国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
联系电话
全国:010-56542716
天津:022-27810977
国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
全国:010-56542716
天津:022-27810977
概况
工信部于2021年9月30日发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(下称“《管理办法》”),管理办法全面对接《中华人民共和国民法典》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规,旨在加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险。
此次工业领域数据安全管理试点工作是对《管理办法》的进一步落地延伸,在其基础上围绕工业领域各类型大、中型企业展开,此次试点工作意味着工业和信息化领域数据安全管理正式进入落地阶段,其核心主旨为:
1.开展试点工作,落实主体责任;2.提升安全能力,完善安全制度和工作机制;3.遴选最佳实践,形成可复制可推广管理模式。
此次工业领域数据安全工作落地方向通知指出试点内容分为必选和可选两部分:
●必选内容包括三项必选内容包括工业领域数据安全管理(主要涉及开展数据分类分级,制定重要数据清单和对重要数据目录进行备案管理,建立数据安全全流程管理工作机制)、工业领域数据安全防护(主要涉及数据全生命周期流程防护)和工业领域数据安全评估(主要由企业开展自评估,省级工信部督导检查,形成自评、整改、上报、督导检查、远程检测和现场评估机制)三项。
●可选内容包括三项试点省份根据现有工作基础、条件和意愿,至少从工业领域数据安全产品应用推广、工业领域数据安全监测、工业领域数据出境安全管理三项中选择其中一项开展工作。
此次试点工作,工信部将选取5个左右省份展开试点工作,在原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业5个领域,每个领域选取至少3家大型、中型规模企业作为试点企业。
试点内容的归纳梳理
从试点工作强调的内容来看,共包含6个方面,各省以3+N、N≥1的要求确定试点内容。试点工作主体包括工信部、省工信主管部门、试点企业、支撑单位(包括国家工业信息安全发展研究中心等相关部属单位,相关安全企业等),责任划分如下所示:
数据安全工作推进思路
1 数据安全分类分级
《中华人民共和国数据安全法》、中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》均明确提到对数据进行分类分级保护,数据分类分级在整个数据安全保障体系中起到基石作用,是数据安全建设的重要步骤和依据,从运维制度、保障措施、岗位职责等多个方面的数据安全管理中都需依托数据分类分级来进行针对性编制,管理流程与分类分级的结合,可强化管理的落地执行性。
●数据分类
数据分类方法按业务条线总分法结合数据归类总分法的逻辑体系结构开展,从总业务条线出发,对业务梳理细分,得到数据分类框架,然后将细分业务的数据进行汇合,按实际需要的数据颗粒度进行细分(数据分类层级过少,不利于定级;过多则不利于管理。一般划分到适合本机构定级需要即可,宜不超过三个层级)即可得到数据资产目录,这些数据细分结果为数据分级的前提条件。
●数据分级
在完成数据分类的前提下,对数据进行安全定级。基本思路是根据某类数据的安全属性(完整性、保密性、可用性),发生安全事件后的影响对象、影响范围、影响程度,对数据进行安全定级,通常分成三到四个安全级别。
2、覆盖数据全生命周期的安全防护
参照《信息安全技术 数据安全能力成熟度模型》(GB_T 37988-2019),围绕数据安全的脆弱性,依据数据安全级别的不同,深入数据层提出分级防护措施,避免“一刀切”的粗放低效防护。同时,针对数据采集、传输、存储、处理、交换和销毁全生命周期安全过程域,形成兼顾存储态、流动态数据的安全防护能力。
3、工业领域数据安全评估
■基于全生命周期角度的数据安全评估
评估工作基于《信息安全技术?数据安全能力成熟度模型》、《工业数据安全评估指南(草案)》中对数据的生命周期各个阶段的安全控制点来进行评估,评估安全控制措施的存在性及有效性。部分评估内容如下表所示(示例):
■基于业务场景的数据安全评估
基于业务场景的数据安全风险评估围绕数据相关业务开展的详细的风险调研、分析,产出数据风险报告,并基于数据风险报告产出符合单位实际情况并且可落地推进的数据风险治理建议。基于业务场景的数据安全风险评估主要包括以下几个步骤:
(1)评估环境搭建
通过建立环境,须明确定义企业风险评估的对象和范围,设定风险级别,确定风险接受准则。
(2)数据分析识别
风险识别流程、资产与数据发现、识别重要数据、业务数据流调研、现有数据安全控制措施调研、数据风险分析、数据风险评价。
(3)数据风险处置
n风险处置包括风险消减、风险回避、风险转移、风险接受和不适用。
(4)风险评估成果展示
风险评估完成,从风险评估对象、数据生命周期各阶段、各风险责任部门等不同的角度来展示风险和分析风险。以下为从数据生命周期阶段分析进行的风险评估成果示例:
总结
根据《工业领域数据安全管理试点工作通知》安排,各省级工业和信息化主管部门应于2021年12月完成试点申报,2021年12月-2022年1月完成启动部署,并于2022年1月-2022年9月完成试点实施,中期总结安排2022年5月,在2022年9月完成总结评估后将对试点工作中的优秀企业、典型案例和产品做法进行推广,整体时间安排紧凑有序,体现了工信部落实工业和信息化领域数据安全的决心,将极大促进和引导数据安全解决方案在工业领域的落地和推广。
(本文作者:杭州安恒信息技术股份有限公司 王同新 王晓翔)
关注卓越空间
关注卓越微博
关注卓越微信