1、?演讲人：汪亚军组织：云 智 信 安ACCPER数据安全能力框架?数据安全法正 式 颁 布2021年9月1日起施行?法 律 责 任开 展 数 据 处 理 活 动 的 组 织、个 人 不 履 行 本 法 第 二 十 七条、第 二 十 九 条、第 三 十 条 规 定 的 数 据 安 全 保 护 义 务的，由 有 关 主 管 部 门 责 令 改 正，给 予 警 告，可 以 并 处五 万 元 以 上 五 十 万 元 以 下 罚 款，对 直 接 负 责 的 主 管 人员 和 其 他 直 接 责 任 人 员 可 以 处 一 万 元 以 上 十 万 元 以 下罚 款；拒 不 改 正 或 者 造 成 大 量

2、数 据 泄 露 等 严 重 后 果 的，处 五十 万 元 以 上 二 百 万 元 以 下 罚 款，并 可 以 责 令 暂 停 相 关业 务、停 业 整 顿、吊 销 相 关 业 务 许 可 证 或 者 吊 销 营 业执 照，对 直 接 负 责 的 主 管 人 员 和 其 他 直 接 责 任 人 员 处五 万 元 以 上 二 十 万 元 以 下 罚 款?数据安全保护义务第二十七条开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，

3、履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。第二十九条开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。?数据安全保护如何做？网 络 安 全 数 据 安 全应当在网络安全等级保护制度的基础上实施数据安全保护?数 据

4、 在 哪数据有无流动？有无暗资产？是文件服务器还是数据库？是生产库还是测试库？数据有无备份？是云平台还是大数据平台？?数 据 是 啥是否可以共享开放？Data securitySMZG数据的具体内容是啥？是否包含个人敏感信息？是否是重要数据？?谁 能 访 问谁在访问数据？是应用还是终端？谁能访问数据？是业务人员还是管理、运维人员？访问行为有无审计？是否有越权访问？是否访问敏感数据？?有 无 防 护对重要数据是否加密？对重要业务应用数据是否有防护？运行环境时候安全？数据共享是否有脱敏？防护加密脱敏安全?风 险 在 哪对整体的态势进行预判？是否开展风险监测？有无风险事件发生？是否有风险评估机制？是

5、否对发现的风险进行通告预警等？?如 何 处 置u发 生 问 题 怎 么 办？u有 无 应 急 方 案？u能 否 实 时 封 堵？u能 否 追 踪 溯 源？u如 何 落 实 责 任？u如 何 防 范 下 次 不 再 发 生？?ACCPER数据安全能力框架横 空 出 世?ACCPER数据安全能力框架全 面 梳 理Assort联 动 响 应Respond分 级 分 类Classify深 度 管 控Control安 全 防 护ProtectACC P E R 数 据 安 全 能 力 框 架 是 以 中 华 人 民 共 和 国 数 据 安 全 法 为 依 据，结 合 D C A P、数 据 流 动风 险

6、、数 据 全 生 命 周 期 安 全 管 理 等 安 全 模 型 形 成 的 一 套 数 据 安 全 治 理 和 保 护 的 整 体 框 架。框 架 由“A 梳 理-C 分 级 分 类-C 管 控-P 防 护-E 预 警-R 响 应”6 个 环 节 组 成，解 决 了“数 据 在 哪-数 据 是 啥-谁 能 访 问-有 无 防 护-风 险 在 哪-如 何 处 置”的 问 题，形 成 了 数 据 安 全 能 力 的 闭 环。风 险 预 警Exaine612345?全 面 梳 理数据资产地图数据发现资产识别账户权限弱口令监测漏洞扫描全生命周期安全管理?分 级 分 类敏感数据定义敏感等级评定分级分类

7、标准敏感数据识别数据保护目录?深 度 管 控安全审计实时脱敏访问控制数据安全权限数据审批流程?安 全 防 护数据加密01数据脱敏02环境感知03虚拟防护04?0304020501风 险 预 警态势感知通告预警风险评估行为分析数据监控?联 动 响 应溯 源 分 析应 急 处 置安 全 运 营实 时 封 堵?建立健全全流程数据安全管理制度覆盖数据安全的全生命周期过程，构建了完整的数据安全基础实施。其以全面梳理为起点，以分级分类为基础，以数据管控和保护为核心，以监控预警和联动响应作为支撑，最终建立“数据安全运营”的全过程自适应安全保障能力，达到数据安全的可视、可知、可防、可管、可控、可查的安全目标。

8、可视可知可防可管可控可查?能 力 实 践?某市大数据局资源政务专网数据资产测绘前置库归集库公共数据交换平台主题库共享库公共数据共享平台国土局教育局人力社保局信用局城管委公积金交通局业务受理业务办理业务审批业务考核*云平台?关系型数据库应应用用数数据据安安全全防防护护应用系统内部数据访问请求数据访问请求数据访问请求?数据访问请求数据访问请求数据访问请求虚拟防护智能阻断脱敏控制审计数 据 库某市大数据局智慧城市数据安全防护整体解决方案数据安全运营平台API监测网关l 数 据 流 动 监 控l 安 全 事 件 态 势l 数 据 风 险 指 数l A P I 接 口 管 控l 数 据 安 全 运 营l

9、 数 据 风 险 评 估 中 心l 数 据 资 产 管 理l 安 全 策 略 中 心l 数 据 生 命 周 期 管 理l 数 据 资 产 地 图l 敏 感 数 据 分 布外部数数据据安安全全访访问问控控制制?数据安全运营和态势感知(DSOC)DSOC通过广泛的数据采集和对关键数据的控制，建立一套以数据为中心的安全运营平台，掌握数据安全的整体态势。既能对数据安全事件及时有效的响应，形成数据保护的闭环；又能对数据泄露进行追踪溯源和风险评估。?公司主体：郑州云智信安安全技术有限公司，成立于2019年11月公司概况：郑州市高新区2019年招商引智的重点企业，中国网络空间安全协会会员在国内首次提出了可落地、可执行的“ACCPER数据安全能力框架主营业务：以“数据安全”为核心，为政企客户提供企业级网络安全产品和服务资质荣誉：省级工程研究中心、河南省网信系统网络安全工作支撑单位、郑州市委网信办2021-2023年网络安全技术支撑单位、信息安全服务认证（CCRC）、公安部检测报告、双软认证、并入选中国网络安全百强报告(2021)【中国网络安全创新能力百强】数据安全能力创新黑马，等融资情况：21年云智信安以1个亿的市场估值，成功引入创悟邦基金及中关村发展前沿基金的首轮千万级投资，为云智信安良好发展助力。