• 我的订阅
  • 社会

工信领域数据安全怎么管?专家:全周期管理实现“精准防护”

类别:社会 发布时间:2023-01-07 10:12:00 来源:人民资讯

本文转自:人民网

近日,工信部印发《工业和信息化领域数据安全管理办法(试行)》,(下称《办法》),自2023年1月1日起施行。《办法》重点解决了工信领域数据安全“谁来管、管什么、怎么管”的问题,为行业数据安全监管提供制度保障。

多位专家在接受人民网采访时称,工业领域数据涉及主体多、种类多、格式多,既有企业产生和收集的研发设计、生产制造等数据,也有工业互联网平台企业的知识库模型库等数据。《办法》提出数据分级保护的总体原则,重视对核心数据出境的安全评估,明确行业监管主体和责任,是对前期工信领域数据安全管理实践经验的固化总结,能够有效规范行业对数据的全周期管理,以及在应对外部窃取攻击等风险时实现快速联动、迅速处置。

数据分类分级 识别保护重点

随着全球数字经济的蓬勃发展,数据已成为关键生产要素和核心战略资源,数据安全的基础保障作用和发展驱动效应日益突出,攸关国家安全、公共利益和个人权利。

在数字经济和数据安全领域,我国出台了多部政策法规“护航”数字经济行稳致远。国务院《“十四五”数字经济发展规划》将研究完善行业数据安全管理政策作为提升国家总体数据安全保障水平的关键一环。《数据安全法》《个人信息保护法》等国家重大数据安全立法加速出台,进一步明确了数据安全行政监管的上位法依据和职责边界。

工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。工信部数据显示,2021年,规模以上工业企业关键工序数控化率达到55.3%,数字化研发工具的普及率达到了74.7%。数字化新业态、新模式也不断发展创新,开展网络化协同和服务型制造的企业比例分别达到了38.8%和29.6%。

《办法》对标《数据安全法》《网络安全法》《个人信息保护法》中的数据安全保护义务,提出以数据分级保护为总体原则,一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。

“以数据分类分级识别数据保护重点,就是摸清家底、心中有数。”专家指出,工业领域涉及的行业众多、应用场景丰富、业务环节复杂,相应的数据种类、形态也十分多样,需要认真研究到底拥有哪些数据类型、哪些数据需要重点保护。

明确联动机制 落实监管主体责任

今年8月,工信部公布全国第四批“专精特新”小巨人企业全名单,入选企业多达4357家,众所瞩目,热热闹闹。11月,工信部又提出,在未来三年里,围绕100个细分行业,打算扶持和培育300家左右的数字化转型服务平台,打造4000-6000家“小灯塔”工厂。

“数字化转型离不开有为政府的支持,同时也需要与有效市场相结合。”北京师范大学经管学院副教授赵向阳指出,中央政府部委高屋建瓴进行政策设计,宏观指引。地方政府根据当地的产业发展现状,甄选潜力大的细分行业,而数字化服务平台自己主动挖掘有数字化转型意愿的试点企业。根据“市场有需求,平台有能力,企业有意愿”的三结合原则来做数字化转型,是一种有益探索。

针对市场实际情况,《办法》构建了“部-地方-企业”三级联动的数据安全工作机制,明确“工业和信息化部、地方行业监管部门”两级监管机制。

具体来说,由工业和信息化部负责工信领域数据安全总体统筹与监督管理。在地方层面,地方工业和信息化主管部门、地方通信管理局、地方无线电管理机构分别负责对本地区工业数据处理者、电信数据处理者、无线电数据处理者的数据处理活动和安全保护进行监督管理。在企业层面,工业数据处理者、电信数据处理者、无线电数据处理者承担本单位的数据安全主体责任,落实工信领域数据安全管理要求。

中国信息通信研究院院长余晓晖表示,这种条块结合的监管组织架构既贯彻了《数据安全法》对于各地区、各行业、各领域数据安全监管的责任分工,也充分考虑了工信领域管理的共性需求与实践差异。

竖起技术铁甲 保障数据全生命周期安全

数字化的进程与风险相伴而生。今年2月,全球航港巨头瑞士空港遭遇一起勒索软件攻击,IT基础设施与服务受到干扰。苏黎世机场透露,这波网络攻击导致当天22架次航班发生延误。此类数据泄漏、勒索软件、黑客攻击等网络安全事件并不少见,每年的网络安全事件盘点都有数十个版本。

在数据生产加工的各个环节,数据违规传输、非授权访问、云端数据大规模泄露、勒索攻击、撞库攻击、黑产交易、网络漏洞等事件的危害性不容忽视。

为保障数据安全,《办法》围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,主要包括明确细化了协议约束、安全评估、审批等管理要求,以及校验与密码技术使用、数据访问控制等技术保护要求。同时,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护主体责任。

业内专家指出,从技术角度来说,不仅要通过协议解析、流量分析等手段深度识别监测的数据内容,还需利用关联分析、人工智能等技术分析数据处理安全措施是否到位(如重要数据未加密导致明文传输风险)、数据处理活动是否合法合规(如重要数据违规出境风险)等,更还应结合业务场景,通过深度学习等手段分析数据流量和操作行为是否正常、数据内容是否遭篡改等。

《办法》还规定了数据安全风险评估、数据出境安全评估、数据安全风险监测预警、数据安全应急处置等的开展情形,并对中央企业提出督促所属公司履行重要数据目录备案,及时向工业和信息化部报送集团本部数据安全保护情况等要求。

专家指出,《办法》出台后,应加快推进数据分类分级、分级防护、安全评估、应急处置等工作的有机融合。每一项工作的背后都需要更细化的制度标准作为“催化剂”,并在实践中推动各项工作机制协调、统一、灵活地运转起来,为保障工业数据安全、促进数字经济和制造业高质量发展筑牢坚实根基。(实习生施懿芝对本文亦有贡献)

以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。

快照生成时间:2023-01-07 11:45:05

本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。

信息原文地址:

紫光同芯CEO岳超发表《可信身份安全芯片技术展望》主题演讲
...晶圆级安全数据写入和更先进的封装技术,保证芯片生命周期的信息安全,提升个人化生产效能。三、更开放,一方面,可信身份生态日益扩大,开放式指令集架构CPU设计、建立统一标准的开放
2023-05-19 13:00:00
...保障难等挑战,亟需构建一个面向数据要素化的数据生命周期安全防护体系。胡瑞敏以数据安全风险事件为切入点,引出当前数据安全面临的困境,即数据分级分类、可信确权以及数据安全利用,并
2024-11-03 14:09:00
中国电信精彩亮相2023年网络安全博览会
...据加密、脱敏、加水印、防泄漏等功能,保护数据全生命周期的安全。量子安全组网产品以量子密钥分发技术为核心,可为政务、工业、金融、交通等客户提供敏感信息传输、关键数据存储等可靠的
2023-09-11 06:45:00
...要做好国际合作。“当前关键因素是数据使用过程全生命周期的安全保障,也就是刚才邬贺铨院士作主旨报告时提到的AI时代数据安全贯穿数据安全全过程。”张照龙表示,他对这项工作的看法与
2024-08-29 06:30:00
...体系研究,推动构建覆盖产业链全链条、全流程、全生命周期的标准体系,更好适应技术和产业发展新形势新要求。(二)推进重点标准体系建设。做好《国家车联网产业标准体系建设指南(智能网
2024-06-21 10:44:00
安全狗云甲·云原生安全解决方案获信通院CNAPP先进级认证
...系统V4是基于云原生安全(CNAPP)理念设计的容器全生命周期安全产品。通过在镜像构建前、镜像入仓库后、容器运行时、容器运行环境引入了漏洞风险扫描和入侵威胁检测,以及可视化和
2023-06-07 18:00:00
...业采集使用儿童信息行为。强化儿童个人数据信息全生命周期安全防护管理,明确全生命周期信息查询使用权限和程序,建立完善信息查询使用登记和审查制度,防止信息泄露。此外,会上还发布了
2023-07-29 14:14:00
山石网科2022荣耀收官,领航数据安全治理新能力
...产品线有更新迭代及布局规划,建立起围绕着数据全生命周期各阶段的不同场景的全方位技术解决能力。图注:山石网科数据安全技术能力全家福此外,山石网科还进行了数据安全产品国产化适配工
2023-01-18 12:00:00
...实现对数据采集、传输、存储、处理、交换、销毁全生命周期的安全管理和防护,一体化多维提供数据安全防护,为用户解决数据采集、治理、应用各环节风险,提供日常运营安全防护。文字:胡劭
2024-06-27 18:45:00
更多关于社会的资讯: