2024开年，再传捷报。美创科技首个核电行业数据安全治理项目，也是首个大型能源央企数据安全治理项目落地！美创数据安全治理咨询团队，助力用户完成数据安全现状评估、数据安全体系标准设计和落地、数据分类分级落地试点、数据安全三年行动规划设计，专业能力获得高度评价与认可。

关注美创，是源于其在数据安全领域相关媒介中较高的“出镜率”，通过项目合作，也实际验证了这个团队的实施能力，面对缺少行业标准和先行案例的数据安全场景，他们能通过充分的调研、细致的探究、有效的借鉴，高质量完成我方数据安全体系设计和数据安全标准编制，落地性也得到充分验证和保障，专业能力值得信赖。

——某核电企业  网络安全运行中心数据安全经理

能源行业某集团有限公司（以下简称“集团公司”），是由国务院国有资产监督管理委员会控股的中央企业，是我国核电事业的领军企业之一，也是全球领先的清洁能源供应商与服务商。业务覆盖核能、核燃料、新能源、非动力核技术、数字化、科技型环保、产业金融等领域。

01   项目背景

自2021年以来，国家层面加快数据安全相关立法的进度，密集出台《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》、《个人信息出境安全评估办法》等法律法规，明确作为数据处理者的企业需要承担的各项数据安全管理义务，包括“建立健全全流程数据安全管理制度基本义务”及“按照规定对数据处理活动定期开展风险评估加强风险监测，并报送风险评估报告”的行动要求。

2022年，国务院国有资产监督管理委员会也发布了《中央企业合规管理办法》等规定。

为落实国家数据安全法律法规要求、国资委对企业的数据安全监管要求、“十四五”数字经济发展规划及集团公司内部数据安全需求，该集团公司于2023年8月启动“数据安全能力成熟度评估及规划项目”。

02  项目内容

“数据安全能力成熟度评估及规划项目”核心任务包括：数据安全现状评估、数据安全体系标准设计和落地、数据分类分级落地试点、数据安全三年行动规划设计。

数据安全现状评估

数据安全评估工作包括数据安全能力成熟度评估、数据安全合法合规风险评估两部分内容：

◼︎ 数据安全能力成熟度评估：基于DSMM四级、DSMM三级能力要求，分别对5套系统进行安全能力差距分析，作为2024年-2026年数据安全建设的目标输入。系统范围如下：

◼︎ 数据安全合法合规风险评估：对标相关法律法规，识别当前存在的合法合规风险，指导各系统数据安全问题整改工作。系统范围如下：

本项目对标的文件内容如下：

数据安全体系标准设计和落地

在集团公司已发布的《XX集团数据安全管理办法》、《XX集团数据全生命周期管理办法》基础上，基于合法合规要求及集团现状，深度构建全面完整的数据安全标准体系，输出《数据安全标准》。内容包括：

数据安全分类分级、数据全生命周期分级防护、数据安全能力成熟度评估、数据安全风险评估、数据安全事件应急响应与处置、第三方数据安全、数据安全教育和培训、数据安全监督检查等8大维度。

数据分类分级落地试点

按照《数据安全标准》中“数据安全分类分级”规范要求，完成8套系统（28014个字段）和大数据平台（2309个字段）的数据分类分级工作。

数据安全三年行动规划设计

结合DSMM评估、合法合规评估、数据安全分级防护要求以及集团公司未来3年要达到的数据安全能力目标，围绕数据安全“管理监督体系、技术体系、运营体系”进行设计，输出适合客户现状的《数据安全三年行动设计和落地建设方案》。

项目整体交付物如下：

项目自2023年8月启动，于2023年12月启动项目验收工作，历时5个月，各阶段任务如下图所示：

本次项目，不仅帮助能源集团满足合法合规要求，摸清数据安全现状，建立数据安全治理体系，同时形成了切实可行的数据安全三年行动规划设计，从数据安全管理与监督、数据安全技术、数据安全运营三大维度支持集团后续数据安全决策和改进。在面对缺少行业标准和先行案例的数据安全场景，能源集团与美创先行探索与实践，也为更多的能源核电行业企业进行建立健全数据安全治理体系，强化数据安全保障树立新的标杆和示范！