工信部正式印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》

來源：榕城網(wǎng) 時(shí)間：2022-12-14 17:22:44

一、工信部正式印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》

12月13日,工信部正式發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(以下簡(jiǎn)稱《管理辦法》)。

二、筑牢我國(guó)工業(yè)領(lǐng)域數(shù)據(jù)安全管理頂層制度體系

工業(yè)領(lǐng)域正在借助信息技術(shù)不斷突破帶來的發(fā)展紅利,推動(dòng)建立數(shù)據(jù)驅(qū)動(dòng)的新型生產(chǎn)制造和服務(wù)體系。工業(yè)數(shù)據(jù)在跨設(shè)備、跨系統(tǒng)、跨廠區(qū)、跨地區(qū)的互聯(lián)流通過程中,突破了原本封閉的工業(yè)系統(tǒng)網(wǎng)絡(luò)邊界,不僅提升了對(duì)工業(yè)數(shù)據(jù)的感知深度和聯(lián)通的廣度,也將數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)一步向工業(yè)企業(yè)內(nèi)網(wǎng)、工業(yè)系統(tǒng)和設(shè)備等更多對(duì)象和更大范圍延伸。工業(yè)數(shù)據(jù)承載了企業(yè)的知識(shí)產(chǎn)權(quán)、商業(yè)秘密,甚至有關(guān)國(guó)家政治、經(jīng)濟(jì)安全,一旦遭受竊取、濫用或破壞會(huì)直接或間接造成對(duì)政治、經(jīng)濟(jì)、社會(huì)的影響。

隨著《管理辦法》的頒布實(shí)施,我國(guó)工業(yè)領(lǐng)域數(shù)據(jù)安全監(jiān)管體系框架逐步健全?！豆芾磙k法》作為工業(yè)領(lǐng)域數(shù)據(jù)安全管理頂層制度文件,將能夠更有效地貫徹落實(shí)《數(shù)據(jù)安全法》,指導(dǎo)工業(yè)領(lǐng)域數(shù)據(jù)安全的實(shí)施落地,促進(jìn)工業(yè)領(lǐng)域數(shù)據(jù)安全管理工作制度化、規(guī)范化,探索構(gòu)建工業(yè)領(lǐng)域數(shù)據(jù)安全管理體系,督促企業(yè)落實(shí)數(shù)據(jù)安全主體責(zé)任,加強(qiáng)數(shù)據(jù)分類分級(jí)管理、安全防護(hù)和安全監(jiān)測(cè)等工作。

三、融入業(yè)務(wù)基因的工業(yè)數(shù)據(jù)分類分級(jí)頂層設(shè)計(jì)

《管理辦法》中明確了行業(yè)主管部門開展自上而下的工業(yè)數(shù)據(jù)分類分級(jí)管理頂層設(shè)計(jì)。通過制定分類分級(jí)標(biāo)準(zhǔn)、重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別標(biāo)準(zhǔn)以及分級(jí)防護(hù)規(guī)范指導(dǎo)開展工業(yè)數(shù)據(jù)分類分級(jí)管理工作。工業(yè)企業(yè)結(jié)合自身業(yè)務(wù)特點(diǎn),依據(jù)工業(yè)數(shù)據(jù)產(chǎn)生的位置及流轉(zhuǎn)的范圍,可參考下圖的層次框架開展工業(yè)數(shù)據(jù)分類:

圖1 工業(yè)數(shù)據(jù)分類參考框架

工業(yè)企業(yè)在進(jìn)行數(shù)據(jù)分類分級(jí)過程中如果只是單純依托咨詢機(jī)構(gòu)來實(shí)施,形成的數(shù)據(jù)分類分級(jí)清單大多停留在紙面上,無法在數(shù)據(jù)的流轉(zhuǎn)中發(fā)揮實(shí)際作用。企業(yè)面對(duì)紛繁的工業(yè)數(shù)據(jù),開展分類分級(jí)工作離不開“自動(dòng)化工具+專家服務(wù)”的合作模式。綠盟科技將多年對(duì)工業(yè)生產(chǎn)業(yè)務(wù)的深入理解和深厚扎實(shí)的數(shù)據(jù)安全技術(shù)積累相結(jié)合,實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)識(shí)別、敏感字段分析、機(jī)器學(xué)習(xí)輔助、信息關(guān)聯(lián)、行業(yè)know-how有機(jī)融合,并結(jié)合行業(yè)專家對(duì)數(shù)據(jù)類別進(jìn)行審核校訂,有效提升工業(yè)數(shù)據(jù)分類分級(jí)的效率和準(zhǔn)確率。工業(yè)數(shù)據(jù)分類分級(jí)流程如下圖所示。

圖2 工業(yè)數(shù)據(jù)分類分級(jí)流程

同時(shí),將分類分級(jí)結(jié)果與數(shù)據(jù)標(biāo)簽相結(jié)合,在工業(yè)數(shù)據(jù)流轉(zhuǎn)及使用環(huán)節(jié)可全面依托數(shù)據(jù)標(biāo)簽所定義的數(shù)據(jù)安全級(jí)別,匹配業(yè)務(wù)需求和場(chǎng)景,為一般數(shù)據(jù)、重要數(shù)據(jù)及核心數(shù)據(jù)實(shí)現(xiàn)分級(jí)防護(hù)。

四、落實(shí)工業(yè)企業(yè)安全主體責(zé)任筑牢工業(yè)數(shù)據(jù)安全防護(hù)屏障

《管理辦法》進(jìn)一步明確工業(yè)企業(yè)承擔(dān)數(shù)據(jù)安全主體責(zé)任。這表明企業(yè)的主要負(fù)責(zé)人在落實(shí)主體責(zé)任時(shí)將成為本企業(yè)數(shù)據(jù)安全第一責(zé)任人,應(yīng)當(dāng)承擔(dān)起建立數(shù)據(jù)安全管理體系和技術(shù)體系、落實(shí)相關(guān)標(biāo)準(zhǔn)規(guī)范要求、確保數(shù)據(jù)全生命周期持續(xù)安全的責(zé)任。綠盟科技針對(duì)工業(yè)數(shù)據(jù)在流轉(zhuǎn)過程中的安全需求,采取標(biāo)記用途、數(shù)據(jù)加密、訪問控制、數(shù)據(jù)審計(jì)、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、安全監(jiān)測(cè)等多種防護(hù)措施,覆蓋包括數(shù)據(jù)收集、存儲(chǔ)、使用加工、傳輸、提供、公開、銷毀等全生命周期的不同環(huán)節(jié),有效應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn),面對(duì)未授權(quán)數(shù)據(jù)處理實(shí)現(xiàn)數(shù)據(jù)拿不到、看不懂、改不了、賴不掉。綠盟科技工業(yè)數(shù)據(jù)安全體系框架如下圖所示。

圖3 綠盟科技工業(yè)數(shù)據(jù)安全體系框架

(1)收集安全

依據(jù)工業(yè)數(shù)據(jù)的屬性,按照生產(chǎn)數(shù)據(jù)(工藝流程數(shù)據(jù)、設(shè)備數(shù)據(jù))、管理數(shù)據(jù)、研發(fā)數(shù)據(jù)、運(yùn)維數(shù)據(jù)等分類,依照一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三種等級(jí)將分散在工業(yè)生產(chǎn)環(huán)節(jié)中零散數(shù)據(jù)進(jìn)行分類分級(jí)采集。

(2)存儲(chǔ)安全

依據(jù)數(shù)據(jù)的類別與安全等級(jí),通過數(shù)據(jù)加密、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)防泄漏、訪問控制等安全措施保障數(shù)據(jù)存儲(chǔ)安全。

(3)使用加工安全

數(shù)據(jù)使用加工是工業(yè)數(shù)據(jù)價(jià)值再創(chuàng)造的核心環(huán)節(jié),將工業(yè)生產(chǎn)的關(guān)鍵技術(shù)、流程、知識(shí)、工藝積累沉淀,不斷迭代進(jìn)而優(yōu)化工藝流程、尋找最短、最經(jīng)濟(jì)的生產(chǎn)路徑,為工業(yè)高質(zhì)量發(fā)展提供最核心的數(shù)據(jù)支撐。在高價(jià)值工業(yè)數(shù)據(jù)使用加工過程中采取數(shù)據(jù)防泄漏、訪問控制、完整性保護(hù)、機(jī)密性保護(hù)等措施,保證合法用戶對(duì)信息和資源的有效使用。

(4)傳輸安全

在數(shù)據(jù)傳輸過程中,采用密碼技術(shù)、校驗(yàn)技術(shù)等相關(guān)手段來保證數(shù)據(jù)傳輸過程中的機(jī)密性、完整性和有效性,防止數(shù)據(jù)被竊取或篡改。

多數(shù)工業(yè)企業(yè)生產(chǎn)線建設(shè)時(shí)間較早,沒有考慮信息化和自動(dòng)化的融合,一些“啞設(shè)備”不具有網(wǎng)絡(luò)連接能力,生產(chǎn)線設(shè)備相對(duì)封閉或老舊,導(dǎo)致數(shù)據(jù)分散在生產(chǎn)的不同環(huán)節(jié)。在工業(yè)轉(zhuǎn)型升級(jí)中,通過采用合理的架構(gòu)設(shè)計(jì)與采集手段,既完成設(shè)備數(shù)據(jù)互聯(lián),又進(jìn)行安全防護(hù)措施補(bǔ)齊。工業(yè)數(shù)據(jù)安全防護(hù)部署如下圖所示。

圖4 工業(yè)數(shù)據(jù)安全防護(hù)部署示意圖

五、統(tǒng)籌構(gòu)建工業(yè)領(lǐng)域數(shù)據(jù)安全三級(jí)監(jiān)測(cè)體系

《管理辦法》明確由行業(yè)主管部門統(tǒng)籌建立工業(yè)領(lǐng)域數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)手段,打造工業(yè)領(lǐng)域數(shù)據(jù)安全態(tài)勢(shì)全局化匯聚能力,形成國(guó)家-省-企業(yè)三級(jí)工業(yè)數(shù)據(jù)安全監(jiān)測(cè)體系。通過安全工具流量采集、云端監(jiān)測(cè)、主動(dòng)上報(bào)等模式,實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)識(shí)別、數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)、數(shù)據(jù)違規(guī)泄露發(fā)現(xiàn)和數(shù)據(jù)安全態(tài)勢(shì)的有效掌握。國(guó)家-省-企業(yè)三級(jí)工業(yè)數(shù)據(jù)安全監(jiān)測(cè)體系如下圖所示。

圖5 三級(jí)工業(yè)數(shù)據(jù)安全監(jiān)測(cè)體系

綠盟科技工業(yè)數(shù)據(jù)安全監(jiān)測(cè)體系架構(gòu)通過大數(shù)據(jù)處理與分析平臺(tái)實(shí)現(xiàn)多元化異構(gòu)數(shù)據(jù)的接入、管理、存儲(chǔ)、運(yùn)算和智能整合,提供豐富的安全數(shù)據(jù)分析算法模型,全面提升工業(yè)數(shù)據(jù)安全監(jiān)測(cè)能力。工業(yè)數(shù)據(jù)安全監(jiān)測(cè)體系架構(gòu)如下圖所示。

圖6 綠盟科技工業(yè)數(shù)據(jù)安全監(jiān)測(cè)體系架構(gòu)

通過構(gòu)建工業(yè)數(shù)據(jù)安全監(jiān)測(cè)平臺(tái),以工業(yè)企業(yè)為核心、行業(yè)主管部門遵循體系化和系統(tǒng)化思維,加強(qiáng)安全資源儲(chǔ)備,幫助工業(yè)企業(yè)及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全短板,提升工業(yè)數(shù)據(jù)安全保障能力。

六、結(jié)語

2022年,是工信部組織開展工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)工作的部署實(shí)施之年,在國(guó)家數(shù)據(jù)安全法律法規(guī)及政策文件的加持下,工業(yè)領(lǐng)域數(shù)據(jù)安全管理必將步入發(fā)展的快車道。工業(yè)領(lǐng)域數(shù)據(jù)安全管理體系的建設(shè),將成為工業(yè)企業(yè)數(shù)字化、網(wǎng)絡(luò)化和智能化轉(zhuǎn)型發(fā)展的重要保障手段。

近年來

網(wǎng)絡(luò)安全新規(guī)密集出臺(tái)

企業(yè)如何走穩(wěn)合規(guī)之路?

微電影預(yù)告

綠盟科技自制微電影《等保風(fēng)云》

重磅上線