摘要：隨著信息化快速發(fā)展，電網(wǎng)企業(yè)面臨數(shù)據(jù)規(guī)模激增與保密管理滯后的雙重挑戰(zhàn)。為有效應對這一挑戰(zhàn)，文章對W電網(wǎng)公司數(shù)據(jù)管理及保密管理現(xiàn)狀進行調(diào)研，分析現(xiàn)有數(shù)據(jù)安全制度、業(yè)務類型及數(shù)據(jù)特征，明確保密管理風險點，構(gòu)建了基于“分級-分階-分塊”策略的數(shù)據(jù)安全治理體系，將保密要求嵌入關鍵數(shù)據(jù)管理流程，實現(xiàn)對內(nèi)外部數(shù)據(jù)的精準治理。文章為電網(wǎng)企業(yè)建立了全面的數(shù)據(jù)安全治理方案，使保密管理實現(xiàn)規(guī)范化和科學化，以有效應對大數(shù)據(jù)環(huán)境的新挑戰(zhàn)。

關鍵詞：電網(wǎng)企業(yè)；數(shù)據(jù)安全；數(shù)據(jù)治理；數(shù)字化管理體系；安全管理

中圖分類號：TP309.2""文獻標志碼：A

0"引言

隨著我國信息化建設不斷推進，信息技術(shù)的廣泛應用使各行業(yè)數(shù)據(jù)量呈爆炸式增長。國家電網(wǎng)作為國計民生的重要基礎設施，其在日常生產(chǎn)、經(jīng)營和管理中產(chǎn)生的海量數(shù)據(jù)直接關乎國家安全。這些數(shù)據(jù)體量大，規(guī)模通常能夠達到PB量級，同時具備時效強、種類多等特性［1］。然而，在電網(wǎng)企業(yè)不斷快速發(fā)展的背景下，公司數(shù)據(jù)安全治理體系的不完善和保密管理手段的滯后，導致信息泄露或被篡改等安全問題頻出，并呈逐年上升趨勢，給電力系統(tǒng)的正常生產(chǎn)和運營造成了巨大的影響［2］。

當前，我國電網(wǎng)企業(yè)在數(shù)據(jù)安全治理上面臨諸多問題和挑戰(zhàn)：第一，治理資源有限。各電網(wǎng)企業(yè)內(nèi)部數(shù)據(jù)安全管理力量和技術(shù)手段跟不上數(shù)據(jù)量爆炸式增長的需要，導致數(shù)據(jù)監(jiān)管漏洞多。第二，治理權(quán)責不明。數(shù)據(jù)安全治理涉及公司多個部門，但部門之間缺乏有效協(xié)作，造成監(jiān)管盲區(qū)。第三，數(shù)據(jù)流動治理不足。電網(wǎng)企業(yè)內(nèi)部及與外部單位之間的數(shù)據(jù)流動無法有效監(jiān)控，增加數(shù)據(jù)泄露風險。第四，保密意識淡薄。部分員工對企業(yè)數(shù)據(jù)的重要性認識不足，擅自傳輸企業(yè)核心數(shù)據(jù)，導致數(shù)據(jù)安全事件層出不窮。

針對上述問題，本文從電網(wǎng)企業(yè)數(shù)據(jù)生命周期管理的角度，構(gòu)建面向國家安全的數(shù)據(jù)安全治理體系。研究內(nèi)容主要包括：調(diào)研分析電網(wǎng)企業(yè)現(xiàn)有數(shù)據(jù)安全治理存在的問題；構(gòu)建電網(wǎng)企業(yè)數(shù)據(jù)分類分級制度，明確各類數(shù)據(jù)的保密等級和管理要求；明確電網(wǎng)企業(yè)數(shù)據(jù)安全治理的責任主體，優(yōu)化部門之間的協(xié)作機制；加強全過程數(shù)據(jù)監(jiān)控，防止核心數(shù)據(jù)的非法流動；強化員工保密教育，提高數(shù)據(jù)安全意識。本文面向電網(wǎng)企業(yè)構(gòu)建系統(tǒng)化、規(guī)范化的數(shù)據(jù)安全治理體系，保障電網(wǎng)企業(yè)的數(shù)據(jù)安全，維護國家安全和社會公共利益。

1"研究背景

1.1"國家數(shù)據(jù)安全治理觀

總體國家安全觀為構(gòu)建數(shù)據(jù)安全治理體系提出了明確要求，數(shù)據(jù)是國家基礎性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國家安全。數(shù)據(jù)安全不可孤立看待，需納入國家整體安全體系，與政治安全、經(jīng)濟安全、國土安全等其他安全領域協(xié)同推進［3］。堅持科技賦能，主動適應新技術(shù)發(fā)展趨勢，大力發(fā)展大數(shù)據(jù)、云計算、區(qū)塊鏈等新一代信息技術(shù)，不斷提升數(shù)據(jù)安全保障水平。依托科技進步強化數(shù)據(jù)全生命周期管理，不斷提高數(shù)據(jù)采集、傳輸、存儲、使用、銷毀的安全性［4］。

對戰(zhàn)略核心數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、敏感個人信息等劃分數(shù)據(jù)風險等級，分類施策精準治理，實行最高水平保護。對一般非敏感數(shù)據(jù)則采取基本安全控制措施。分類治理，既精準又高效。除此之外，數(shù)據(jù)安全治理需要完善的法律法規(guī)作為依據(jù)，構(gòu)建法治體系，為數(shù)據(jù)安全工作提供制度保障。要加快推進《數(shù)據(jù)安全法》《個人信息保護法》等立法進程，彌補法制短板。明確監(jiān)管部門職責，嚴格執(zhí)法處罰。隨著數(shù)據(jù)全球流動性增強，也要警惕域外惡意利用我國數(shù)據(jù)資源的行為，提高對數(shù)據(jù)領域國際格局和新變化的判斷力，堅決維護國家數(shù)據(jù)安全［5］。

1.2"相關工作

隨著智慧電網(wǎng)建設的不斷推進，電網(wǎng)企業(yè)數(shù)據(jù)資產(chǎn)規(guī)模增長迅速，涉及客戶信息、運營數(shù)據(jù)、視頻監(jiān)控等方面。這使得電網(wǎng)企業(yè)面臨數(shù)據(jù)泄露、破壞、篡改等安全風險，數(shù)據(jù)安全已成為電網(wǎng)企業(yè)重點關注的問題。

早期研究主要關注電網(wǎng)企業(yè)數(shù)據(jù)安全管理制度的頂層設計。于明［6］將運營要素架構(gòu)融入數(shù)據(jù)體系構(gòu)建，運用時間與空間展開方法，探索了具有推廣性的數(shù)據(jù)治理宏微觀方法。

利用應用加密、訪問控制、審計、風險評估等信息安全技術(shù)可以對電網(wǎng)數(shù)據(jù)實施安全防護。杜加根［7］綜合考慮智能電網(wǎng)與傳感網(wǎng)絡各自的特點，利用交變電流時刻變化的特性生成水印信息，提出了使用數(shù)字水印技術(shù)來解決智能電網(wǎng)下的傳感器網(wǎng)絡數(shù)據(jù)傳輸安全的水印算法。

利用大數(shù)據(jù)能夠?qū)崿F(xiàn)對海量電網(wǎng)數(shù)據(jù)的精準治理。張沛等［8］在概括當前主動配電網(wǎng)中大數(shù)據(jù)類型及特點的基礎上，對大數(shù)據(jù)技術(shù)在主動配電網(wǎng)中可能的應用及挑戰(zhàn)進行分析，最后給出主動配電網(wǎng)在能量優(yōu)化調(diào)度、狀態(tài)分析評估、保護控制及需求側(cè)管理方面對大數(shù)據(jù)技術(shù)的應用需求。

云計算為電網(wǎng)數(shù)據(jù)安全保障提供了新方案。吳凱峰等［9］基于分布式并行計算框架Hadoop和Hive，面向電力大數(shù)據(jù)特征，設計了多維索引、SQL自動翻譯工具和支持數(shù)據(jù)更新的混合存儲模型3項性能提升技術(shù)，實現(xiàn)對傳統(tǒng)電力數(shù)據(jù)分析系統(tǒng)的升級優(yōu)化。

綜上所述，電網(wǎng)企業(yè)數(shù)據(jù)安全治理研究在制度建設、安全技術(shù)應用等方面已經(jīng)取得了一定成果，但仍需進一步在數(shù)據(jù)分類標準、密級監(jiān)管機制等方面進一步完善，以形成系統(tǒng)、完備的安全治理方案。

2"電網(wǎng)企業(yè)數(shù)據(jù)治理現(xiàn)狀

為進一步完善總體國家安全觀要求下的數(shù)據(jù)安全治理體系，需要解決4個問題：有什么數(shù)據(jù)、數(shù)據(jù)在哪里、誰在用數(shù)據(jù)、是否有風險。本文從保密管理視角對電網(wǎng)企業(yè)數(shù)據(jù)管理進行規(guī)范和完善，對電網(wǎng)企業(yè)的數(shù)據(jù)管理及保密管理現(xiàn)狀進行調(diào)研。

調(diào)研的內(nèi)容以電網(wǎng)企業(yè)數(shù)據(jù)生命周期為邏輯主線展開，兼顧通用領域的安全，做到全面、客觀地分析評估。本文通過發(fā)放調(diào)研問卷，對W電網(wǎng)公司及與其業(yè)務關系密切的5家單位，從工作事項的角度，就數(shù)據(jù)安全與數(shù)據(jù)治理、數(shù)據(jù)保密等方面進行調(diào)研。本次調(diào)研共發(fā)放調(diào)研問卷300份，涵蓋W電網(wǎng)公司及合作單位的管理、技術(shù)、業(yè)務等不同崗位人員。問卷采取匿名方式填寫，由研究團隊成員進行回收整理。收集的問卷經(jīng)過層層篩選，剔除填寫不完整、不認真的無效問卷，最終獲得有效問卷250份，質(zhì)量得以保證。收集足以支撐本文的電網(wǎng)企業(yè)數(shù)據(jù)管理現(xiàn)狀、保密管理規(guī)定等內(nèi)容，以推動進一步研究保密管理視角下的面向國家安全的數(shù)據(jù)治理體系。

2.1"數(shù)據(jù)資源分析

電網(wǎng)企業(yè)數(shù)據(jù)與總體國家安全觀密切相關的內(nèi)容如下：在電網(wǎng)層面，變電站（重點經(jīng)濟目標、重點保衛(wèi)目標）坐標位置等；在用電層面，電網(wǎng)企業(yè)和國家宏觀經(jīng)濟密切相關，用電數(shù)據(jù)分析后可以反映國家經(jīng)濟運行狀態(tài)，某些特定的用電數(shù)據(jù)則能夠揭示大工業(yè)的產(chǎn)能以及巨型企業(yè)對國家經(jīng)濟運行的影響。電網(wǎng)產(chǎn)業(yè)管理公司數(shù)據(jù)還包括招投標信息、保電方案等，一旦泄露，可能影響招投標活動的正常運行、大型活動的用電安全等。綜合能源公司與市場高度相關，因而一些數(shù)據(jù)、合同等需要與客戶共享來保證業(yè)務正常進行。數(shù)據(jù)類型大多為非結(jié)構(gòu)數(shù)據(jù)，除了電子數(shù)據(jù)，還包括檔案等紙質(zhì)材料。

2.2"數(shù)據(jù)流動分析

電網(wǎng)企業(yè)內(nèi)部的數(shù)據(jù)流動基本跟隨業(yè)務進行，隨著業(yè)務的展開而產(chǎn)生、存儲、流動，各單位的業(yè)務基本在網(wǎng)絡系統(tǒng)上進行。業(yè)務系統(tǒng)基本全部處于內(nèi)網(wǎng)，一級部署（國網(wǎng)統(tǒng)建）和二級部署（省統(tǒng)建）相結(jié)合，2019年年底W電網(wǎng)公司數(shù)字化轉(zhuǎn)型，公司擁有數(shù)據(jù)中臺，使業(yè)務系統(tǒng)數(shù)據(jù)互通。電網(wǎng)企業(yè)數(shù)據(jù)與外部的交互除了通過內(nèi)網(wǎng)分區(qū)實現(xiàn)，也有經(jīng)過外網(wǎng)的事項。企業(yè)一般向政府部門、合作企業(yè)等提供數(shù)據(jù)，電科院是相對封閉的單位，數(shù)據(jù)基本沒有與外界的交互。內(nèi)網(wǎng)的分區(qū)是根據(jù)數(shù)據(jù)的重要程度、敏感度等，將業(yè)務系統(tǒng)安全分區(qū)，各區(qū)應用不同的監(jiān)測管理辦法，這減少了系統(tǒng)本身的數(shù)據(jù)安全威脅。

2.3"數(shù)據(jù)治理體系分析

當前，電網(wǎng)企業(yè)有待完善數(shù)據(jù)安全治理體系的頂層設計。數(shù)據(jù)管理方面處于初步發(fā)展階段，人員、技術(shù)、政策等都需要進一步支持，在保密審查、合同審查等具體業(yè)務的數(shù)據(jù)管理上，還缺乏統(tǒng)一的管理標準。

從管理政策的角度來講，各單位遵循的相關政策絕大部分來自省公司下發(fā)的文件，其他文件包括以省公司下發(fā)文件為基礎，適應本單位實際情況改編的文件以及部分辦公室標準，但在具體的落實環(huán)節(jié)還有待細化。

2.4"電網(wǎng)企業(yè)數(shù)據(jù)治理現(xiàn)狀總結(jié)

總體來看，電網(wǎng)企業(yè)采用企業(yè)內(nèi)網(wǎng)、統(tǒng)建統(tǒng)保的方式使得在數(shù)據(jù)安全基礎設施方面的數(shù)據(jù)安全管理覆蓋面較廣、基礎管理較為完善。但是，在數(shù)據(jù)處理、數(shù)據(jù)交換過程中涉及大量人工參與、人工評估的過程，使得數(shù)據(jù)安全管理存在薄弱環(huán)節(jié)，可能存在安全風險漏洞；尤其是在數(shù)據(jù)權(quán)限管理過程中頂層策略規(guī)劃不足、權(quán)限監(jiān)控與審計部分缺位，導致在數(shù)據(jù)跨部門查閱、使用、共享過程中存在真空環(huán)節(jié)，亟須通過管理、技術(shù)等手段進行查缺補漏。

本文通過對部分電網(wǎng)企業(yè)進行問卷調(diào)研、實地訪談，對電網(wǎng)企業(yè)當前數(shù)據(jù)管理及保密安全方面的情況有了基本了解，分析后發(fā)現(xiàn)存在以下具體問題。

2.4.1"應用系統(tǒng)部署頂層管理不足

系統(tǒng)層級部署方面，電網(wǎng)企業(yè)使用的系統(tǒng)包括國網(wǎng)統(tǒng)建系統(tǒng)、省公司統(tǒng)建系統(tǒng)、自建系統(tǒng)3個層級，涵蓋各個業(yè)務內(nèi)容板塊的業(yè)務系統(tǒng)很多，但各系統(tǒng)獨立性強，系統(tǒng)建設標準不甚統(tǒng)一；雖可通過接口進行一定程度上的數(shù)據(jù)交換，但存在數(shù)據(jù)重復收集、分散存儲等問題，不利于智慧電網(wǎng)的數(shù)據(jù)挖掘。

2.4.2"保密管理與業(yè)務融合不足

多數(shù)基層單位受人員編制限制，無法配備專職保密工作人員；而在業(yè)務部門，工作人員的保密專業(yè)能力、數(shù)據(jù)安全能力未必能夠滿足總體國家安全觀的要求；保密工作和業(yè)務工作還存在“兩張皮”的現(xiàn)象，數(shù)據(jù)“?！迸c“放”之間的平衡還需進一步優(yōu)化。

2.4.3"數(shù)據(jù)安全保護意識有待提高

人員數(shù)據(jù)安全意識程度不一。員工對于在工作中接觸到的數(shù)據(jù)哪些屬于敏感數(shù)據(jù)無法作出清晰判斷；同時，系統(tǒng)權(quán)限邊界管理不甚合理，存在外部臨時人員須訪問系統(tǒng)時因無法申請臨時賬號而借用內(nèi)部人員賬號的情況。

2.4.4"科技項目缺乏保密審查

電網(wǎng)企業(yè)大多會與外部科研機構(gòu)、企業(yè)進行合作，合作中勢必會由電網(wǎng)企業(yè)方面提供一定項目資料，有可能包含敏感資料、敏感數(shù)據(jù)，會帶來數(shù)據(jù)泄露風險。對于科技項目中數(shù)據(jù)資料的保密審查目前是缺位的，沒有相應的管理規(guī)定。

3"基于“分級-分階-分塊”策略的數(shù)據(jù)安全治理體系構(gòu)建

3.1"數(shù)據(jù)安全治理體系構(gòu)建原則

根據(jù)國際數(shù)據(jù)治理研究所（DGI）給出的定義，數(shù)據(jù)治理是一個通過一系列信息相關的過程來實現(xiàn)決策權(quán)和職責分工的系統(tǒng)，系統(tǒng)描述了誰（Who）能根據(jù)什么信息，在什么時間（When）和情況（Where）下，用什么方法（How），采取什么行動（What）。

本文構(gòu)建出“三分、三全、三確保”的數(shù)據(jù)安全治理體系。其中，“三分”是指從治理策略角度看，數(shù)據(jù)風險分級、數(shù)據(jù)安全治理權(quán)責分階、數(shù)據(jù)載體治理分塊。受質(zhì)量管理領域的PDCA循環(huán)理論的啟發(fā)，基于“分級-分階-分塊”策略的數(shù)據(jù)安全治理體系圍繞分級籌劃（Plan）、分塊實施及分階負責（Do）、監(jiān)督審查（Check）、處理反饋（Act）4個環(huán)節(jié)展開。

在理論層面，基于“分級-分階-分塊”策略數(shù)據(jù)安全治理體系從多維度很好地應對業(yè)務種類和復雜度的升級；在實施層面，基于“分級-分階-分塊”策略的數(shù)據(jù)安全治理體系為閉環(huán)型，實現(xiàn)了實施與反饋同步進行的效果；在功能層面，基于“分級-分階-分塊”策略的數(shù)據(jù)安全治理體系放眼于整個風險點的生命周期，致力于從源頭降低敏感數(shù)據(jù)泄露風險發(fā)生的可能性，規(guī)范企業(yè)的各項業(yè)務活動。

3.2"數(shù)據(jù)安全治理“分級”籌劃

通過風險發(fā)生影響程度、風險發(fā)生可能性、風險改進迫切性3個指標對電網(wǎng)企業(yè)現(xiàn)有的多個風險點進行整體評分，并通過聚類分析的方法將風險點分成5個級別。各等級的風險及應對如表1所示。

3.3"數(shù)據(jù)安全治理“分階”負責

對組織體系、保密制度、定密管理及保密責任分別制定分階管理模式，從保密工作自身和組織層級（集團總部、分公司、子公司、各部門、一線員工）兩個維度進行分層，構(gòu)建網(wǎng)格化的管理體系。

3.3.1"組織體系

建議電網(wǎng)企業(yè)的數(shù)據(jù)安全治理組織體系依托保密組織體系開展工作，解決各組織層級保密人手不足、保密職責不清的問題。保密組織體系采用“集團公司—分公司—直屬單位—部門—項目組—個人”的自上而下分層模式，通過分層級設立保密辦公室、保密專責、保密聯(lián)絡員、項目組保密監(jiān)管，將保密職責落實到個人，達到全員參與商業(yè)秘密保護的目的。

3.3.2"制度體系

從縱向和橫向兩個維度構(gòu)建數(shù)據(jù)安全制度管理體系。橫向從組織層面對數(shù)據(jù)安全體系進行分層，規(guī)定各組織層級需要制定及落實的相關制度與規(guī)定。其中，管理制度總則、相關規(guī)定以及保密工作中的各管理辦法都由國網(wǎng)公司專家委員會統(tǒng)一進行制定并實施。各分、子公司根據(jù)業(yè)務需求和實際工作內(nèi)容，對國網(wǎng)公司制定的制度、規(guī)定和辦法進行具體落實和細化。相應的研發(fā)、生產(chǎn)、銷售等部門結(jié)合下級員工一線經(jīng)驗對本部門的標準化手冊進行制定。

縱向?qū)⒅贫润w系按照“制度總則—相應規(guī)范—各維度管理辦法—具體指導”分為4個階層，具體如圖1所示。

3.3.3"定密體系

對于電網(wǎng)企業(yè)數(shù)據(jù)資源的定密體系從組織體系和單位類型兩個維度展開，事項范圍劃分采用的是國網(wǎng)公司引領，以各子公司、分公司的具體業(yè)務為主導，個人和項目組配合的模式。核心數(shù)據(jù)管理權(quán)限在總部，其他下屬單位只有普通數(shù)據(jù)管理權(quán)限，如需使用核心數(shù)據(jù)，應報總部審批，項目組或個人需要使用核心數(shù)據(jù)和普通數(shù)據(jù)時也要報相關保密管理部門審批，各組織部門和個人對其所使用的數(shù)據(jù)安全負責。同時組織的上層級要對下層級的核心數(shù)據(jù)和普通數(shù)據(jù)重新定密。組織體系中數(shù)據(jù)安全等級界定流程如圖2所示。

3.4"數(shù)據(jù)安全治理“分塊”實施

3.4.1"人員塊管理

在研發(fā)業(yè)務中，依據(jù)技術(shù)人員產(chǎn)生或者接觸到的技術(shù)秘密的具體內(nèi)容對技術(shù)人員進行分級管理，將技術(shù)人員分為涉密技術(shù)人員（按照涉密等級不同，分為核心涉密技術(shù)人員和普通涉密技術(shù)人員）、一般技術(shù)人員和外包人員。

對涉密技術(shù)人員的管理貫穿于崗前、在崗、離崗和脫密期4個階段。核心涉密技術(shù)人員和普通涉密技術(shù)人員都需要進行任前審查、簽訂《涉密人員承諾書》并進行崗前保密培訓。在崗期間，面向涉密技術(shù)人員定期進行保密知識教育、開展保密專項培訓、定期考核獎懲。離崗前，所有涉密技術(shù)人員須簽訂《離崗保密承諾書》《競業(yè)禁止協(xié)議》并開展技術(shù)秘密資料和載體清退工作。此外，針對核心涉密技術(shù)人員還需做好保密責任監(jiān)督、人員備案和出國（境）審批。脫密期管理方面，核心涉密技術(shù)人員脫密期為3～5年，普通涉密技術(shù)人員為1～2年。

對一般技術(shù)人員的管理可分為崗前和離崗兩階段，包括進行任前審查、簽訂《涉密人員承諾書》并進行崗前保密培訓以及離崗后簽訂《離崗保密承諾書》。在外包人員管理上，項目外包人員和駐場外包人員均須簽訂《保密承諾書》，明確保密要求并參加保密培訓，項目結(jié)束后開展技術(shù)秘密材料和載體清退工作。

3.4.2"設備塊管理

將設備按照存儲、處理的信息是否涉及商業(yè)秘密及設備的性質(zhì)分為4個子塊，分別采取差異化的管控措施。在管理措施層面，各個子塊的差異主要體現(xiàn)在管理和責任的劃分上。在技術(shù)手段層面，各個子塊的差異主要體現(xiàn)在所采用的不同級別終端安全防護手段上。其中涉密設備只在相對安全的內(nèi)網(wǎng)或?qū)＞W(wǎng)中使用，所以采用簡潔的一級終端防護技術(shù)；對外計算機不涉及企業(yè)商業(yè)秘密且只連接外網(wǎng)，所以采用二級終端防護技術(shù)；內(nèi)部一般業(yè)務計算機由于存在不可避免的內(nèi)外網(wǎng)交叉使用情況，采用全方位防護的三級終端防護技術(shù)（見圖3）。

3.4.3"網(wǎng)絡塊管理

在研發(fā)業(yè)務中，根據(jù)網(wǎng)絡面向的人員范圍可將網(wǎng)絡劃分為外網(wǎng)、內(nèi)網(wǎng)和專網(wǎng)進行分類管理。在外網(wǎng)管理層面，需要嚴格管控研發(fā)環(huán)節(jié)業(yè)務人員接觸到的網(wǎng)絡類型，將研發(fā)專網(wǎng)與互聯(lián)網(wǎng)進行物理隔離，部署主機安全探針和敏感文件檢查技術(shù)，對主機內(nèi)存儲的文件定期掃描、審核，定期維護防火墻、網(wǎng)關等防泄密設備，定期更新病毒庫，保障互聯(lián)網(wǎng)計算機的運行安全。

在內(nèi)網(wǎng)管理層面，加強涉密文件的分級管控制度，在內(nèi)網(wǎng)部署輔助定密系統(tǒng)，取代人工定密，提升定密環(huán)節(jié)的客觀性及效率；部署敏感文件檢查技術(shù)，對內(nèi)網(wǎng)計算機中敏感級別的文件進行修改、復制、刪除等記錄的審查。

在專網(wǎng)管理層面，部署研發(fā)專網(wǎng)，將研發(fā)網(wǎng)絡與其他網(wǎng)絡類型相隔離，制定面向研發(fā)專網(wǎng)的管控制度；部署計算機終端檢查技術(shù)，對研發(fā)專網(wǎng)中的終端設備文檔流向記錄進行定期審查。

3.5"數(shù)據(jù)安全治理的監(jiān)督審查和處理反饋

監(jiān)督審查在PDCA循環(huán)中的作用十分重要，包括檢查、糾正和預防，實現(xiàn)以查促改、以改促防的過程。將PDCA模型中的監(jiān)督審查對應到實際的保密工作中，主要體現(xiàn)在對于保密工作的監(jiān)督檢查中。保密監(jiān)督檢查從核心項目檢查和日常保密工作監(jiān)督兩個層面來開展。核心項目檢查面向核心項目中涉及的人員、載體、設備、場所、網(wǎng)絡等分塊，以各個塊中存在的信息泄露狀況的專項檢查為重點；日常保密工作監(jiān)督則以保密工作要求的執(zhí)行和落實情況為重點來開展，具體內(nèi)容如圖4所示。

處理階段總結(jié)經(jīng)驗和吸取教訓的階段問題總結(jié)，是PDCA循環(huán)的關鍵。對于成功經(jīng)驗，責任人利用匯報向上級提出建議，將值得推廣的經(jīng)驗做法納入制度規(guī)范并進行推廣性培訓教育。針對失敗教訓和未解決問題，責任人匯報應總結(jié)失敗之處，定位清楚部位、制度或流程，以便改進，并將直接申請以項目形式進入下一輪PDCA循環(huán)。

4"結(jié)論與展望

本文針對我國電網(wǎng)企業(yè)數(shù)據(jù)安全治理面臨治理資源有限、治理權(quán)責不明、數(shù)據(jù)流動治理不足等問題，提出建立基于“分級-分階-分塊”策略的數(shù)據(jù)安全治理體系，從治理策略的角度，將數(shù)據(jù)風險分級、數(shù)據(jù)安全治理權(quán)責分階、數(shù)據(jù)載體治理分塊，能夠?qū)崿F(xiàn)在有限治理資源約束下獲取最大安全效果，厘清治理職責的同時解決數(shù)據(jù)流的治理問題。通過全程動態(tài)評估數(shù)據(jù)安全風險、全員積極參與數(shù)據(jù)安全保護、全面嚴密防護敏感數(shù)據(jù)泄露，確保風險可控、權(quán)責分明、數(shù)據(jù)流動界限明晰以及跨塊脫敏。

此外，為更好地在電網(wǎng)企業(yè)數(shù)據(jù)安全治理中貫徹總體國家安全觀，本文面向電網(wǎng)企業(yè)構(gòu)建了風險識別、情報預警、危害評估等治理機制，實現(xiàn)了事前、事中及事后治理機制，為下一階段的安全治理工作注入新方向、新內(nèi)涵，形成治理過程的控制閉環(huán)。

下一步研究應將重點關注內(nèi)容安全層面的數(shù)據(jù)治理技術(shù)。一方面，這是為了應對數(shù)據(jù)治理中數(shù)據(jù)濫用、泄露、竊取、偽造、破壞等風險，滿足總體國家安全觀的安全需求；另一方面，大數(shù)據(jù)時代必然要求電網(wǎng)企業(yè)要在數(shù)據(jù)資源的“安全保密”和“發(fā)展利用”兩方面取得平衡，過度強調(diào)任何一方，都將為電網(wǎng)企業(yè)的長期可持續(xù)發(fā)展帶來風險因素。

參考文獻

［1］劉文斌，李佳龍，徐雙，等.大數(shù)據(jù)背景下的數(shù)據(jù)安全治理研究進展［J］.太原理工大學學報，2024（1）：127-141.

［2］廖仲欽.淺談電網(wǎng)企業(yè)信息安全管理體系建設中的風險管理［J］.數(shù)字通信世界，2020（8）：249-250.

［3］陳友梅，郭濤.大數(shù)據(jù)時代下數(shù)據(jù)安全治理的研究與分析［J］.網(wǎng)絡空間安全，2023（2）：39-46.

［4］羅小江，石秀峰.一本書講透數(shù)據(jù)治理：戰(zhàn)略、方法、工具與實踐［M］.北京：機械工業(yè)出版社，2021.

［5］孫偉東.基于數(shù)據(jù)安全態(tài)勢背景提升企業(yè)數(shù)據(jù)安全治理能力芻議［J］.長江信息通信，2023（5）：168-171.

［6］于明.基于運營要素的電網(wǎng)企業(yè)應有數(shù)據(jù)體系構(gòu)建與治理策略［J］.電力大數(shù)據(jù)，2019（6）：74-79.

［7］杜加根.無線傳感器網(wǎng)絡在智能電網(wǎng)中應用的研究［D］.武漢：武漢理工大學，2011.

［8］張沛，吳瀟雨，和敬涵.大數(shù)據(jù)技術(shù)在主動配電網(wǎng)中的應用綜述［J］.電力建設，2015（1）：52-59.

［9］吳凱峰，劉萬濤，李彥虎，等.基于云計算的電力大數(shù)據(jù)分析技術(shù)與應用［J］.中國電力，2015（2）：111-116.

（編輯"李春燕）

Research on the construction of data security governance system for power grid enterprises

based on the overall national security concept：taking W Power Grid Company as an example

Qiao "Yong1， Qiu "Xin2， Tai "Chengxi2

（1.State Grid Jiangsu Power Co.， Ltd.， Nanjing 210024， China;

2.Wuxi Power Supply Branch， State Grid Jiangsu Power Co.， Ltd.， Wuxi 214000， China）

Abstract： "With the rapid development of informatization， power grid enterprises are facing the dual challenges of a surge in data scale and lagging confidentiality management. To effectively address this challenge， the article conducts research on the current status of data management and confidentiality management in W Power Grid Company， analyzes the existing data security systems， business types， and data characteristics， clarifies the risk points of confidentiality management， and constructs a data security governance system based on the “grading-staging-blocking” strategy. Confidentiality requirements are embedded in key data management processes to achieve precise governance of internal and external data. This study aims to establish a comprehensive data security governance plan for power grid enterprises， to achieve standardized and scientific confidentiality management， and effectively respond to new challenges in the big data environment.

Key words： power grid enterprise; data security; data governance; digital management system; safety management

作者簡介：喬勇（1980— ），男，高級經(jīng)濟師，碩士；研究方向：保密管理。