全國:010-56542716
天津:022-27810977
資訊中心
概況
工信部于2021年9月30日發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見稿)》(下稱“《管理辦法》”),,管理辦法全面對(duì)接《中華人民共和國民法典》,、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī),,旨在加快推動(dòng)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理工作制度化,、規(guī)范化,提升工業(yè),、電信行業(yè)數(shù)據(jù)安全保護(hù)能力,,防范數(shù)據(jù)安全風(fēng)險(xiǎn)。
此次工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)工作是對(duì)《管理辦法》的進(jìn)一步落地延伸,,在其基礎(chǔ)上圍繞工業(yè)領(lǐng)域各類型大,、中型企業(yè)展開,此次試點(diǎn)工作意味著工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理正式進(jìn)入落地階段,,其核心主旨為:
1.開展試點(diǎn)工作,,落實(shí)主體責(zé)任;2.提升安全能力,,完善安全制度和工作機(jī)制,;3.遴選最佳實(shí)踐,形成可復(fù)制可推廣管理模式,。
此次工業(yè)領(lǐng)域數(shù)據(jù)安全工作落地方向通知指出試點(diǎn)內(nèi)容分為必選和可選兩部分:
●必選內(nèi)容包括三項(xiàng)必選內(nèi)容包括工業(yè)領(lǐng)域數(shù)據(jù)安全管理(主要涉及開展數(shù)據(jù)分類分級(jí),,制定重要數(shù)據(jù)清單和對(duì)重要數(shù)據(jù)目錄進(jìn)行備案管理,,建立數(shù)據(jù)安全全流程管理工作機(jī)制),、工業(yè)領(lǐng)域數(shù)據(jù)安全防護(hù)(主要涉及數(shù)據(jù)全生命周期流程防護(hù))和工業(yè)領(lǐng)域數(shù)據(jù)安全評(píng)估(主要由企業(yè)開展自評(píng)估,省級(jí)工信部督導(dǎo)檢查,,形成自評(píng),、整改、上報(bào),、督導(dǎo)檢查,、遠(yuǎn)程檢測(cè)和現(xiàn)場(chǎng)評(píng)估機(jī)制)三項(xiàng),。
●可選內(nèi)容包括三項(xiàng)試點(diǎn)省份根據(jù)現(xiàn)有工作基礎(chǔ)、條件和意愿,,至少從工業(yè)領(lǐng)域數(shù)據(jù)安全產(chǎn)品應(yīng)用推廣,、工業(yè)領(lǐng)域數(shù)據(jù)安全監(jiān)測(cè)、工業(yè)領(lǐng)域數(shù)據(jù)出境安全管理三項(xiàng)中選擇其中一項(xiàng)開展工作,。
此次試點(diǎn)工作,,工信部將選取5個(gè)左右省份展開試點(diǎn)工作,在原材料工業(yè),、裝備工業(yè),、消費(fèi)品工業(yè)、電子信息制造業(yè),、軟件和信息技術(shù)服務(wù)業(yè)5個(gè)領(lǐng)域,,每個(gè)領(lǐng)域選取至少3家大型、中型規(guī)模企業(yè)作為試點(diǎn)企業(yè),。
試點(diǎn)內(nèi)容的歸納梳理
從試點(diǎn)工作強(qiáng)調(diào)的內(nèi)容來看,,共包含6個(gè)方面,各省以3+N,、N≥1的要求確定試點(diǎn)內(nèi)容,。試點(diǎn)工作主體包括工信部、省工信主管部門,、試點(diǎn)企業(yè),、支撐單位(包括國家工業(yè)信息安全發(fā)展研究中心等相關(guān)部屬單位,相關(guān)安全企業(yè)等),,責(zé)任劃分如下所示:
數(shù)據(jù)安全工作推進(jìn)思路
1 數(shù)據(jù)安全分類分級(jí)
《中華人民共和國數(shù)據(jù)安全法》,、中共中央國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》均明確提到對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù),數(shù)據(jù)分類分級(jí)在整個(gè)數(shù)據(jù)安全保障體系中起到基石作用,,是數(shù)據(jù)安全建設(shè)的重要步驟和依據(jù),,從運(yùn)維制度、保障措施,、崗位職責(zé)等多個(gè)方面的數(shù)據(jù)安全管理中都需依托數(shù)據(jù)分類分級(jí)來進(jìn)行針對(duì)性編制,,管理流程與分類分級(jí)的結(jié)合,可強(qiáng)化管理的落地執(zhí)行性,。
●數(shù)據(jù)分類
數(shù)據(jù)分類方法按業(yè)務(wù)條線總分法結(jié)合數(shù)據(jù)歸類總分法的邏輯體系結(jié)構(gòu)開展,,從總業(yè)務(wù)條線出發(fā),對(duì)業(yè)務(wù)梳理細(xì)分,,得到數(shù)據(jù)分類框架,,然后將細(xì)分業(yè)務(wù)的數(shù)據(jù)進(jìn)行匯合,按實(shí)際需要的數(shù)據(jù)顆粒度進(jìn)行細(xì)分(數(shù)據(jù)分類層級(jí)過少,,不利于定級(jí),;過多則不利于管理,。一般劃分到適合本機(jī)構(gòu)定級(jí)需要即可,宜不超過三個(gè)層級(jí))即可得到數(shù)據(jù)資產(chǎn)目錄,,這些數(shù)據(jù)細(xì)分結(jié)果為數(shù)據(jù)分級(jí)的前提條件,。
●數(shù)據(jù)分級(jí)
在完成數(shù)據(jù)分類的前提下,對(duì)數(shù)據(jù)進(jìn)行安全定級(jí)?;舅悸肥歉鶕?jù)某類數(shù)據(jù)的安全屬性(完整性,、保密性、可用性),,發(fā)生安全事件后的影響對(duì)象,、影響范圍、影響程度,對(duì)數(shù)據(jù)進(jìn)行安全定級(jí),通常分成三到四個(gè)安全級(jí)別,。
2,、覆蓋數(shù)據(jù)全生命周期的安全防護(hù)
參照《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB_T 37988-2019),圍繞數(shù)據(jù)安全的脆弱性,,依據(jù)數(shù)據(jù)安全級(jí)別的不同,,深入數(shù)據(jù)層提出分級(jí)防護(hù)措施,避免“一刀切”的粗放低效防護(hù),。同時(shí),,針對(duì)數(shù)據(jù)采集、傳輸,、存儲(chǔ),、處理、交換和銷毀全生命周期安全過程域,,形成兼顧存儲(chǔ)態(tài),、流動(dòng)態(tài)數(shù)據(jù)的安全防護(hù)能力。
3,、工業(yè)領(lǐng)域數(shù)據(jù)安全評(píng)估
■基于全生命周期角度的數(shù)據(jù)安全評(píng)估
評(píng)估工作基于《信息安全技術(shù)?數(shù)據(jù)安全能力成熟度模型》,、《工業(yè)數(shù)據(jù)安全評(píng)估指南(草案)》中對(duì)數(shù)據(jù)的生命周期各個(gè)階段的安全控制點(diǎn)來進(jìn)行評(píng)估,評(píng)估安全控制措施的存在性及有效性,。部分評(píng)估內(nèi)容如下表所示(示例):
■基于業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全評(píng)估
基于業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估圍繞數(shù)據(jù)相關(guān)業(yè)務(wù)開展的詳細(xì)的風(fēng)險(xiǎn)調(diào)研,、分析,產(chǎn)出數(shù)據(jù)風(fēng)險(xiǎn)報(bào)告,,并基于數(shù)據(jù)風(fēng)險(xiǎn)報(bào)告產(chǎn)出符合單位實(shí)際情況并且可落地推進(jìn)的數(shù)據(jù)風(fēng)險(xiǎn)治理建議,。基于業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估主要包括以下幾個(gè)步驟:
(1)評(píng)估環(huán)境搭建
通過建立環(huán)境,,須明確定義企業(yè)風(fēng)險(xiǎn)評(píng)估的對(duì)象和范圍,,設(shè)定風(fēng)險(xiǎn)級(jí)別,確定風(fēng)險(xiǎn)接受準(zhǔn)則,。
(2)數(shù)據(jù)分析識(shí)別
風(fēng)險(xiǎn)識(shí)別流程,、資產(chǎn)與數(shù)據(jù)發(fā)現(xiàn)、識(shí)別重要數(shù)據(jù),、業(yè)務(wù)數(shù)據(jù)流調(diào)研,、現(xiàn)有數(shù)據(jù)安全控制措施調(diào)研、數(shù)據(jù)風(fēng)險(xiǎn)分析,、數(shù)據(jù)風(fēng)險(xiǎn)評(píng)價(jià),。
(3)數(shù)據(jù)風(fēng)險(xiǎn)處置
n風(fēng)險(xiǎn)處置包括風(fēng)險(xiǎn)消減、風(fēng)險(xiǎn)回避,、風(fēng)險(xiǎn)轉(zhuǎn)移,、風(fēng)險(xiǎn)接受和不適用。
(4)風(fēng)險(xiǎn)評(píng)估成果展示
風(fēng)險(xiǎn)評(píng)估完成,,從風(fēng)險(xiǎn)評(píng)估對(duì)象,、數(shù)據(jù)生命周期各階段、各風(fēng)險(xiǎn)責(zé)任部門等不同的角度來展示風(fēng)險(xiǎn)和分析風(fēng)險(xiǎn),。以下為從數(shù)據(jù)生命周期階段分析進(jìn)行的風(fēng)險(xiǎn)評(píng)估成果示例:
總結(jié)
根據(jù)《工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)工作通知》安排,,各省級(jí)工業(yè)和信息化主管部門應(yīng)于2021年12月完成試點(diǎn)申報(bào),2021年12月-2022年1月完成啟動(dòng)部署,,并于2022年1月-2022年9月完成試點(diǎn)實(shí)施,,中期總結(jié)安排2022年5月,在2022年9月完成總結(jié)評(píng)估后將對(duì)試點(diǎn)工作中的優(yōu)秀企業(yè),、典型案例和產(chǎn)品做法進(jìn)行推廣,,整體時(shí)間安排緊湊有序,體現(xiàn)了工信部落實(shí)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全的決心,,將極大促進(jìn)和引導(dǎo)數(shù)據(jù)安全解決方案在工業(yè)領(lǐng)域的落地和推廣,。
(本文作者:杭州安恒信息技術(shù)股份有限公司 王同新 王曉翔)
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信