工信部出臺方案提升工業領域數據安全能力:到2026年底,開展數據分類分級保護的企業超4.5萬家
每日經濟新聞
2024-02-26 22:02:08
◎《方案》提出了具體的目標:到2026年底��,工業領域數據安全保障體系基本建立�����。數據安全保護意識普遍提高�����,重點企業數據安全主體責任落實到位�,重點場景數據保護水平大幅提升,重大風險得到有效防控����。
◎《方案》提出,到2026年底���,開展數據分類分級保護的企業超4.5萬家���,至少覆蓋年營收在各省(區����、市)行業排名前10%的規上工業企業��。
每經記者 張蕊 每經編輯 陳旭
2月26日,工業和信息化部印發《工業領域數據安全能力提升實施方案(2024-2026年)》(以下簡稱《方案》)�。
《方案》提出了具體的目標:到2026年底,工業領域數據安全保障體系基本建立���。數據安全保護意識普遍提高�,重點企業數據安全主體責任落實到位����,重點場景數據保護水平大幅提升,重大風險得到有效防控�。數據安全政策標準、工作機制�����、監管隊伍和技術手段更加健全�。數據安全技術�、產品、服務和人才等產業支撐能力穩步提升���。
其中��,開展數據分類分級保護的企業超4.5萬家�����,至少覆蓋年營收在各?��。▍^��、市)行業排名前10%的規上工業企業���。立項研制數據安全國家、行業��、團體等標準規范不少于100項����。遴選數據安全典型案例不少于200個,覆蓋行業不少于10個����。數據安全培訓覆蓋3萬人次,培養工業數據安全人才超5000人���。
《工業領域數據安全能力提升實施方案(2024-2026年)》提出的總體目標和關鍵指標 圖片來源:工信部
部分工業企業數據安全意識仍較薄弱
工信部網絡安全管理局相關負責人在解讀該文件時表示��,數據是數字經濟時代的關鍵新型生產要素����,與國家經濟運行、社會治理���、公共服務等方面密切相關���,保障數據安全已成為事關國家安全與經濟社會發展的重大問題。
2023年9月�,全國新型工業化推進大會召開,推動新型工業化發展邁向新征程���,工業領域數字化���、網絡化、智能化加速提質升級�����。在促進工業數據流通共享和開發利用的同時���,伴隨而來的大規模數據泄露�、勒索攻擊等風險形勢日趨嚴峻��,工業企業數據安全意識和能力普遍薄弱�����、地方主管部門監管工作缺抓手缺隊伍��、技術產品和服務供給不足等問題亟待研究解決���。
“總體看�,加強數據安全保障是新型工業化發展繞不過的坎���,是推進新型工業化行穩致遠的基礎和前提���。”該負責人表示。
賽迪顧問總裁助理高丹在接受《每日經濟新聞》記者書面采訪時表示��,伴隨著智能制造及數字經濟的不斷推進�����,工業互聯網的落地實施,以及“等級保護2.0”等法律法規的頒布�,我國工業企業在數據安全方面的重視程度也有了進一步的提升。不過她也從大型央企�����、國企以及中小工業企業兩方面分析了不同類型企業目前在工業數據安全保護方面的現狀�����。
她表示�����,我國大型企業工業數據安全保護工作是伴隨著企業工業互聯網安全工作開展起來的����,更偏重與工業互聯網的安全工作相融合,對數據安全保護的專項工作尚在起步階段�����。
“據了解�����,由于央企數字化轉型工作的推進��,一般的工業大型企業對數據資產都比較看重����,正在探索對企業自身及可關聯到的數據開展數據安全方面的工作,由于不同行業數據安全相關法規頒布�、實施落地場景探索處于不同階段,因此大部分大型工業企業沒有理清思路�����、明確相關的工作���。”高丹說��。
另外����,對中小工業企業來說���,因為本身工業互聯網或者數字化水平和能力有限�,在企業數據安全保護工作方面只是通過簡單的工控防護來進行,并未涉及專門的工業數據安全工作����。
正是在這樣的背景下,《方案》提出了提升工業企業數據保護能力��、提升數據安全監管能力���、提升數據安全產業支撐能力等三項重點任務�����。
提升數據安全監管能力
在提升工業企業數據保護能力方面��,《方案》提出���,要增強數據安全保護意識、開展重要數據安全保護��、強化重點企業數據安全管理���、深化重點場景數據安全保護等���。
在提升數據安全監管能力方面����,《方案》提出�,要完善數據安全政策標準、加強數據安全風險防控��、推進數據安全技術手段建設�����、鍛造數據安全監管執法能力���。
高丹對每經記者表示,工業數據安全監管是一個體系化的工作��,涉及數據流轉的全流程����,因此在整個監管過程中可能會存在一些困難。
一是工業企業數量多�、規模大小不一致、行業眾多�����,而監管要布局到每個企業,這就是一個體系化的工程�,非關基(關鍵信息基礎設施)領域屬于完全企業化行為,監管難度更大�����。
二是工業行業差異度很大���,要出臺與各行業關聯性很強的行業規范���、標準,并開展各行各業的數據分級分類保護工作�����,這本就是一個復雜的工作���。
三是人員問題����,工業企業數據安全工作開展��,需要懂得制造業行業的人深度參與���,如果加上安全領域����,并且是要與數據安全關聯,人才培養工作量將更大���。
在完善數據安全政策標準方面�,《方案》提出��,要建立健全工業領域數據安全管理制度����,推動出臺風險評估實施細則����、應急預案、行政處罰裁量指引等政策文件���。持續完善重要數據識別��、備案�����、分級防護�、風險評估等全流程監管機制,加強監督檢查��。組建工業領域網絡與數據安全行業標準化組織�����,發布數據安全標準體系建設指南����,加快研制重要數據識別、安全防護����、風險評估、產品檢測�、密碼應用等亟需標準。鼓勵地方參照制定本地區數據安全政策���。
賽迪顧問網絡與數據安全研究中心總經理劉娟接受《每日經濟新聞》記者電話采訪時表示��,在工業企業的數據安全監管方面�,近兩年工信部出臺了相應的規范性文件進行監管��,比如《方案》中提到的行政處罰裁量指引、風險評估實施細則等�����,來鼓勵數據安全的實施或者數據安全產品的使用�����,從而使相應的數據安全防護能夠達到更好的效果�。
劉娟表示,有了基礎性的規范性文件之后�,各行各業在數據安全的分類分級、重要數據的識別等方面��,還要針對不同行業的特點去做相關工作���,所以有一些標準并不是整個行業、整個工業企業都能適用����,還需要針對不同的工業企業制定不同的評價標準,但不一定是由部委層面出臺相應的標準���,有可能從行業層面盡快去落地一些標準性的文件��。
封面圖片來源:新華社
