關(guān)于印發(fā)《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案(2024—2026年)》的通知
各省、自治區(qū)、直轄市、計劃單列市及新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門,有關(guān)行業(yè)協(xié)會,有關(guān)企業(yè),部屬有關(guān)單位,部屬各高校:現(xiàn)將《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案(2024—2026年)》印發(fā)給你們,請認真抓好貫徹落實。工業(yè)和信息化部
2024年2月23日
工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案(2024—2026年)數(shù)據(jù)作為新型生產(chǎn)要素,是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ),已快速融入生產(chǎn)、分配、流通等各環(huán)節(jié),保障數(shù)據(jù)安全,事關(guān)國家安全大局。為貫徹落實習(xí)近平總書記關(guān)于數(shù)據(jù)安全的重要指示精神和黨中央、國務(wù)院決策部署,推動《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等在工業(yè)領(lǐng)域落地實施,加快提升工業(yè)領(lǐng)域數(shù)據(jù)安全保護能力,助力工業(yè)高質(zhì)量發(fā)展,夯實新型工業(yè)化發(fā)展的安全基石,制定本方案。(一)指導(dǎo)思想
以習(xí)近平新時代中國特色社會主義思想為指導(dǎo),全面貫徹落實黨的二十大精神,堅定不移貫徹總體國家安全觀,堅持統(tǒng)籌發(fā)展和安全,堅持底線思維和極限思維,堅持目標導(dǎo)向和問題導(dǎo)向,以構(gòu)建完善工業(yè)領(lǐng)域數(shù)據(jù)安全保障體系為主線,以落實企業(yè)主體責(zé)任為核心,以保護重要數(shù)據(jù)、提升監(jiān)管能力、強化產(chǎn)業(yè)支撐等為重點,提高數(shù)據(jù)安全治理能力,促進數(shù)據(jù)要素安全有序流動和價值釋放,為加快推進新型工業(yè)化,建設(shè)制造強國、網(wǎng)絡(luò)強國和數(shù)字中國提供堅實支撐。
(二)基本原則
統(tǒng)籌推進,重點突破。加強頂層謀劃,系統(tǒng)推進數(shù)據(jù)安全組織架構(gòu)、政策制度、管理機制、標準規(guī)范、技術(shù)手段建設(shè)和產(chǎn)業(yè)發(fā)展工作。以強化重點行業(yè)、重點企業(yè)、重要系統(tǒng)平臺、重要數(shù)據(jù)保護為切入點,以點帶面促進整體保護水平提升。
政府引導(dǎo),協(xié)同共治。綜合運用正向激勵和反向約束等方式,選樹標桿典型,強化監(jiān)管執(zhí)法,壓實企業(yè)主體責(zé)任。充分發(fā)揮行業(yè)協(xié)會、龍頭企業(yè)、專業(yè)機構(gòu)、高等院校等各方力量,形成數(shù)據(jù)安全協(xié)同治理的良好局面。
場景牽引,分業(yè)施策。摸清數(shù)據(jù)處理重點環(huán)節(jié)風(fēng)險易發(fā)場景的特點規(guī)律,緊貼業(yè)務(wù)場景數(shù)據(jù)保護需求,強化科學(xué)防控。結(jié)合行業(yè)特色、數(shù)據(jù)特征等,差異化指導(dǎo)、精準化施策,加速提升行業(yè)數(shù)據(jù)安全管理水平。
創(chuàng)新驅(qū)動,技管結(jié)合。不斷創(chuàng)新管理模式、技術(shù)、產(chǎn)品與服務(wù),適應(yīng)新時期工業(yè)領(lǐng)域數(shù)據(jù)安全保護新形勢、新特點和新需求。注重“以技管數(shù)”手段建設(shè)和運用,與日常監(jiān)管形成合力。
(三)總體目標
到2026年底,工業(yè)領(lǐng)域數(shù)據(jù)安全保障體系基本建立。數(shù)據(jù)安全保護意識普遍提高,重點企業(yè)數(shù)據(jù)安全主體責(zé)任落實到位,重點場景數(shù)據(jù)保護水平大幅提升,重大風(fēng)險得到有效防控。數(shù)據(jù)安全政策標準、工作機制、監(jiān)管隊伍和技術(shù)手段更加健全。數(shù)據(jù)安全技術(shù)、產(chǎn)品、服務(wù)和人才等產(chǎn)業(yè)支撐能力穩(wěn)步提升。——基本實現(xiàn)各工業(yè)行業(yè)規(guī)上企業(yè)數(shù)據(jù)安全要求宣貫全覆蓋。
——開展數(shù)據(jù)分類分級保護的企業(yè)超4.5萬家,至少覆蓋年營收在各?。▍^(qū)、市)行業(yè)排名前10%的規(guī)上工業(yè)企業(yè)。
——立項研制數(shù)據(jù)安全國家、行業(yè)、團體等標準規(guī)范不少于100項。
——遴選數(shù)據(jù)安全典型案例不少于200個,覆蓋行業(yè)不少于10個。
——數(shù)據(jù)安全培訓(xùn)覆蓋3萬人次,培養(yǎng)工業(yè)數(shù)據(jù)安全人才超5000人。
(一)提升工業(yè)企業(yè)數(shù)據(jù)保護能力
1.增強數(shù)據(jù)安全保護意識。加大數(shù)據(jù)安全法律法規(guī)和政策標準宣貫培訓(xùn)力度,提高各行業(yè)企業(yè)數(shù)據(jù)安全意識。督促企業(yè)依法依規(guī)落實數(shù)據(jù)安全主體責(zé)任,壓實各單位法定代表人或主要負責(zé)人數(shù)據(jù)安全第一責(zé)任,建立健全數(shù)據(jù)安全管理體系和工作機制,配足數(shù)據(jù)安全崗位和人員隊伍,定期開展數(shù)據(jù)安全教育培訓(xùn)。引導(dǎo)企業(yè)貫徹發(fā)展與安全并重原則,將數(shù)據(jù)安全管理要求融入本單位發(fā)展戰(zhàn)略和考核機制,加強數(shù)據(jù)安全工作與業(yè)務(wù)發(fā)展同謀劃、同部署、同落實、同考核。
2.開展重要數(shù)據(jù)安全保護。指導(dǎo)企業(yè)建立健全數(shù)據(jù)分類分級保護等安全管理制度,定期梳理識別重要數(shù)據(jù)和核心數(shù)據(jù),形成目錄并及時報備。督促重要數(shù)據(jù)和核心數(shù)據(jù)處理者明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu),落實數(shù)據(jù)分級防護要求,每年至少開展一次數(shù)據(jù)安全風(fēng)險評估,及時發(fā)現(xiàn)整改安全隱患,按要求報送評估報告。指導(dǎo)企業(yè)加強重要數(shù)據(jù)和核心數(shù)據(jù)安全風(fēng)險監(jiān)測與應(yīng)急處置,及時報告重大風(fēng)險事件。推動各行業(yè)企業(yè)加強商用密碼應(yīng)用保護數(shù)據(jù)安全。
3.強化重點企業(yè)數(shù)據(jù)安全管理。遴選掌握關(guān)鍵核心技術(shù)、代表行業(yè)發(fā)展水平、關(guān)系產(chǎn)業(yè)鏈安全穩(wěn)定或關(guān)乎國家安全的企業(yè),滾動編制工業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險防控重點企業(yè)名錄。將名錄內(nèi)企業(yè)作為數(shù)據(jù)安全監(jiān)管重點,督促其在落實數(shù)據(jù)安全要求基礎(chǔ)上,著重提升風(fēng)險監(jiān)測、態(tài)勢感知、威脅研判和應(yīng)急處置等能力。發(fā)揮部省兩級主管部門作用,統(tǒng)籌各方數(shù)據(jù)安全監(jiān)測預(yù)警手段和技術(shù)力量,加強技術(shù)支持,協(xié)同做好企業(yè)數(shù)據(jù)安全保護。
4.深化重點場景數(shù)據(jù)安全保護。指導(dǎo)企業(yè)圍繞數(shù)據(jù)匯聚、共享、出境、委托加工等重點數(shù)據(jù)處理場景,排查數(shù)據(jù)安全保護薄弱點,實施貼合行業(yè)特點的數(shù)據(jù)保護措施。聚焦供應(yīng)鏈上下游協(xié)作、服務(wù)外包、上云上平臺等典型業(yè)務(wù)場景,厘清多主體數(shù)據(jù)安全責(zé)任界面和銜接模式,建立全鏈條全方位數(shù)據(jù)安全保護體系。針對勒索病毒攻擊、漏洞后門、人員違規(guī)操作、非受控遠程運維等易發(fā)頻發(fā)風(fēng)險場景,加強風(fēng)險自查自糾,采取精準的管理和防護措施。面向數(shù)據(jù)要素大規(guī)模流通交易典型場景,打造一批安全解決方案。
|
1.夯實數(shù)據(jù)分類分級基礎(chǔ)。分行業(yè)分領(lǐng)域研究制定重要數(shù)據(jù)和核心數(shù)據(jù)識別細則,形成“1+N”的工業(yè)領(lǐng)域數(shù)據(jù)分類分級規(guī)范體系,科學(xué)指導(dǎo)各行業(yè)落地實施。持續(xù)迭代重要數(shù)據(jù)和核心數(shù)據(jù)目錄,逐步摸清行業(yè)重要數(shù)據(jù)規(guī)模、分布、處理等情況,明確行業(yè)重點保護數(shù)據(jù)對象。
2.編制數(shù)據(jù)保護實踐指南。結(jié)合重點數(shù)據(jù)處理場景、典型業(yè)務(wù)場景、易發(fā)頻發(fā)風(fēng)險場景等數(shù)據(jù)安全保護需求和難點,研究制定工業(yè)領(lǐng)域數(shù)據(jù)安全保護實踐系列指南,為企業(yè)數(shù)據(jù)保護和風(fēng)險防范提供實操參考。面向數(shù)據(jù)出境需求較大的重點行業(yè),分類制定數(shù)據(jù)出境安全指引,指導(dǎo)企業(yè)依法依規(guī)開展數(shù)據(jù)出境安全評估。
3.分業(yè)推進數(shù)據(jù)安全保護能力躍升。在有序推進宣貫培訓(xùn)、分類分級保護等工作基礎(chǔ)上,立足鋼鐵、汽車、紡織、集成電路等行業(yè)實際,聚焦重點場景、重點環(huán)節(jié)、重要系統(tǒng)平臺、重要數(shù)據(jù)等,進一步加強行業(yè)數(shù)據(jù)安全主體責(zé)任落實和保護力度,實現(xiàn)行業(yè)數(shù)據(jù)安全保護能力整體躍升。 |
(二)提升數(shù)據(jù)安全監(jiān)管能力
5.完善數(shù)據(jù)安全政策標準。建立健全工業(yè)領(lǐng)域數(shù)據(jù)安全管理制度,推動出臺風(fēng)險評估實施細則、應(yīng)急預(yù)案、行政處罰裁量指引等政策文件。持續(xù)完善重要數(shù)據(jù)識別、備案、分級防護、風(fēng)險評估等全流程監(jiān)管機制,加強監(jiān)督檢查。組建工業(yè)領(lǐng)域網(wǎng)絡(luò)與數(shù)據(jù)安全行業(yè)標準化組織,發(fā)布數(shù)據(jù)安全標準體系建設(shè)指南,加快研制重要數(shù)據(jù)識別、安全防護、風(fēng)險評估、產(chǎn)品檢測、密碼應(yīng)用等亟需標準。鼓勵地方參照制定本地區(qū)數(shù)據(jù)安全政策。
6.加強數(shù)據(jù)安全風(fēng)險防控。完善工業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險信息報送與共享工作機制,組建數(shù)據(jù)安全風(fēng)險分析專家組,動態(tài)管理風(fēng)險直報單位庫,協(xié)同加強地方力量,常態(tài)化開展風(fēng)險監(jiān)測、報送、預(yù)警、處置等工作。摸排數(shù)據(jù)安全風(fēng)險事件特點和規(guī)律,建立重大風(fēng)險事件案例庫,加強案例剖析和風(fēng)險提示。面向重點行業(yè)開展“數(shù)安護航”專項行動,定期組織“數(shù)安鑄盾”應(yīng)急演練,提升事件快速反應(yīng)、規(guī)范處置、協(xié)同聯(lián)動水平。
專欄2 打造數(shù)據(jù)安全風(fēng)險防控品牌 |
1.“數(shù)安護航”專項行動。分行業(yè)、分批次集中開展數(shù)據(jù)安全風(fēng)險排查和防范,聚焦數(shù)據(jù)泄露、篡改、濫用、違規(guī)傳輸、非法訪問、流量異常等突出風(fēng)險,利用企業(yè)自查、遠程檢測、現(xiàn)場診斷等手段,針對性增強風(fēng)險應(yīng)對處置能力。2.“數(shù)安鑄盾”應(yīng)急演練。面向重點行業(yè),模擬勒索病毒攻擊、供應(yīng)鏈攻擊等易發(fā)典型數(shù)據(jù)安全風(fēng)險事件,組織開展全要素、全流程應(yīng)急演練,持續(xù)優(yōu)化事件響應(yīng)流程和機制,鍛煉培養(yǎng)一批應(yīng)急支撐隊伍。 |
7.推進數(shù)據(jù)安全技術(shù)手段建設(shè)。統(tǒng)籌建設(shè)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理平臺,建立工業(yè)領(lǐng)域數(shù)據(jù)安全工具庫,形成集數(shù)據(jù)資源管理、態(tài)勢感知、風(fēng)險信息報送與共享、技術(shù)測試驗證、事件應(yīng)急響應(yīng)等功能于一體的技術(shù)能力,加強與網(wǎng)絡(luò)安全技術(shù)、密碼技術(shù)手段協(xié)同。推動有條件的地方、行業(yè)、企業(yè)等加快建立數(shù)據(jù)安全風(fēng)險監(jiān)測與應(yīng)急處置等技術(shù)手段,強化“部-省-企業(yè)”技術(shù)能力三級聯(lián)動,不斷提升技術(shù)保障水平。
專欄3 數(shù)據(jù)安全技術(shù)保障工程 |
1.統(tǒng)籌建設(shè)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理平臺。建立完善工業(yè)領(lǐng)域數(shù)據(jù)安全監(jiān)測、信息報送與共享、應(yīng)急管理、安全評估等系統(tǒng)功能,強化風(fēng)險統(tǒng)一匯集、分析、研判和通報,支撐事件應(yīng)急處置、輔助決策、跟蹤追溯等工作,提供風(fēng)險評估、出境安全評估、防護能力評估等服務(wù),覆蓋不少于20個省級(行業(yè)級)節(jié)點和500個企業(yè)節(jié)點。2.建立工業(yè)領(lǐng)域數(shù)據(jù)安全工具庫。圍繞數(shù)據(jù)分類分級、安全防護、檢測評估、合規(guī)檢查、應(yīng)急處置、攻擊追溯、密碼應(yīng)用等方面,研發(fā)一批規(guī)范化、便攜式的工具,為高效開展數(shù)據(jù)安全監(jiān)管和保護工作提供支撐。 |
8.鍛造數(shù)據(jù)安全監(jiān)管執(zhí)法能力。規(guī)范數(shù)據(jù)安全事件調(diào)查處置程序,豐富取證方法和手段。加快完善數(shù)據(jù)安全執(zhí)法流程和工作機制,推動地方工業(yè)和信息化主管部門將數(shù)據(jù)安全納入本地區(qū)行政執(zhí)法事項清單,指導(dǎo)各行業(yè)、各地方依法嚴格處置違法行為,加強執(zhí)法案例宣介與警示教育。建立健全數(shù)據(jù)安全違法違規(guī)行為投訴舉報機制,多渠道收集違法違規(guī)線索。加大監(jiān)管執(zhí)法人員培訓(xùn)力度,推動地方工業(yè)和信息化主管部門強化數(shù)據(jù)安全監(jiān)管力量,打造專業(yè)化、規(guī)范化監(jiān)管執(zhí)法隊伍。
(三)提升數(shù)據(jù)安全產(chǎn)業(yè)支撐能力
9.加大技術(shù)產(chǎn)品和服務(wù)供給。加強工業(yè)數(shù)據(jù)智能分類分級、工業(yè)數(shù)據(jù)庫審計、低時延加密傳輸?shù)裙残约夹g(shù)優(yōu)化升級。加大適配工業(yè)業(yè)務(wù)場景和數(shù)據(jù)特征的輕量級數(shù)據(jù)加密、隱私計算、密態(tài)計算等關(guān)鍵技術(shù)攻關(guān)。支持使用商用密碼技術(shù)保障工業(yè)領(lǐng)域數(shù)據(jù)安全。圍繞工業(yè)數(shù)據(jù)泄露、竊取、篡改等風(fēng)險,推動流量異常監(jiān)測、攻擊行為識別、事件追溯和處置等產(chǎn)品研發(fā)。加強面向工業(yè)云、工業(yè)大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)平臺等新興應(yīng)用的數(shù)據(jù)安全架構(gòu)設(shè)計。支持工業(yè)領(lǐng)域數(shù)據(jù)安全“產(chǎn)品+服務(wù)”供給模式創(chuàng)新。
10.促進應(yīng)用推廣和供需對接。加大多方安全計算、數(shù)據(jù)防勒索、數(shù)據(jù)溯源、商用密碼等技術(shù)產(chǎn)品在工業(yè)領(lǐng)域的試點應(yīng)用。組織遴選一批在各行業(yè)具有廣泛應(yīng)用價值的通用數(shù)據(jù)安全技術(shù)和產(chǎn)品,打造一批面向行業(yè)、面向場景、面向中小企業(yè)的數(shù)據(jù)安全解決方案,形成一批工業(yè)領(lǐng)域數(shù)據(jù)安全典型案例,分行業(yè)、分地區(qū)開展宣傳推廣。推動各行業(yè)利用主題沙龍、路演等渠道開展數(shù)據(jù)安全技術(shù)產(chǎn)品和服務(wù)供需對接活動。發(fā)揮數(shù)據(jù)安全產(chǎn)業(yè)公共服務(wù)平臺作用,強化信息共享、資源對接等服務(wù)。
11.建立健全人才培養(yǎng)體系。面向不同行業(yè)、崗位、層級數(shù)據(jù)安全工作需求,推動專業(yè)化、特色化數(shù)據(jù)安全教材課程開發(fā),規(guī)范化開展職業(yè)人才資格認定。支持產(chǎn)學(xué)研用各方加強合作,依托培訓(xùn)中心、實訓(xùn)基地、網(wǎng)絡(luò)學(xué)習(xí)平臺等聯(lián)合培養(yǎng)復(fù)合型管理人才和實戰(zhàn)型技能人才,通過技能競賽、技術(shù)交流、學(xué)習(xí)進修、崗位練兵等形式持續(xù)促進人才知識更新和能力提升。鼓勵工業(yè)企業(yè)建立健全數(shù)據(jù)安全績效評價機制,加強數(shù)據(jù)安全人才激勵。
(一)加強組織協(xié)調(diào)。工業(yè)和信息化部加強工作統(tǒng)籌,做好與國家數(shù)據(jù)安全工作協(xié)調(diào)機制的銜接。各地工業(yè)和信息化主管部門負責(zé)組織實施本地區(qū)實施方案。鼓勵各地結(jié)合實際制定細化工作方案,加強與相關(guān)部門合作,確保目標任務(wù)落實。充分發(fā)揮高校、科研院所、第三方機構(gòu)等在實施方案宣貫、手段建設(shè)指導(dǎo)、技術(shù)交流合作、成果應(yīng)用推廣等方面的專業(yè)作用,引導(dǎo)企業(yè)加強數(shù)據(jù)安全能力建設(shè)。
(二)加大資源保障。統(tǒng)籌利用現(xiàn)有資金渠道,加大工業(yè)領(lǐng)域數(shù)據(jù)安全工作投入,支持關(guān)鍵核心技術(shù)攻關(guān)和公共服務(wù)平臺建設(shè)。深化產(chǎn)融合作,支持數(shù)據(jù)安全企業(yè)參與“科技產(chǎn)業(yè)金融一體化”專項,通過國家產(chǎn)融合作平臺獲得便捷高效的金融服務(wù)。鼓勵各地將數(shù)據(jù)安全納入地方工業(yè)領(lǐng)域數(shù)字化轉(zhuǎn)型發(fā)展相關(guān)規(guī)劃,在支持數(shù)字化、網(wǎng)絡(luò)化、智能化等項目時,同步明確數(shù)據(jù)安全要求。引導(dǎo)企業(yè)在信息化建設(shè)中為數(shù)據(jù)安全防護安排一定比例資金。
(三)強化成效評估。各行業(yè)、各地區(qū)及時跟蹤調(diào)度實施方案落實情況,總結(jié)經(jīng)驗做法,評估工作成效,加強溝通交流,及時報告重大進展情況或問題。工業(yè)和信息化部對工作推動有力、取得明顯成效的地區(qū)、企業(yè)和單位予以表揚,對優(yōu)秀經(jīng)驗做法加強提煉總結(jié)和推廣應(yīng)用。(四)做好宣傳引導(dǎo)。綜合利用產(chǎn)業(yè)活動、國際合作等方式,宣傳普及工業(yè)領(lǐng)域數(shù)據(jù)安全理念和舉措,提高地方、企業(yè)和公眾對工業(yè)領(lǐng)域數(shù)據(jù)安全的認可度。充分調(diào)動行業(yè)協(xié)會、學(xué)會、產(chǎn)業(yè)聯(lián)盟等力量,引導(dǎo)企業(yè)加強自律、凝聚共識,營造行業(yè)數(shù)據(jù)安全保護良好氛圍。
近日,工業(yè)和信息化部印發(fā)《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案(2024—2026年)》(工信部網(wǎng)安〔2024〕34號),(以下簡稱《實施方案》)?,F(xiàn)就重點問題回應(yīng)如下:
數(shù)據(jù)是數(shù)字經(jīng)濟時代的關(guān)鍵新型生產(chǎn)要素,與國家經(jīng)濟運行、社會治理、公共服務(wù)等方面密切相關(guān),保障數(shù)據(jù)安全已成為事關(guān)國家安全與經(jīng)濟社會發(fā)展的重大問題。2023年9月,全國新型工業(yè)化推進大會召開,推動新型工業(yè)化發(fā)展邁向新征程,工業(yè)領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化、智能化加速提質(zhì)升級,在促進工業(yè)數(shù)據(jù)流通共享和開發(fā)利用的同時,伴隨而來的大規(guī)模數(shù)據(jù)泄露、勒索攻擊等風(fēng)險形勢日趨嚴峻,工業(yè)企業(yè)數(shù)據(jù)安全意識和能力普遍薄弱、地方主管部門監(jiān)管工作缺抓手缺隊伍、技術(shù)產(chǎn)品和服務(wù)供給不足等問題亟待研究解決??傮w看,加強數(shù)據(jù)安全保障是新型工業(yè)化發(fā)展繞不過的坎,是推進新型工業(yè)化行穩(wěn)致遠的基礎(chǔ)和前提。
黨中央、國務(wù)院高度重視數(shù)據(jù)安全和新型工業(yè)化工作,習(xí)近平總書記多次作出重要指示,強調(diào)要“把安全貫穿數(shù)據(jù)治理全過程”“把必須管住的堅決管到位”“統(tǒng)籌發(fā)展和安全,深刻把握新時代新征程推進新型工業(yè)化的基本規(guī)律”?!稊?shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等法律政策陸續(xù)出臺,為工信領(lǐng)域數(shù)據(jù)安全監(jiān)管和保護工作提供了指導(dǎo)和依據(jù)。為貫徹落實習(xí)近平總書記重要指示精神和黨中央、國務(wù)院決策部署,將法律政策要求在工業(yè)領(lǐng)域再細化、再落實,切實提出符合行業(yè)特色、針對突出問題的任務(wù)舉措,有效促進工業(yè)領(lǐng)域數(shù)據(jù)安全保護水平躍升,我部研究起草了《實施方案》,分步驟、有重點地指導(dǎo)各方扎實推進工業(yè)領(lǐng)域數(shù)據(jù)安全工作。
《實施方案》是指導(dǎo)未來三年工業(yè)領(lǐng)域數(shù)據(jù)安全工作的綱領(lǐng)性規(guī)劃文件,以“到2026年底基本建立工業(yè)領(lǐng)域數(shù)據(jù)安全保障體系”為總體目標,分別從企業(yè)側(cè)、監(jiān)管側(cè)、產(chǎn)業(yè)側(cè)等方面明確各工作目標,致力于實現(xiàn)企業(yè)保護水平大幅提升、監(jiān)管能力和手段更加健全、產(chǎn)業(yè)供給穩(wěn)步提升:
一是從行業(yè)數(shù)據(jù)安全意識和能力普及覆蓋考慮,提出基本實現(xiàn)各工業(yè)行業(yè)規(guī)上企業(yè)數(shù)據(jù)安全要求宣貫全覆蓋。
二是緊抓重點企業(yè)和規(guī)上企業(yè),實現(xiàn)數(shù)據(jù)分類分級保護的企業(yè)超4.5萬家,至少覆蓋年營收在各?。▍^(qū)、市)行業(yè)排名前10%的規(guī)上工業(yè)企業(yè)。
三是標準先行、樹立典型。立項研制國家、行業(yè)、團體等各類標準規(guī)范不少于100項,對企業(yè)履行數(shù)據(jù)安全保護責(zé)任義務(wù)加強細化標準指導(dǎo)。面向不少于10個重點行業(yè)遴選典型案例不少于200個,強化優(yōu)秀應(yīng)用實踐的引領(lǐng)帶動作用。
四是加大人才培養(yǎng),實現(xiàn)培訓(xùn)覆蓋3萬人次、培養(yǎng)人才超5000人。
《實施方案》堅持統(tǒng)籌發(fā)展和安全,堅持底線思維和極限思維,堅持目標導(dǎo)向和問題導(dǎo)向,以構(gòu)建完善工業(yè)領(lǐng)域數(shù)據(jù)安全保障體系為主線,以落實企業(yè)主體責(zé)任為核心,以保護重要數(shù)據(jù)、提升監(jiān)管能力、強化產(chǎn)業(yè)支撐等為重點,從總體要求、重點任務(wù)、保障措施三方面提出主要內(nèi)容:
一是總體要求方面,明確了指導(dǎo)思想、基本原則和總體目標,在總體目標中細化了各項關(guān)鍵任務(wù)指標。
二是重點任務(wù)方面,圍繞提升工業(yè)企業(yè)數(shù)據(jù)保護、數(shù)據(jù)安全監(jiān)管、數(shù)據(jù)安全產(chǎn)業(yè)支撐三類能力,明確提出11項任務(wù)。其中,關(guān)于提升工業(yè)企業(yè)數(shù)據(jù)保護能力,提出了增強安全意識、開展重要數(shù)據(jù)保護、強化重點企業(yè)管理、深化重點場景保護4項任務(wù);關(guān)于提升數(shù)據(jù)安全監(jiān)管能力,提出了完善政策標準、加強風(fēng)險防控、推進技術(shù)手段建設(shè)、鍛造監(jiān)管執(zhí)法能力4項任務(wù);關(guān)于提升數(shù)據(jù)安全產(chǎn)業(yè)支撐能力,提出了加大技術(shù)產(chǎn)品和服務(wù)供給、促進應(yīng)用推廣和供需對接、健全人才培養(yǎng)體系3項任務(wù)。
三是保障措施方面,圍繞《實施方案》落地實施的保障需求,提出了加強組織協(xié)調(diào)、加大資源保障、強化成效評估、做好宣傳引導(dǎo)4項工作。
四、《實施方案》明確如何提升工業(yè)企業(yè)數(shù)據(jù)保護能力?
工業(yè)企業(yè)是履行數(shù)據(jù)安全保護責(zé)任和義務(wù)的主體?!秾嵤┓桨浮分攸c明確了提升工業(yè)企業(yè)數(shù)據(jù)保護能力的四項關(guān)鍵舉措:
一是增強數(shù)據(jù)安全意識,通過法律政策和標準宣貫培訓(xùn)等工作,普及提高企業(yè)安全意識。從明確責(zé)任人、建立健全管理體系和工作機制、配足崗位和人員隊伍、定期開展教育培訓(xùn)等方面壓實企業(yè)主體責(zé)任。引導(dǎo)企業(yè)將數(shù)據(jù)安全管理要求融入本單位發(fā)展戰(zhàn)略和考核機制,同步推進業(yè)務(wù)發(fā)展和數(shù)據(jù)安全工作。
二是開展重要數(shù)據(jù)保護,指導(dǎo)存在重要數(shù)據(jù)的企業(yè)落實建立健全管理制度、識別報備重要數(shù)據(jù)、實施分級防護、定期開展風(fēng)險評估、開展風(fēng)險事件監(jiān)測與應(yīng)急處置等要求,對重要數(shù)據(jù)進行重點保護。
三是強化重點企業(yè)數(shù)據(jù)安全管理,滾動編制工業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險防控重點企業(yè)名錄,對名錄內(nèi)企業(yè)既要督促其著重提升風(fēng)險監(jiān)測、態(tài)勢感知、威脅研判和應(yīng)急處置等能力,又要發(fā)揮各級技術(shù)力量加強技術(shù)支持。
四是深化重點場景數(shù)據(jù)安全保護,聚焦數(shù)據(jù)處理場景、典型業(yè)務(wù)場景、易發(fā)頻發(fā)風(fēng)險場景和數(shù)據(jù)要素大規(guī)模流通交易場景,制定系列實踐指南,指導(dǎo)企業(yè)精準施策。
五、《實施方案》明確監(jiān)管部門如何提升數(shù)據(jù)安全監(jiān)管能力?
健全完善數(shù)據(jù)安全政策標準、技術(shù)手段、工作隊伍等是提升監(jiān)管能力的重要基礎(chǔ)?!秾嵤┓桨浮窂漠?dāng)前數(shù)據(jù)安全監(jiān)管急需出發(fā),重點明確了提升監(jiān)管能力的四項關(guān)鍵舉措:
一是完善數(shù)據(jù)安全政策標準,具體包括建立健全政策制度、完善全流程監(jiān)管機制、研制重點急需標準等任務(wù),并鼓勵地方積極制定相關(guān)政策。
二是加強數(shù)據(jù)安全風(fēng)險防控,在做好風(fēng)險信息報送與共享、組建風(fēng)險分析專家組、動態(tài)管理風(fēng)險直報單位庫、建立重大風(fēng)險事件案例庫、加強風(fēng)險提示等常態(tài)化工作基礎(chǔ)上,打造“數(shù)安護航”專項行動和“數(shù)安鑄盾”應(yīng)急演練2個品牌活動,有效提升風(fēng)險事件防范和處置水平。
三是推進數(shù)據(jù)安全技術(shù)手段建設(shè),統(tǒng)籌建設(shè)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理平臺,加快推進“部-省-企業(yè)”三級監(jiān)測應(yīng)急等技術(shù)能力建設(shè)和協(xié)同聯(lián)動。建立工業(yè)領(lǐng)域數(shù)據(jù)安全工具庫,為高效開展監(jiān)管和保護工作提供規(guī)范化、便捷式工具服務(wù)等支撐。
四是鍛造數(shù)據(jù)安全監(jiān)管執(zhí)法能力,明確提出規(guī)范事件調(diào)查程序,豐富取證方法和手段,完善執(zhí)法流程機制和加強執(zhí)法案例宣介與警示教育。推動地方主管部門將數(shù)據(jù)安全納入行政執(zhí)法事項清單,打造專業(yè)化、規(guī)范化監(jiān)管執(zhí)法隊伍。
六、《實施方案》明確如何提升數(shù)據(jù)安全產(chǎn)業(yè)支撐能力?
強大的數(shù)據(jù)安全技術(shù)、產(chǎn)品、服務(wù)和人才等產(chǎn)業(yè)支撐能力,是開展數(shù)據(jù)安全工作的重要保障?!秾嵤┓桨浮吠苿诱a(chǎn)學(xué)研用各方協(xié)同提升數(shù)據(jù)安全產(chǎn)業(yè)支撐能力,重點從以下三方面布局未來三年產(chǎn)業(yè)發(fā)展:
一是加大技術(shù)產(chǎn)品和服務(wù)供給,提出共性技術(shù)優(yōu)化升級、關(guān)鍵技術(shù)攻關(guān)和產(chǎn)品研發(fā)、新型安全架構(gòu)設(shè)計、供給模式創(chuàng)新等任務(wù)。
二是促進應(yīng)用推廣和供需對接,通過試點應(yīng)用一批先進技術(shù)產(chǎn)品、打造一批解決方案、遴選推廣一批典型案例以及組織一批沙龍等活動,充分盤活利用數(shù)據(jù)安全產(chǎn)業(yè)供需雙方資源,激發(fā)產(chǎn)業(yè)創(chuàng)新活力。
三是建立健全人才培養(yǎng)體系,圍繞教材課程開發(fā)、人才資格認定、豐富人才培養(yǎng)形式、培養(yǎng)復(fù)合型管理人才與實戰(zhàn)型技能人才、加強人才激勵等方面不斷培養(yǎng)壯大數(shù)據(jù)安全人才隊伍。
下一步,要充分發(fā)揮部、省、企業(yè)、行業(yè)組織、專業(yè)機構(gòu)、高等院校、安全企業(yè)等各方力量,協(xié)同扎實推進《實施方案》落實落細。
一要開展宣貫培訓(xùn)。分片區(qū)組織開展政策宣貫,面向地方工信主管部門、工業(yè)企業(yè)等做好政策文件重點、要點解讀,切實提升行業(yè)數(shù)據(jù)安全保護意識和工作水平。鼓勵各行業(yè)、各地區(qū)、各有關(guān)企業(yè)結(jié)合實際開展系列宣貫培訓(xùn)活動,加快將政策文件要求傳達到位、落實到位。
二要抓好組織實施。緊扣《實施方案》要求,分解形成工業(yè)領(lǐng)域數(shù)據(jù)安全工作年度計劃,明確各方任務(wù)分工,每年滾動跟蹤檢查工作進展、總結(jié)評估工作成效,對工作不力的加強督導(dǎo)落實,對表現(xiàn)突出的予以表揚激勵。督促指導(dǎo)各有關(guān)單位細化制定本單位工作方案,加強責(zé)任落實,加大資金、人員等各類資源的投入力度,高質(zhì)量完成各項目標任務(wù)。
三要加強典型引領(lǐng)。及時總結(jié)各單位在《實施方案》落地推進過程中的優(yōu)秀經(jīng)驗做法,遴選推廣典型案例,樹立行業(yè)標桿。引導(dǎo)各行業(yè)、各地區(qū)結(jié)合實際創(chuàng)新建立工作模式、組織開展特色活動,持續(xù)深入挖掘優(yōu)秀實踐并加強宣傳普及。