《工业领域数据安全能力提升实施方案(2024—2026年)》(工信部网安〔2024〕34号)由工业和信息化部2024年2月23日印发(以下简称《实施方案》)。《实施方案》提出的总体目标是:
到 2026 年底,工业领域数据安全保障体系基本建立。
——基本实现各工业行业规上企业数据安全要求宣贯全覆盖。
——开展数据分类分级保护的企业超4.5 万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业。
——立项研制数据安全国家、行业、团体等标准规范不少于 100 项。
——遴选数据安全典型案例不少于200 个,覆盖行业不少于 10 个。
——数据安全培训覆盖 3 万人次,培养工业数据安全人才超 5000 人。
重点任务解读:
《实施方案》重点任务聚焦提升三项“数据安全能力”,从企业建设、政策监管、产业支撑的角度细化出11个子项任务。并依托数据安全保护筑基工程、打造数据安全风险防控品牌、数据安全技术保障工程,三项专栏行动推动数据安全技术、产品、服务和人才等产业支撑能力稳步提升。
(一)提升工业企业数据保护能力
《实施方案》从增强数据安全保护意识、开展重要数据安全保护、强化重点企业数据安全管理、深化重点场景数据安全保护四个方面着手提升工业企业数据保护能力。工业企业需完成的关键点包括:
1、 压实数据安全第一责任人备案
2、 识别重要数据和核心数据,形成目录并及时报备
3、 每年至少开展一次数据安全风险评估,按要求报送评估报告。
4、 加强重要数据和核心数据安全风险监测与应急处置,及时报告重大风险事件
5、 加强商用密码应用保护数据安全
对应的专栏行动如下:
专栏1 数据安全保护筑基工程
● 夯实数据分类分级基础。分行业分领域研究制定重要数据和核心数据识别细则,形成“1+N”的工业领域数据分类分级规范体系,科学指导各行业落地实施。持续迭代重要数据和核心数据目录,逐步摸清行业重要数据规模、分布、处理等情况,明确行业重点保护数据对象。
● 编制数据保护实践指南。结合重点数据处理场景、典型业务场景、易发频发风险场景等数据安全保护需求和难点,研究制定工业领域数据安全保护实践系列指南,为企业数据保护和风险防范提供实操参考。面向数据出境需求较大的重点行业,分类制定数据出境安全指引,指导企业依法依规开展数据出境安全评估。
● 分业推进数据安全保护能力跃升。在有序推进宣贯培训、分类分级保护等工作基础上,立足钢铁、汽车、纺织、集成电路等行业实际,聚焦重点场景、重点环节、重要系统平台、重要数据等,进一步加强行业数据安全主体责任落实和保护力度,实现行业数据安全保护能力整体跃升。
(二)提升数据安全监管能力
《实施方案》从完善数据安全政策标准、加强数据安全风险防控、推进数据安全技术手段建设、锻造数据安全监管执法能力四个方面着手提升数据安全监管能力。各级监管部门需完成的关键点包括:
1、 建立健全工业领域数据安全管理制度,发布数据安全标准体系建设指南。
2、 完善工业领域数据安全风险信息报送与共享工作机制。重点行业开展“数安护航”专项行动,“数安铸盾”应急演练,提升事件快速反应、规范处置、协同联动水平。
对应的专栏行动如下:
专栏2 打造数据安全风险防控品牌
●“数安护航”专项行动。分行业、分批次集中开展数据安全风险排查和防范,聚焦数据泄露、篡改、滥用、违规传输、非法访问、流量异常等突出风险,利用企业自查、远程检测、现场诊断等手段,针对性增强风险应对处置能力。
●“数安铸盾”应急演练。面向重点行业,模拟勒索病毒攻击、供应链攻击等易发典型数据安全风险事件,组织开展全要素、全流程应急演练,持续优化事件响应流程和机制,锻炼培养一批应急支撑队伍。
3、 统筹建设工业和信息化领域数据安全管理平台,强化“部-省-企业”技术能力三级联动,不断提升技术保障水平。
对应的专栏行动如下:
专栏3 数据安全技术保障工程
● 统筹建设工业和信息化领域数据安全管理平台。建立完善工业领域数据安全监测、信息报送与共享、应急管理、安全评估等系统功能,强化风险统一汇集、分析、研判和通报,支撑事件应急处置、辅助决策、跟踪追溯等工作,提供风险评估、出境安全评估、防护能力评估等服务,覆盖不少于20个省级(行业级)节点和500个企业节点。
● 建立工业领域数据安全工具库。围绕数据分类分级、安全防护、检测评估、合规检查、应急处置、攻击追溯、密码应用等方面,研发一批规范化、便携式的工具,为高效开展数据安全监管和保护工作提供支撑。
4、 规范数据安全事件调查处置程序,加快完善数据安全执法流程和工作机制,建立健全数据安全违法违规行为投诉举报机制。
(三)提升数据安全产业支撑能力
《实施方案》从加大技术产品和服务供给、促进应用推广和供需对接、建立健全人才培养体系三个方面提升数据安全产业支撑能力。各产业供应商需完成的关键点包括:
1、 加强工业数据智能分类分级、工业数据库审计、低时延加密传输等共性技术优化升级。加大适配工业业务场景和数据特征的轻量级数据加密、隐私计算、密态计算等关键技术攻关。支持使用商用密码技术保障工业领域数据安全。围绕工业数据泄露、窃取、篡改等风险,推动流量异常监测、攻击行为识别、事件追溯和处置等产品研发。加强面向工业云、工业大数据、工业互联网平台等新兴应用的数据安全架构设计。支持工业领域数据安全“产品+服务”供给模式创新。
2、 加大多方安全计算、数据防勒索、数据溯源、商用密码等技术产品在工业领域的试点应用。组织遴选一批在各行业具有广泛应用价值的通用数据安全技术和产品,打造一批面向行业、面向场景、面向中小企业的数据安全解决方案,形成一批工业领域数据安全典型案例,分行业、分地区开展宣传推广。推动各行业利用主题沙龙、路演等渠道开展数据安全技术产品和服务供需对接活动。发挥数据安全产业公共服务平台作用,强化信息共享、资源对接等服务。
3、 面向不同行业、岗位、层级数据安全工作需求,推动专业化、特色化数据安全教材课程开发,规范化开展职业人才资格认定。支持产学研用各方加强合作,依托培训中心、实训基地、网络学习平台等联合培养复合型管理人才和实战型技能人才,通过技能竞赛、技术交流、学习进修、岗位练兵等形式持续促进人才知识更新和能力提升。鼓励工业企业建立健全数据安全绩效评价机制,加强数据安全人才激励。