近日,工業(yè)和信息化部印發(fā)《工業(yè)領(lǐng)域數據安全能力提升實(shí)施方案(2024—2026年)》(工信部網(wǎng)安〔2024〕34號)(以下簡(jiǎn)稱(chēng)《實(shí)施方案》)?,F就重點(diǎn)問(wèn)題回應如下:
《實(shí)施方案》出臺的背景和目的是什么?
數據是數字經(jīng)濟時(shí)代的關(guān)鍵新型生產(chǎn)要素,與國家經(jīng)濟運行、社會(huì )治理、公共服務(wù)等方面密切相關(guān),保障數據安全已成為事關(guān)國家安全與經(jīng)濟社會(huì )發(fā)展的重大問(wèn)題。2023年9月,全國新型工業(yè)化推進(jìn)大會(huì )召開(kāi),推動(dòng)新型工業(yè)化發(fā)展邁向新征程,工業(yè)領(lǐng)域數字化、網(wǎng)絡(luò )化、智能化加速提質(zhì)升級,在促進(jìn)工業(yè)數據流通共享和開(kāi)發(fā)利用的同時(shí),伴隨而來(lái)的大規模數據泄露、勒索攻擊等風(fēng)險形勢日趨嚴峻,工業(yè)企業(yè)數據安全意識和能力普遍薄弱、地方主管部門(mén)監管工作缺抓手缺隊伍、技術(shù)產(chǎn)品和服務(wù)供給不足等問(wèn)題亟待研究解決??傮w看,加強數據安全保障是新型工業(yè)化發(fā)展繞不過(guò)的坎,是推進(jìn)新型工業(yè)化行穩致遠的基礎和前提。
黨中央、國務(wù)院高度重視數據安全和新型工業(yè)化工作,習近平總書(shū)記多次作出重要指示,強調要“把安全貫穿數據治理全過(guò)程”“把必須管住的堅決管到位”“統籌發(fā)展和安全,深刻把握新時(shí)代新征程推進(jìn)新型工業(yè)化的基本規律”?!稊祿踩ā贰豆I(yè)和信息化領(lǐng)域數據安全管理辦法(試行)》等法律政策陸續出臺,為工信領(lǐng)域數據安全監管和保護工作提供了指導和依據。為貫徹落實(shí)習近平總書(shū)記重要指示精神和黨中央、國務(wù)院決策部署,將法律政策要求在工業(yè)領(lǐng)域再細化、再落實(shí),切實(shí)提出符合行業(yè)特色、針對突出問(wèn)題的任務(wù)舉措,有效促進(jìn)工業(yè)領(lǐng)域數據安全保護水平躍升,工業(yè)和信息化部研究起草了《實(shí)施方案》,分步驟、有重點(diǎn)地指導各方扎實(shí)推進(jìn)工業(yè)領(lǐng)域數據安全工作。
《實(shí)施方案》的定位和目標是什么?
《實(shí)施方案》是指導未來(lái)三年工業(yè)領(lǐng)域數據安全工作的綱領(lǐng)性規劃文件,以“到2026年底基本建立工業(yè)領(lǐng)域數據安全保障體系”為總體目標,分別從企業(yè)側、監管側、產(chǎn)業(yè)側等方面明確各工作目標,致力于實(shí)現企業(yè)保護水平大幅提升、監管能力和手段更加健全、產(chǎn)業(yè)供給穩步提升:一是從行業(yè)數據安全意識和能力普及覆蓋考慮,提出基本實(shí)現各工業(yè)行業(yè)規上企業(yè)數據安全要求宣貫全覆蓋。二是緊抓重點(diǎn)企業(yè)和規上企業(yè),實(shí)現數據分類(lèi)分級保護的企業(yè)超4.5萬(wàn)家,至少覆蓋年營(yíng)收在各?。▍^、市)行業(yè)排名前10%的規上工業(yè)企業(yè)。三是標準先行、樹(shù)立典型。立項研制國家、行業(yè)、團體等各類(lèi)標準規范不少于100項,對企業(yè)履行數據安全保護責任義務(wù)加強細化標準指導。面向不少于10個(gè)重點(diǎn)行業(yè)遴選典型案例不少于200個(gè),強化優(yōu)秀應用實(shí)踐的引領(lǐng)帶動(dòng)作用。四是加大人才培養,實(shí)現培訓覆蓋3萬(wàn)人次、培養人才超5000人。
《實(shí)施方案》的主要內容是什么?
《實(shí)施方案》堅持統籌發(fā)展和安全,堅持底線(xiàn)思維和極限思維,堅持目標導向和問(wèn)題導向相統一,以構建完善工業(yè)領(lǐng)域數據安全保障體系為主線(xiàn),以落實(shí)企業(yè)主體責任為核心,以保護重要數據、提升監管能力、強化產(chǎn)業(yè)支撐等為重點(diǎn),從總體要求、重點(diǎn)任務(wù)、保障措施三方面提出主要內容:一是總體要求方面,明確了指導思想、基本原則和總體目標,在總體目標中細化了各項關(guān)鍵任務(wù)指標。二是重點(diǎn)任務(wù)方面,圍繞提升工業(yè)企業(yè)數據保護、數據安全監管、數據安全產(chǎn)業(yè)支撐三類(lèi)能力,明確提出11項任務(wù)。其中,關(guān)于提升工業(yè)企業(yè)數據保護能力,提出了增強安全意識、開(kāi)展重要數據保護、強化重點(diǎn)企業(yè)管理、深化重點(diǎn)場(chǎng)景保護4項任務(wù);關(guān)于提升數據安全監管能力,提出了完善政策標準、加強風(fēng)險防控、推進(jìn)技術(shù)手段建設、鍛造監管執法能力4項任務(wù);關(guān)于提升數據安全產(chǎn)業(yè)支撐能力,提出了加大技術(shù)產(chǎn)品和服務(wù)供給、促進(jìn)應用推廣和供需對接、健全人才培養體系3項任務(wù)。三是保障措施方面,圍繞《實(shí)施方案》落地實(shí)施的保障需求,提出了加強組織協(xié)調、加大資源保障、強化成效評估、做好宣傳引導4項工作。
《實(shí)施方案》明確如何提升工業(yè)企業(yè)數據保護能力?
工業(yè)企業(yè)是履行數據安全保護責任和義務(wù)的主體?!秾?shí)施方案》重點(diǎn)明確了提升工業(yè)企業(yè)數據保護能力的四項關(guān)鍵舉措:一是增強數據安全意識,通過(guò)法律政策和標準宣貫培訓等工作,普及增強企業(yè)安全意識。從明確責任人、建立健全管理體系和工作機制、配足崗位和人員隊伍、定期開(kāi)展教育培訓等方面壓實(shí)企業(yè)主體責任。引導企業(yè)將數據安全管理要求融入本單位發(fā)展戰略和考核機制,同步推進(jìn)業(yè)務(wù)發(fā)展和數據安全工作。二是開(kāi)展重要數據保護,指導存在重要數據的企業(yè)落實(shí)建立健全管理制度、識別報備重要數據、實(shí)施分級防護、定期開(kāi)展風(fēng)險評估、開(kāi)展風(fēng)險事件監測與應急處置等要求,對重要數據進(jìn)行重點(diǎn)保護。三是強化重點(diǎn)企業(yè)數據安全管理,滾動(dòng)編制工業(yè)領(lǐng)域數據安全風(fēng)險防控重點(diǎn)企業(yè)名錄,對名錄內企業(yè)既要督促其著(zhù)重提升風(fēng)險監測、態(tài)勢感知、威脅研判和應急處置等能力,又要發(fā)揮各級技術(shù)力量加強技術(shù)支持。四是深化重點(diǎn)場(chǎng)景數據安全保護,聚焦數據處理場(chǎng)景、典型業(yè)務(wù)場(chǎng)景、易發(fā)頻發(fā)風(fēng)險場(chǎng)景和數據要素大規模流通交易場(chǎng)景,制定系列實(shí)踐指南,指導企業(yè)精準施策。
《實(shí)施方案》明確監管部門(mén)如何提升數據安全監管能力?
健全完善數據安全政策標準、技術(shù)手段、工作隊伍等是提升監管能力的重要基礎?!秾?shí)施方案》從當前數據安全監管急需出發(fā),重點(diǎn)明確了提升監管能力的四項關(guān)鍵舉措:一是完善數據安全政策標準,具體包括建立健全政策制度、完善全流程監管機制、研制重點(diǎn)急需標準等任務(wù),并鼓勵地方積極制定相關(guān)政策。二是加強數據安全風(fēng)險防控,在做好風(fēng)險信息報送與共享、組建風(fēng)險分析專(zhuān)家組、動(dòng)態(tài)管理風(fēng)險直報單位庫、建立重大風(fēng)險事件案例庫、加強風(fēng)險提示等常態(tài)化工作基礎上,打造“數安護航”專(zhuān)項行動(dòng)和“數安鑄盾”應急演練2個(gè)品牌活動(dòng),有效提升風(fēng)險事件防范和處置水平。三是推進(jìn)數據安全技術(shù)手段建設,統籌建設工業(yè)和信息化領(lǐng)域數據安全管理平臺,加快推進(jìn)“部-?。髽I(yè)”三級監測應急等技術(shù)能力建設和協(xié)同聯(lián)動(dòng)。建立工業(yè)領(lǐng)域數據安全工具庫,為高效開(kāi)展監管和保護工作提供規范化、便捷式工具服務(wù)等支撐。四是鍛造數據安全監管執法能力,明確提出規范事件調查程序,豐富取證方法和手段,完善執法流程機制和加強執法案例宣介與警示教育。推動(dòng)地方主管部門(mén)將數據安全納入行政執法事項清單,打造專(zhuān)業(yè)化、規范化監管執法隊伍。
《實(shí)施方案》明確如何提升數據安全產(chǎn)業(yè)支撐能力?
強大的數據安全技術(shù)、產(chǎn)品、服務(wù)和人才等產(chǎn)業(yè)支撐能力,是開(kāi)展數據安全工作的重要保障?!秾?shí)施方案》推動(dòng)政產(chǎn)學(xué)研用各方協(xié)同提升數據安全產(chǎn)業(yè)支撐能力,重點(diǎn)從以下三方面布局未來(lái)三年產(chǎn)業(yè)發(fā)展:一是加大技術(shù)產(chǎn)品和服務(wù)供給,提出共性技術(shù)優(yōu)化升級、關(guān)鍵技術(shù)攻關(guān)和產(chǎn)品研發(fā)、新型安全架構設計、供給模式創(chuàng )新等任務(wù)。二是促進(jìn)應用推廣和供需對接,通過(guò)試點(diǎn)應用一批先進(jìn)技術(shù)產(chǎn)品、打造一批解決方案、遴選推廣一批典型案例以及組織一批沙龍等活動(dòng),充分盤(pán)活利用數據安全產(chǎn)業(yè)供需雙方資源,激發(fā)產(chǎn)業(yè)創(chuàng )新活力。三是建立健全人才培養體系,圍繞教材課程開(kāi)發(fā)、人才資格認定、豐富人才培養形式、培養復合型管理人才與實(shí)戰型技能人才、加強人才激勵等方面不斷培養壯大數據安全人才隊伍。
下一步如何推進(jìn)《實(shí)施方案》落地見(jiàn)效?
下一步,要充分發(fā)揮部、省、企業(yè)、行業(yè)組織、專(zhuān)業(yè)機構、高等院校、安全企業(yè)等各方力量,協(xié)同扎實(shí)推進(jìn)《實(shí)施方案》落實(shí)落細。一要開(kāi)展宣貫培訓。分片區組織開(kāi)展政策宣貫,面向地方工信主管部門(mén)、工業(yè)企業(yè)等做好政策文件重點(diǎn)、要點(diǎn)解讀,切實(shí)提升行業(yè)數據安全保護意識和工作水平。鼓勵各行業(yè)、各地區、各有關(guān)企業(yè)結合實(shí)際開(kāi)展系列宣貫培訓活動(dòng),加快將政策文件要求傳達到位、落實(shí)到位。二要抓好組織實(shí)施。緊扣《實(shí)施方案》要求,分解形成工業(yè)領(lǐng)域數據安全工作年度計劃,明確各方任務(wù)分工,每年滾動(dòng)跟蹤檢查工作進(jìn)展、總結評估工作成效,對工作不力的加強督導落實(shí),對表現突出的予以表?yè)P激勵。督促指導各有關(guān)單位細化制定本單位工作方案,加強責任落實(shí),加大資金、人員等各類(lèi)資源的投入力度,高質(zhì)量完成各項目標任務(wù)。三要加強典型引領(lǐng)。及時(shí)總結各單位在《實(shí)施方案》落地推進(jìn)過(guò)程中的優(yōu)秀經(jīng)驗做法,遴選推廣典型案例,樹(shù)立行業(yè)標桿。引導各行業(yè)、各地區結合實(shí)際創(chuàng )新建立工作模式、組織開(kāi)展特色活動(dòng),持續深入挖掘優(yōu)秀實(shí)踐并加強宣傳普及。
來(lái)源:工業(yè)和信息化部網(wǎng)絡(luò )安全管理局