中国移动某省分公司位于创新力量活跃的某中部大省,近年来收入、利润快速增长,规模创下历史新高,业务结构逐年改善,高质量可持续发展稳步推进,是该省份“国有控股企业税收贡献10强”。
伴随着业务的不断发展,该运营商企业积极承担基础设施建设主力军的责任和担当,着力构建内生安全、可信可控的数字信息基础设施。同时企业内部也出现了人员数据安全防护意识能力不到位、违规能力监督的智能化水平不足、制度更新迭代不及时等问题。
为了完善数据安全管理体系、为经济社会发展提供有力保障,该省分公司经过严密筛选、严格考查后,选择与保旺达深化合作,共同构建一个集合规教育闭环、制度执行闭环、制度迭代闭环于一体的数据安全审计闭环运营体系,真正在数据全生命周期内实现了全域风险审计和自适应的数据安全闭环。
3大闭环体系建设
打造数据安全制度落地的高效实践
该省分公司与保旺达构建的覆盖合规教育、制度执行、制度迭代三项闭环在内的数据安全审计运营体系,深入实际业务场景、深度解析合规制度要求、具备高度应用性,有力推动员工和组织全面执行安全制度。在实践中落地如下:
01
合规教育闭环,
构建“知、悟、练、测、用”学习闭环
平台依据合规标准及省分公司制度规定,运用大模型技术对管理制度细节进行了系统梳理、整合与智能化提炼。
在制度教育、安全会议及培训环节,平台借助算法深度分析员工日常行为与历史数据,为每位员工量身定制相关安全课程,确保岗位安全知识的有效传递;
在安全考核与安全场景应用方面,定期策划安全知识竞赛、模拟攻击演练及实战演习等活动。员工可通过线上平台参与,借助得分与排名机制激发自我进步动力,进而将所学知识应用于实际工作环境,强化安全实践能力。
此机制旨在将安全制度的学习、实践应用与激励机制相结合,不断提升员工安全意识、专业技能以及学习热情。
02
制度执行闭环,
打造“监督、识别、追溯、定位”审计闭环
平台将制度细则转化为监督规则,审计各项业务和员工行为,内置识别引擎,智能判断行为动作是否符合合规要求:
如传输阶段是否采用安全传输通道、数字签名等手段,保证数据传输的保密性、不可抵赖性;
存储阶段是否对访问控制、权限、备份机制等做管控,提升数据保护强度;
使用阶段是否将敏感级别数据操作经相关负责人审批,是否脱敏展示、是否保留完整日志等,全面覆盖数据全生命周期的审计内容。
同时平台提供了可视化的全链路追溯功能,绘制“用户-应用-数据”的访问轨迹和流转轨迹,让数据流通全过程透明可定位,保障对业务及人员的可追溯能力。
03
制度迭代闭环,
推动制度更新升级、完善控制措施
通过风险智能挖掘模型工具台,挖掘员工制度外的行为风险、业务漏洞风险和安全措施失效风险。基于挖掘的风险,通过智能分级审计,确认当前安全制度中未有相关风险规定,上报安全组织促进制度的迭代升级、完善。
在AI模型的使用方面具备独特优势——自动化建模能力。业务专家能够快速利用AI安全能力构建其业务需要的安全分析场景模型;以算法为基础,以满足三域安全场景为目标,通过安全分析模型全生命周期体系的管理,孵化和沉淀全网的安全分析能力;不同域的安全分析模型统一管理、集中使用、互相共享。
可量化安全成效迸发
三闭环体系提升硬性保障能力
线上制度学习成果量化:基于AI的知识图谱构建能力,将5套管理制度转化为100+条具体细则;覆盖全省6万+自有人员与300+合作伙伴;累计参与考试人员达15万人次,将制度学习内化为牢固安全意识。
AI风险挖掘成果量化:建立7大类28个风险挖掘模型,包括账号管理UEBA、账号授权UEBA等;基于标签实时绘制组织、员工风险画像;以K-means聚类分析能力搭建实时分析引擎和离线分析引擎,进行自动化风险处置,以AI精准围猎违规行为。
制度监督执行成果量化:针对4大专题(身份安全、权限安全、使用安全、审阅审计)和32个行为场景(主从账号申请、账号变更、账号授权、账号审批等)情形,建立28项稽核专题,创建100+个稽核规则,有效降低违规率95%,常态化推进合规管理与风险防范。
合规要求和制度迭代成果量化:覆盖上级14套规范要求,包括两部委、嵌入式等;按科室、地市需求建立100+检查计划,月均执行率达100%;智能解析出100+检查细项,向制度制定组织月均提供10条以上修订建议,上报完善规则,织密制度防控网络。
