工业和信息化部近日印发《工业领域数据安全能力提升实施方案(2024—2026年)》,提出到2026年底,我国工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。关键指标包括:基本实现各工业行业规上企业数据安全要求宣贯全覆盖;开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业;立项研制数据安全国家、行业、团体等标准规范不少于100项;遴选数据安全典型案例不少于200个,覆盖行业不少于10个;数据安全培训覆盖3万人次,培养工业数据安全人才超5000人。
现将《工业领域数据安全能力提升实施方案(2024—2026年)》印发给你们,请认真抓好贯彻落实。
2024年2月23日
一、总体要求
以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大精神,坚定不移贯彻总体国家安全观,坚持统筹发展和安全,坚持底线思维和极限思维,坚持目标导向和问题导向,以构建完善工业领域数据安全保障体系为主线,以落实企业主体责任为核心,以保护重要数据、提升监管能力、强化产业支撑等为重点,提高数据安全治理能力,促进数据要素安全有序流动和价值释放,为加快推进新型工业化,建设制造强国、网络强国和数字中国提供坚实支撑。
统筹推进,重点突破。加强顶层谋划,系统推进数据安全组织架构、政策制度、管理机制、标准规范、技术手段建设和产业发展工作。以强化重点行业、重点企业、重要系统平台、重要数据保护为切入点,以点带面促进整体保护水平提升。
政府引导,协同共治。综合运用正向激励和反向约束等方式,选树标杆典型,强化监管执法,压实企业主体责任。充分发挥行业协会、龙头企业、专业机构、高等院校等各方力量,形成数据安全协同治理的良好局面。
场景牵引,分业施策。摸清数据处理重点环节风险易发场景的特点规律,紧贴业务场景数据保护需求,强化科学防控。结合行业特色、数据特征等,差异化指导、精准化施策,加速提升行业数据安全管理水平。
创新驱动,技管结合。不断创新管理模式、技术、产品与服务,适应新时期工业领域数据安全保护新形势、新特点和新需求。注重“以技管数”手段建设和运用,与日常监管形成合力。
到2026年底,工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。
——基本实现各工业行业规上企业数据安全要求宣贯全覆盖。
——开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业。
——立项研制数据安全国家、行业、团体等标准规范不少于100项。
——遴选数据安全典型案例不少于200个,覆盖行业不少于10个。
——数据安全培训覆盖3万人次,培养工业数据安全人才超5000人。
二、重点任务
1.增强数据安全保护意识。加大数据安全法律法规和政策标准宣贯培训力度,提高各行业企业数据安全意识。督促企业依法依规落实数据安全主体责任,压实各单位法定代表人或主要负责人数据安全第一责任,建立健全数据安全管理体系和工作机制,配足数据安全岗位和人员队伍,定期开展数据安全教育培训。引导企业贯彻发展与安全并重原则,将数据安全管理要求融入本单位发展战略和考核机制,加强数据安全工作与业务发展同谋划、同部署、同落实、同考核。
2.开展重要数据安全保护。指导企业建立健全数据分类分级保护等安全管理制度,定期梳理识别重要数据和核心数据,形成目录并及时报备。督促重要数据和核心数据处理者明确数据安全负责人和管理机构,落实数据分级防护要求,每年至少开展一次数据安全风险评估,及时发现整改安全隐患,按要求报送评估报告。指导企业加强重要数据和核心数据安全风险监测与应急处置,及时报告重大风险事件。推动各行业企业加强商用密码应用保护数据安全。
3.强化重点企业数据安全管理。遴选掌握关键核心技术、代表行业发展水平、关系产业链安全稳定或关乎国家安全的企业,滚动编制工业领域数据安全风险防控重点企业名录。将名录内企业作为数据安全监管重点,督促其在落实数据安全要求基础上,着重提升风险监测、态势感知、威胁研判和应急处置等能力。发挥部省两级主管部门作用,统筹各方数据安全监测预警手段和技术力量,加强技术支持,协同做好企业数据安全保护。
2.“数安铸盾”应急演练。面向重点行业,模拟勒索病毒攻击、供应链攻击等易发典型数据安全风险事件,组织开展全要素、全流程应急演练,持续优化事件响应流程和机制,锻炼培养一批应急支撑队伍。 |
2.建立工业领域数据安全工具库。围绕数据分类分级、安全防护、检测评估、合规检查、应急处置、攻击追溯、密码应用等方面,研发一批规范化、便携式的工具,为高效开展数据安全监管和保护工作提供支撑。 |
8.锻造数据安全监管执法能力。规范数据安全事件调查处置程序,丰富取证方法和手段。加快完善数据安全执法流程和工作机制,推动地方工业和信息化主管部门将数据安全纳入本地区行政执法事项清单,指导各行业、各地方依法严格处置违法行为,加强执法案例宣介与警示教育。建立健全数据安全违法违规行为投诉举报机制,多渠道收集违法违规线索。加大监管执法人员培训力度,推动地方工业和信息化主管部门强化数据安全监管力量,打造专业化、规范化监管执法队伍。
9.加大技术产品和服务供给。加强工业数据智能分类分级、工业数据库审计、低时延加密传输等共性技术优化升级。加大适配工业业务场景和数据特征的轻量级数据加密、隐私计算、密态计算等关键技术攻关。支持使用商用密码技术保障工业领域数据安全。围绕工业数据泄露、窃取、篡改等风险,推动流量异常监测、攻击行为识别、事件追溯和处置等产品研发。加强面向工业云、工业大数据、工业互联网平台等新兴应用的数据安全架构设计。支持工业领域数据安全“产品+服务”供给模式创新。
10.促进应用推广和供需对接。加大多方安全计算、数据防勒索、数据溯源、商用密码等技术产品在工业领域的试点应用。组织遴选一批在各行业具有广泛应用价值的通用数据安全技术和产品,打造一批面向行业、面向场景、面向中小企业的数据安全解决方案,形成一批工业领域数据安全典型案例,分行业、分地区开展宣传推广。推动各行业利用主题沙龙、路演等渠道开展数据安全技术产品和服务供需对接活动。发挥数据安全产业公共服务平台作用,强化信息共享、资源对接等服务。
11.建立健全人才培养体系。面向不同行业、岗位、层级数据安全工作需求,推动专业化、特色化数据安全教材课程开发,规范化开展职业人才资格认定。支持产学研用各方加强合作,依托培训中心、实训基地、网络学习平台等联合培养复合型管理人才和实战型技能人才,通过技能竞赛、技术交流、学习进修、岗位练兵等形式持续促进人才知识更新和能力提升。鼓励工业企业建立健全数据安全绩效评价机制,加强数据安全人才激励。
三、保障措施
(一)加强组织协调。工业和信息化部加强工作统筹,做好与国家数据安全工作协调机制的衔接。各地工业和信息化主管部门负责组织实施本地区实施方案。鼓励各地结合实际制定细化工作方案,加强与相关部门合作,确保目标任务落实。充分发挥高校、科研院所、第三方机构等在实施方案宣贯、手段建设指导、技术交流合作、成果应用推广等方面的专业作用,引导企业加强数据安全能力建设。
(二)加大资源保障。统筹利用现有资金渠道,加大工业领域数据安全工作投入,支持关键核心技术攻关和公共服务平台建设。深化产融合作,支持数据安全企业参与“科技产业金融一体化”专项,通过国家产融合作平台获得便捷高效的金融服务。鼓励各地将数据安全纳入地方工业领域数字化转型发展相关规划,在支持数字化、网络化、智能化等项目时,同步明确数据安全要求。引导企业在信息化建设中为数据安全防护安排一定比例资金。
(三)强化成效评估。各行业、各地区及时跟踪调度实施方案落实情况,总结经验做法,评估工作成效,加强沟通交流,及时报告重大进展情况或问题。工业和信息化部对工作推动有力、取得明显成效的地区、企业和单位予以表扬,对优秀经验做法加强提炼总结和推广应用。
(四)做好宣传引导。综合利用产业活动、国际合作等方式,宣传普及工业领域数据安全理念和举措,提高地方、企业和公众对工业领域数据安全的认可度。充分调动行业协会、学会、产业联盟等力量,引导企业加强自律、凝聚共识,营造行业数据安全保护良好氛围。