◎《方案》提出了具体的目标:到2026年底,工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。
◎《方案》提出,到2026年底,开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业。
每经记者 张蕊 每经编辑 陈旭
2月26日,工业和信息化部印发《工业领域数据安全能力提升实施方案(2024-2026年)》(以下简称《方案》)。
《方案》提出了具体的目标:到2026年底,工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。
其中,开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业。立项研制数据安全国家、行业、团体等标准规范不少于100项。遴选数据安全典型案例不少于200个,覆盖行业不少于10个。数据安全培训覆盖3万人次,培养工业数据安全人才超5000人。
《工业领域数据安全能力提升实施方案(2024-2026年)》提出的总体目标和关键指标 图片来源:工信部
工信部网络安全管理局相关负责人在解读该文件时表示,数据是数字经济时代的关键新型生产要素,与国家经济运行、社会治理、公共服务等方面密切相关,保障数据安全已成为事关国家安全与经济社会发展的重大问题。
2023年9月,全国新型工业化推进大会召开,推动新型工业化发展迈向新征程,工业领域数字化、网络化、智能化加速提质升级。在促进工业数据流通共享和开发利用的同时,伴随而来的大规模数据泄露、勒索攻击等风险形势日趋严峻,工业企业数据安全意识和能力普遍薄弱、地方主管部门监管工作缺抓手缺队伍、技术产品和服务供给不足等问题亟待研究解决。
“总体看,加强数据安全保障是新型工业化发展绕不过的坎,是推进新型工业化行稳致远的基础和前提。”该负责人表示。
赛迪顾问总裁助理高丹在接受《每日经济新闻》记者书面采访时表示,伴随着智能制造及数字经济的不断推进,工业互联网的落地实施,以及“等级保护2.0”等法律法规的颁布,我国工业企业在数据安全方面的重视程度也有了进一步的提升。不过她也从大型央企、国企以及中小工业企业两方面分析了不同类型企业目前在工业数据安全保护方面的现状。
她表示,我国大型企业工业数据安全保护工作是伴随着企业工业互联网安全工作开展起来的,更偏重与工业互联网的安全工作相融合,对数据安全保护的专项工作尚在起步阶段。
“据了解,由于央企数字化转型工作的推进,一般的工业大型企业对数据资产都比较看重,正在探索对企业自身及可关联到的数据开展数据安全方面的工作,由于不同行业数据安全相关法规颁布、实施落地场景探索处于不同阶段,因此大部分大型工业企业没有理清思路、明确相关的工作。”高丹说。
另外,对中小工业企业来说,因为本身工业互联网或者数字化水平和能力有限,在企业数据安全保护工作方面只是通过简单的工控防护来进行,并未涉及专门的工业数据安全工作。
正是在这样的背景下,《方案》提出了提升工业企业数据保护能力、提升数据安全监管能力、提升数据安全产业支撑能力等三项重点任务。
在提升工业企业数据保护能力方面,《方案》提出,要增强数据安全保护意识、开展重要数据安全保护、强化重点企业数据安全管理、深化重点场景数据安全保护等。
在提升数据安全监管能力方面,《方案》提出,要完善数据安全政策标准、加强数据安全风险防控、推进数据安全技术手段建设、锻造数据安全监管执法能力。
高丹对每经记者表示,工业数据安全监管是一个体系化的工作,涉及数据流转的全流程,因此在整个监管过程中可能会存在一些困难。
一是工业企业数量多、规模大小不一致、行业众多,而监管要布局到每个企业,这就是一个体系化的工程,非关基(关键信息基础设施)领域属于完全企业化行为,监管难度更大。
二是工业行业差异度很大,要出台与各行业关联性很强的行业规范、标准,并开展各行各业的数据分级分类保护工作,这本就是一个复杂的工作。
三是人员问题,工业企业数据安全工作开展,需要懂得制造业行业的人深度参与,如果加上安全领域,并且是要与数据安全关联,人才培养工作量将更大。
在完善数据安全政策标准方面,《方案》提出,要建立健全工业领域数据安全管理制度,推动出台风险评估实施细则、应急预案、行政处罚裁量指引等政策文件。持续完善重要数据识别、备案、分级防护、风险评估等全流程监管机制,加强监督检查。组建工业领域网络与数据安全行业标准化组织,发布数据安全标准体系建设指南,加快研制重要数据识别、安全防护、风险评估、产品检测、密码应用等亟需标准。鼓励地方参照制定本地区数据安全政策。
赛迪顾问网络与数据安全研究中心总经理刘娟接受《每日经济新闻》记者电话采访时表示,在工业企业的数据安全监管方面,近两年工信部出台了相应的规范性文件进行监管,比如《方案》中提到的行政处罚裁量指引、风险评估实施细则等,来鼓励数据安全的实施或者数据安全产品的使用,从而使相应的数据安全防护能够达到更好的效果。
刘娟表示,有了基础性的规范性文件之后,各行各业在数据安全的分类分级、重要数据的识别等方面,还要针对不同行业的特点去做相关工作,所以有一些标准并不是整个行业、整个工业企业都能适用,还需要针对不同的工业企业制定不同的评价标准,但不一定是由部委层面出台相应的标准,有可能从行业层面尽快去落地一些标准性的文件。
封面图片来源:新华社
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。