【ZiDongHua 之動感惠民生收錄關鍵詞:工信部 工業(yè)數(shù)據安全 數(shù)據安全 工業(yè)互聯(lián)網 高質量發(fā)展 數(shù)字化轉型 】
  
  工信部印發(fā)《工業(yè)領域數(shù)據安全能力提升實施方案(2024—2026年)》
  
  導 讀
  
  工業(yè)和信息化部近日印發(fā)《工業(yè)領域數(shù)據安全能力提升實施方案(2024—2026年)》,提出到2026年底,我國工業(yè)領域數(shù)據安全保障體系基本建立。數(shù)據安全保護意識普遍提高,重點企業(yè)數(shù)據安全主體責任落實到位,重點場景數(shù)據保護水平大幅提升,重大風險得到有效防控。數(shù)據安全政策標準、工作機制、監(jiān)管隊伍和技術手段更加健全。數(shù)據安全技術、產品、服務和人才等產業(yè)支撐能力穩(wěn)步提升。關鍵指標包括:基本實現(xiàn)各工業(yè)行業(yè)規(guī)上企業(yè)數(shù)據安全要求宣貫全覆蓋;開展數(shù)據分類分級保護的企業(yè)超4.5萬家,至少覆蓋年營收在各?。▍^(qū)、市)行業(yè)排名前10%的規(guī)上工業(yè)企業(yè);立項研制數(shù)據安全國家、行業(yè)、團體等標準規(guī)范不少于100項;遴選數(shù)據安全典型案例不少于200個,覆蓋行業(yè)不少于10個;數(shù)據安全培訓覆蓋3萬人次,培養(yǎng)工業(yè)數(shù)據安全人才超5000人。
  
  關于印發(fā)《工業(yè)領域數(shù)據安全能力提升實施方案(2024—2026年)》的通知
  
  工信部網安〔2024〕34號
  
  各省、自治區(qū)、直轄市、計劃單列市及新疆生產建設兵團工業(yè)和信息化主管部門,有關行業(yè)協(xié)會,有關企業(yè),部屬有關單位,部屬各高校:
  
  現(xiàn)將《工業(yè)領域數(shù)據安全能力提升實施方案(2024—2026年)》印發(fā)給你們,請認真抓好貫徹落實。
  
  工業(yè)和信息化部
  
  2024年2月23日
  
 
  
  工業(yè)領域數(shù)據安全能力提升實施方案(2024—2026年)
  
  數(shù)據作為新型生產要素,是數(shù)字化、網絡化、智能化的基礎,已快速融入生產、分配、流通等各環(huán)節(jié),保障數(shù)據安全,事關國家安全大局。為貫徹落實習近平總書記關于數(shù)據安全的重要指示精神和黨中央、國務院決策部署,推動《中華人民共和國數(shù)據安全法》《中華人民共和國網絡安全法》《工業(yè)和信息化領域數(shù)據安全管理辦法(試行)》等在工業(yè)領域落地實施,加快提升工業(yè)領域數(shù)據安全保護能力,助力工業(yè)高質量發(fā)展,夯實新型工業(yè)化發(fā)展的安全基石,制定本方案。
  
  一、總體要求
  
  (一)指導思想
  
  以習近平新時代中國特色社會主義思想為指導,全面貫徹落實黨的二十大精神,堅定不移貫徹總體國家安全觀,堅持統(tǒng)籌發(fā)展和安全,堅持底線思維和極限思維,堅持目標導向和問題導向,以構建完善工業(yè)領域數(shù)據安全保障體系為主線,以落實企業(yè)主體責任為核心,以保護重要數(shù)據、提升監(jiān)管能力、強化產業(yè)支撐等為重點,提高數(shù)據安全治理能力,促進數(shù)據要素安全有序流動和價值釋放,為加快推進新型工業(yè)化,建設制造強國、網絡強國和數(shù)字中國提供堅實支撐。
  
 ?。ǘ┗驹瓌t
  
  統(tǒng)籌推進,重點突破。加強頂層謀劃,系統(tǒng)推進數(shù)據安全組織架構、政策制度、管理機制、標準規(guī)范、技術手段建設和產業(yè)發(fā)展工作。以強化重點行業(yè)、重點企業(yè)、重要系統(tǒng)平臺、重要數(shù)據保護為切入點,以點帶面促進整體保護水平提升。
  
  政府引導,協(xié)同共治。綜合運用正向激勵和反向約束等方式,選樹標桿典型,強化監(jiān)管執(zhí)法,壓實企業(yè)主體責任。充分發(fā)揮行業(yè)協(xié)會、龍頭企業(yè)、專業(yè)機構、高等院校等各方力量,形成數(shù)據安全協(xié)同治理的良好局面。
  
  場景牽引,分業(yè)施策。摸清數(shù)據處理重點環(huán)節(jié)風險易發(fā)場景的特點規(guī)律,緊貼業(yè)務場景數(shù)據保護需求,強化科學防控。結合行業(yè)特色、數(shù)據特征等,差異化指導、精準化施策,加速提升行業(yè)數(shù)據安全管理水平。
  
  創(chuàng)新驅動,技管結合。不斷創(chuàng)新管理模式、技術、產品與服務,適應新時期工業(yè)領域數(shù)據安全保護新形勢、新特點和新需求。注重“以技管數(shù)”手段建設和運用,與日常監(jiān)管形成合力。
  
 ?。ㄈ┛傮w目標
  
  到2026年底,工業(yè)領域數(shù)據安全保障體系基本建立。數(shù)據安全保護意識普遍提高,重點企業(yè)數(shù)據安全主體責任落實到位,重點場景數(shù)據保護水平大幅提升,重大風險得到有效防控。數(shù)據安全政策標準、工作機制、監(jiān)管隊伍和技術手段更加健全。數(shù)據安全技術、產品、服務和人才等產業(yè)支撐能力穩(wěn)步提升。
  
  ——基本實現(xiàn)各工業(yè)行業(yè)規(guī)上企業(yè)數(shù)據安全要求宣貫全覆蓋。
  
  ——開展數(shù)據分類分級保護的企業(yè)超4.5萬家,至少覆蓋年營收在各?。▍^(qū)、市)行業(yè)排名前10%的規(guī)上工業(yè)企業(yè)。
  
  ——立項研制數(shù)據安全國家、行業(yè)、團體等標準規(guī)范不少于100項。
  
  ——遴選數(shù)據安全典型案例不少于200個,覆蓋行業(yè)不少于10個。
  
  ——數(shù)據安全培訓覆蓋3萬人次,培養(yǎng)工業(yè)數(shù)據安全人才超5000人。
  
  二、重點任務
  
  (一)提升工業(yè)企業(yè)數(shù)據保護能力
  
  1.增強數(shù)據安全保護意識。加大數(shù)據安全法律法規(guī)和政策標準宣貫培訓力度,提高各行業(yè)企業(yè)數(shù)據安全意識。督促企業(yè)依法依規(guī)落實數(shù)據安全主體責任,壓實各單位法定代表人或主要負責人數(shù)據安全第一責任,建立健全數(shù)據安全管理體系和工作機制,配足數(shù)據安全崗位和人員隊伍,定期開展數(shù)據安全教育培訓。引導企業(yè)貫徹發(fā)展與安全并重原則,將數(shù)據安全管理要求融入本單位發(fā)展戰(zhàn)略和考核機制,加強數(shù)據安全工作與業(yè)務發(fā)展同謀劃、同部署、同落實、同考核。
  
  2.開展重要數(shù)據安全保護。指導企業(yè)建立健全數(shù)據分類分級保護等安全管理制度,定期梳理識別重要數(shù)據和核心數(shù)據,形成目錄并及時報備。督促重要數(shù)據和核心數(shù)據處理者明確數(shù)據安全負責人和管理機構,落實數(shù)據分級防護要求,每年至少開展一次數(shù)據安全風險評估,及時發(fā)現(xiàn)整改安全隱患,按要求報送評估報告。指導企業(yè)加強重要數(shù)據和核心數(shù)據安全風險監(jiān)測與應急處置,及時報告重大風險事件。推動各行業(yè)企業(yè)加強商用密碼應用保護數(shù)據安全。
  
  3.強化重點企業(yè)數(shù)據安全管理。遴選掌握關鍵核心技術、代表行業(yè)發(fā)展水平、關系產業(yè)鏈安全穩(wěn)定或關乎國家安全的企業(yè),滾動編制工業(yè)領域數(shù)據安全風險防控重點企業(yè)名錄。將名錄內企業(yè)作為數(shù)據安全監(jiān)管重點,督促其在落實數(shù)據安全要求基礎上,著重提升風險監(jiān)測、態(tài)勢感知、威脅研判和應急處置等能力。發(fā)揮部省兩級主管部門作用,統(tǒng)籌各方數(shù)據安全監(jiān)測預警手段和技術力量,加強技術支持,協(xié)同做好企業(yè)數(shù)據安全保護。
  
  4.深化重點場景數(shù)據安全保護。指導企業(yè)圍繞數(shù)據匯聚、共享、出境、委托加工等重點數(shù)據處理場景,排查數(shù)據安全保護薄弱點,實施貼合行業(yè)特點的數(shù)據保護措施。聚焦供應鏈上下游協(xié)作、服務外包、上云上平臺等典型業(yè)務場景,厘清多主體數(shù)據安全責任界面和銜接模式,建立全鏈條全方位數(shù)據安全保護體系。針對勒索病毒攻擊、漏洞后門、人員違規(guī)操作、非受控遠程運維等易發(fā)頻發(fā)風險場景,加強風險自查自糾,采取精準的管理和防護措施。面向數(shù)據要素大規(guī)模流通交易典型場景,打造一批安全解決方案。
  
  專欄1 數(shù)據安全保護筑基工程
  
  1.夯實數(shù)據分類分級基礎。分行業(yè)分領域研究制定重要數(shù)據和核心數(shù)據識別細則,形成“1+N”的工業(yè)領域數(shù)據分類分級規(guī)范體系,科學指導各行業(yè)落地實施。持續(xù)迭代重要數(shù)據和核心數(shù)據目錄,逐步摸清行業(yè)重要數(shù)據規(guī)模、分布、處理等情況,明確行業(yè)重點保護數(shù)據對象。
  
  2.編制數(shù)據保護實踐指南。結合重點數(shù)據處理場景、典型業(yè)務場景、易發(fā)頻發(fā)風險場景等數(shù)據安全保護需求和難點,研究制定工業(yè)領域數(shù)據安全保護實踐系列指南,為企業(yè)數(shù)據保護和風險防范提供實操參考。面向數(shù)據出境需求較大的重點行業(yè),分類制定數(shù)據出境安全指引,指導企業(yè)依法依規(guī)開展數(shù)據出境安全評估。
  
  3.分業(yè)推進數(shù)據安全保護能力躍升。在有序推進宣貫培訓、分類分級保護等工作基礎上,立足鋼鐵、汽車、紡織、集成電路等行業(yè)實際,聚焦重點場景、重點環(huán)節(jié)、重要系統(tǒng)平臺、重要數(shù)據等,進一步加強行業(yè)數(shù)據安全主體責任落實和保護力度,實現(xiàn)行業(yè)數(shù)據安全保護能力整體躍升。
  
 ?。ǘ┨嵘龜?shù)據安全監(jiān)管能力
  
  5.完善數(shù)據安全政策標準。建立健全工業(yè)領域數(shù)據安全管理制度,推動出臺風險評估實施細則、應急預案、行政處罰裁量指引等政策文件。持續(xù)完善重要數(shù)據識別、備案、分級防護、風險評估等全流程監(jiān)管機制,加強監(jiān)督檢查。組建工業(yè)領域網絡與數(shù)據安全行業(yè)標準化組織,發(fā)布數(shù)據安全標準體系建設指南,加快研制重要數(shù)據識別、安全防護、風險評估、產品檢測、密碼應用等亟需標準。鼓勵地方參照制定本地區(qū)數(shù)據安全政策。
  
  6.加強數(shù)據安全風險防控。完善工業(yè)領域數(shù)據安全風險信息報送與共享工作機制,組建數(shù)據安全風險分析專家組,動態(tài)管理風險直報單位庫,協(xié)同加強地方力量,常態(tài)化開展風險監(jiān)測、報送、預警、處置等工作。摸排數(shù)據安全風險事件特點和規(guī)律,建立重大風險事件案例庫,加強案例剖析和風險提示。面向重點行業(yè)開展“數(shù)安護航”專項行動,定期組織“數(shù)安鑄盾”應急演練,提升事件快速反應、規(guī)范處置、協(xié)同聯(lián)動水平。
  
  專欄2 打造數(shù)據安全風險防控品牌
  
  1.“數(shù)安護航”專項行動。分行業(yè)、分批次集中開展數(shù)據安全風險排查和防范,聚焦數(shù)據泄露、篡改、濫用、違規(guī)傳輸、非法訪問、流量異常等突出風險,利用企業(yè)自查、遠程檢測、現(xiàn)場診斷等手段,針對性增強風險應對處置能力。
  
  2.“數(shù)安鑄盾”應急演練。面向重點行業(yè),模擬勒索病毒攻擊、供應鏈攻擊等易發(fā)典型數(shù)據安全風險事件,組織開展全要素、全流程應急演練,持續(xù)優(yōu)化事件響應流程和機制,鍛煉培養(yǎng)一批應急支撐隊伍。
  
  7.推進數(shù)據安全技術手段建設。統(tǒng)籌建設工業(yè)和信息化領域數(shù)據安全管理平臺,建立工業(yè)領域數(shù)據安全工具庫,形成集數(shù)據資源管理、態(tài)勢感知、風險信息報送與共享、技術測試驗證、事件應急響應等功能于一體的技術能力,加強與網絡安全技術、密碼技術手段協(xié)同。推動有條件的地方、行業(yè)、企業(yè)等加快建立數(shù)據安全風險監(jiān)測與應急處置等技術手段,強化“部-省-企業(yè)”技術能力三級聯(lián)動,不斷提升技術保障水平。
  
  專欄3 數(shù)據安全技術保障工程
  
  1.統(tǒng)籌建設工業(yè)和信息化領域數(shù)據安全管理平臺。建立完善工業(yè)領域數(shù)據安全監(jiān)測、信息報送與共享、應急管理、安全評估等系統(tǒng)功能,強化風險統(tǒng)一匯集、分析、研判和通報,支撐事件應急處置、輔助決策、跟蹤追溯等工作,提供風險評估、出境安全評估、防護能力評估等服務,覆蓋不少于20個省級(行業(yè)級)節(jié)點和500個企業(yè)節(jié)點。
  
  2.建立工業(yè)領域數(shù)據安全工具庫。圍繞數(shù)據分類分級、安全防護、檢測評估、合規(guī)檢查、應急處置、攻擊追溯、密碼應用等方面,研發(fā)一批規(guī)范化、便攜式的工具,為高效開展數(shù)據安全監(jiān)管和保護工作提供支撐。
  
  8.鍛造數(shù)據安全監(jiān)管執(zhí)法能力。規(guī)范數(shù)據安全事件調查處置程序,豐富取證方法和手段。加快完善數(shù)據安全執(zhí)法流程和工作機制,推動地方工業(yè)和信息化主管部門將數(shù)據安全納入本地區(qū)行政執(zhí)法事項清單,指導各行業(yè)、各地方依法嚴格處置違法行為,加強執(zhí)法案例宣介與警示教育。建立健全數(shù)據安全違法違規(guī)行為投訴舉報機制,多渠道收集違法違規(guī)線索。加大監(jiān)管執(zhí)法人員培訓力度,推動地方工業(yè)和信息化主管部門強化數(shù)據安全監(jiān)管力量,打造專業(yè)化、規(guī)范化監(jiān)管執(zhí)法隊伍。
  
 ?。ㄈ┨嵘龜?shù)據安全產業(yè)支撐能力
  
  9.加大技術產品和服務供給。加強工業(yè)數(shù)據智能分類分級、工業(yè)數(shù)據庫審計、低時延加密傳輸?shù)裙残约夹g優(yōu)化升級。加大適配工業(yè)業(yè)務場景和數(shù)據特征的輕量級數(shù)據加密、隱私計算、密態(tài)計算等關鍵技術攻關。支持使用商用密碼技術保障工業(yè)領域數(shù)據安全。圍繞工業(yè)數(shù)據泄露、竊取、篡改等風險,推動流量異常監(jiān)測、攻擊行為識別、事件追溯和處置等產品研發(fā)。加強面向工業(yè)云、工業(yè)大數(shù)據、工業(yè)互聯(lián)網平臺等新興應用的數(shù)據安全架構設計。支持工業(yè)領域數(shù)據安全“產品+服務”供給模式創(chuàng)新。
  
  10.促進應用推廣和供需對接。加大多方安全計算、數(shù)據防勒索、數(shù)據溯源、商用密碼等技術產品在工業(yè)領域的試點應用。組織遴選一批在各行業(yè)具有廣泛應用價值的通用數(shù)據安全技術和產品,打造一批面向行業(yè)、面向場景、面向中小企業(yè)的數(shù)據安全解決方案,形成一批工業(yè)領域數(shù)據安全典型案例,分行業(yè)、分地區(qū)開展宣傳推廣。推動各行業(yè)利用主題沙龍、路演等渠道開展數(shù)據安全技術產品和服務供需對接活動。發(fā)揮數(shù)據安全產業(yè)公共服務平臺作用,強化信息共享、資源對接等服務。
  
  11.建立健全人才培養(yǎng)體系。面向不同行業(yè)、崗位、層級數(shù)據安全工作需求,推動專業(yè)化、特色化數(shù)據安全教材課程開發(fā),規(guī)范化開展職業(yè)人才資格認定。支持產學研用各方加強合作,依托培訓中心、實訓基地、網絡學習平臺等聯(lián)合培養(yǎng)復合型管理人才和實戰(zhàn)型技能人才,通過技能競賽、技術交流、學習進修、崗位練兵等形式持續(xù)促進人才知識更新和能力提升。鼓勵工業(yè)企業(yè)建立健全數(shù)據安全績效評價機制,加強數(shù)據安全人才激勵。
  
  三、保障措施
  
 ?。ㄒ唬┘訌娊M織協(xié)調。工業(yè)和信息化部加強工作統(tǒng)籌,做好與國家數(shù)據安全工作協(xié)調機制的銜接。各地工業(yè)和信息化主管部門負責組織實施本地區(qū)實施方案。鼓勵各地結合實際制定細化工作方案,加強與相關部門合作,確保目標任務落實。充分發(fā)揮高校、科研院所、第三方機構等在實施方案宣貫、手段建設指導、技術交流合作、成果應用推廣等方面的專業(yè)作用,引導企業(yè)加強數(shù)據安全能力建設。
  
  (二)加大資源保障。統(tǒng)籌利用現(xiàn)有資金渠道,加大工業(yè)領域數(shù)據安全工作投入,支持關鍵核心技術攻關和公共服務平臺建設。深化產融合作,支持數(shù)據安全企業(yè)參與“科技產業(yè)金融一體化”專項,通過國家產融合作平臺獲得便捷高效的金融服務。鼓勵各地將數(shù)據安全納入地方工業(yè)領域數(shù)字化轉型發(fā)展相關規(guī)劃,在支持數(shù)字化、網絡化、智能化等項目時,同步明確數(shù)據安全要求。引導企業(yè)在信息化建設中為數(shù)據安全防護安排一定比例資金。
  
 ?。ㄈ娀尚гu估。各行業(yè)、各地區(qū)及時跟蹤調度實施方案落實情況,總結經驗做法,評估工作成效,加強溝通交流,及時報告重大進展情況或問題。工業(yè)和信息化部對工作推動有力、取得明顯成效的地區(qū)、企業(yè)和單位予以表揚,對優(yōu)秀經驗做法加強提煉總結和推廣應用。
  
 ?。ㄋ模┳龊眯麄饕龑?。綜合利用產業(yè)活動、國際合作等方式,宣傳普及工業(yè)領域數(shù)據安全理念和舉措,提高地方、企業(yè)和公眾對工業(yè)領域數(shù)據安全的認可度。充分調動行業(yè)協(xié)會、學會、產業(yè)聯(lián)盟等力量,引導企業(yè)加強自律、凝聚共識,營造行業(yè)數(shù)據安全保護良好氛圍。
  
  來源:工業(yè)和信息化部網絡安全管理局