智慧赋能 | 东航：守护好数据“宝贵财富”|东航|中国东方航空|信息安全|旅客|智慧赋能|民航|网络安全|航空公司

今年2月，中国东方航空股份有限公司获得国家数据安全能力成熟度（DSMM）三级认证，成为国内首家通过三级认证的航空公司。三级认证是国内除了少数互联网公司，绝大多数企业目前能获得的最高级别DSMM认证，这是东航多年来在数据安全领域不断努力所取得的新成果。

孜孜以求护航事业长期发展

国家数据安全能力成熟度（DSMM）认证是我国近年来积极推进的数据安全认证项目，而对数据安全的孜孜以求更是东航长期以来的坚持。早在2010年，信息安全、数据安全就与飞行安全、空防安全、地面安全等领域一道，被东航纳入了企业安全工作的顶层设计架构。

作为一家机队规模位居全球前10，每天都有航班飞行在世界各地，并且是国产大飞机C919全球首发用户的航空公司，东航每天产生着海量数据，蕴含着无限商机和价值。“大数据是最宝贵的财富。”东航近年来不断向广大党员干部职工、向企业内外传递着这一理念。

对于这份“最宝贵的财富”，如果在守护安全的前提下精准应用，将有效推动企业高质量发展。而数据安全保障出现漏洞，无论是个人信息被盗用，还是航班运行数据外泄，都会给企业、消费者乃至国家和社会带来安全风险。

东航信息部作为东航数据治理、数据安全责任单位，始终根据企业发展要求，深入推动数据安全治理。

与软硬件信息安全工作面对的往往是“看得见”的软件防护甚至“摸得着”的硬件设备不同，数据安全治理是信息流、业务流与诸多管理链条、制度建设的交织融合，对治理能力提出了较高要求，需要一个能够深入东航业务流程、在各个环节守护好数据安全的人才团队。如果安全防线薄弱，别有用心者或将利用流程、业务、制度漏洞趁虚而入，窃取消费者个人信息、企业运行数据甚至涉及国家安全的敏感信息；而一味层层加码、“严防死守”，则会让数据应有的价值得不到有效利用，阻碍企业的高质量发展。

如何在复杂场景下实现数据治理精准高效？东航信息部将目光投向了近年来启动的国家数据安全能力成熟度（DSMM）认证。作为国内新建立的高标准数据安全认证体系，DSMM提供的维度为东航数据安全建设提供了极有价值的抓手，以申请认证带动事业发展成为可行的路径。

抽丝剥茧覆盖层层责任主体

申请认证的目标确定之后，东航信息部围绕组织建设、人员能力、技术工具和制度流程四个维度，积极推动东航DSMM贯标工作。

在组织建设方面，东航将网络与信息安全工作纳入东航整体安全管理范畴，由集团安委会统筹管理；东航总法律顾问担任东航数据保护官，全面负责公司数据保护与合规运营工作，东航成为国内为数不多、在整个公司层面设立数据保护官的航空企业；东航还成立了旅客信息保护委员会和集团数据安全工作组，全面统筹管理公司旅客信息及数据安全工作。

在人员能力方面，东航目前已经配备数据安全专职人员18名、兼职安全管理员88人，安排员工定期参加信息安全、个人信息保护相关培训，并组织年度信息安全、数据合规等考核；东航信息化专家委员会聘请信息安全领域外部专家3名，深度参与东航网络安全规划和规范体系建设等工作。

在技术工具方面，东航大力提升安全防护能力，筑牢终端安全、网络安全、账号安全、应用安全、数据安全和数据中心安全“六大围栏”，严格落实信息安全合规条例和数据安全合规要求，全面提升技术防护水平。

在制度流程方面，东航通过了ISO27001国际信息安全标准，制定了符合国际最高标准的信息安全标准，以及覆盖14个控制域、114个控制项的标准规范与规章制度。作为一家航线通达世界各地的大型航空公司，东航还通过欧盟通用数据保护条例（GDPR）合规项目，分别从法治合规与系统合规两方面开展合规工作，让数据安全与治理助力“空中丝路”更顺畅地延伸。值得一提的是，随着企业数据安全与治理的推进，在其近年参加的相关环境、社会和治理评级（ESG）项目中，东航均处于领先水平，跻身全球民航第一阵营。

伴随着DSMM贯标工作的推进，在东航数据安全体系中，机制建设不断完善，专业人才队伍逐步建立。

目前，东航信息部已经联合业务部门制定了数据分类分级管理办法，而对大数据的精细化管理也从原本的字段打标进一步深入到元数据打标。由此，一项数据可否公开、公开到何种程度、应以怎样的程度实现利用，有了更加明确的规则和更加细分的选择依据。与此同时，东航主要业务部门、所属各分子公司都已设立数据保护官，带领各部门专兼职数据安全人员共同守护企业和旅客的数据安全。

多管齐下保障个人信息安全

在民航业，个人信息安全尤为重要，因为它涉及大量旅客和员工信息，包括姓名、联系方式、旅行计划、支付信息等。一家规模位居全球前列的航空公司在数据安全领域的不断完善，对民航旅客和社会公众而言，意味着个人信息将得到更加有力的守护。

东航信息部数据安全团队相关负责人告诉记者，旅客在订票时提交的证件号码、姓名等数据是航班运行和航空公司各类业务系统必不可少的基础内容，同时也涉及最核心的个人信息安全。东航信息部数据安全团队依托国家数据安全能力成熟度（DSMM）认证和所制定的数据分类分级管理办法，以及从元数据层面完成打标的基础支持，识别东航各数据安全等级的个人信息。由此，东航旅客信息保护办公室制定了一套符合《个人信息保护法》与GDPR的个人信息保护影响评估制度及流程，实现了一定数据安全等级个人信息的数据处理必须经过合规性评审，确保了在不同业务场景下都能按照最小必要的合规原则处理旅客的相关数据。同时，在技术领域，东航采用国家商用密码算法（SM3+SM4），依据民航业个人信息特点，如出行相关数据量大、数据分布广、流动频繁等，针对涉及个人信息的数据提供各系统分隔加密存储保护。截至2024年初，相关数据已达数十亿条，同时证照类文件加密保护存储容量超30TB，覆盖数据中心、公有云端应用场景，从技术上为旅客个人信息保护筑起了坚实屏障。

东航信息部数据安全团队相关负责人告诉记者，在成为国内首家获得DSMM三级认证航企的基础上，东航将继续对照DSMM高成熟度标准，不断优化数据安全分级保护，特别是数据供应链管理，使对数据安全的守护更好地覆盖东航生产运行链条上下游，助力企业高质量发展，保障社会和公众利益。（中国民航报记者钱擘通讯员徐星、朱媛）

（本文刊载于中国民航报2024年3月13日8版）

《智慧民航》导刊每周三

与广大读者见面

让我们一起

聚焦智慧民航建设热点

擘画全新未来

期待您的来稿！

投稿邮箱：icanews@163.com

编辑|孙文瑾

校对|李季威

审核|程凌