江西:到2026年基本建立工业领域数据安全保障体系
- 来源:江西省工业和信息化厅
- 2024/6/24 8:37:5834817
【智慧城市网 政策法规】为加快工业领域数据安全保障体系建设,全面提升工业领域数据安全防护能力,促进数据安全产业发展,江西省工业和信息化厅近日印发《江西省工业领域数据安全能力提升实施方案(2024—2026年)》。
《实施方案》提出,到2026年,江西省工业领域数据安全保障体系基本建立。工业企业数据安全保护意识和防护能力明显提升。全省工业领域数据安全管理工作机制、监管队伍和监测技术手段更加健全,数据安全技术、产品、服务和人才等产业支撑能力稳步提升。全省制造业重点产业链规上企业数据安全政策宣贯实现全覆盖,完成数据安全培训超1000人次。接入省工业数据安全监测平台的重点企业数量大幅增长,开展数据安全分类分级防护的工业企业超1000家,重点行业年营收在排名前10%的规上工业企业均完成。遴选一批工业领域数据安全示范企业、优秀产品和典型解决方案。
《实施方案》解读
一、《实施方案》出台的背景?
数据是数字经济时代的关键新型生产要素,与国家经济运行、社会治理、公共服务等方面密切相关,保障数据安全已成为事关国家安全与经济社会发展的重大问题。2023年9月,全国新型工业化推进大会召开,推动新型工业化发展迈向新征程,工业领域数字化、网络化、智能化加速提质升级,在促进工业数据流通共享和开发利用的同时,伴随而来的大规模数据泄露、勒索攻击等风险形势日趋严峻,工业企业数据安全意识和能力普遍薄弱、地方主管部门监管工作缺抓手缺队伍、技术产品和服务供给不足等问题亟待研究解决。总体看,加强数据安全保障是新型工业化发展绕不过的坎,是推进新型工业化行稳致远的基础和前提。
党中央、国务院高度重视数据安全和新型工业化工作,习近平总书记多次作出重要指示,强调要“把安全贯穿数据治理全过程”“把必须管住的坚决管到位”“统筹发展和安全,深刻把握新时代新征程推进新型工业化的基本规律”。《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律政策陆续出台,为工信领域数据安全监管和保护工作提供了指导和依据。为贯彻落实习近平总书记重要指示精神和党中央、国务院决策部署,将法律政策要求在工业领域再细化、再落实,切实提出符合行业特色、针对突出问题的任务举措,有效促进工业领域数据安全保护水平跃升,我部研究起草了《实施方案》,分步骤、有重点地指导各方扎实推进工业领域数据安全工作。
二、《实施方案》的定位和目标是什么?
《实施方案》是指导未来三年工业领域数据安全工作的纲领性规划文件,以“到2026年底基本建立工业领域数据安全保障体系”为总体目标,分别从企业侧、监管侧、产业侧等方面明确各工作目标,致力于实现企业保护水平大幅提升、监管能力和手段更加健全、产业供给稳步提升:
一是从行业数据安全意识和能力普及覆盖考虑,提出基本实现各工业行业规上企业数据安全要求宣贯全覆盖。
二是紧抓重点企业和规上企业,实现数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业。
三是标准先行、树立典型。立项研制国家、行业、团体等各类标准规范不少于100项,对企业履行数据安全保护责任义务加强细化标准指导。面向不少于10个重点行业遴选典型案例不少于200个,强化优秀应用实践的引领带动作用。
四是加大人才培养,实现培训覆盖3万人次、培养人才超5000人。
三、《实施意见》的主要内容是什么?
《实施方案》坚持统筹发展和安全,坚持底线思维和极限思维,坚持目标导向和问题导向,以构建完善工业领域数据安全保障体系为主线,以落实企业主体责任为核心,以保护重要数据、提升监管能力、强化产业支撑等为重点,从总体要求、重点任务、保障措施三方面提出主要内容:
一是总体要求方面,明确了指导思想、基本原则和总体目标,在总体目标中细化了各项关键任务指标。
二是重点任务方面,围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力,明确提出11项任务。其中,关于提升工业企业数据保护能力,提出了增强安全意识、开展重要数据保护、强化重点企业管理、深化重点场景保护4项任务;关于提升数据安全监管能力,提出了完善政策标准、加强风险防控、推进技术手段建设、锻造监管执法能力4项任务;关于提升数据安全产业支撑能力,提出了加大技术产品和服务供给、促进应用推广和供需对接、健全人才培养体系3项任务。
三是保障措施方面,围绕《实施方案》落地实施的保障需求,提出了加强组织协调、加大资源保障、强化成效评估、做好宣传引导4项工作。
四、《实施方案》明确如何提升工业企业数据保护能力?
工业企业是履行数据安全保护责任和义务的主体。《实施方案》重点明确了提升工业企业数据保护能力的四项关键举措:
一是增强数据安全意识,通过法律政策和标准宣贯培训等工作,普及提高企业安全意识。从明确责任人、建立健全管理体系和工作机制、配足岗位和人员队伍、定期开展教育培训等方面压实企业主体责任。引导企业将数据安全管理要求融入本单位发展战略和考核机制,同步推进业务发展和数据安全工作。
二是开展重要数据保护,指导存在重要数据的企业落实建立健全管理制度、识别报备重要数据、实施分级防护、定期开展风险评估、开展风险事件监测与应急处置等要求,对重要数据进行重点保护。
三是强化重点企业数据安全管理,滚动编制工业领域数据安全风险防控重点企业名录,对名录内企业既要督促其着重提升风险监测、态势感知、威胁研判和应急处置等能力,又要发挥各级技术力量加强技术支持。
四是深化重点场景数据安全保护,聚焦数据处理场景、典型业务场景、易发频发风险场景和数据要素大规模流通交易场景,制定系列实践指南,指导企业精准施策。
五、《实施方案》明确监管部门如何提升数据安全监管能力?
健全完善数据安全政策标准、技术手段、工作队伍等是提升监管能力的重要基础。《实施方案》从当前数据安全监管急需出发,重点明确了提升监管能力的四项关键举措:
一是完善数据安全政策标准,具体包括建立健全政策制度、完善全流程监管机制、研制重点急需标准等任务,并鼓励地方积极制定相关政策。
二是加强数据安全风险防控,在做好风险信息报送与共享、组建风险分析专家组、动态管理风险直报单位库、建立重大风险事件案例库、加强风险提示等常态化工作基础上,打造“数安护航”专项行动和“数安铸盾”应急演练2个品牌活动,有效提升风险事件防范和处置水平。
三是推进数据安全技术手段建设,统筹建设工业和信息化领域数据安全管理平台,加快推进“部-省-企业”三级监测应急等技术能力建设和协同联动。建立工业领域数据安全工具库,为高效开展监管和保护工作提供规范化、便捷式工具服务等支撑。
四是锻造数据安全监管执法能力,明确提出规范事件调查程序,丰富取证方法和手段,完善执法流程机制和加强执法案例宣介与警示教育。推动地方主管部门将数据安全纳入行政执法事项清单,打造专业化、规范化监管执法队伍。
六、《实施方案》明确如何提升数据安全产业支撑能力?
强大的数据安全技术、产品、服务和人才等产业支撑能力,是开展数据安全工作的重要保障。《实施方案》推动政产学研用各方协同提升数据安全产业支撑能力,重点从以下三方面布局未来三年产业发展:
一是加大技术产品和服务供给,提出共性技术优化升级、关键技术攻关和产品研发、新型安全架构设计、供给模式创新等任务。
二是促进应用推广和供需对接,通过试点应用一批先进技术产品、打造一批解决方案、遴选推广一批典型案例以及组织一批沙龙等活动,充分盘活利用数据安全产业供需双方资源,激发产业创新活力。
三是建立健全人才培养体系,围绕教材课程开发、人才资格认定、丰富人才培养形式、培养复合型管理人才与实战型技能人才、加强人才激励等方面不断培养壮大数据安全人才队伍。
七、下一步如何推进《实施方案》落地见效?
下一步,要充分发挥部、省、企业、行业组织、专业机构、高等院校、安全企业等各方力量,协同扎实推进《实施方案》落实落细。
一要开展宣贯培训。分片区组织开展政策宣贯,面向地方工信主管部门、工业企业等做好政策文件重点、要点解读,切实提升行业数据安全保护意识和工作水平。鼓励各行业、各地区、各有关企业结合实际开展系列宣贯培训活动,加快将政策文件要求传达到位、落实到位。
二要抓好组织实施。紧扣《实施方案》要求,分解形成工业领域数据安全工作年度计划,明确各方任务分工,每年滚动跟踪检查工作进展、总结评估工作成效,对工作不力的加强督导落实,对表现突出的予以表扬激励。督促指导各有关单位细化制定本单位工作方案,加强责任落实,加大资金、人员等各类资源的投入力度,高质量完成各项目标任务。
三要加强典型引领。及时总结各单位在《实施方案》落地推进过程中的优秀经验做法,遴选推广典型案例,树立行业标杆。引导各行业、各地区结合实际创新建立工作模式、组织开展特色活动,持续深入挖掘优秀实践并加强宣传普及。
文件原文
江西省工业领域数据安全能力提升实施方案(2024-2026年)
为贯彻落实工业和信息化部《工业领域数据安全能力提升实施方案(2024-2026)》,加快全省工业领域数据安全保障体系建设,全面提升我省工业领域数据安全防护能力,促进数据安全产业发展,结合我省工作实际,制定本实施方案。
一、目标要求
全面提升工业领域数据安全保障水平,筑牢安全屏障,为深入实施我省制造业重点产业链现代化建设“1269”行动计划提供坚实支撑。到2026年,全省工业领域数据安全保障体系基本建立。工业企业数据安全保护意识和防护能力明显提升。全省工业领域数据安全管理工作机制、监管队伍和监测技术手段更加健全,数据安全技术、产品、服务和人才等产业支撑能力稳步提升。
全省制造业重点产业链规上企业数据安全政策宣贯实现全覆盖,完成数据安全培训超1000人次。接入省工业数据安全监测平台的重点企业数量大幅增长,开展数据安全分类分级防护的工业企业超1000家,重点行业年营收在排名前10%的规上工业企业均完成。遴选一批工业领域数据安全示范企业、优秀产品和典型解决方案。
二、重点任务
(一)企业数据保护能力提升行动
1.加强数据安全政策宣贯。各设区市工信部门组织开展工业领域数据安全法律法规和政策标准宣贯活动,宣贯工作覆盖全部制造业重点产业链规上企业,全面提升工业企业数据安全意识。督促企业依法依规落实数据安全主体责任,建立健全数据安全管理体系和工作机制,引导企业将数据安全工作与业务发展同谋划、同部署、同落实、同考核。
2.开展数据安全业务培训。依托省工业信息安全实训基地,分批次对各地工信主管部门和重点产业链企业的业务负责人开展数据安全业务培训,全面提升从业人员数据安全业务工作水平。指导督促工业企业压实数据安全责任,定期组织开展数据安全教育和知识技能培训工作,提升员工安全防护意识和水平。
3.强化数据分类分级管理。指导企业开展数据安全分类分级管理,梳理识别形成重要数据和核心数据目录,并及时报备。各地工信部门督促有重要数据和核心数据的企业落实数据分级保护要求,每年至少开展一次数据安全风险评估,及时发现和整改安全隐患。推动工业企业应用商用密码保护数据安全,指导企业加强数据安全风险监测与应急处置,及时报告重大风险事件。
4.强化重点企业数据安全管理。滚动编制我省工业领域数据安全风险防控重点企业名录,督促其着重提升风险监测、态势感知、威胁研判和应急处置等能力。统筹省工业互联网安全态势感知平台、省工业领域数据安全监测平台等安全监测预警手段和技术力量,加强技术支持,协同做好企业数据安全保护。指导企业加强重点数据处理、典型业务、易发频发风险等重点场景的数据安全保护。
(二)数据安全监管能力提升行动
5.强化“以技管数”能力。完善数据安全技术手段建设,加强数据安全监测预警工作,推动我省制造业重点产业链企业接入省工业数据安全监测平台。推动我省工业数据安全监测平台与国家数据安全监测系统对接,强化“部-省-企业”技术能力三级联动,提升行业数据安全保障能力。
6.强化风险监测与信息报送。健全工业领域数据安全风险信息报送与处置机制,推动企业设立数据安全员,压实企业主体责任。培育风险直报单位,建立重大风险事件案例库。组织我省风险报送单位常态化开展数据安全风险监测和信息报送,及时开展风险处置反馈。
7.强化风险防控与应急处置。实施“数安护航”专项行动,针对我省制造业重点产业链企业的重点系统平台、重要数据集中开展风险排查和防范、远程检测、现场诊断等工作,及时防范化解数据安全风险隐患。组织开展工业领域“数安铸盾”应急演练,增强省市县协同联动能力,提升企业安全事件应急处置规范化建设水平。
8.强化数据安全监督执法。将工业领域数据安全纳入我省行政执法事项清单,加快完善我省工业领域数据安全执法流程和工作机制,加强监管执法人员培训力度,强化数据安全监管力量。加强对各设区市的执法指导,开展执法案例宣介与警示教育,督促企业落实数据保护责任和义务,对发现的违法违规行为依法依规实施处罚。
(三)数据安全产业支撑能力提升行动
9.支持技术产品和服务供给。推进工业数据安全产品研发和共性技术应用。支持企业使用商用密码技术保障工业数据安全。鼓励工业领域数据安全“产品+服务”供给模式创新,积极培育数据安全第三方检测、评估服务机构和技术支撑队伍,鼓励具备相应资质的服务机构开展行业数据安全检测、评估工作。
10.加强应用试点和示范推广。组织开展数据安全新技术、新产品应用试点示范,加强示范引领,推进技术产品迭代升级。遴选一批技术先进、特点突出、应用成效显著的数据安全技术产品、典型案例和解决方案,发挥省信息安全产业联盟作用,推动行业应用。组织开展数据安全技术产品和服务供需对接活动。
11.推进产业集群发展。支持各地引进数据安全行业龙头企业落地,加快培育一批技术水平高、业务规模大、竞争能力强的数据安全企业,打造龙头企业引领、具有综合竞争力的特色化数据安全产业集群。鼓励有条件的地区结合产业基础和优势,建设数据安全产业园,支持创建省级和国家级数据安全产业园。
12.加强人才队伍建设。深化产教融合、协同育人。依托省网络和数据安全产教融合共同体和省信息安全人才实训基地,开展数据安全人才培育,培养实用型、复合型数据安全专业技术技能人才和优秀管理人才。通过技能竞赛、技术交流、学习进修、岗位练兵等形式持续促进人才知识更新和能力提升。
三、保障措施
(一)加强统筹协调。在省数据安全工作协调机制的统一领导下,加强与有关部门的工作协同。构建省、市、县三级各负其责、紧密配合、运转高效的工业领域数据安全联防联控管理机制,加强统筹协调,强化省市联动、政企协同,形成工作合力。配备充实相关专业管理人才和技术保障队伍,形成事前防范、事中监测、事后应急能力。坚持常态化在线监测,建立定期通报机制,结合重点行业重点区域开展督导检查工作。
(二)加强政策引导。充分利用试点示范、工业发展专项项目等现有政策,推动各地结合实际情况,在财政金融、人才培育、产业集聚等方面研究制定有针对性的支持政策,推动数据安全产业与地方数字经济发展紧密融合。鼓励将工业领域数据安全工作纳入地方工业领域数字化转型发展相关规划,在支持数字化、网络化、智能化等项目时,同步明确数据安全要求。鼓励重点行业企业加大数据安全投入,推动数据安全技术、产品和服务部署应用。
(三)加强成效评估。将工业数据安全列入工业信息安全指数主要内容,“以指数促提质,以安全助发展”,促进各地工业数据安全防护能力和管理水平提升。及时跟踪调度各地行动计划实施情况,总结经验做法,评估工作成效,对工作推动有力、取得明显成效的地区、企业和单位予以表扬,对优秀经验做法和典型案例加强宣传和示范推广。