首頁 > 關于我們 > 安恒動態 > 2024 > 正文

【安恒觀察】《工業領域數據安全能力提升實施方案（2024-2026年）》政策解讀

閱讀量：次 文章來源：安恒信息

安恒觀察

有政策解讀，有技術探討，有行業理解。

我們不僅關注“現在”，更著眼“未來”；

不僅傳遞觀點，更倡導實踐；

不僅瞄準機遇，更描繪前行路徑；

不僅關注風險，更關心解決之策。

引領方向，服務市場

攜手筑牢安全屏障，為客戶保駕護航！

工業和信息化部近日印發《工業領域數據安全能力提升實施方案（2024—2026年）》（工信部網安〔2024〕34號），（以下簡稱《實施方案》）提出到2026年底，我國工業領域數據安全保障體系基本建立。提出到2026年底，我國工業領域數據安全保障體系基本建立。

數據作為新型生產要素，是數字化、網絡化、智能化的基礎，已快速融入生產、分配、流通等各環節，保障數據安全，事關國家安全大局。提高數據安全治理能力，促進數據要素安全有序流動和價值釋放，為加快推進新型工業化，建設制造強國、網絡強國和數字中國提供堅實支撐。

方案提出要加強頂層謀劃，以強化重點行業、重點企業、重要系統平臺、重要數據保護為切入點，以點帶面促進整體保護水平提升。充分發揮行業協會、龍頭企業、專業機構、高等院校等各方力量，形成數據安全協同治理的良好局面。結合行業特色、數據特征等，差異化指導、精準化施策，加速提升行業數據安全管理水平。不斷創新管理模式、技術、產品與服務，適應新時期工業領域數據安全保護新形勢、新特點和新需求。

實施方案提出到2026年底，基本實現各工業行業規上企業數據安全要求宣貫全覆蓋；開展數據分類分級保護的企業超4.5萬家，至少覆蓋年營收在各省（區、市）行業排名前10%的規上工業企業；立項研制數據安全國家、行業、團體等標準規范不少于100項；遴選數據安全典型案例不少于200個，覆蓋行業不少于10個；數據安全培訓覆蓋3萬人次，培養工業數據安全人才超5000人。

來源：網絡安全管理局

一、《實施方案》出臺的背景和目的是什么？

數據是數字經濟時代的關鍵新型生產要素，與國家經濟運行、社會治理、公共服務等方面密切相關，保障數據安全已成為事關國家安全與經濟社會發展的重大問題。2023年9月，全國新型工業化推進大會召開，推動新型工業化發展邁向新征程，工業領域數字化、網絡化、智能化加速提質升級，在促進工業數據流通共享和開發利用的同時，伴隨而來的大規模數據泄露、勒索攻擊等風險形勢日趨嚴峻，工業企業數據安全意識和能力普遍薄弱、地方主管部門監管工作缺抓手缺隊伍、技術產品和服務供給不足等問題亟待研究解決。總體看，加強數據安全保障是新型工業化發展繞不過的坎，是推進新型工業化行穩致遠的基礎和前提。

黨中央、國務院高度重視數據安全和新型工業化工作，習近平總書記多次作出重要指示，強調要“把安全貫穿數據治理全過程”“把必須管住的堅決管到位”“統籌發展和安全，深刻把握新時代新征程推進新型工業化的基本規律”。《數據安全法》《工業和信息化領域數據安全管理辦法（試行）》等法律政策陸續出臺，為工信領域數據安全監管和保護工作提供了指導和依據。為貫徹落實習近平總書記重要指示精神和黨中央、國務院決策部署，將法律政策要求在工業領域再細化、再落實，切實提出符合行業特色、針對突出問題的任務舉措，有效促進工業領域數據安全保護水平躍升，我部研究起草了《實施方案》，分步驟、有重點地指導各方扎實推進工業領域數據安全工作。

二、《實施方案》的定位和目標是什么？

《實施方案》是指導未來三年工業領域數據安全工作的綱領性規劃文件，以“到2026年底基本建立工業領域數據安全保障體系”為總體目標，分別從企業側、監管側、產業側等方面明確各工作目標，致力于實現企業保護水平大幅提升、監管能力和手段更加健全、產業供給穩步提升：

一是從行業數據安全意識和能力普及覆蓋考慮，提出基本實現各工業行業規上企業數據安全要求宣貫全覆蓋。

二是緊抓重點企業和規上企業，實現數據分類分級保護的企業超4.5萬家，至少覆蓋年營收在各省（區、市）行業排名前10%的規上工業企業。

三是標準先行、樹立典型。立項研制國家、行業、團體等各類標準規范不少于100項，對企業履行數據安全保護責任義務加強細化標準指導。面向不少于10個重點行業遴選典型案例不少于200個，強化優秀應用實踐的引領帶動作用。四是加大人才培養，實現培訓覆蓋3萬人次、培養人才超5000人。

三、《實施方案》的主要內容是什么？

《實施方案》堅持統籌發展和安全，堅持底線思維和極限思維，堅持目標導向和問題導向，以構建完善工業領域數據安全保障體系為主線，以落實企業主體責任為核心，以保護重要數據、提升監管能力、強化產業支撐等為重點，從總體要求、重點任務、保障措施三方面提出主要內容：

一是總體要求方面，明確了指導思想、基本原則和總體目標，在總體目標中細化了各項關鍵任務指標。

二是重點任務方面，圍繞提升工業企業數據保護、數據安全監管、數據安全產業支撐三類能力，明確提出11項任務。其中，關于提升工業企業數據保護能力，提出了增強安全意識、開展重要數據保護、強化重點企業管理、深化重點場景保護4項任務；關于提升數據安全監管能力，提出了完善政策標準、加強風險防控、推進技術手段建設、鍛造監管執法能力4項任務；關于提升數據安全產業支撐能力，提出了加大技術產品和服務供給、促進應用推廣和供需對接、健全人才培養體系3項任務。

三是保障措施方面，圍繞《實施方案》落地實施的保障需求，提出了加強組織協調、加大資源保障、強化成效評估、做好宣傳引導4項工作。

四、《實施方案》明確

如何提升工業企業數據保護能力？

工業企業是履行數據安全保護責任和義務的主體。《實施方案》重點明確了提升工業企業數據保護能力的四項關鍵舉措：

一是增強數據安全意識，通過法律政策和標準宣貫培訓等工作，普及提高企業安全意識。從明確責任人、建立健全管理體系和工作機制、配足崗位和人員隊伍、定期開展教育培訓等方面壓實企業主體責任。引導企業將數據安全管理要求融入本單位發展戰略和考核機制，同步推進業務發展和數據安全工作。

二是開展重要數據保護，指導存在重要數據的企業落實建立健全管理制度、識別報備重要數據、實施分級防護、定期開展風險評估、開展風險事件監測與應急處置等要求，對重要數據進行重點保護。

三是強化重點企業數據安全管理，滾動編制工業領域數據安全風險防控重點企業名錄，對名錄內企業既要督促其著重提升風險監測、態勢感知、威脅研判和應急處置等能力，又要發揮各級技術力量加強技術支持。

四是深化重點場景數據安全保護，聚焦數據處理場景、典型業務場景、易發頻發風險場景和數據要素大規模流通交易場景，制定系列實踐指南，指導企業精準施策。

五、《實施方案》明確監管部門

如何提升數據安全監管能力？

健全完善數據安全政策標準、技術手段、工作隊伍等是提升監管能力的重要基礎。《實施方案》從當前數據安全監管急需出發，重點明確了提升監管能力的四項關鍵舉措：

一是完善數據安全政策標準，具體包括建立健全政策制度、完善全流程監管機制、研制重點急需標準等任務，并鼓勵地方積極制定相關政策。

二是加強數據安全風險防控，在做好風險信息報送與共享、組建風險分析專家組、動態管理風險直報單位庫、建立重大風險事件案例庫、加強風險提示等常態化工作基礎上，打造“數安護航”專項行動和“數安鑄盾”應急演練2個品牌活動，有效提升風險事件防范和處置水平。

三是推進數據安全技術手段建設，統籌建設工業和信息化領域數據安全管理平臺，加快推進“部-省-企業”三級監測應急等技術能力建設和協同聯動。建立工業領域數據安全工具庫，為高效開展監管和保護工作提供規范化、便捷式工具服務等支撐。

四是鍛造數據安全監管執法能力，明確提出規范事件調查程序，豐富取證方法和手段，完善執法流程機制和加強執法案例宣介與警示教育。推動地方主管部門將數據安全納入行政執法事項清單，打造專業化、規范化監管執法隊伍。

六、《實施方案》明確

如何提升數據安全產業支撐能力？

強大的數據安全技術、產品、服務和人才等產業支撐能力，是開展數據安全工作的重要保障。《實施方案》推動政產學研用各方協同提升數據安全產業支撐能力，重點從以下三方面布局未來三年產業發展：

一是加大技術產品和服務供給，提出共性技術優化升級、關鍵技術攻關和產品研發、新型安全架構設計、供給模式創新等任務。

二是促進應用推廣和供需對接，通過試點應用一批先進技術產品、打造一批解決方案、遴選推廣一批典型案例以及組織一批沙龍等活動，充分盤活利用數據安全產業供需雙方資源，激發產業創新活力。

三是建立健全人才培養體系，圍繞教材課程開發、人才資格認定、豐富人才培養形式、培養復合型管理人才與實戰型技能人才、加強人才激勵等方面不斷培養壯大數據安全人才隊伍。

七、下一步如何推進《實施方案》落地見效？

?下一步，要充分發揮部、省、企業、行業組織、專業機構、高等院校、安全企業等各方力量，協同扎實推進《實施方案》落實落細。

一要開展宣貫培訓。分片區組織開展政策宣貫，面向地方工信主管部門、工業企業等做好政策文件重點、要點解讀，切實提升行業數據安全保護意識和工作水平。鼓勵各行業、各地區、各有關企業結合實際開展系列宣貫培訓活動，加快將政策文件要求傳達到位、落實到位。

二要抓好組織實施。緊扣《實施方案》要求，分解形成工業領域數據安全工作年度計劃，明確各方任務分工，每年滾動跟蹤檢查工作進展、總結評估工作成效，對工作不力的加強督導落實，對表現突出的予以表揚激勵。督促指導各有關單位細化制定本單位工作方案，加強責任落實，加大資金、人員等各類資源的投入力度，高質量完成各項目標任務。

三要加強典型引領。及時總結各單位在《實施方案》落地推進過程中的優秀經驗做法，遴選推廣典型案例，樹立行業標桿。引導各行業、各地區結合實際創新建立工作模式、組織開展特色活動，持續深入挖掘優秀實踐并加強宣傳普及。

如何開展重要數據安全保護，提升分類分級效能？

AI讓數據分類分級更簡單

面對各行各業的客戶，根據各自體量大小，其不同業務系統的總字段數，少則上萬個，多則幾十萬上百萬個。人工梳理的效率為平均1000字段/天左右，如果客戶總字段數以10W來計算，大約需要100人天才能做完。面對這耗時耗力的分類分級工作，如何才能提升效率呢？

經過上百個項目實施的探索，我們給出的答案是，將AI人工智能整合進分類分級的工作中。安恒AiSort數據分類分級產品主打“AI讓數據分類分級更簡單”，內置了NLP、聚類、強化學習等AI模型。通過對數據的分級分類，可更清晰地了解敏感數據的分布情況，更有針對性地建立覆蓋數據全生命周期的安全防護。安恒信息作為數據安全領域的領軍企業之一，連續兩年被Gartner報告列為“數據分類分級領域”領跑廠商。

如何加強數據安全風險防控？

看數據安全管控平臺強大實力！

為加強數據安全風險防控，應對大數據匯聚、流動及交換共享過程中引發的數據安全風險等問題，安恒信息在《數據安全法》頒布前三年，便推出了安恒數盾數據安全管理平臺（又名：數據安全管控平臺），堪稱國內 DSP 數據安全平臺品類的先驅開創者。

該平臺利用復雜系統建模方法和大數據智能分析，提供流動數據風險治理、數據安全合規監管能力。從數據、接口、人員三個視角建立規則模型，對數據歸集、處理、共享、交換場景下的數據風險進行全域治理和合規監管，對發現的數據安全風險進行及時預警和通報，建立適應數據動態流動的安全管理機制。以平臺為基礎工具，幫助客戶建立了數據層面從資產識別、安全防護、監測預警、響應處置到安全合規的數據安全監督管理閉環。

數據安全管控平臺被Gartner列為標桿供應商

如何全流程、體系化為客戶提供

更具競爭力的技術產品和更全面的服務供給？

自數據安全體系化治理概念推出以來，安恒信息在不斷實踐中提煉出更具象化的、落地性質的咨詢理念，圍繞數據安全防護、管控、監管三大協同一體化機制，作用于數據安全管理、運營、技術三大體系架構，延伸出數據處理支撐、使用、共享交換利用三大安全服務領域，持續為客戶提供管理抓手、技術賦能、運營聯動，保障全鏈路全場景的數據安全。

數據安全咨詢服務體系目前囊括八大類核心服務：數據安全頂層規劃、分類分級、合規評估、DSMM差距評估、風險評估、治理咨詢、防泄密體系、運營體系設計咨詢服務；

并聯動“數盾”全系列產品團隊協同研究開發推出八項運營細項服務：數據安全分類分級運營、風險管理、訪問權限管理、策略管理、威脅監測、應急響應、隱私合規、及審計運營服務，不斷夯實核心服務基座，逐步形成安恒信息數據安全服務全景圖。

如何加大適配工業業務場景和數據特征的

隱私計算等關鍵技術攻關？

安恒AiLand數據安全島隱私計算平臺是一個專注于保障數據安全流通，致力于解決多源多方數據聯合建模分析時的安全、信任和隱私保護問題的隱私計算平臺。綜合應用可信執行環境，聯邦學習，MPC，同態加密等多種前沿技術，配合關鍵行為數字驗簽和區塊鏈審計技術，實現數據要素流通的所有權和使用權分離，確保原始數據的“可用不可見”、“可用不可取”，保障多方數據聯合計算過程的可靠、可控和可溯。平臺目前服務于大數據交易中心、政務數據授權運營、公安大數據開放共享、東數西算工程等項目，獲得多方好評。

如何持續為數據安全提供源動力？

健全人才培養體系

安恒信息近幾年已經結合自身的人才發展需求，積極布局數字安全人才培養體系建設。例如安恒信息與浙江大學和南京郵電大學等高校聯合（安恒工作站）培養的博士后，研究方向均為數據識別、同態加密、隱私計算等提升數據安全保障和促進數據安全流通方面。

和中國科學技術大學，北京郵電大學和西安電子科技大學、哈爾濱工業大學等5所高校聯合培養產教融合博士，基本也是以數字安全為研究方向。與西安電子科技大學共建教育部大數據安全工程技術研究中心，杭州電子科技大學共建的浙江省重點支持產業學院和省級大數據安全治理工程研究中心，都是通過產教融合培養技能、技術和研究型多層次數據安全人才的典范和先進案例；

通過行業培訓、競賽和認證培養與選拔優秀數據安全工程技術和應用型人才，比如教育部注冊數據安全專業人員認證體系開發，工信部數據安全人才強基計劃中的數據安全大賽，電信集團數據安全技術培訓等；

而且作為核心成員參與了人社部數據安全工程技術人員新職業國家技能標準開發等數據安全人才培養頂層設計工作。