网络数据安全风险评估试点成果分享│(2)解放日报社：《新闻智能化数据安全创新路径探索》

一、引言

为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规，推动建立我市网络数据安全风险评估机制，提升全市数据安全防护能力和水平，2023年8月至12月，市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组，组织开展了网络数据安全风险评估试点工作，遴选出一批试点优秀单位和试点优秀案例。

今天分享解放日报社试点工作经验，供大家学习参考。

二、试点优秀单位工作经验

新闻智能化数据安全创新路径探索

在当前信息化的社会，数据已经成为新的生产力和竞争力，数据不仅是我们自身发展的重要资源，也承载了广大读者的信任和期望，解放日报社始终强调和重视数据安全工作，并积极投入资源和人力保障数据安全。在报社领导的高度重视和大力支持下，报社成立了专门的数据安全管理小组，并引入了第三方安全厂商，按照国家相关标准完成了数据安全风险评估，提升了报社在数据安全方面的整体建设水平。

（一）数据安全建设整体情况

解放日报社一直以来高度重视信息安全，并不断加强相关的技术和管理手段。目前，报社已拥有了一套相对健全的信息安全体系，包括网络安全、系统安全、人员安全、运维安全等多个方面的制度和措施，尽力保证在每个流程节点上，都有管理规章和监控记录。报社也制定了信息系统的数据分类分级制度，以确保不同等级数据的安全存储和传输。

在“数据安全管理”方面，报社制定了《信息安全管理总纲》和《信息安全管理策略》等制度，规定了网络和数据安全工作的组织架构、管理原则，明确了组织安全职责，包括领导小组职责、工作小组职责等，制度也规定了信息安全管理体系下所有信息安全活动，包括信息安全风险评估、信息资产管理、人力资源安全、物理环境安全等内容；

在“数据安全技术”方面，报社制定了《设备管理手册》，规范了解放日报集团上观新闻系统的日常维护、操作和使用；

在“数据处理活动”方面，报社制定了《信息安全检查制度》，规范了解放日报社信息安全检查工作的具体过程，明确各相关方的职责和工作内容；

在“个人信息安全”方面，报社制定了《解放日报社上观新闻信息泄漏事件应急预案》，说明了数据泄露安全事件的排查及处置方法，并给出了经验总结。

总之，解放日报社力求在网络和数据安全各个方面都有对应的规章制度可以遵循，并按安全制度规定进行日常工作，倡导“预防优于治理”，提前预防安全问题产生。

同时，在组织架构方面，报社建立了专门的信息安全团队，分为信息安全领导小组（负责决策）、信息安全管理小组（负责管理）和信息安全实施组（负责执行）。制定了相关政策、规范和技术标准，并配备了专业的技术人员进行安全活动的实施和服务的日常安全维护。工作成果主要包括体系建设制度、人员管理、安全培训材料和考核、运维管理、应急响应等方面的实践经验，这些历史积累，为此次试点工作提供了制度基础和实践基础。

（二）本次试点开展情况

为确保试点有序推进，报社明确试点工作的牵头部门为上观技术中心，并与各部门形成联动机制。技术中心通过与各业务部门密切合作，形成全员参与的工作格局，确保试点工作能够充分覆盖各个业务环节。

从数据安全风险评估实施流程来看，考虑到是第一次开展数据风险评估，经验不足，为了尽量保证结果和进度可控，我们决定限制评估的服务和数据范围，选择成熟的领域开展评估活动，因此本轮评估范围仅限解放日报上观新闻相关服务和数据。试点工作的推进计划分为几个关键步骤：

首先，技术中心对上观新闻的数据安全情况进行全面的信息调研，识别出存在的问题和潜在风险；

其次，结合以往的工作成果，对识别出的风险进行综合分析与评估；

最后，对评估发现的问题进行综合整改并形成可复用的经验总结。

整个安全评估过程可见下表。

表1数据安全风险评估过程

在评估过程中，我们也遇到一些困难。例如在评估过程中对数据分类分级的具体标准出现了多次反复调整的情况，为此我们经过多次迭代，最终确定了分级标准的稳定版本。再如，部分整改策略需要逐步完善补充，无法一蹴而就，为此我们列出了详细的计划，按优先级递进整改。

在具体实施评估工作时，考虑到具体实施的工作小组人力不足且工作量较大，我们也引入了第三方的安全评估机构协助完成数据安全风险评估工作，评估机构制订了详细完整的评估检查项表格，从“数据安全管理情况”“数据处理活动情况”“数据安全技术情况”“个人信息保护情况”4个方面，涵盖管理制度、日常安全活动、应用安全评估、个人隐私策略等240多项具体的评估检查项，通过现场访谈、工具扫描、日志审计等多种方式完成安全评估的实施工作，最终形成了一份评估表格。这份评估表格成为我们当前开展数据安全工作的重要参考标准和记录，也是后续改进数据安全工作的重要依据。

表2数据安全风险评估检查项（示例）

本次评估共发现安全问题30余项，主要集中在数据安全台账缺少、数据分类分级实施不够细致以及个人信息缺乏安全标识等方面，我们也体会到，数据安全是功夫在平时的工作，也是长期的系统工程，需要不断学习和改进，并与日常工作结合，在数据采集、流转、处理、删除的各个环节都应考虑环境风险、个人信息保护、数据泄露等可能的安全隐患并采取规避和保障措施，才能做好数据安全工作。

通过本次试点工作，解放日报社在数据安全建设方面取得了一些成果，不仅识别了潜在的安全隐患，也提升了全员对数据安全的认知水平。未来，解放日报社将加强技术中心与各业务部门之间网络和数据安全工作的合作，完善数据安全管理体系，为报社的信息系统和数据服务打造更为坚固的保障墙。