【数据安全】如何提升工业领域数据安全能力?工信部 - 聚焦三大重点任务
财联社2月26日讯,工业和信息化部发布关于印发《工业领域 数据安全 能力提升实施方案(2024-2026年)》的公告。
方案提到,数据作为新型生产要素,是数字化、网络化、智能化的条件,已快速融入生产、分配、流通等各环节,保障 数据安全 ,事关国家安全大局。
方案提到,提升工业企业数据保护能力、提升 数据安全 隐患监管能力、提升 数据安全 产业支撑能力是三大重点任务。
一图读懂《工业领域 数据安全 能力提升实施方案(2024-2026年)》 
以下为方案全文:
工业领域 数据安全 能力提升实施方案(2024-2026年)
数据作为新型生产要素,是数字化、网络化、智能化的条件,已快速融入生产、分配、流通等各环节,保障 数据安全 ,事关国家安全大局。为贯彻落实习主席关于 数据安全 的重要指示精神和党中央、国务院决策部署,推动《中华人民共和国 数据安全 法》《中华人民共和国 网络安全 法》《工业和信息化领域 数据安全 管理办法(试行)》等在工业领域落地实施,加快提升工业领域 数据安全 保护能力,助力工业高质量发展,夯实 新型工业化 发展的安全基石,制定本方案。
一、总体要求
(一)指导思想
以某某某新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大精神,坚定不移贯彻总体国家安全观,坚持统筹发展和安全,坚持底线思维和极限思维,坚持目标导向和问题导向,以构建完善工业领域 数据安全 保证体系为主线,以落实企业主体责任为核心,以保护重要数据、提升监管能力、强化产业支撑等为重点,提高 数据安全 治理能力,增进 数据要素 安全有序流动和价值释放,为加快推进 新型工业化 ,建设制造强国、网络强国和数字中国提供坚实支撑。
(二)基本规则
统筹推进,重点突破。加强顶层谋划,系统推进 数据安全 组织架构、政策制度、管理制度、标准规范、技术手段建设和产业发展工作。以强化重点行业、重点企业、重要系统平台、重要数据保护为切入点,以点带面增进整体保护水平提升。
政府引导,协同共治。综合运用正向激励和反向约束等方式,选树标杆典型,强化监管执法,压实企业主体责任。充分施展行业协会、龙头企业、专业机构、高等院校等各方力量,形成 数据安全 协同治理的良好局面。
场景牵引,分业施策。摸清数据处理重点环节风险易发场景的特点规律,紧贴业务场景数据保护需求,强化科学防控。结合行业特色、数据特征等,不同化指导、精准化施策,加速提升行业 数据安全 管理水平。
创新驱动,技管结合。不断创新管理模式、技术、产品与服务,适应新时期工业领域 数据安全 保护新形势、新特点和新需求。重视“以技管数”手段建设和运用,与日常监管形成合力。
(三)总体目标
到2026年底,工业领域 数据安全 保证体系基本建立。 数据安全 保护意识普遍提高,重点企业 数据安全 主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。 数据安全 政策标准、工作机制、监管队伍和技术手段更加健全。 数据安全 技术、产品、服务和人才等产业支撑能力稳步提升。
——基本实现各工业行业规上企业 数据安全 要求宣贯全覆盖。
——开展数据分类分级保护的企业超4.5万家,至少覆盖年营业收入在各省(区、市)行业排名前10%的规上工业企业。
——立项研制 数据安全 国家、行业、团体等标准规范很多于100项。
——遴选 数据安全 典型案例很多于200个,覆盖行业很多于10个。—— 数据安全 培训覆盖3万人次,培养工业 数据安全 人才超5000人。
二、重点任务
(一)提升工业企业数据保护能力
1.增强 数据安全 保护意识。加大 数据安全 法律法规和政策标准宣贯培训力度,提高各行业企业 数据安全 意识。督促企业依法依规落实 数据安全 主体责任,压实各单位法定代表人或主要责任人 数据安全 第壹责任,建立健全 数据安全 管理体系和工作机制,配足 数据安全 岗位和人员队伍,定期开展 数据安全 教育培训。引导企业贯彻发展与安全并重原则,将 数据安全 管理要求融入本单位发展战略和考核机制,强化 数据安全 工作与业务发展同谋划、同部署、同落实、同考核。
2.开展重要 数据安全 保护。指导企业建立健全数据分类分级保护等安全管理制度,定期梳理识别重要数据和核心数据,形成目录并及时报备。督促重要数据和核心数据处理者明确 数据安全 责任人和管理机构,落实数据分级防护要求,每年至少开展一次 数据安全 风险评估,及时发现整改安全隐患,按要求报送评估报告。指导企业加强重要数据和核心 数据安全 风险监测与应急处置,及时报告重大风险事件。推动各行业企业加强商用密码应用保护 数据安全 。
3.强化重点企业 数据安全 管理。遴选掌握关键核心技术、代表行业发展水平、关系产业链安全稳定或关乎国家安全的企业,滚动编制工业领域 数据安全 风险防控重点企业名录。将名录内企业作为 数据安全 隐患监管重点,督促其在落实 数据安全 要求基础上,着重提升风险监测、态势感知、要挟研判和应急处置等能力。施展部省两级主管部门作用,统筹各方 数据安全 监测预警手段和技术力量,强化技术支援,协同做好企业 数据安全 保护。
4.深化重点场景 数据安全 保护。指导企业围绕数据汇聚、共享、出境、委托加工等重点数据处理场景,排查 数据安全 保护薄弱点,实施贴合行业特点的数据保障措施。聚焦供应链上下游协作、服务外包、上云上平台等典型业务场景,厘清多主体 数据安全 责任界面和衔接模式,建立全链条全方位 数据安全 保护体系。针对勒索病毒攻击、漏洞后门、人员违规操作、非受控远程运维等易发频发风险场景,强化风险自查自纠,采取精准的管理和防护安全措施。面向 数据要素 大规模流通交易典型场景,缔造一批安全解决方案。
专栏1 数据安全 保护筑基工程
1.夯实数据分类分级基础。分行业分领域研究制定重要数据和核心数据识别细则,形成“1+N”的工业领域数据分类分级规范体系,科学指导各行业落地实施。持续迭代重要数据和核心数据目录,逐步摸清行业重要数据规模、分布、处理等情况,明确行业重点保护数据对象。
2.编制数据保护实践指南。结合重点数据处理场景、典型业务场景、易发频发风险场景等 数据安全 保护需求和难点,研究制定工业领域 数据安全 保护实践系列指南,为企业数据保护和风险防范提供实操参考。面向数据出境需求较大的关键行业,分类制定数据出境安全指引,指导企业依法依规开展数据出境安全评估。
3.分业推进 数据安全 保护能力跃升。在有序推进宣贯培训、分类分级保护等工作基础上,立足钢铁、汽车、纺织、集成电路等行业实际,聚焦重点场景、重点环节、重要系统平台、重要数据等,进一步强化行业 数据安全 主体责任落实和保护力度,实现行业 数据安全 保护能力整体跃升。
(二)提升 数据安全 隐患监管能力
5.完善 数据安全 政策标准。建立健全工业领域 数据安全 管理制度,推动出台风险评估实施细则、应急预案、行政处理裁量指引等政策文件。持续完善重要数据识别、备案、分级防护、风险评估等全流程监管机制,强化监督检查。组建工业领域网络与 数据安全 行业标准化组织,发布 数据安全 标准体系建设指南,加快研制重要数据识别、安全防护、风险评估、产品检测、密码应用等亟需标准。鼓励地方参照制定本地区 数据安全 政策。
6.加强 数据安全 风险防控。完善工业领域 数据安全 风险信息报送与共享工作机制,组建 数据安全 风险分析专家组,动态管理风险直报单位库,协同加强地方力量,常态化开展风险监测、报送、预警、处置等工作。摸排 数据安全 风险事件特点和规律,建立重大风险事件案例库,强化案例剖析和风险提示。面向重点行业开展“数安护航”专项行动,定期组织“数安铸盾”应急演练,提升事件快速反应、规范处置、协同联动水平。
专栏2缔造 数据安全 风险防控品牌
1.“数安护航”专项行动。分行业、分批次集中开展 数据安全 风险排查和防范,聚焦数据泄露、篡改、滥用、违规传输、非法访问、流量异常等突出风险,利用企业自查、远程检测、现场诊断等行径,针对性增强风险应对处置能力。
2.“数安铸盾”应急演练。面向重点行业,模拟勒索病毒攻击、供应链攻击等易发典型 数据安全 风险事件,组织开展全要素、全流程应急演练,持续优化事件响应流程和机制,锻炼培养一批应急支撑队伍。
7.推进 数据安全 技术手段建设。统筹 建设工业 和信息化领域 数据安全 管理平台,建立工业领域 数据安全 工具库,形成集数据资源管理、态势感知、风险信息报送与共享、技术测试验证、事件应急响应等功能于一体的技术能力,强化与 网络安全 技术、密码技术手段协同。推动有条件的地方、行业、企业等加快建立 数据安全 风险监测与应急处置等技术手段,强化“部-省-企业”技术能力三级联动,不断提升技术保障水平。
专栏3 数据安全 技术保障工程
1.统筹 建设工业 和信息化领域 数据安全 管理平台。建立完善工业领域 数据安全 监测、信息报送与共享、应急管理、安全评估等系统功能,强化风险统一汇集、分析、研判和通报,支撑事件应急处置、辅助决策、跟踪追溯等工作,提供风险评估、出境安全评估、防护能力评估等服务,覆盖很多于20个省级(行业级)节点和500个企业节点。
2.建立工业领域 数据安全 工具库。围绕数据分类分级、安全防护、检测评估、合规检查、应急处置、攻击追溯、密码应用等方面,研发一批规范化、便携式的工具,为高效开展 数据安全 隐患监管和保护工作提供支撑。
8.锻造 数据安全 隐患监管执法能力。规范 数据安全 事件调查处置程序,丰富取证方法和手段。加快完善 数据安全 执法流程和工作机制,推动地方工业和信息化主管部门将 数据安全 并入本地区行政执法事项清单,指导各行业、各地方依法严格处置犯法行为,强化执法案例宣介与警示教育。建立健全 数据安全 非法行为投诉举报机制,多渠道收集非法线索。加大监管执法人员培训力度,推动地方工业和信息化主管部门强化 数据安全 隐患监管力量,缔造专业化、规范化监管执法队伍。
(三)提升 数据安全 产业支撑能力
9.加大技术产品和服务供给。加强工业数据智能分类分级、工业数据库审计、低时延加密传输等共性技术优化升级。加大适配工业业务场景和数据特征的轻量级数据加密、隐私计算、密态计算等关键技术攻关。支持使用商用密码技术保障工业领域 数据安全 。围绕工业数据泄露、窃取、篡改等风险,推动流量异常监测、攻击行为识别、事件追溯和处置等产品研发。加强面向工业云、工业 大数据 、 工业互联 网平台等新兴应用的 数据安全 架构设计。支持工业领域 数据安全 “产品+服务”供给模式创新。
10.增进应用推广和供需对接。加大多方安全计算、数据防勒索、数据溯源、商用密码等技术产品在工业领域的试点应用。组织遴选一批在各行业具有广泛应用价值的通用 数据安全 技术和产品,缔造一批面向行业、面向场景、面向中小企业的 数据安全 解决方案,形成一批工业领域 数据安全 典型案例,分行业、分地区开展宣传推广。推动各行业利用主题沙龙、路演等渠道开展 数据安全 技术产品和服务供需对接活动。施展 数据安全 产业公共服务平台作用,强化信息共享、资源对接等服务。
11.建立健全人才培养体系。面向不同行业、岗位、层级 数据安全 工作需求,推动专业化、特色化 数据安全 教材课程开发,规范化开展职业人才资格认定。支持产学研用各方加强合作,依托培训中心、实训基地、网络学习平台等联合培养复合型管理人才和实战型技能人才,通过技能竞赛、技术交流、学习进修、岗位练兵等形式持续增进人才知识更新和能力提升。鼓励工业企业建立健全 数据安全 绩效评价机制,强化 数据安全 人才激励。
三、保障措施
(一)加强组织协调。工业和信息化部加强工作统筹,做好与国家 数据安全 工作协调机制的衔接。各地工业和信息化主管部门负责组织实施本地区实施方案。鼓励各地结合实际制定细化工作方案,强化与相关部门合作,确保目标任务落实。充分施展高校、科研院所、第叁方机构等在实施方案宣贯、手段建设指导、技术交流合作、成果应用推广等方面的专业作用,引导企业加强 数据安全 能力建设。(二)加大资源保障。统筹利用现有资金渠道,加大工业领域 数据安全 工作投入,支持关键核心技术攻关和公共服务平台建设。深化产融合作,支持 数据安全 企业参与“科技产业金融一体化”专项,通过国家产融合作平台获得便捷高效的金融服务。鼓励各地将 数据安全 并入地方工业领域数字化转型发展相关规划,在支持数字化、网络化、智能化等项目时,同步明确 数据安全 要求。引导企业在信息化建设之中为 数据安全 防护安排一定比例资金。(三)强化成效评估。各行业、各地区及时跟踪调度实施方案落实情况,总结经验做法,评估工作成效,强化沟通交流,及时报告重大进展情况或问题。工业和信息化部对工作推动有力、取得明显成效的地区、企业和单位予以表扬,对优秀经验做法加强提炼总结和推广应用。(四)做好宣传引导。综合利用产业活动、国际合作等方式,宣传普及工业领域 数据安全 理念和举措,提高地方、企业和公众对工业领域 数据安全 的认可度。充分调动行业协会、学会、产业联盟等力量,引导企业加强自律、凝聚共识,营造行业 数据安全 保护良好氛围。