首个！美创助力大型能源央企数据安全能力成熟度评估及规划建设

  2024开年，再传捷报。美创科技首个核电行业数据安全治理项目，也是首个大型能源央企数据安全治理项目落地！美创数据安全治理咨询团队，助力用户完成数据安全现状评估、数据安全体系标准设计和落地、数据分类分级落地试点、数据安全三年行动规划设计，专业能力获得高度评价与认可。

  某核电企业网络安全运行中心数据安全经理反馈，“关注美创，是源于其在数据安全领域相关媒介中较高的“出镜率”，通过项目合作，也实际验证了这个团队的实施能力，面对缺少行业标准和先行案例的数据安全场景，他们能通过充分的调研、细致的探究、有效的借鉴，高质量完成我方数据安全体系设计和数据安全标准编制，落地性也得到充分验证和保障，专业能力让人信服。”

  能源行业某集团有限公司（以下简称“集团公司”），是由国务院国有资产监督管理委员会控股的中央企业，是我国核电事业的领军企业之一，也是全球领先的清洁能源供应商与服务商。业务覆盖核能、核燃料、新能源、非动力核技术、数字化、科技型环保、产业金融等领域。

  自2021年以来，国家层面加快数据安全相关立法的进度，密集出台《数据安全法》、《个人隐私信息保护法》、《数据出境安全评估办法》、《个人隐私信息出境安全评估办法》等法律和法规，明确作为数据处理者的企业要承担的各项数据安全管理义务，包括“建立健全全流程数据安全管理制度基本义务”及“依规定对数据处理活动定期开展风险评估加强风险监测，并报送风险评估报告”的行动要求。

  2022年，国务院国有资产监督管理委员会也发布了《中央企业合规管理办法》等规定。

  为落实国家数据安全法律和法规要求、国资委对企业的数据安全监督管理要求、“十四五”数字化的经济发展规划及集团公司内部数据安全需求，该集团公司于2023年8月启动“数据安全能力成熟度评估及规划项目”。

  “数据安全能力成熟度评估及规划项目”核心任务包括：数据安全现状评估、数据安全体系标准设计和落地、数据分类分级落地试点、数据安全三年行动规划设计。

  数据安全评估工作包括数据安全能力成熟度评估、数据安全合法合规风险评估两部分内容：

  ◼︎数据安全能力成熟度评估：基于DSMM四级、DSMM三级能力要求，分别对5套系统来进行安全能力差距分析，作为2024年－2026年数据安全建设的目标输入。系统范围如下：

  ◼︎数据安全合法合规风险评估：对标有关规定法律法规，识别当前存在的合法合规风险，指导各系统数据安全问题整改工作。系统范围如下：

  在集团公司已发布的《XX集团数据安全管理办法》、《XX集团数据全生命周期管理办法》基础上，基于合法合规要求及集团现状，深度构建全面完整的数据安全标准体系，输出《数据安全标准》。内容包括：

  数据安全分类分级、数据全生命周期分级防护、数据安全能力成熟度评估、数据安全风险评估、数据安全事件应急响应与处置、第三方数据安全、数据安全教育和培训、数据安全监督检查等8大维度。

  按照《数据安全标准》中“数据安全分类分级”规范要求，完成8套系统（28014个字段）和大数据平台（2309个字段）的数据分类分级工作。

  结合DSMM评估、合法合规评估、数据安全分级防护要求及集团公司未来3年要达到的数据安全能力目标，围绕数据安全“管理监督管理体系、技术体系、运营体系”进行设计，输出适合客户现状的《数据安全三年行动设计和落地建设方案》。

  项目自2023年8月启动，于2023年12月启动项目验收工作，历时5个月，各阶段任务如下图所示：

  本次项目，不仅帮助能源集团满足合法合规要求，摸清数据安全现状，建立数据安全治理体系，同时形成了切实可行的数据安全三年行动规划设计，从数据安全管理与监督、数据安全技术、数据安全运营三大维度支持集团后续数据安全决策和改进。在面对缺少行业标准和先行案例的数据安全场景，能源集团与美创先行探索与实践，也为更多的能源核电行业公司进行建立完整数据安全治理体系，强化数据安全保障树立新的标杆和示范！