編者按

為落實《北京市關于加快建設全球數字經濟標桿城市的實施方案》，在市經濟和信息化局的指導下，北京軟件和信息服務業協會牽頭開展了數字經濟標桿企業評價工作，并在2024年2月發布了《2023北京市數字經濟標桿企業評價報告》。為服務數字經濟標桿企業發展，推廣企業數字技術、方案和創新成果，北京軟協開展了數字經濟標桿企業成果征集活動，形成《2024北京數字經濟標桿企業成果集》（以下簡稱《成果集》）并于2024產業互聯網創新發展論壇上發布。

《成果集》匯集了36家數字經濟標桿企業在各領域的典型成果42項，成果是按照不同的數字經濟標桿企業類型來呈現，分為技術成果、賦能成果、生態成果和創新成果四個篇章。這些標桿企業成果反映了北京數字經濟發展的實力與成就，也體現了數字經濟發展的水平。

天融信：數據安全風險管控體系建設

（一）成果概述

標桿企業：北京天融信網絡安全技術有限公司

標桿類型：數字基礎技術標桿

取得時間：2022年12月

成果簡介：數據安全風險管控體系建設減少了數據泄露、數據非法利用、數據篡改或破壞等風險，保障了數據使用安全、共享與公開安全、流通安全和業務的連續性、穩定性，提升了政府的治理能力，推動數據價值的釋放。

（二）成果背景

數字中國建設是我國十四五規劃中提出的重大發展戰略，其關鍵目標之一是提升政務數字化智能化水平。大數據、云計算、人工智能等新技術在政務服務管理中快速發展和應用，給數字政府建設帶來便利的同時也帶來了許多安全風險。數據作為數字政府建設的核心要素，可信可控的數據安全屏障是數字政府建設的生命線。

天融信參考GB/T 24364-2023《信息安全技術 信息安全風險實施指南》和GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》兩個國家標準，開展數據資產識別、數據生命周期監管和風險監測，確保數據在收集、存儲、使用、加工、傳輸、提供、公開等各個環節都能得到有效保護，防止數據泄露和濫用，構建了適應業務發展的數據安全風險管控和安全保護體系，實現了數據全方位安全監控與審計溯源，保護了數據資源的安全合規。

數據安全風險管控體系建設減少了數據泄露、數據非法利用、數據篡改或破壞等風險，保障了數據使用安全、共享與公開安全、流通安全和業務的連續性、穩定性，提升了政府的治理能力，推動數據價值的釋放，為數字經濟高質量發展和高水平安全提供基礎。

（三）成果亮點

天融信在國家標準規范的指導下，根據某部委的實際業務需求及數據安全建設目標，建設數據安全管理平臺，開發了數據資產管理、數據分類分級、數據安全防護、數據安全審計等功能，滿足部委對數據全生命周期管理、風險發現和監測等需求。同時，天融信持續跟蹤平臺應用情況并持續迭代更新，實現數據安全風險管控、態勢感知和持續運營。

數據安全風險管控體系建設幫助部委取得了如下關鍵成果，為數字政府建設提供了安全的數據環境，保障數據資源的安全、有序流動和利用，為數字經濟發展保駕護航。

1.構建資產基礎信息庫，為數據安全風險識別奠定基礎

數據安全管理平臺的非侵入式風險探知子系統從資產基礎信息、安全漏洞信息、僵木蠕惡意代碼信息監測入手，準確構建資產基礎信息庫，實施分析和驗證安全風險點，形成海關資產脆弱性識別和威脅情報管理能力，從而建立信息安全風險識別管理能力。

2.實現數據安全治理，促進數據合規流通使用

根據部委的數據安全合規需求、風險控制需求和業務需求，遵循《數據安全能力成熟度模型》對數據安全關鍵能力的描述，在業務、場景、數據資產、數據分類分級、數據風險等方面進行識別分析，通過數據安全管控平臺構建數據資產分類分級、數據資產視圖、數據風險監控、數據安全審計、多維度統計分析等數據安全能力，對部委各業務階段的數據情況持續跟蹤和動態監測，建立多維度的、全方面的數據安全能力。

3.構建全業務數據安全防護能力，實現數據持續運營

通過數據安全管理平臺下安全大數據治理子系統，按照國家和部委的數據安全治理標準建立適合部委的安全數據采集機制，對采集到的數據資產、威脅、風險等信息進行建模分析，建立數據風險評估流程，支撐風險處置、安全指標管理和安全策略調整，并通過數據安全管控平臺構建可感知、可量化、可管控、可追溯、可運營的全業務數據安全防護能力。

（四）成果效益

1.應用效果

（1）以7億條/日的速度采集六大類（共計80余臺（套））設備的安全日志，建立22個分析模型，實現了安全事件的深度分析和挖掘，響應速度提升50%，分析效率提升60%，問題報告準確度達90%。

（2）配置了13種識別規則，納管數據庫、應用、賬號等五類資產數據，按照所屬中心、網絡域、應用、業務系統、集群資產、資產等7個維度進行數據流向展示，形成人員畫像和數據畫像，實現數據行為的監控和審計。

（3）經過數據安全治理，為部委建立了滿足數據安全能力成熟度3級的數據安全保護體系，并實現對10余種防護探針的數據采集，提供了數據資產管理、分類分級、安全防護、告警與響應和安全審計等5大管控應用，可視化展示了數據資產分布、數據安全流轉、數據安全告警、數據安全風險、數據資產防護和重要數據分布等6類安全態勢，滿足部委數據安全管理需求。

2.社會效益

（1）本成果向政企單位提供了詳盡的信息安全風險管理的指引與建議，幫助政企單位識別潛在風險、準確評估風險影響、實施有效控制并持續監控信息安全，保障數據要素的安全流通。

（2）本成果基于網絡安全國家標準，規范了信息安全風險管理的流程和方法，為其他政企單位在管理信息安全風險時遵循最佳實踐、提高管理效率和質量提供了參考，有效抵御數字經濟發展過程中數據安全問題帶來的風險。

（3）本成果不僅為信息安全技術和服務的提供方提供了可靠的建設方法，也為信息安全技術和服務的使用方提供了可靠的產品和服務，滿足使用方數據安全建設和風險管理的需求。

3.經濟效益

（1）本成果通過數據安全能力成熟度模型的評估，幫助部委全面了解自身的數據安全能力水平，建設了數據安全防護能力，提高了部委的信息安全水平，并為其他組織提供了參考，可以有效降低組織由于信息泄露或數據篡改等數據安全事件帶來的經濟損失。

（2）本成果通過數據安全管理平臺幫助部委直觀了解自身存在的數據安全風險，明確了數據安全建設方向和重點，幫助部委合理投入資源，降低建設成本和運營成本。

（3）本成果滿足國家標準對信息安全風險評估、數據安全能力成熟度評估的要求，幫助部委滿足我國法律法規的要求，從而避免因違規帶來的經濟處罰和聲譽損失。

（來源 ：北京軟協）