随着移动互联网、大数据、云计算等信息技术的高速发展，数字经济已成为我国经济高质量发展的重要驱动力。各行业在保障经济稳定增长的基础上，把全面推动自身数字化转型作为现阶段发展规划的主线和战略重点。

作为我国国民经济体系的重要组成部分之一，烟草行业当前正处于重要的战略转折时期。由于消费群体规模的庞大性和市场地位的特殊性，其在日常经营管理中涉及了大量的个人隐私数据和行业敏感数据。如何规范以上数据的处理与应用，进一步提升行业数据安全合规管控与防护水平，对于烟草行业的数字化建设发展具有重要意义。

在等保2.0政策出台的大背景下，国家烟草总局印发了关于组织对《烟草行业数据安全管理办法（试行）》的通知，明确了对烟草行业各单位、部门在数据安全管理层面的各维度要求，包括数据资产清单的编制、更新与动态管理，同时开展了烟草行业网络安全重点工作落实情况的现场检查。某烟草公司为积极响应行业要求，落实主体责任，选择与世平信息共同开展企业数据安全治理工作。

总体思路

对某烟草公司内部的数据资产进行梳理，掌握当下数据资产的整体情况并建立完整的数据资产清单。在此工作基础上，依据相关法规条例的要求，根据数据敏感程度设计数据资产的分级分类规则、应用分类分级模型及数据识别算法，制定不同级别的安全响应策略。最终构建一套科学合理的数据全生命周期安全治理解决方案，帮助企业在日常工作开展过程中快速发现隐藏风险，保障企业数据资产的安全。

数据资产与数据的区别

数据资产不同于数据，数据资产是拥有数据权属（勘探权、使用权、所有权）、有价值、可计量、可读取的网络空间中的数据集。在本案例中它是指由企业拥有或者控制的，能够为企业带来未来经济利益的，以电子方式记录的数据资源。

以CRM系统为例，客户的姓名、电话号码、电子邮件地址、职务等基础数据即为我们常说的“数据”或者“原始数据”；将这些数据进行分析与判断，筛选出能用来完善客户模型、获取客户画像的数据，那么这些数据就变成了“数据资源”；数据资源经过深度挖掘与转化，能够为企业产生价值的，即为“数据资产”。

解决方案

1. 开展数据安全调研与分析

根据业务需求，定义数据资产含义，搜集并梳理目标业务系统中的数据资产情况，全面分析数据资产的特征与全生命周期业务场景，协同业务部门共同编制完成多维度数据资产清单，包括数据资产的属性、分布、详细存储位置和应用关系。

2. 编制数据分类分级规则

基于数据安全合规性要求，考虑数据资产的关键属性和重要性，结合某烟草公司数据资产的影响对象和影响程度等因素，建立数据分类分级规则，对终端、网络传输以及存储的数据资产进行分类分级，明确管控目标。

3. 制订数据安全策略与规划

为不同的数据资产配套不同的数据安全策略，形成具体的有针对性的数据资产管控方案，即什么样的数据资产应该怎么管、怎么防护。

4. 数据安全落地与实践试点

选取其中一套数据资产解决方案开展落地试点，以此验证方法论的有效性。具体包括：

1）部署网络流量数据监测产品，检测分析各级数据使用情况，关联安全策略规则；

2）在使用终端部署数据监控软件，检测分析各级数据使用与留存情况；

3）部署可视化软件平台，综合分析结果并进行可视化成果展示。

应用价值

1. 技术赋能数据资产梳理

快速理清某烟草公司内部目标业务系统的数据资产情况，并根据数据资产业务属性及特征，制定数据分级分类标准，同时加强操作行为控制和数据流向控制，实现对敏感数据存储情况的掌握及其位置分布的准确定位。

2. 提升数据资产合规管控水平

通过管理与技术相结合的方式，构建覆盖全生命周期的数据资产合规管控与防护体系，满足国家及烟草行业相关技术规范要求的同时，增强某烟草公司抵御数据安全威胁和风险的能力，提高数据安全治理水平。

在数字化改革如火如荼开展的今天，构建一套覆盖数据全生命周期、能够针对目标业务全要素数据进行科学梳理、分类分级和安全防护的解决方案尤为关键。世平信息立足时代紧跟前沿，凭借敏锐的行业洞察力与前瞻性的技术创新力，以客户需求为导向，不断打造契合多元业务场景的数据治理解决方案，深入用户数据和业务流程，不断提升用户数字化业务中针对人员和敏感数据的安全管控能力。未来，世平信息将持续聚焦数据安全合规管控与防护，努力成为各行业用户值得信赖的合作伙伴。