為全面貫徹落實《網絡安全法》和《數據安全法》等法律法規要求，發揮標準在支撐國家數據安全治理與個人信息保護重點工作、提升產業數據安全和個人信息保護能力等方面發揮的基礎性、規范性、引領性作用，由全國信息安全標準化技術委員會秘書處、中國電子技術標準化研究院主辦，天融信科技集團等協辦的“2021新一代信息技術標準化論壇——數據安全標準分論壇”于10月22日在深圳舉行。本次論壇聚焦數據安全與個人信息保護熱點問題，邀請數據安全有關主管部門領導和科研院所、高校、企業知名網絡與數據安全專家，分享數據安全和個人信息保護相關法律、政策、標準解讀及工作實踐。

中央網信辦網絡數據管理局處長陳琦、工業和信息化部網絡安全管理局副局長杜廣達、中國電子技術標準化研究院黨委副書記張新明為論壇致辭，中國信息安全研究院副院長左曉棟、應急管理部通信信息中心副處長黃玉釧、中國電子技術標準化研究院網絡安全研究中心數據安全部主任胡影等作主題報告，天融信科技集團數據安全產品與方案管理中心副總經理李建彬發表《數據安全建設“六步走”——數據安全標準的落地實踐》主題演講。

李建彬指出，近年來，國家層面陸續發布數據安全相關的法律法規，隨著各行業數字化轉型的飛速發展，如何解決數據安全問題成為當前企業最為關注的焦點。天融信認為落實數據安全保護工作，企業需要全面轉變為自上而下的思維，遵循三同步原則，即進行同步規劃、同步建設、同步使用，并且建設符合自身業務特性、場景的數據安全治理體系。

基于多年數據安全領域經驗積累，天融信提出數據安全保障體系“六步走”建設思路，即數據安全治理評估、數據安全組織結構建設、數據安全管理制度建設、數據安全技術保護體系建設、數據安全運營管控建設及數據安全監管建設，持續為客戶的數據安全建設提供全面、專業的安全能力。

01 數據安全治理評估咨詢 建立自身業務的數據安全目標

數據安全并不僅僅局限于數據本身，其傳輸過程涉及諸多風險因素，因此評估咨詢愈發重要。數據安全治理評估旨在建立明確、完善的數據安全目標，從組織戰略、組織建設、流程重構、規章制度、技術工具等各方面設計、提升和優化數據生命周期安全防護及監測能力，通過現狀評估明確數據價值、數據保護范圍和數據安全風險。

02 數據安全組織結構建設 明確定義數據安全權責邊界

數據安全建設是一項多方聯動的復合型工作，在開展組織架構建設時，需考慮組織層面實體的管理、執行團隊以及虛擬聯動小組等，所有涉及部門均需參與數據安全建設。同時，還需要根據部門職責建立不同的數據安全角色以面對數據安全建設的需求風險。

03 數據安全管理制度建設 讓管理手段可執行、可落地

數據安全管理制度一般從業務數據安全需求、數據安全風險控制需要及合規性要求等方面進行梳理，最終確定數據安全防護的目標、管理策略及具體的標準、規范、制度等，實現定責到人的管理機制。

04 數據安全技術保護體系 建設應以分級管控為設計方向

數據安全技術保護體系建設應以分級管控為設計方向，在建設過程中，不同安全級別的數據可參照數據生命周期的原則進行數據安全應用執行。同時，基于業務場景與特征進行自身業務技術防護框架、數據安全技術框架的設計與建設。

05 數據安全運營管控是 一個長期性、持續性的業務性服務

數據安全運營管控應以業務為對象，具備集數據安全運維、應急預案及演練、監測預警、應急處置、災難恢復等于一體的“建、管、用”運營能力。數據安全技術為用戶提供全面的數據安全防護，但在實際業務中，不可避免會產生數據風險，在數據安全運營中需基于風險進行動態調整、響應與處置等，最終形成數據安全防護閉環。

06 數據安全監管建設 符合國家的監管要求

移動互聯網時代下，伴隨數據承載價值升高的同時數據面臨的威脅也愈加嚴峻，相關法律法規的出臺對數據從業者提出相關要求，也明確了監管機構的責任。數據安全建設是一個復雜且持續的過程，企業在建設數據安全工作中，還需要考慮數據安全相關的監管工作。公安機關作為監管單位依法履職盡責，對數據處理者履行數據風險監測與風險評估等數據安全保護義務、遵守國家核心數據管理制度、向境外提供重要數據、配合公安機關開展數據調取、向外國司法或者執法機構提供數據等行為依法開展監督管理。

最后，李建彬指出，數據安全建設離不開多方協作，安全監管機構、行業主管單位、數據使用單位等多方協同，共同促進數據安全產業生態建設。

作為網絡安全、大數據與云服務提供商，天融信于2012年開始著力研發數據安全全系列產品，并率先提出“以數據為中心的安全建設體系”建設思路，是國內第一批布局數據安全的網絡安全企業。隨著數據安全技術的不斷發展，天融信融合零信任、AI智能分析、安全運營等諸多先進技術和理念，并結合多年的實踐積累，形成了基于數據全生命周期的安全治理體系，在能源、政府和運營商等行業實現規模化實踐落地。此外，天融信累計參與數據安全相關國家標準、行業標準 30+ 項，同時也是注冊數據安全治理專業人員認證（CISP-DSG）的獨家運營機構，持續為國家培養和輸出數據安全專業人才。