CCIA技术沙龙 | “数据安全风险评估及安全服务实践” 沙龙成功举办

2022年12月8日，由中国网络安全产业联盟（CCIA）主办、CCIA数据安全工作委员会支持、杭州美创科技股份有限公司承办的“数据安全风险评估及数据安全服务实践”主题技术沙龙成功举办。

当前，我国数字经济快速发展、数字化转型持续深入，促进数据要素依法有序流动，数据安全已是事关国家安全和经济社会发展的重大议题。而随着数字化的发展，数据安全正在面临更高的要求和更大的威胁挑战，体系化的数据安全建设，不仅仅是产品技术建设支撑，作为安全建设中必不可少的内容，数据安全服务也日益受到业界关注。对此，本期沙龙聚焦数据安全评估、数据安全运营等数据安全服务，国家互联网应急中心、美创科技、数安行专家代表共同探讨分享相关方案与实践。本次沙龙也是中国网络安全产业联盟“CCIA技术沙龙”系列活动之一。

中国网络安全产业联盟副秘书长许玉娜表示，数据安全所面临风险和威胁的多样性、多变性使得我们的处置方法和应对策略，已经不能再依靠单一的产品来完成和解决，以数据安全咨询规划、分类分级、数据安全评估、安全运营为主的数据安全服务正在成为提升数据安全能力的重要手段。中国网络安全产业联盟一直为联盟会员搭建沟通、交流、合作的平台，也衷心地希望各会员单位与联盟共同探索现阶段数据安全面临的问题与挑战，让数据安全在企业数字化和产业化转型中进一步发挥更强大的中坚力量。

随后，各位专家代表进行主题分享，并与线上听众开展了热烈讨论。

国家互联网应急中心

《开展数据安全风险评估，促进数据要素有序流通》

从为什么需要开展，如何开展数据安全风险评估进行详细分享，国家互联网应急中心高级工程师林星辰表示，数据安全风险评估是建立数据要素有序流通的重要手段之一，是行业主管监管部门依法行政的重要抓手，也是企业合法合规利用数据的机制保障。开展数据安全风险评估工作，应以《数据安全法》等法律法规及行业标准为依据，确定需开展数据安全的场景，以数据资产为评估对象，以发现数据处理活动中的风险为主要目的，从逻辑维度（如计算环境安全、数据自身安全、合法合规的行为要求等）、数据处理活动维度（如数据收集、存储、使用、加工等）综合研判分析。在数据安全风险评估工具使用上，林星辰介绍，目前市面上已有诸如数据资产探测工具、数据分类分级工具、数据接口探测工具等，单位组织可结合自身需求场景选择适当的方法与工具。

杭州美创科技股份有限公司

《数据安全服务及案例实践》

当前，数字化业务的开展、数据流动共享、威胁形势、合规要求的极大变化，带来数据安全保护工作的颠覆性转变，大大增加了数据安全建设工作的复杂性。政企机构面临诸多痛点难题，对数据安全的需求不仅仅是产品技术实现有效防护，更对前期规划及后期数据运维、安全运营服务提出更高的需求，美创科技以治理咨询、安全运维及数据运营三大服务体系构筑“知、建、管”三位一体的数据安全闭环服务，切实帮助用户有效开展数据安全建设，持续提升数据安全能力，如数据安全建设初期，美创科技提供整体数据安全治理咨询，以及数据分类分级、数据跨境安全评估、数据安全风险评估、个人信息风险评估在内的专项咨询服务，着眼解决用户存在的数据安全“需求不明确、责任不清晰、管理不规范、建设不匹配”等一系列问题。同时，美创科技数据安全咨询服务团队负责人王彦翔结合案例实践详细分享美创科技数据安全服务的整体方案路径。

北京数安行科技有限公司

《基于DataSecOps的数据安全合规防护体系建设》

数字化转型进程中，面向网络和系统边界的传统数据安全防护方案，很难应对数据流动过程中的合规及未知的攻击窃取风险，这需要将数据防护措施从传统的边界拦截延展到数据运营全流程。对此，数安行CTO苑海彬提出DataSecOps数据运营安全防护理念，核心思想强调数据全生命周期流转运营过程中的内嵌安全属性，以全链路数据识别和跟踪、轻量化自适应防护、全流程风险监测评估为三大核心，重点围绕数据识别与数据流映射、保护自动化、风险持续监控、数据安全合规评估等四个方面进行数据安全体系建设。通过DataSecOps的防护理念，可以更全面地识别数据，更有效地保护重要数据，更早地识别风险，打破业务、IT以及数据安全团队的沟通界限，从而整体上降低数据安全建设成本，提升数据安全建设收益。

本次聚焦“数据安全风险评估及数据安全服务实践”主题的沙龙，多位专家畅所欲言、各抒己见，提出了许多真知灼见，也为政企开展数据安全风险评估和数据安全服务建设提供了开阔的思路和宝贵的经验，希望有更多的企业能够享受数据安全服务建设所带来的益处。今后，中国网络安全产业联盟也将继续加强会员单位间的合作和服务，为各界提供一个开阔视野、拓宽思维的交流平台。