《中国民航报》、中国民航网 记者钱擘 通讯员徐星、朱媛 报道：近日，中国东方航空股份有限公司获得国家数据安全能力成熟度（DSMM）三级认证，成为国内首家通过三级认证的航空公司。三级认证是国内除了少数互联网公司之外，绝大多数企业目前能实现的最高级别DSMM认证，这是东航多年来在数据安全领域不断努力，所收获的新成果。

助力用好“最宝贵的财务”，数据安全护航事业发展

国家数据安全能力成熟度（DSMM）认证，是我国近年来积极推进的数据安全认证项目。而对数据安全的孜孜以求，更是东航长期以来不变的坚持，早在2010年，“信息安全与数据安全”就与“飞行安全”、“空防安全”、“地面安全”等领域一道，作为东航的六大安全维度之一，纳入了企业安全工作的顶层设计架构。

作为一家机队规模位居全球前十、每天都有航班飞行在世界各地、并且是国产大飞机C919全球首发用户的航空公司，东航每天产生着海量数据，蕴含着无限的商机和价值。“大数据是最宝贵的财富”，近些年来，东航在各种场合持续向广大党员干部职工、向企业内外积极传递这一信念。

对于这份“最宝贵的财富”，如果在守护安全的前提下精准应用，就会有效推动企业的高质量发展，而如果数据安全出现漏洞，无论是个人信息的被盗用，或是航班运行数据的外泄，都会给企业自身、消费者乃至国家和社会带来安全风险。

东航信息部作为东航数据治理、数据安全的责任单位，始终根据企业发展的要求，深入推动数据安全的治理。

不同于软硬件信息安全工作，面对的往往是直观“看得见”甚至“摸得着”的硬件设备、软件防护，数据安全的治理与守护，是信息流、业务流与诸多管理链条、制度建设的交织融合，对治理能力的要求尤为凸显，同时还需要一支能够深入整个东航业务流程、在各个环节精准做好数据安全的人才团队。如是复杂的局面，是一张并不容易回答的考卷：如果安全防线薄弱，就会被有心者利用流程、业务、制度漏洞趁虚而入，让消费者个人信息、企业运行数据甚至涉及国家安全的敏感信息被窃取，而一味层层加码、“严防死守”，则会让数据应有的价值得不到合理的积极利用，阻碍企业的高质量发展。

如何在复杂的场景下把握数据治理的精准高效？东航信息部团队将目光投向了近年来设立的国家数据安全能力成熟度（DSMM）认证，作为国内新推出的高标准数据安全认证体系，DSMM提供的维度，为东航数据安全建设，提供了极有价值的抓手，以申请认证带动事业发展，成为可行的路径。

推进贯标，数据保护官亮相东航全部业务部门

目标确定之后，东航信息部着手，围绕组织建设、人员能力、技术工具和制度流程四个维度，积极推动东航DSMM贯标工作。

在组织建设方面，东航将网络与信息安全工作纳入东航整体安全管理范畴，由集团安委会统筹管理；东航总法律顾问担任东航数据保护官，全面负责公司数据保护与合规运营工作，东航成为国内为数不多、在整个公司层面设立数据保护官的航空企业；东航还成立旅客信息保护委员会和集团数据安全工作组，全面统筹管理公司旅客信息及公司数据安全管理工作。

在人员能力方面，东航目前已经配备数据安全专职人员18名、兼职安全管理员88人，安排员工定期参加信息安全、个人信息保护相关培训，并需通过年度信息安全、数据合规等考核；东航信息化专家委员会已经聘请信息安全领域外部专家3名，深度参与东航网络安全规划和规范体系制定等工作。

在技术工具方面，东航大力提升安全防护能力，筑牢终端安全、网络安全、账号安全、应用安全、数据安全和数据中心安全这“六大围栏”，严格遵循信息安全合规条例，落实数据安全合规要求，提升技术防护水平。

在制度流程方面，东航通过了ISO27001国际信息安全标准，建立符合国际最高标准的信息安全标准，建立覆盖14个控制域、114个控制项的标准规范与规章制度。作为一家航线通达世界各地的大型航空公司，东航还通过欧盟通用数据保护条例（GDPR）合规项目，分别从法治合规与系统合规两个角度开展合规工作，让数据安全与治理，助力空中丝路更顺畅地延伸。值得一提的是，随着企业数据安全和数据治理的推进，在其近年参加的相关环境、社会和治理评级(Environmental，Social，Governance，即ESG) 项目上，东航均处于领先水平，位居全球民航业第一阵营。

伴随DSMM贯标工作的推进，在东航的数据安全体系中，机制建设不断推进，专业的人才队伍逐步完善。

目前东航信息部已经联合业务部门，完成了数据分类分级管理办法，而对大数据的精细化管理，也从原本的字段打标，进一步深入到元数据打标。由此，一则数据可否公开、可以公开到何种程度、应在怎样的程度上实现利用，有了更加定量精确的规则与更加细分的选择依据。与此同时，通过与DSMM贯标工作相呼应的队伍建设，东航主要业务部门、所属各分子公司，都已经设立了各自的数据保护官，带领各部门的专兼职数据安全人员队伍，共同守护企业和旅客的数据安全。

多管齐下，保障个人信息安全

在民航业，个人信息安全尤为重要，因为它涉及到大量的旅客和员工信息，包括姓名、联系方式、旅行计划、支付信息等。一家规模位居全球前列的航空公司在数据安全能力领域的不断完善，对广大民航旅客和社会公众而言，意味着个人信息将能得到更加有力的守护。

东航信息部数据安全团队的相关负责人告诉记者，个人订票时提交的证件号码、姓名等数据，是航班运行和航空公司各类业务系统必不可少的基础内容，但又涉及公众最核心的个人信息安全。东航信息部数据安全团队依托国家数据安全能力成熟度（DSMM）认证和其他相关数据安全工作所建立的数据分类分级管理办法，以及从元数据层面完成打标的基础支持，识别了东航各数据安全等级的个人信息。以此为依托，东航旅客信息保护办公室建立了一套符合《个人信息保护法》与GDPR的“个人信息保护影响评估”制度与流程，达到了一定数据安全等级的个人信息，其数据处理活动都必须经过合规性评审：确保了在不同业务应用场景下，都能按照最小必要的合规原则，处理旅客的相关数据。同时，在技术领域，东航采用国家商用密码算法（SM3+SM4)，依据民航业个人信息特点，如出行相关数据量大、数据分布系统广、流动频繁等特征，对涉及个人信息的数据采用各系统分隔加密存储保护，截至2024年初已达数十亿条，同时对证照类文件加密保护超30TB，覆盖数据中心、公有云端应用场景。由此，从技术上对旅客的个人信息保护提供坚实屏障。

东航信息部数据安全团队的相关负责人告诉记者，在成为国内首家获得DSMM三级认证的航司基础上，东航还将继续对标DSMM高成熟度标准，不断优化数据安全分级保护，特别是数据供应链的管理，以自身为支点，让对数据安全的守护能够更好覆盖东航的生产运行上下游环节，助力企业高质量发展，保障社会和公众的利益。（编辑：张薇，校对：张彤，审核：程凌）