù)據(jù)流向和應(yīng)用場景為切入點(diǎn)開展數(shù)據(jù)安全治理咨詢���。咨詢內(nèi)容共分為以下三個(gè)階段:
第一階段:數(shù)據(jù)資產(chǎn)梳理����。通過問卷調(diào)研���、工具探查等方式多維度盤點(diǎn)數(shù)據(jù)資產(chǎn)�,厘清客服類數(shù)據(jù)資產(chǎn)現(xiàn)狀��,并在此基礎(chǔ)上進(jìn)行數(shù)據(jù)分類分級(jí)�����,為后續(xù)數(shù)據(jù)安全精細(xì)化管控提供基礎(chǔ)����。數(shù)據(jù)資產(chǎn)梳理完成了如下內(nèi)容:
數(shù)據(jù)資產(chǎn)盤點(diǎn):通過工具探查客服類數(shù)據(jù)資產(chǎn)情況,為分類分級(jí)實(shí)施做好準(zhǔn)備工作���。
數(shù)據(jù)權(quán)限現(xiàn)狀:盤點(diǎn)清楚用戶具備哪些權(quán)限�����,數(shù)據(jù)可以被哪些用戶增刪改查�����,權(quán)限過大用戶有哪些等�。
數(shù)據(jù)流向梳理:盤點(diǎn)清楚客服類數(shù)據(jù)從采集����、傳輸、共享交換到銷毀的流向�。
數(shù)據(jù)分類分級(jí):完成數(shù)據(jù)分類和分級(jí),共分四級(jí)�����,其中一半為敏感數(shù)據(jù)���,同時(shí)明確各級(jí)數(shù)據(jù)的安全要求��。
第二階段:數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估����。對(duì)上海燃?xì)鈹?shù)據(jù)安全現(xiàn)狀進(jìn)行分析,識(shí)別和分析數(shù)據(jù)資產(chǎn)在全生命周期各階段風(fēng)險(xiǎn)��,并給予中立的加固建議�����。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估內(nèi)容包括如下:
基礎(chǔ)風(fēng)險(xiǎn)評(píng)估:通過安全基線檢查�����、漏洞掃描�、滲透測試等方式,發(fā)現(xiàn)在數(shù)據(jù)處理環(huán)境中存在的安全漏洞�,并提供加固建議。
數(shù)據(jù)安全能力差距評(píng)估:基于客服類業(yè)務(wù)實(shí)際情況量體裁衣����,深度分析和評(píng)估當(dāng)前組織安全能力現(xiàn)狀,幫助其清楚自身在生命周期各階段的能力現(xiàn)狀與目標(biāo)的差距��。
數(shù)據(jù)安全合規(guī)評(píng)估:全面解讀和分析《數(shù)據(jù)安全法》�、《個(gè)人信息保護(hù)法》以及地方辦法條例內(nèi)容,通過聯(lián)合對(duì)標(biāo)分析�,全面評(píng)估組織數(shù)據(jù)安全合規(guī)情況和合規(guī)風(fēng)險(xiǎn)��,并提供針對(duì)性的加固建議��。
數(shù)據(jù)全生命周期風(fēng)險(xiǎn)評(píng)估:參考信息安全風(fēng)險(xiǎn)分析方法,從資產(chǎn)和風(fēng)險(xiǎn)兩大視角出發(fā)���,基于數(shù)據(jù)分級(jí)結(jié)果���,建立組織風(fēng)險(xiǎn)評(píng)估模型,識(shí)別組織面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)���,通過定性分析和定量分析方法�,評(píng)估數(shù)據(jù)資產(chǎn)面臨風(fēng)險(xiǎn)���。
第三階段:數(shù)據(jù)安全建設(shè)規(guī)劃��。基于數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的結(jié)果����,結(jié)合客戶方的實(shí)際情況��,提供針對(duì)性的數(shù)據(jù)安全建設(shè)規(guī)劃方案���。
管理制度建設(shè):結(jié)合客戶方實(shí)際����,基于合規(guī)要求,完成部分相關(guān)數(shù)據(jù)安全相關(guān)制度建設(shè)��,為后續(xù)管理提供依據(jù)���。
數(shù)據(jù)安全建設(shè)規(guī)劃:從管理�、技術(shù)和運(yùn)營三個(gè)維度規(guī)劃�,開展數(shù)據(jù)安全建設(shè)的短、中����、遠(yuǎn)期規(guī)劃和建設(shè)工作,明確建設(shè)依據(jù)�、建設(shè)規(guī)劃、建設(shè)路徑��、建設(shè)周期�、建設(shè)優(yōu)先級(jí)等內(nèi)容,為數(shù)據(jù)安全建設(shè)道路提供指引�。
客戶收益
1)摸清家底,把控風(fēng)險(xiǎn)
通過數(shù)據(jù)資產(chǎn)梳理,厘清數(shù)據(jù)重要性和敏感度��,實(shí)現(xiàn)各類數(shù)據(jù)資產(chǎn)的識(shí)別分類��、賬戶權(quán)限梳理��,可以幫助客戶快速��、清晰了解數(shù)據(jù)安全現(xiàn)狀和風(fēng)險(xiǎn)點(diǎn)�,為數(shù)據(jù)安全建設(shè)提供依據(jù)����。
2)規(guī)劃方向,指引建設(shè)
基于保護(hù)目標(biāo)和風(fēng)險(xiǎn)點(diǎn)清晰的必要條件下�����,通過建議采取適當(dāng)��、合理的管理措施和安全防護(hù)措施�����,為上海燃?xì)鈹?shù)據(jù)安全后續(xù)建設(shè)提供指引���。
3)樹立標(biāo)桿��,促進(jìn)發(fā)展
作為該行業(yè)優(yōu)先落地?cái)?shù)據(jù)安全咨詢組織�,積極響應(yīng)國家號(hào)召,不僅符合法律法規(guī)要求����,更為后續(xù)數(shù)據(jù)安全精細(xì)化防護(hù)策略落地提供依據(jù),為數(shù)據(jù)共享交換保駕護(hù)航�,同時(shí)也為同行業(yè)樹立了榜樣。
