工信部于2021年9月30日发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(下称“《管理办法》”),旨在加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险。
数据安全工作推进思路
1、数据安全分类分级
《中华人民共和国数据安全法》、中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》均明确提到对数据进行分类分级保护,数据分类分级在整个数据安全保障体系中起到基石作用,是数据安全建设的重要步骤和依据,从运维制度、保障措施、岗位职责等多个方面的数据安全管理中都需依托数据分类分级来进行针对性编制,管理流程与分类分级的结合,可强化管理的落地执行性。
数据分类
数据分类需要根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识,并形成数据分类清单,数据分类层级过少不利于定级,过多则不利于管理,故一般划分到适合本机构定级需要即可,宜不超过三个层级。
数据分类按数据域划分为工业企业和平台企业两个维度完成企业工业数据分类清单,这些数据细分结果将作为数据分级的前提条件。
工业企业工业数据分类维度:包括但不限于研发数据域、生产数据域、运维数据域、管理数据域、外部数据域。
平台企业工业数据分类维度:包括但不限于平台运营数据域和企业管理数据域。
数据分级
在完成数据分类的前提下,对数据进行安全定级,参照《中华人民共和国数据安全法》、《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》《工业数据分类分级指南(试行)》,安全定级的基本思路是根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业领域数据分为一般数据、重要数据和核心数据三级。
数据级别 | 危害程度 | 防护措施 | 共享原则 |
一般数据 | 对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小 | 采取的防护措施,能抵御一般恶意攻击。 制定应急预案,当数据遭篡改、破坏、泄露或非法利用时,根据应急预案立即进行应急处置。 | 在做好数据管理的前提下适当共享。 |
受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小 | |||
恢复数据或消除负面影响所需付出的代价小 | |||
其他未纳入重要数据、核心数据目录的数据 | |||
重要数据 | 对政治、国土、军事、经济、 文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全 | 采取的防护措施,能抵御大规模、较强恶意攻击。 制定应急预案,当数据遭篡改、破坏、泄露或非法利用时,根据应急预案立即进行应急处置。 | 在做好数据管理的前提下适当共享,只对确需获取该级数据的授权机构及相关人员开放。 |
对工业、电信行业发展、生产、运行和经济利益等造成影响 | |||
造成重大数据安全事件或生产安全事故,对公共利益或者个人、 组织合法权益造成严重影响,社会负面影响大 | |||
引发的级联效应明显, 影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、 技术进步和产业生态等造成严重影响 | |||
恢复数据或消除负面影响所需付出的代价大 | |||
经行业监管部门评估确定的其他重要数据 | |||
核心数据 | 对政治、国土、军事、经济、 文化、社会、科技、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全 | 采取的防护措施,能抵御来自国家级敌对组织的大规模恶意攻击。 制定应急预案,当数据遭篡改、破坏、泄露或非法利用时,根据应急预案立即进行应急处置,并及时上报数据所在地省级工业和信息化主管部门。于应急工作结束后30日内补充上报事件处置情况。 | 原则上不共享,确需共享的应严格控制知悉范围。 |
对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响 | |||
对工业生产运营、电信和互联网运行和服务等造成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等 | |||
经工业和信息化部评估确定的其他核心数据 |
2、基于数据全生命周期的安全管理
参考《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,工业和电信数据处理者对数据处理活动负有安全主体责任,应针对数据生命周期包含数据的收集、存储、使用、加工、传输、提供、公开等环节,参照分类分级结果,实施差异化安全防护措施。
收集:遵循合法、正当、必要的原则,数据收集配备技术手段、签署安全协议等措施,并实施审计记录。针对间接途径获取数据的,要求数据提供方做出数据源合法性的书面承诺。
存储:采用校验技术、密码技术等措施进行安全存储,限制数据公共信息网络访问,实施数据容灾备份存储介质安全管理和异地容灾备份等安全措施。
使用、加工:实时授权机制限制针对特定主体精准画像、数据复原等加工处理活动。保证利用数据自动化决策的透明度和结果的公平合理。对使用和加工重要核心数据实施访问控制,同时,建立核心数据使用、加工登记、审批机制,并留存日志记录,提供数据处理服务应取得经营许可权限。
传输:按数据安全级别制定相应安全措施,技术手段包括校验技术、密码技术、安全传输通道或者安全传输协议等。跨组织机构或使用公共信息网络进行数据传输应事先登记、审批。
提供:核心数据的提供应实施脱敏、审计等安全手段,提供核心数据应走国家数据安全工作协调机制审批。数据处理者在提供数据前核实数据接收方的数据安全保护能力。
公开:公开前开展安全评估,并保证数据的真实性、准确性,核心数据原则不得公开。
销毁:明确销毁对象、流程以及销毁技术,并存留审计记录。对于销毁的重要数据和核心数据,禁止恢复。
数据出境:重要数据应在境内存储,确需向境外提供,事先应实施数据出境安全评估并确保安全,同时,对出境数据应跟踪掌握,核心数据不得出境。
数据承接:对因兼并、重组、破产等原因需要转移数据的,明确数据承接方案,通知受影响用户。重要数据和核心数据应及时备案。
委托处理:委托他人开展数据处理活动前对被委托方的数据安全保护能力、资质进行核实。委托处理重要数据和核心数据的应当委托取得相应认证资质的检测评估机构对被委托方进行安全评估,未经同意不得将数据提供给第三方。
安全审计:数据全生命周期处理过程中,记录数据处理、权限管理和人员操作等日志,日志存留半年以上,重要数据和核心数据至少每半年进行一次安全审计。
3、数据安全评估
对于一般数据,开展数据安全自评估,对发现的数据安全风险问题进行及时整改;对于重要数据和核心数据,应当至少每年自行或者委托评估机构开展一次安全评估,并向所在地工业和信息化主管部门或通信管理局报告。
(本文作者:杭州安恒信息技术股份有限公司 王同新 王晓翔)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。