盘点工业数据安全政策,筑牢工业领域安全防线
前言
随着数字化时代的到来,工业数字化转型已经成为必然趋势,数据作为工业领域关键生产要素,对于强化工业数据安全技术防护、保障数据安全有序流动、建立安全监测和应急响应机制提出了越来越高的要求,数字安全体系亟待进一步增强。
在国家顶层战略引导下,我国近年来相继出台了《数据安全法》、《个人信息保护法》等重磅法律政策,数据安全产业迎来重要发展机遇。为贯彻落实《数据安全法》等法律法规对工业领域数据安全监管工作的要求,工业领域累计发布近40项数据安全标准规范,为工业数字化转型提供有力支撑。以下是重点标准列表及相关介绍。
标准列表
《工业和信息化领域数据安全管理办法(试行)》
《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)的发布全面承接国家数据安全法律法规,构建工业和信息化领域数据安全监管体系,明确数据全生命周期安全保护要求。
随着《管理办法》的颁布实施,我国工业领域数据安全监管体系框架逐步健全。《管理办法》作为工业领域数据安全管理顶层制度文件,更有效地贯彻落实《数据安全法》,指导工业领域数据安全的实施落地,促进工业领域数据安全管理工作制度化、规范化,探索构建工业领域数据安全管理体系,督促企业落实数据安全主体责任,加强数据分类分级管理、安全防护和安全监测等工作。
《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》
《管理办法》提出了“工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告”的要求。为进一步细化行业数据安全风险评估规则,规范风险评估活动,有效提升重要数据和核心数据保护水平,工信部起草了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称《实施细则》)。《实施细则》共十七条,明确了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。对指导工业和信息化领域数据处理者规范开展风险评估工作具有重要意义。
《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》
数据安全应急处置是做好数据安全监管和保护工作的重要一环,《管理办法》提出“工业和信息化部制定工业和信息化领域数据安全事件应急预案,组织协调重要数据和核心数据事件应急处置工作”,为进一步细化行业数据安全事件应急处置流程、机制和要求,有效提升数据安全事件应急处置水平,工信部研究起草《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》(以下简称《应急预案》)。
《应急预案》涵盖了所有数据被非法访问、泄露、破坏或篡改的事件,并根据造成危害的范围和程度将其分为四个等级,受影响的公司应立即向当地行业监管部门报告数据安全事件,切实提高数据安全事件的综合应对能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失。
《工业领域数据安全能力提升实施方案(2024-2026年)》
工信部印发《工业领域数据安全能力提升实施方案(2024-2026年)》(以下简称《实施方案》),《实施方案》提出到2026年底,我国工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。重点包括提升工业企业数据保护能力、数据安全监管能力和数据安全产业支撑能力。
网藤科技数据安全能力
随着工业领域数字化、网络化、智能化加速转型升级,工业企业在促进工业数据互通、互联的发展同时,伴随而来的大规模数据泄露、勒索攻击等风险形势日趋严峻。据统计2023 年全球共公开披露 4832 起勒索软件攻击事件,较2022年增加45%,从国内遭勒索病毒受害者行业来看,制造、医疗及能源这些工业领域总占比52%,勒索攻击手段方法更加复杂化,给工业企业带来较大损失。
为了减轻工业企业面临的众多数据安全风险,同时落实如上一系列数据安全标准体系要求,网藤科技推出工业数据安全整体解决方案。夯实工业数据安全发展基础,推动构建工业数据安全综合保障体系。
01建设思路
02数据安全评估
数据资产梳理
网藤科技提供数据资产梳理工具和人工结合的方式对工业数据进行梳理,采用静态网络扫描和动态流量识别,为用户建立精准可靠的数据资产台账,自动绘制全方位的数据流向图,实时监测数据安全风险,帮助用户一站式解决组织内数据资产的管理、使用、统计、合规问题,并为数据安全防护提供基础策略支撑。为数据安全防护、管理、使用提供强有力支撑。以下是数据资产梳理流程:
数据资产梳理流程
数据分类分级
《管理办法》中明确了行业主管部门开展自上而下的工业数据分类分级管理顶层设计。类别划分为研发数据、生产运行数据、管理数据、运维数据、业务服务数据等,级别划分为一般数据、重要数据和核心数据三级。形成完整数据分类分级清单。
网藤科技提供数据分类分级服务,在对数据资产进行全面梳理的基础上确立适当的数据安全等级,为工业企业实施有效的数据分级管理提供基础和保障。专业人员可在数据资产梳理系统所梳理的资产台账的基础上根据国家法律法规、工业行业要求对数据进行分类分级处理,形成完整数据分类分级清单,建立统一、完善的数据生命周期安全保护框架,为企业制定有针对性的数据安全管控措施提供支撑。企业开展分类分级工作可参考以下流程:
数据分类分级流程
数据安全风险评估
网藤科技提供工业数据安全风险评估服务,基于前期的准备和调研工作,通过人员访谈、文档查阅、人工核查及工具检测等方式,从组织建设、制度流程、技术工具、人员能力4个维度,对数据的采集、传输、存储、处理、交换、销毁全生命周期进行风险识别和评估,发现数据存在的安全风险,并针对发现的数据安全风险给出风险处置计划,出具风险评估报告。以下是数据安全风险评估流程:
数据安全风险评估流程
03安全体系建设
管理体系建设
依据《工业企业数据安全防护要求(草案)》中对数据安全管理的要求,基于工业领域数据安全资产梳理与分类分级的结果,完成对企业数据安全管理的设计工作。制定安全管理制度;建立分层级组织架构,明确各级人员的职责和权限;对权限、系统与设备安全及供应链安全等进行管理,提升企业的数据安全管理能力,确保数据的安全性和完整性得到有效保障。
技术体系建设
对数据分类分级、数据全生命周期管控等工作制定对应原则及策略,结合咨询能力及技站能力,将策略应用于数据安全产品,互相联动发挥更大价值。
运营体系建设
数据安全运营以业务为对象,建立集数据安全运维、应急预案及演练、监测预警、应急处置、灾难恢复等一体的“建、管、用”运营能力。组建数据安全运营团队,制度日常数据安全运营流程,形成集“人+制度+流程” 于一体的运营体系,确保整体数据安全建设的持续有效性。
04数据安全防护
《管理办法》明确数据处理者在数据全生命周期安全管理的义务,一类是管理措施,比如访问权限控制、培训、人事管理等;另一类是技术措施,如加密、备份和校验等。网藤科技结合《工业企业数据安全防护要求(草案)》中对数据防护的要求,提供覆盖包括数据收集、存储、使用加工、传输、提供、公开、销毁等全生命周期的不同环节的数据安全产品,采取标记用途、数据加密、访问控制、数据审计、数据防泄漏、数据脱敏、安全监测等多种防护措施,保障数据全生命周期安全。
工业数据全生命周期防护
05数据安全运营
在前期数据安全评估及防护体系的基础上,网藤科技提供数据安全常态化运营服务,涵盖安全加固、应急响应、安全培训等多个环节,全面监控数据资产及风险情况,实时掌握数据安全态势,定期评估和改进数据安全策略和措施,建立专业运营队伍及应急响应机制及时处置数据安全事件,为业务的连续性和数字化转型提供持续的数据安全保障。
总结
近日,国家数据局出台《“数据要素×”三年行动计划(2024—2026年)》,坚持把安全贯穿数据要素价值创造和实现全过程,严守数据安全底线;聚焦工业制造等12个行业和领域。在统筹发展与安全的顶层规划下,工业领域作为国家关键信息基础设施,应切实落实数据安全监管要求,网藤科技积极投身于工业领域数据安全能力建设,不断创新推出高质量的产品、服务与综合解决方案,夯实工业数据安全发展基础,推动构建工业数据安全综合保障体系。
![官方微信公众号 扫描关注](javascript:Site.hoverQrCode("//8942257.s21i.faiusr.com/4/2/ABUIABAEGAAgor6ciQYo7KCKBDCQAziQAw.png",this);){kind=link}