全面提升能源领域数据安全

  [中国石油新闻中心2024-05-31]
  维护数据安全，能源企业需要在践行总体国家安全观的基础上，建立健全数据安全治理体系，全员参与提高数据安全保障能力，强化技术破局，加强数据安全全流程管理，系统性完善数据安全保护和管理制度，建立以网络安全等级保护制度为基础、数据安全与网络安全保护制度相衔接的新合规体系。
  一要建立健全安全管理制度与安全技术规范。安全管理制度与安全技术规范的建立，是企业开展安
  全工作的基础。通过安全管理制度，明确与安全相关的组织架构设计、岗位人员设置、岗位职责，管理流程、安全事件应急处置流程等，可提升企业安全防护能力与处置水平。安全技术规范则指明了安全防护及事件处理的技术措施实施标准与规范，例如，数据的分类分级规范、应急响应处理的技术规范等。
  二要强化人员的数据安全意识，开展安全培训。企业安全数据泄露事件，大部分都是由相关人员缺乏安全意识或安全技术能力，违规操作造成。因此，有必要定期对相关人员进行安全意识培训。同时，针对相关人员在处理业务中涉及到的基本安全常识性技术进行培训，确保不会因为违规操作而造成数据泄露、数据破坏。
  三要建立完善的数据安全防护体系。确保数据安全，需要构建起相应的数据安全防护体系。建议依据企业的具体需求，以满足等保合规为基础，从数据全生命周期维度，建立数据安全的分区分域体系，边界防护体系，访问控制体系，数据访问的权限体系，数据的分类分级及在此基础上的加密、脱敏等技术体系，以及监测体系、应急处置体系、容灾备份体系等。同时，还可根据需要，引入纵深防御体系、零信任体系等相关防护技术和人工智能，在检测建模、安全运营辅助中推进智能化、自动化。
  四要强化供应链安全。能源企业要梳理自身信息化体系中第三方组件、产品的现状，对其进行资产化管理，并加强对其安全管理、漏洞管理、运维管理等，防止这些组件、产品对数据安全造成威胁。同时，对非国产化的组件、产品，加快推动国产化替代。
  五要定期开展攻防演练。为保证能源电力行业的信息化系统安全，可定期开展攻防演练，在确保不对业务系统造成干扰的前提下，对信息化系统进行渗透测试，检验相应数据安全防护体系能力。同时，通过攻防演练，提升相关人员的安全意识、安全技术能力和响应能力。