工业和信息化部近日印发《工业领域数据安全能力提升实施方案(2024—2026年)》(以下简称《实施方案》),围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力,明确提出11项任务。
《实施方案》提出,到2026年底,我国工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。
关键指标包括:
基本实现各工业行业规上企业数据安全要求宣贯全覆盖。
开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业。
立项研制数据安全国家、行业、团体等标准规范不少于100项。
遴选数据安全典型案例不少于200个,覆盖行业不少于10个。
数据安全培训覆盖3万人次,培养工业数据安全人才超5000人。
工业企业数据安全意识和能力普遍薄弱
数据是数字经济时代的关键新型生产要素,与国家经济运行、社会治理、公共服务等方面密切相关,保障数据安全已成为事关国家安全与经济社会发展的重大问题。
工信部网络安全管理局相关负责人在解读《实施方案》时表示,2023年9月,全国新型工业化推进大会召开,推动新型工业化发展迈向新征程,工业领域数字化、网络化、智能化加速提质升级。在促进工业数据流通共享和开发利用的同时,伴随而来的大规模数据泄露、勒索攻击等风险形势日趋严峻,工业企业数据安全意识和能力普遍薄弱、地方主管部门监管工作缺抓手缺队伍、技术产品和服务供给不足等问题亟待研究解决。
“总体看,加强数据安全保障是新型工业化发展绕不过的坎,是推进新型工业化行稳致远的基础和前提。”该负责人表示。
从不同类型企业的发展现状来看,大型工业企业的数据安全保护工作是伴随着企业工业互联网安全工作开展起来的,更偏重与工业互联网的安全工作相融合,对数据安全保护的专项工作尚在起步阶段。而中小工业企业,因为本身工业互联网或者数字化水平和能力有限,在企业数据安全保护工作方面只是通过简单的工控防护来进行,并未涉及专门的工业数据安全工作。
在工业企业数字化、网络化、智能化转型过程中,企业的生产效率和资源利用率虽得到大幅提升,但同时也带来更为复杂的网络安全威胁。工业企业必须构建一个坚实的工业控制系统安全保障体系,以确保生产过程的安全和稳定。
提升数据安全监管能力
“工业数据安全监管是一个体系化的工作,涉及数据流转的全流程,因此在整个监管过程中可能会存在一些困难。”赛迪顾问总裁助理高丹认为,一是工业企业数量多、规模大小不一致、行业众多,监管既需要布局到每家企业,又需涉及非关键信息基础设施领域;二是工业行业差异度很大,需要出台与各行业关联性很强的行业规范、标准;三是工业企业数据安全工作开展,既需要制造业行业的人才,又需要数据安全领域的人才。
《实施方案》从四方面规划了如何提升数据安全监管能力:
一是完善数据安全政策标准,具体包括建立健全政策制度、完善全流程监管机制、研制重点急需标准等任务,并鼓励地方积极制定相关政策。
二是加强数据安全风险防控,在做好风险信息报送与共享、组建风险分析专家组、动态管理风险直报单位库、建立重大风险事件案例库、加强风险提示等常态化工作基础上,打造“数安护航”专项行动和“数安铸盾”应急演练2个品牌活动,有效提升风险事件防范和处置水平。
三是推进数据安全技术手段建设,统筹建设工业和信息化领域数据安全管理平台,加快推进“部-省-企业”三级监测应急等技术能力建设和协同联动。建立工业领域数据安全工具库,为高效开展监管和保护工作提供规范化、便捷式工具服务等支撑。
四是锻造数据安全监管执法能力,明确提出规范事件调查程序,丰富取证方法和手段,完善执法流程机制和加强执法案例宣介与警示教育。推动地方主管部门将数据安全纳入行政执法事项清单,打造专业化、规范化监管执法队伍。
工业领域既是我国数字化转型发展的主阵地,也是数字经济发展的前沿,工业数据安全越来越成为工业转型升级的重中之重。在数字产业化和产业数字化加速推进的新形势下,《实施方案》有助于进一步加速构建工业领域数据安全管理体系,加强工业领域数据安全保障。