人民法院数据安全解决方案

人民法院数据安全解决方案

法院数据安全工作的开展是以提高政法数据安全保障能力为主要目标，根据业务的需求特点有针对性地构建适应业务发展的数据安全保障体系。通过治理评估、组织结构建设、管理制度建设、技术保护体系建设以及数据安全运营有效保障数据全生命周期的安全管控。具体解决方案如下：

数据安全治理评估

数据安全治理是开展数据安全保障体系建设的第一步。通过数据安全治理，从法院审判、执行业务视角出发，对全流程网上办案系统、电子诉讼服务平台、电子卷宗系统等业务应用的现状、使用情况进行调研、分析。通过调研基本信息，梳理业务条线，调研数据存储情况、系统合规现状、系统信息、已有防护情况、数据资产目录等，结合对基础安全管控措施的分析，找出业务所面临的管理和技术风险。

在完成法院现状分析后，参考《人民法院数据安全管理办法》、《人民法院数据分类分级指南（2022年试行版）》数据安全管理要求和分类分级要求，结合该法院自身数据安全现状和特点，制定数据安全分类分级规则。由专业的安全服务人员使用天融信自动化分类分级工具对当前业务流程中的全部数据进行分类和分级。通过识别数据安全风险，研判风险发生频率与脆弱性，编制法院《数据安全风险矩阵》，形成《数据安全风险评估指南》，并依据指南撰写《法院数据安全风险评估报告》，最终辅助完成数据安全治理的全流程工作。

数据安全组织结构建设

数据安全管理是一项需要多方联动的复合型工作，在开展组织架构建设时，需要构建法院决策部门、技术室+业务管理、系统开发商、数据安全服务运营部门的四级架构，保证所有部门均参与到数据安全保障体系的建设中来。同时，需要根据部门职责建立不同的数据安全角色以满足数据安全保障体系的能力要求。

数据安全管理制度建设

数据安全管理制度建设一般从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等多个方面进行梳理，最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。一般情况下，数据安全管理体系文件可分为四个层面：

• 一级文件是由决策层确定管理要求、目标及基本原则；
• 二级文件是由管理层根据一级管理要求制定通用的管理办法、制度及标准；
• 三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范；
• 四级文件属于辅助文件，一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。

数据安全技术保护体系建设

通过在终端、网络、应用、存储等发生数据处理的位置部署数据安全防护、审计、备份、管控等数据安全产品，实现数据全生命周期的安全防护。通过采用数据泄漏检测、数据安全审计、数据传输加密等技术构建基本保障面。利用基于AI小模型的机器学习和深度学习算法来分析和识别恶意软件（PDF/Office/PE）的特征和模式、网络流量中的异常模式以及加密流量中复杂的非正常模式和行为，构建高级保障手段。同时结合AI大模型在威胁检测、安全运营、知识问答等方面的优势，实现数据安全保障的提质增效。最终形成多维度、全方位的一体化数据安全技术保障体系。

数据安全运营管控建设

数据安全保障体系因其业务的持续性需要长期开展，建立完善的数据安全运营团队是必然选择。从数据安全运维、应急预案与演练、监测预警、应急处置、灾难恢复等维度构建安全运营体系。通过融合大模型能力的提案荣幸数据安全管控平台，在智能安全检测分析、智能安全运营、智能知识管理等多种场景下，通过交互式对话智能分析客户行为、快速响应客户需求、大幅提高安全运营效率的能力。

本文原文来自天融信官网