概況

工信部于2021年9月30日發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）（征求意見稿）》（下稱“《管理辦法》”），管理辦法全面對接《中華人民共和國民法典》,、《中華人民共和國網(wǎng)絡(luò)安全法》,、《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)，旨在加快推動工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理工作制度化,、規(guī)范化,，提升工業(yè)、電信行業(yè)數(shù)據(jù)安全保護能力,，防范數(shù)據(jù)安全風(fēng)險,。

此次工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點工作是對《管理辦法》的進一步落地延伸，在其基礎(chǔ)上圍繞工業(yè)領(lǐng)域各類型大,、中型企業(yè)展開,，此次試點工作意味著工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理正式進入落地階段，其核心主旨為：

1.開展試點工作,，落實主體責(zé)任,；2.提升安全能力,，完善安全制度和工作機制；3.遴選最佳實踐,，形成可復(fù)制可推廣管理模式,。

此次工業(yè)領(lǐng)域數(shù)據(jù)安全工作落地方向通知指出試點內(nèi)容分為必選和可選兩部分：

●必選內(nèi)容包括三項必選內(nèi)容包括工業(yè)領(lǐng)域數(shù)據(jù)安全管理（主要涉及開展數(shù)據(jù)分類分級，制定重要數(shù)據(jù)清單和對重要數(shù)據(jù)目錄進行備案管理,，建立數(shù)據(jù)安全全流程管理工作機制）,、工業(yè)領(lǐng)域數(shù)據(jù)安全防護（主要涉及數(shù)據(jù)全生命周期流程防護）和工業(yè)領(lǐng)域數(shù)據(jù)安全評估（主要由企業(yè)開展自評估，省級工信部督導(dǎo)檢查,，形成自評,、整改、上報,、督導(dǎo)檢查,、遠程檢測和現(xiàn)場評估機制）三項。

●可選內(nèi)容包括三項試點省份根據(jù)現(xiàn)有工作基礎(chǔ),、條件和意愿,，至少從工業(yè)領(lǐng)域數(shù)據(jù)安全產(chǎn)品應(yīng)用推廣、工業(yè)領(lǐng)域數(shù)據(jù)安全監(jiān)測,、工業(yè)領(lǐng)域數(shù)據(jù)出境安全管理三項中選擇其中一項開展工作,。

此次試點工作，工信部將選取5個左右省份展開試點工作,，在原材料工業(yè),、裝備工業(yè)、消費品工業(yè),、電子信息制造業(yè),、軟件和信息技術(shù)服務(wù)業(yè)5個領(lǐng)域，每個領(lǐng)域選取至少3家大型,、中型規(guī)模企業(yè)作為試點企業(yè),。

試點內(nèi)容的歸納梳理

從試點工作強調(diào)的內(nèi)容來看，共包含6個方面,，各省以3+N,、N≥1的要求確定試點內(nèi)容。試點工作主體包括工信部,、省工信主管部門,、試點企業(yè)、支撐單位（包括國家工業(yè)信息安全發(fā)展研究中心等相關(guān)部屬單位,，相關(guān)安全企業(yè)等）,，責(zé)任劃分如下所示：

數(shù)據(jù)安全工作推進思路

1 數(shù)據(jù)安全分類分級

《中華人民共和國數(shù)據(jù)安全法》、中共中央國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》均明確提到對數(shù)據(jù)進行分類分級保護，數(shù)據(jù)分類分級在整個數(shù)據(jù)安全保障體系中起到基石作用,，是數(shù)據(jù)安全建設(shè)的重要步驟和依據(jù),，從運維制度、保障措施,、崗位職責(zé)等多個方面的數(shù)據(jù)安全管理中都需依托數(shù)據(jù)分類分級來進行針對性編制，管理流程與分類分級的結(jié)合,，可強化管理的落地執(zhí)行性,。

●數(shù)據(jù)分類

數(shù)據(jù)分類方法按業(yè)務(wù)條線總分法結(jié)合數(shù)據(jù)歸類總分法的邏輯體系結(jié)構(gòu)開展，從總業(yè)務(wù)條線出發(fā),，對業(yè)務(wù)梳理細分,，得到數(shù)據(jù)分類框架，然后將細分業(yè)務(wù)的數(shù)據(jù)進行匯合,，按實際需要的數(shù)據(jù)顆粒度進行細分（數(shù)據(jù)分類層級過少,，不利于定級；過多則不利于管理,。一般劃分到適合本機構(gòu)定級需要即可,，宜不超過三個層級）即可得到數(shù)據(jù)資產(chǎn)目錄，這些數(shù)據(jù)細分結(jié)果為數(shù)據(jù)分級的前提條件,。

●數(shù)據(jù)分級

在完成數(shù)據(jù)分類的前提下,對數(shù)據(jù)進行安全定級,。基本思路是根據(jù)某類數(shù)據(jù)的安全屬性(完整性,、保密性,、可用性)，發(fā)生安全事件后的影響對象,、影響范圍,、影響程度,對數(shù)據(jù)進行安全定級,通常分成三到四個安全級別。

2,、覆蓋數(shù)據(jù)全生命周期的安全防護

參照《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB_T 37988-2019）,，圍繞數(shù)據(jù)安全的脆弱性，依據(jù)數(shù)據(jù)安全級別的不同,，深入數(shù)據(jù)層提出分級防護措施,，避免“一刀切”的粗放低效防護。同時,，針對數(shù)據(jù)采集,、傳輸、存儲,、處理,、交換和銷毀全生命周期安全過程域，形成兼顧存儲態(tài)、流動態(tài)數(shù)據(jù)的安全防護能力,。

3,、工業(yè)領(lǐng)域數(shù)據(jù)安全評估

■基于全生命周期角度的數(shù)據(jù)安全評估

評估工作基于《信息安全技術(shù)?數(shù)據(jù)安全能力成熟度模型》、《工業(yè)數(shù)據(jù)安全評估指南（草案）》中對數(shù)據(jù)的生命周期各個階段的安全控制點來進行評估,，評估安全控制措施的存在性及有效性,。部分評估內(nèi)容如下表所示（示例）：

■基于業(yè)務(wù)場景的數(shù)據(jù)安全評估

基于業(yè)務(wù)場景的數(shù)據(jù)安全風(fēng)險評估圍繞數(shù)據(jù)相關(guān)業(yè)務(wù)開展的詳細的風(fēng)險調(diào)研、分析,，產(chǎn)出數(shù)據(jù)風(fēng)險報告,，并基于數(shù)據(jù)風(fēng)險報告產(chǎn)出符合單位實際情況并且可落地推進的數(shù)據(jù)風(fēng)險治理建議?；跇I(yè)務(wù)場景的數(shù)據(jù)安全風(fēng)險評估主要包括以下幾個步驟：

（1）評估環(huán)境搭建

通過建立環(huán)境,，須明確定義企業(yè)風(fēng)險評估的對象和范圍，設(shè)定風(fēng)險級別,，確定風(fēng)險接受準則,。

（2）數(shù)據(jù)分析識別

風(fēng)險識別流程、資產(chǎn)與數(shù)據(jù)發(fā)現(xiàn),、識別重要數(shù)據(jù),、業(yè)務(wù)數(shù)據(jù)流調(diào)研、現(xiàn)有數(shù)據(jù)安全控制措施調(diào)研,、數(shù)據(jù)風(fēng)險分析,、數(shù)據(jù)風(fēng)險評價。

（3）數(shù)據(jù)風(fēng)險處置

n風(fēng)險處置包括風(fēng)險消減,、風(fēng)險回避,、風(fēng)險轉(zhuǎn)移、風(fēng)險接受和不適用,。

（4）風(fēng)險評估成果展示

風(fēng)險評估完成,，從風(fēng)險評估對象、數(shù)據(jù)生命周期各階段,、各風(fēng)險責(zé)任部門等不同的角度來展示風(fēng)險和分析風(fēng)險,。以下為從數(shù)據(jù)生命周期階段分析進行的風(fēng)險評估成果示例：

總結(jié)

根據(jù)《工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點工作通知》安排，各省級工業(yè)和信息化主管部門應(yīng)于2021年12月完成試點申報,，2021年12月-2022年1月完成啟動部署,，并于2022年1月-2022年9月完成試點實施，中期總結(jié)安排2022年5月,，在2022年9月完成總結(jié)評估后將對試點工作中的優(yōu)秀企業(yè),、典型案例和產(chǎn)品做法進行推廣，整體時間安排緊湊有序,，體現(xiàn)了工信部落實工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全的決心,，將極大促進和引導(dǎo)數(shù)據(jù)安全解決方案在工業(yè)領(lǐng)域的落地和推廣,。

（本文作者：杭州安恒信息技術(shù)股份有限公司 王同新 王曉翔）