工信部于2021年9月30日发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(下称“《管理办法》”),管理办法全面对接《中华人民共和国民法典》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规,旨在加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险。
此次工业领域数据安全管理试点工作是对《管理办法》的进一步落地延伸,在其基础上围绕工业领域各类型大、中型企业展开,此次试点工作意味着工业和信息化领域数据安全管理正式进入落地阶段,其核心主旨为:
1.开展试点工作,落实主体责任;
2.提升安全能力,完善安全制度和工作机制;
3.遴选最佳实践,形成可复制可推广管理模式。
此次工业领域数据安全工作落地方向通知指出试点内容分为必选和可选两部分:
●必选内容包括三项
必选内容包括工业领域数据安全管理(主要涉及开展数据分类分级,制定重要数据清单和对重要数据目录进行备案管理,建立数据安全全流程管理工作机制)、工业领域数据安全防护(主要涉及数据全生命周期流程防护)和工业领域数据安全评估(主要由企业开展自评估,省级工信部督导检查,形成自评、整改、上报、督导检查、远程检测和现场评估机制)三项。
●可选内容包括三项
试点省份根据现有工作基础、条件和意愿,至少从工业领域数据安全产品应用推广、工业领域数据安全监测、工业领域数据出境安全管理三项中选择其中一项开展工作。
此次试点工作,工信部将选取5个左右省份展开试点工作,在原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业5个领域,每个领域选取至少3家大型、中型规模企业作为试点企业。
试点内容的归纳梳理
从试点工作强调的内容来看,共包含6个方面,各省以3+N、N≥1的要求确定试点内容。试点工作主体包括工信部、省工信主管部门、试点企业、支撑单位(包括国家工业信息安全发展研究中心等相关部属单位,相关安全企业等),责任划分如下所示:
序号 | 试点内容 | 主管部门 | 试点企业 | 支撑单位 |
1 | 工业领域数据安全管理 | 建立省、市、企业数据分类分级安全管理机制,组织制定重要数据目录,对重要数据目录备案,探索工业领域数据安全全流程管理工作机制 | 开展数据分类分级,制定重要数据清单,向主管部门报备 | 指导、配合、协助本试点内容 |
2 | 工业领域数据安全防护 | 制定数据安全防护方案,加强数据安全分级防护措施,提升数据全生命周期安全保护能力 | 协助试点企业做好数据安全防护工作 | |
3 | 工业领域数据安全评估 | 对企业自评估情况进行督导检查,视情组织支撑单位进行远程检测和现场评估 | 根据标准规范进行自评估,及时整改问题,并将评估报告报省级主管部门 | 提供评估方法和工具 |
4 | 工业领域数据安全产品应用推广 | 开展数据安全产品、技术、服务宣贯培训,遴选优秀产品应用案例和解决方案 | 加强产品创新和适配,提升供给能力 | |
5 | 工业领域数据安全监测 | 建设省级数据安全监测平台,收集企业侧数据安全监测结果,并将监测结果同步接入国家平台;建立省级工业领域数据安全风险事件通报响应机制,开展工业数据安全风险监测、威胁预警和事件处置工作 | 部署企业侧数据安全监测系统,上报监测结果至省级平台 | 协助建立部、省、企业三级联动的工业数据安全监测体系 |
6 | 工业领域数据出境安全管理 | 探索建立工业领域数据出境安全评估工作模式和方法,研究制定安全评估要点,指导企业开展数据出境安全评估和备案工作 | 开展数据处境安全自评估、第三方评估和备案工作 | 协助开展数据处境安全评估和备案工作 |
数据安全工作推进思路
1、 数据安全分类分级
《中华人民共和国数据安全法》、中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》均明确提到对数据进行分类分级保护,数据分类分级在整个数据安全保障体系中起到基石作用,是数据安全建设的重要步骤和依据,从运维制度、保障措施、岗位职责等多个方面的数据安全管理中都需依托数据分类分级来进行针对性编制,管理流程与分类分级的结合,可强化管理的落地执行性。
●数据分类
数据分类方法按业务条线总分法结合数据归类总分法的逻辑体系结构开展,从总业务条线出发,对业务梳理细分,得到数据分类框架,然后将细分业务的数据进行汇合,按实际需要的数据颗粒度进行细分(数据分类层级过少,不利于定级;过多则不利于管理。一般划分到适合本机构定级需要即可,宜不超过三个层级)即可得到数据资产目录,这些数据细分结果为数据分级的前提条件。
●数据分级
在完成数据分类的前提下,对数据进行安全定级。基本思路是根据某类数据的安全属性(完整性、保密性、可用性),发生安全事件后的影响对象、影响范围、影响程度,对数据进行安全定级,通常分成三到四个安全级别。
2、 覆盖数据全生命周期的安全防护
参照《信息安全技术 数据安全能力成熟度模型》(GB_T 37988-2019),围绕数据安全的脆弱性,依据数据安全级别的不同,深入数据层提出分级防护措施,避免“一刀切”的粗放低效防护。同时,针对数据采集、传输、存储、处理、交换和销毁全生命周期安全过程域,形成兼顾存储态、流动态数据的安全防护能力。
3、 工业领域数据安全评估
■基于全生命周期角度的数据安全评估
评估工作基于《信息安全技术 数据安全能力成熟度模型》、《工业数据安全评估指南(草案)》中对数据的生命周期各个阶段的安全控制点来进行评估,评估安全控制措施的存在性及有效性。部分评估内容如下表所示(示例):
数据生命周期阶段 | 评估过程域 | 评估的重点 |
通用要求 | 数据安全策略规划 | 适用于组织数据安全风险状况的安全策略规划,需数据涵盖生命周期 |
组织和人员管理 | 组织内部负责数据安全工作的职能部门及岗位,以及对人力资源过程中各环节的管理情况 | |
合规管理 | 需符合的法律法规要求,避免个人信息保护、重要数据保护等合规风险 | |
数据资产管理 | 建立数据资产有效管理方式 | |
数据供应链安全 | 建立组织的数据供应链管理机制,防范组织上下游的数据供应过程中的安全风险 | |
元数据管理 | 建立组织的元数据管理体系,用于对组织内元数据的集中管理 | |
监控与审计 | 对数据生命周期开展安全监控与审计 | |
鉴别与访问控制 | 对组织的数据安全需求和合规性要求建立身份鉴别和数据安全访问控制 | |
安全事件应急 | 建立针对数据安全事件应急响应体系,对各类安全事件进行响应处理 | |
数据采集安全 | 数据分类分级 | 确定数据分类分级的方法方式,并进行标识 |
数据采集安全管理 | 数据采集和获取过程中的安全控制,保证对各类数据的合规采集 | |
数据质量管理 | 数据采集过程中采集的数据的准确性、及时性、完整性和一致性的监控措施 | |
数据传输安全 | 数据传输加密 | 数据传输过程中采用适当的加密保护措施,防止泄露 |
数据存储安全 | 存储媒体安全 | 对数据存储媒体进行访问和使用的场景,提供技术和管理手段 |
逻辑存储安全 | 对数据逻辑存储、存储容器等有效的安全管控措施 | |
数据备份和恢复 | 数据备份与恢复策略的制定和执行情况 | |
数据处理安全 | 数据脱敏 | 对敏感数据在使用过程的脱敏措施 |
数据分析安全 | 由于数据分析而可能带来的数据价值泄露风险的管控措施 | |
数据正当使用 | 国家相关法律法规对数据使用和分析的相关要求的遵循情况 | |
数据处理环境安全 | 数据处理系统或平台的安全管控措施 | |
数据导入导出安全 | 和外部组织进行数据导入和导出过程的安全管控措施 | |
数据交换安全 | 数据共享安全 | 对外共享数据时的管控措施 |
数据发布安全 | 对外发布数据时的管控措施 | |
数据接口安全 | 对外数据接口调用时的管控措施 | |
数据销毁安全 | 数据销毁处置 | 针对数据内容的清除和净化机制 |
存储媒体销毁处置 | 对数据存储介质的销毁措施和规程 |
■基于业务场景的数据安全评估
基于业务场景的数据安全风险评估围绕数据相关业务开展的详细的风险调研、分析,产出数据风险报告,并基于数据风险报告产出符合单位实际情况并且可落地推进的数据风险治理建议。基于业务场景的数据安全风险评估主要包括以下几个步骤:
(1) 评估环境搭建
通过建立环境,须明确定义企业风险评估的对象和范围,设定风险级别,确定风险接受准则。
(2) 数据分析识别
风险识别流程、资产与数据发现、识别重要数据、业务数据流调研、现有数据安全控制措施调研、数据风险分析、数据风险评价。
(3) 数据风险处置
n风险处置包括风险消减、风险回避、风险转移、风险接受和不适用。
(4) 风险评估成果展示
风险评估完成,从风险评估对象、数据生命周期各阶段、各风险责任部门等不同的角度来展示风险和分析风险。以下为从数据生命周期阶段分析进行的风险评估成果示例:
总结
根据《工业领域数据安全管理试点工作通知》安排,各省级工业和信息化主管部门应于2021年12月完成试点申报,2021年12月-2022年1月完成启动部署,并于2022年1月-2022年9月完成试点实施,中期总结安排2022年5月,在2022年9月完成总结评估后将对试点工作中的优秀企业、典型案例和产品做法进行推广,整体时间安排紧凑有序,体现了工信部落实工业和信息化领域数据安全的决心,将极大促进和引导数据安全解决方案在工业领域的落地和推广。
(本文作者:杭州安恒信息技术股份有限公司 王同新 王晓翔)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
