当务之急是
为新能源汽车的数字化转型
构建一套科学高效的数据安全治理体系
《数字经济》杂志收录山石网科《新能源汽车产业数据安全治理体系的构建与实践》文章于第3期 44页(2024.03 总第39期)。
山石网科作为中国网络安全行业的技术创新领导厂商,自成立以来一直专注于网络安全及数据安全等前沿技术的创新,凭借深厚技术底蕴与前瞻视野,不断拓宽行业创新边界。山石网科致力于成为数据安全领域的引领者,为客户提供最优质、最可靠的数据安全治理解决方案和服务。同时,积极投身于数据安全生态的建设,凭借自身丰富的数据安全咨询能力、全面的技术实力和落地最佳实践经验,自2021年起持续三年发布数据安全白皮书,为推动数据安全领域的进步和发展贡献了重要力量。
以下是文章正文:
【数字经济】在数字经济背景下,新能源汽车产业的数据具有体量大、类型杂、价值高等特点,数据安全治理的开展迫在眉睫。通过以数据为中心的安全治理体系的搭建与实践,可为新能源汽车产业提供一套完整的、科学的、切合自身业务的认知理论和关键落地路径,为企业数字化转型升级保驾护航。
图注: 《数字经济》杂志收录山石网科文章
前言
随着数字经济的崛起,它带来了产业技术的颠覆性变革和商业模式的创新性突破,新能源汽车产业也不例外。新能源汽车产业不仅在经济复苏中占据重要地位,更成为数字经济时代的代表产业之一。该产业数字化的进展,不仅关乎数字经济与实体经济的融合程度,更是衡量其成功与否的关键指标。
然而,随着数字化转型的深入推进,新能源汽车产业中的数据量迅速增长、流动性增强,且趋向于平台化集中管理。这种发展趋势使得数据安全问题日益突出。一方面,由于数据的高价值性,针对新能源汽车产业的数据窃取活动日益猖獗,相关数据安全事件层出不穷;另一方面,新能源汽车产业的数据涉及众多主体,种类繁多、格式各异,不仅包括研发设计、生产制造、运行维护等数据,还涉及与上下游合作伙伴的经营数据以及消费者的隐私数据。同时,这些数据覆盖区域广泛、应用场景复杂,需要全面考虑数据全生命周期各环节的脆弱性和潜在威胁。
此外,新能源汽车产业的数据正逐步从内网扩展到外网、云平台等更广泛的领域,这进一步增加了相关的数据安全风险。与此同时,国家法律法规如《网络安全法》《数据安全法》等,对新能源汽车产业的敏感数据防护提出了明确要求。
因此,当务之急 是为新能源汽车产业的数字化转型构建一套科学且高效的数据安全治理体系。此体系需确保数据资产在全生命周期内的安全,还要充分发挥数据的自身价值,以满足产业在数字经济时代的发展需求。
以新能源汽车产业数据为中心的安全治理体系
大多数新能源汽车企业在过去已经构建了一定的安全体系,这些体系主要侧重于网络环境和信息系统的安全防护。而数据安全是以新能源汽车产业数据为中心,围绕着数据全生命周期进行建设,以提高企业数据安全保障能力。这就要求企业根据自身业务特点,制定符合实际需求的数据安全建设策略,确保在数字化转型的过程中,能够形成可持续的安全运营能力。
对于新能源汽车产业来说,数据安全治理是一个跨领域、跨层次的综合性议题,它不仅涉及业务层面,也涵盖管理和技术层面。这种全方位、体系化的融合建设,要求企业运营者进行深入的综合思考,确保数据安全建设有明确的指导框架,实现“三同步”原则——同步规划、同步建设、同步运营。
以新能源汽车产业数据为核心的安全治理体系(见图 2)是一个内部相互依存、彼此紧密关联的生态系统。在这个体系中,制度规范体系发挥着至关重要 的作用,它不仅为技术防护体系的构建提供了明确的指导方向,也为运营管理体系中的组织建设和人员能力培养提供了遵循的根本;运营管理体系的建立则确保了制度规范的有效实施,使技术防护体系能够真正发挥实效;技术防护体系作为这一生态系统的关键支撑,为制度规范和运营管理提供了强大的技术工具和手段;同时,数据安全应急响应和监督审计体系为整个框架提供了保障,共同构建了一个以新能源汽车产业数据为中心的可持续安全治理体系,全面提升了企业的数据安全治理能力。
基于某新能源整车制造厂商数字化转型过程中的安全治理应用实践
相对于传统网络安全规划建设,数据安全治理对“科学性”“系统性”提出了更高要求,考虑到数据与业务之间的紧密联系,某新能源整车制造厂商进行数据安全治理时,需将业务场景与数据流转深度绑定。通过组织建设、调研摸底、数据分类分级、风险评估、体系建设、持续面向全员的培训等完成数据安全治理工作。
一、组织建设
数据安全治理的首要步骤是建立一个专门的数据安全治理机构。这一组织不仅负责制定与企业战略相契合的数据安全政策,还负责监督和确保这些政策的执行。
二、调研摸底
在开始数据安全治理之前,对企业现有的数据资产进行全面的调研摸底是至关重要的。这包括了解数据的所有者、存储位置以及业务架构等信息。
三、数据分类分级
参考当前行业标准与安全实践经验,构建合理且有效的数据分类与分级规则。通过对数据资产进行全面梳理,并根据其重要性和敏感性进行分类分级,为实现差异化的数据防护策略提供基础。
四、风险评估
结合风险评估和数据安全能力成熟度模型发现该厂商数据全生命周期安全管控能力方面的技术与管理的脆弱性及威胁性。这有助于发现数据安全治理中的问题和短板,并为后续的治理工作指明了方向。
五、体系建设
为遵循“三同步”原则,需在理解合规要求以及紧贴业务场景的前提下,建立数据安全治理体系框架,从制度、技术、运营、监督审查、应急响应等维度为该厂商构筑数据安全治理方案。
1、制度体系完善
结合法律法规要求、业务发展战略需求以及当前风险状况,制定与数据安全治理紧密相关的制度和规范。这些制度和规范包括但不限于组织架构的构建规划、数据安全操作的流程设计以及数据安全制度执行情况的考核标准等。
2、技术工具实施
在技术层面,以现有安全基础设施、等级保护技术措施为基础,依托数据安全综合治理平台,对数据全生命周期实施安全保障,集中化管理数据安全防控策略,有效监测数据使用、流转及共享过程中的安全态势及风险。同时借助数据加密、数据防泄漏、数据脱敏等多种技术措施,全面提升数据安全防护能力。在这个过程中还要重点注意防护措施与其实时性、稳定性等需求相匹配,充分考虑数据安全、功能安全、业务保障之间的关系。
3、运营管理建设
一个健全的运营管理体系可帮助企业实现数据安全治理的最终落地与可持续化运转。建立数据安全治理专业团队,提升数据安全管理、技术、合规能力,加强员工数据安全意识,以确保数据安全运营的可视化、可控制和可持续性。
4、监审与应急体系建设
随着数据安全治理三大核心体系的完善,该厂商需对其数据全生命周期各阶段的安全管理进行持续的监控和审计,以确保数据安全治理可以有效、持续地产生价值。此外,针对可能出现的数据安全事件,应制定并实施重大事件报告制度和突发数据安全事件应急响应机制。
六、持续面向全员的培训
数据安全治理是一项持续的、需要全员参与、全民维护的工程,所以需要提升全民关于数据安全的意识,定期开展相关培训,增强包括数据安全委员会相关人员在内的数据安全知识和能力。
以新能源汽车产业数据为中心的安全治理体系可帮助正处在数字经济背景下的企业提升整体数据安全防护能力和数据安全管理水平。围绕数据生命周期全过程,融合技术、管理和运营,确保新能源汽车产业数据的采集、传输、存储、使用、共享安全,做到相关数据不被截获、篡改、窃取,保障新能源汽车产业在数字经济背景下的高速安全发展。
山石网科是中国网络安全行业的技术创新领导厂商,由一批知名网络安全技术骨干于2007年创立,并以首批科创板上市公司的身份,在2019年9月登陆科创板(股票简称:山石网科,股票代码:688030)。
现阶段,山石网科掌握28项自主研发核心技术,申请470多项国内外专利。山石网科于2019年起,积极布局信创领域,致力于推动国内信息技术创新,并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发,旨在通过自主创新,为用户提供更高效、更安全的网络安全保障。目前,山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及边界安全、云安全、数据安全、业务安全、内网安全、智能安全运营、安全服务、安全运维等八大类产品服务,50余个行业和场景的完整解决方案。
(文章配图源自网络)
热门跟贴