1.法律&规章制度要求

《工业和信息化领域数据安全管理办法（试行）》第十七条要求，工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施。传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。第二十条要求，工业和信息化领域数据处理者应当建立数据销毁制度，明确销毁对象、规则、流程和技术等要求，对销毁活动进行记录和留存。

       《工业和信息化领域数据安全风险评估实施细则（试行）》第四条【工作原则】，要求重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估，形成真实、完整、准确的评估报告，并对评估结果负责。第六条【评估期限】，要求重要数据和核心数据处理者每年完成至少一次数据安全风险评估，并形成评估报告。数据安全风险评估结果有效期为一年，自评估报告首次出具之日起计算。

2.内生需求

在内生需求方面，电信运营商首先要求满足国家的相关法律法规，其次要满足两部委考核的需求，第三是自身的数据安全监测需求，防止重要数据的内部泄露事件，防止数据公网暴露和泄露事件。

根据电信运营商复杂的管理环境和网络环境，我们可以将运营商的内生需求又分为管理需求和技术需求这两部分。管理需求主要是数据识别、制度建设、人员管理、专家研判等；技术需求主要是平台建设、安全能力建设等。例如：决策部门希望加强数据安全防护策略制定能力和体系建设方向把控能力；网信安部门希望能够加强数据安全的人员管理以及数据安全管理制度的落地；业务部门则是数据安全的具体执行部门，需要数据安全能力、数据流量的监测、管理制度执行、数据识别及分类分级等工作。

3.赋能转化需求

对外赋能转化主要是面向基础电信企业自身的政企客户，基础电信企业承接了大量比如数字政府、智慧城市、政务大数据等等重大项目。这些客户从自身来讲一方面有满足三法一例的合规需求，另一方面也有保护自己核心数据资产的需求，这就需要有合作方能够提供成熟的经过验证的数据安全解决方案，这恰恰和运营商经过多年建设数据安全建设且已经具有了丰富的解决方案相匹配。同时，运营商在面向客户提供解决方案服务时，也可以获取合理的增值业务收入，还可以加强客户粘性，从而能够持续为客户提供数据安全相关服务，获取长期收入。

4.2024年考核要点

2024年最新的考核要点中，在数据安全方面对基础电信企业和专业公司提出了一些要求，包括：

以前是发生重大事件时扣分，今年的考核是发生一般性网络和数据安全事件时扣分，而且考核的范围下移，从省公司变为省公司或所属地市级公司意味着能力建设要往下级单位垂直覆盖。

违反重要通信、依法查询相关政策法律要求,造成严重后果或重大负面影响的，扣600分，并严肃追究各级管理部门和相关人员责任。相当于增加了一票否决项。

2023年是采取适当的管理和技术措施保障数据安全，数安能力建设方向不明确。2024年明确有健全应急处置、教育培训、内部登记、审批等管理机制，配备重要数据打标入库、加密脱敏、访问控制、容灾备份等技术措施。能力建设方向更明确。

数据安全风险评估报送时间从11月提前到9月底并要求准确识别省公司全量重要数据和核心数据并形成目录。识别的数据和形成的目录要求更高，全量的识别意味着资管能力的全面覆盖

增加了合作方管理的要求，并且该要求包含所属地市公司应建立合作方管理台账，通过签订合同协议等方式明确双方数据安全责任义务。检查重点涉及台账、管理和技术等方面。

加分项将5G绽放杯改为部5G应用安全创新推广相关工作任务，且该项累计加分不超过15分。加分增加了加3分的情况加分项2大项10小项，今年的加分项目总体有增加。

1.内生需求解决方案

根据前文提到的合规需求以及各相关部门的数据安全需求，决策部门从技术层面需要数据安全态势感知平台，对数据安全现状和建设方向进行把控；在管理层面需要专家咨询服务，对数据安全进行顶层设计。网信安部门从技术层面需要应急演练系统和风险监测系统对数据安全进行有效管理，在管理层面需要态势报备服务、迎检服务和应急演练服务，对管理制度进行高效落地。业务部门从技术层面需要进行数据安全能力池的建设，需要对核心数据、重要数据等进行识别以及风险评估；从管理层面需要安全体检服务、日常巡检服务、策略优化服务、应急响应服务等。

2.赋能转化整体方案

涉及赋能转化方案的场景，主要是针对政企客户，以租用IDC服务、租用运营商云服务、以及系统集成等方式提供数据安全服务。为满足政企客户不同环境的需要，我们可以提供数据安全整体解决方案直接复用、调整复用、云化复用等各种转化方式。

直接复用就是现有数据安全产品能力和服务的套用；调整复用就是根据客户需求进行适配化改造后进行满足；云化复用就是政企客户直接租用数据安全能力池的云化后的云服务。数据安全能力池的云化是根据产品性质和客户应用场景，对数据安全能力进行PAAS化或SAAS化，目前我们公司的全线产品已经进行了相应的技术改造，具备了云化的技术条件。

3.管理体系建设方案

数据安全管理体系的建设，是从数据的全生命周期出发，根据事前防范、事中管控、事后溯源与审计等各个维度，提出建设数据安全管理制度的框架体系。

4.数安服务方案

       我司能够提供的数安服务包括：迎检服务、日常响应服务、应急响应服务、专家服务、数据识别服务、体检服务以及通过支撑参与竞赛、申报各类奖项、获取试点机会等方式提供争取加分服务等。

在具体实施阶段，提供两款阶段性建设方案，供客户根据实际情况选择。

1.基础款方案以较小投入，满足合规为主要目标。

2.推荐款方案以满足考核为底线，同时以充分满足自身业务需求，并争取获得考核加分为目标。

1. 工信部数据安全重大专项

本项目是工信部2020年数据安全重大专项，主要是通过建设部-省-企业三级联动的数据安全监管平台，实现行业数据安全风险实时监测、溯源核查、态势感知、精准定位、快速响应和高效管理。我司作为系统的技术基座单位，实施了数据资产管理子系统、数据分类分级管理子系统、数据安全风险内控管理、数据安全追溯和数据安全检测工具这几个模块，并且参与了多个省公司的试点工作。

2. 某省公司数据安全管控平台

本项目是某省公司的数据安全管控平台建设，通过建立数据识别、数据加密 、数据脱敏、数据接口检测、数据防泄漏、操作审计、数据销毁和数据溯源8大数据安全能力，构建了管理、技术、运维的三维结构，形成了全面可持续可落地的数据安全治理体系。项目案例已获得集团一等奖，涵盖考核所需能力建设，并积极配合客户争取考核加分。