文章來源：北京軟協官方微信公眾號

近日，北京軟件和信息服務協會發布《2024北京數字經濟標桿企業成果集》（以下簡稱《成果集》）。天融信「數據安全風險管控體系建設」入選《成果集》“數字基礎技術標桿”，以技術創新助力首都數字經濟發展。

作為北京軟件和信息服務業協會副會長單位，天融信立足北京近30年，持續發揮網安領軍企業優勢，不斷加強關鍵核心技術攻關，已累計獲得2項國家科技進步獎、8項省部級科技進步獎、2項社會科技獎，用實際行動助力我國和首都數字經濟高質量發展！

成果背景

數字中國建設是我國“十四五”規劃中提出的重大發展戰略，其關鍵目標之一是提升政務數字化、智能化水平。大數據、云計算、人工智能等新技術在政務服務管理中快速發展和應用，給數字政府建設帶來便利的同時也引入了許多安全風險。數據作為數字政府建設的核心要素，可信可控的數據安全屏障是數字政府建設的生命線。

天融信參考GB/T 24364-2023《信息安全技術 信息安全風險實施指南》和GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》兩個國家標準，開展數據資產識別、數據生命周期監管和風險監測，確保數據在收集、存儲、使用、加工、傳輸、提供、公開等各個環節都能得到有效保護，防止數據泄露和濫用，構建適應業務發展的數據安全風險管控和安全保護體系，實現數據全方位安全監控與審計溯源，保護數據資源的安全合規。

數據安全風險管控體系建設減少了數據泄露、數據非法利用、數據篡改或破壞等風險，保障數據使用安全、共享與公開安全、流通安全和業務的連續性、穩定性，提升政府的治理能力，推動數據價值的釋放，為數字經濟高質量發展和高水平安全提供基礎。

成果亮點

在國家標準規范的指導下，天融信根據某部委的實際業務需求及數據安全建設目標，搭建數據安全管理平臺，開發數據資產管理、數據分類分級、數據安全防護、數據安全審計等功能，滿足部委對數據全生命周期管理、風險發現和監測等需求。同時，天融信持續跟蹤平臺應用情況并加速迭代更新，實現數據安全風險管控、態勢感知和持續運營。

數據安全風險管控體系建設幫助部委取得如下關鍵成果，為數字政府建設提供安全的數據環境，保障數據資源的安全、有序流動和利用，為數字經濟發展保駕護航。

構建資產基礎信息庫 | 為數據安全風險識別奠定基礎

數據安全管理平臺的非侵入式風險探知子系統，從資產基礎信息、安全漏洞信息、僵木蠕惡意代碼信息監測入手，準確構建資產基礎信息庫，實施分析和驗證安全風險點，形成資產脆弱性識別和威脅情報管理能力，從而建立信息安全風險識別管理能力。

實現數據安全治理 | 促進數據合規流通使用

根據部委的數據安全合規、風險控制和業務需求，遵循《數據安全能力成熟度模型》對數據安全關鍵能力的描述，在業務、場景、數據資產、數據分類分級、數據風險等方面進行識別分析，通過數據安全管控平臺構建數據資產分類分級、數據資產視圖、數據風險監控、數據安全審計、多維度統計分析等數據安全能力，對部委各業務階段的數據情況持續跟蹤和動態監測，建立全方位、多層次、立體化的數據安全能力。

構建全業務數據安全防護能力 | 實現數據持續運營

通過數據安全管理平臺下安全大數據治理子系統，按照國家和部委的數據安全治理標準建立適合部委的安全數據采集機制，對采集到的數據資產、威脅、風險等信息進行建模分析，建立數據風險評估流程，支撐風險處置、安全指標管理和安全策略調整，并通過數據安全管控平臺構建可感知、可量化、可管控、可追溯、可運營的全業務數據安全防護能力。

成果效益

應用效益

（1）以7億條/日的速度采集六大類設備的安全日志，建立20余個分析模型，實現安全事件的深度分析和挖掘，響應速度提升50%，分析效率提升60%，問題報告準確度達90%。

（2）配置13種識別規則，納管數據庫、應用、賬號等五類資產數據，按照所屬中心、網絡域、應用、業務系統、集群資產、資產等7個維度進行數據流向展示，形成人員畫像和數據畫像，實現數據行為的監控和審計。

（3）經過數據安全治理，為部委建立滿足數據安全能力成熟度3級的數據安全保護體系，并實現對10余種防護探針的數據采集，提供數據資產管理、分類分級、安全防護、告警與響應和安全審計等5大管控應用，可視化展示數據資產分布、數據安全流轉、數據安全告警、數據安全風險、數據資產防護和重要數據分布等6類安全態勢，滿足部委數據安全管理需求。

社會效益

（1）向政企單位提供詳盡的信息安全風險管理的指引與建議，幫助政企單位識別潛在風險、準確評估風險影響、實施有效控制并持續監控信息安全，保障數據要素的安全流通。

（2）基于網絡安全國家標準，規范信息安全風險管理的流程和方法，為其他政企單位在管理信息安全風險時遵循最佳實踐、提高管理效率和質量提供參考，有效抵御數字經濟發展過程中數據安全問題帶來的風險。

（3）為信息安全技術和服務的提供方提供可靠的建設方法，也為信息安全技術和服務的使用方提供可靠的產品和服務，滿足使用方數據安全建設和風險管理的需求。

經濟效益

（1）通過數據安全能力成熟度模型的評估，幫助部委全面了解自身的數據安全能力水平，建設數據安全防護能力，提高了部委的信息安全水平，并為其他組織提供了參考，有效降低組織由于信息泄露或數據篡改等數據安全事件帶來的經濟損失。

（2）通過數據安全管理平臺幫助部委直觀了解自身存在的數據安全風險，明確了數據安全建設方向和重點，幫助部委合理投入資源，降低建設成本和運營成本。

（3）滿足國家標準對信息安全風險評估、數據安全能力成熟度評估的要求，幫助部委滿足我國法律法規的要求，從而避免因違規帶來的經濟處罰和聲譽損失。