工信領(lǐng)域數據安全怎么管��?專(zhuān)家:全周期管理實(shí)現“精準防護”
發(fā)布時(shí)間:2023-01-09
來(lái)源:人民網(wǎng)
近日�,工信部印發(fā)《工業(yè)和信息化領(lǐng)域數據安全管理辦法(試行)》����,(下稱(chēng)《辦法》)����,自2023年1月1日起施行��?��!掇k法》重點(diǎn)解決了工信領(lǐng)域數據安全“誰(shuí)來(lái)管���、管什么���、怎么管”的問(wèn)題����,為行業(yè)數據安全監管提供制度保障��。
多位專(zhuān)家稱(chēng)��,工業(yè)領(lǐng)域數據涉及主體多�����、種類(lèi)多�、格式多����,既有企業(yè)產(chǎn)生和收集的研發(fā)設計�����、生產(chǎn)制造等數據�����,也有工業(yè)互聯(lián)網(wǎng)平臺企業(yè)的知識庫模型庫等數據��?!掇k法》提出數據分級保護的總體原則���,重視對核心數據出境的安全評估���,明確行業(yè)監管主體和責任���,是對前期工信領(lǐng)域數據安全管理實(shí)踐經(jīng)驗的固化總結����,能夠有效規范行業(yè)對數據的全周期管理���,以及在應對外部竊取攻擊等風(fēng)險時(shí)實(shí)現快速聯(lián)動(dòng)����、迅速處置���。
數據分類(lèi)分級 識別保護重點(diǎn)
隨著(zhù)全球數字經(jīng)濟的蓬勃發(fā)展��,數據已成為關(guān)鍵生產(chǎn)要素和核心戰略資源����,數據安全的基礎保障作用和發(fā)展驅動(dòng)效應日益突出�����,攸關(guān)國家安全�����、公共利益和個(gè)人權利�����。
在數字經(jīng)濟和數據安全領(lǐng)域���,我國出臺了多部政策法規“護航”數字經(jīng)濟行穩致遠�����。國務(wù)院《“十四五”數字經(jīng)濟發(fā)展規劃》將研究完善行業(yè)數據安全管理政策作為提升國家總體數據安全保障水平的關(guān)鍵一環(huán)��?!稊祿踩ā贰秱€(gè)人信息保護法》等國家重大數據安全立法加速出臺�����,進(jìn)一步明確了數據安全行政監管的上位法依據和職責邊界�����。
工業(yè)和信息化領(lǐng)域是數字經(jīng)濟發(fā)展的主陣地和先導區�����,是推進(jìn)數字經(jīng)濟做強做優(yōu)做大的主力軍��。工信部數據顯示�,2021年���,規模以上工業(yè)企業(yè)關(guān)鍵工序數控化率達到55.3%����,數字化研發(fā)工具的普及率達到了74.7%���。數字化新業(yè)態(tài)���、新模式也不斷發(fā)展創(chuàng )新���,開(kāi)展網(wǎng)絡(luò )化協(xié)同和服務(wù)型制造的企業(yè)比例分別達到了38.8%和29.6%��。
《辦法》對標《數據安全法》《網(wǎng)絡(luò )安全法》《個(gè)人信息保護法》中的數據安全保護義務(wù)���,提出以數據分級保護為總體原則�����,一般數據加強全生命周期安全管理��,重要數據在一般數據保護的基礎上進(jìn)行重點(diǎn)保護�����,核心數據在重要數據保護的基礎上實(shí)施更加嚴格保護�。對于不同級別數據同時(shí)被處理且難以分別采取保護措施的�,采取“就高”原則���,按照其中級別最高的要求實(shí)施保護��。
“以數據分類(lèi)分級識別數據保護重點(diǎn)�,就是摸清家底����、心中有數�����。”專(zhuān)家指出��,工業(yè)領(lǐng)域涉及的行業(yè)眾多�����、應用場(chǎng)景豐富��、業(yè)務(wù)環(huán)節復雜�����,相應的數據種類(lèi)�、形態(tài)也十分多樣�����,需要認真研究到底擁有哪些數據類(lèi)型�����、哪些數據需要重點(diǎn)保護�����。
明確聯(lián)動(dòng)機制 落實(shí)監管主體責任
今年8月�,工信部公布全國第四批“專(zhuān)精特新”小巨人企業(yè)全名單�����,入選企業(yè)多達4357家�����,眾所矚目��,熱熱鬧鬧�。11月�,工信部又提出�����,在未來(lái)三年里�,圍繞100個(gè)細分行業(yè)����,打算扶持和培育300家左右的數字化轉型服務(wù)平臺��,打造4000-6000家“小燈塔”工廠(chǎng)��。
“數字化轉型離不開(kāi)有為政府的支持��,同時(shí)也需要與有效市場(chǎng)相結合���。”北京師范大學(xué)經(jīng)管學(xué)院副教授趙向陽(yáng)指出����,中央政府部委高屋建瓴進(jìn)行政策設計�,宏觀(guān)指引����。地方政府根據當地的產(chǎn)業(yè)發(fā)展現狀�,甄選潛力大的細分行業(yè)�����,而數字化服務(wù)平臺自己主動(dòng)挖掘有數字化轉型意愿的試點(diǎn)企業(yè)�����。根據“市場(chǎng)有需求��,平臺有能力���,企業(yè)有意愿”的三結合原則來(lái)做數字化轉型���,是一種有益探索���。
針對市場(chǎng)實(shí)際情況��,《辦法》構建了“部-地方-企業(yè)”三級聯(lián)動(dòng)的數據安全工作機制���,明確“工業(yè)和信息化部�����、地方行業(yè)監管部門(mén)”兩級監管機制��。
具體來(lái)說(shuō)��,由工業(yè)和信息化部負責工信領(lǐng)域數據安全總體統籌與監督管理�����。在地方層面���,地方工業(yè)和信息化主管部門(mén)�����、地方通信管理局����、地方無(wú)線(xiàn)電管理機構分別負責對本地區工業(yè)數據處理者��、電信數據處理者���、無(wú)線(xiàn)電數據處理者的數據處理活動(dòng)和安全保護進(jìn)行監督管理���。在企業(yè)層面�����,工業(yè)數據處理者���、電信數據處理者�����、無(wú)線(xiàn)電數據處理者承擔本單位的數據安全主體責任��,落實(shí)工信領(lǐng)域數據安全管理要求�。
中國信息通信研究院院長(cháng)余曉暉表示��,這種條塊結合的監管組織架構既貫徹了《數據安全法》對于各地區���、各行業(yè)���、各領(lǐng)域數據安全監管的責任分工�,也充分考慮了工信領(lǐng)域管理的共性需求與實(shí)踐差異�。
豎起技術(shù)鐵甲 保障數據全生命周期安全
數字化的進(jìn)程與風(fēng)險相伴而生�。今年2月�����,全球航港巨頭瑞士空港遭遇一起勒索軟件攻擊�,IT基礎設施與服務(wù)受到干擾����。蘇黎世機場(chǎng)透露����,這波網(wǎng)絡(luò )攻擊導致當天22架次航班發(fā)生延誤����。此類(lèi)數據泄漏����、勒索軟件�、黑客攻擊等網(wǎng)絡(luò )安全事件并不少見(jiàn)���,每年的網(wǎng)絡(luò )安全事件盤(pán)點(diǎn)都有數十個(gè)版本�����。
在數據生產(chǎn)加工的各個(gè)環(huán)節���,數據違規傳輸�����、非授權訪(fǎng)問(wèn)�����、云端數據大規模泄露��、勒索攻擊�、撞庫攻擊��、黑產(chǎn)交易���、網(wǎng)絡(luò )漏洞等事件的危害性不容忽視����。
為保障數據安全����,《辦法》圍繞數據收集����、存儲���、使用���、加工�、傳輸�����、提供���、公開(kāi)等全生命周期關(guān)鍵環(huán)節���,分別針對一般數據���、重要數據�����、核心數據細化明確了安全保護要求��,主要包括明確細化了協(xié)議約束���、安全評估���、審批等管理要求�����,以及校驗與密碼技術(shù)使用����、數據訪(fǎng)問(wèn)控制等技術(shù)保護要求�。同時(shí)�����,指導數據處理者健全數據安全管理和技術(shù)保護措施����,履行安全保護主體責任����。
業(yè)內專(zhuān)家指出����,從技術(shù)角度來(lái)說(shuō)�����,不僅要通過(guò)協(xié)議解析��、流量分析等手段深度識別監測的數據內容���,還需利用關(guān)聯(lián)分析��、人工智能等技術(shù)分析數據處理安全措施是否到位(如重要數據未加密導致明文傳輸風(fēng)險)�����、數據處理活動(dòng)是否合法合規(如重要數據違規出境風(fēng)險)等�,更還應結合業(yè)務(wù)場(chǎng)景�����,通過(guò)深度學(xué)習等手段分析數據流量和操作行為是否正常�、數據內容是否遭篡改等�����。
《辦法》還規定了數據安全風(fēng)險評估���、數據出境安全評估���、數據安全風(fēng)險監測預警�����、數據安全應急處置等的開(kāi)展情形����,并對中央企業(yè)提出督促所屬公司履行重要數據目錄備案�,及時(shí)向工業(yè)和信息化部報送集團本部數據安全保護情況等要求��。
專(zhuān)家指出��,《辦法》出臺后�,應加快推進(jìn)數據分類(lèi)分級�����、分級防護���、安全評估�����、應急處置等工作的有機融合�。每一項工作的背后都需要更細化的制度標準作為“催化劑”����,并在實(shí)踐中推動(dòng)各項工作機制協(xié)調���、統一���、靈活地運轉起來(lái)��,為保障工業(yè)數據安全���、促進(jìn)數字經(jīng)濟和制造業(yè)高質(zhì)量發(fā)展筑牢堅實(shí)根基�����。
編輯:鐘旭惠
