各省、自治區、直轄市、計劃單列市及新疆生(shēng)産建設兵團工(gōng)業和信息化主管部門,有關行業協會,有關企業,部屬有關單位,部屬各高校:
現将《工(gōng)業領域數據安全能力提升實施方案(2024-2026年)》印發給你們,請認真抓好貫徹落實。
工(gōng)業和信息化部
2024年2月23日
工(gōng)業領域數據安全能力提升實施方案(2024—2026年)
數據作爲新型生(shēng)産要素,是數字化、網絡化、智能化的基礎,已快速融入生(shēng)産、分(fēn)配、流通等各環節,保障數據安全,事關國家安全大(dà)局。爲貫徹落實習近平總書(shū)記關于數據安全的重要指示精神和黨中(zhōng)央、國務院決策部署,推動《中(zhōng)華人民共和國數據安全法》《中(zhōng)華人民共和國網絡安全法》《工(gōng)業和信息化領域數據安全管理辦法(試行)》等在工(gōng)業領域落地實施,加快提升工(gōng)業領域數據安全保護能力,助力工(gōng)業高質量發展,夯實新型工(gōng)業化發展的安全基石,制定本方案。
一(yī)、總體(tǐ)要求
以習近平新時代中(zhōng)國特色社會主義思想爲指導,全面貫徹落實黨的二十大(dà)精神,堅定不移貫徹總體(tǐ)國家安全觀,堅持統籌發展和安全,堅持底線思維和極限思維,堅持目标導向和問題導向,以構建完善工(gōng)業領域數據安全保障體(tǐ)系爲主線,以落實企業主體(tǐ)責任爲核心,以保護重要數據、提升監管能力、強化産業支撐等爲重點,提高數據安全治理能力,促進數據要素安全有序流動和價值釋放(fàng),爲加快推進新型工(gōng)業化,建設制造強國、網絡強國和數字中(zhōng)國提供堅實支撐。
統籌推進,重點突破。加強頂層謀劃,系統推進數據安全組織架構、政策制度、管理機制、标準規範、技術手段建設和産業發展工(gōng)作。以強化重點行業、重點企業、重要系統平台、重要數據保護爲切入點,以點帶面促進整體(tǐ)保護水平提升。政府引導,協同共治。綜合運用正向激勵和反向約束等方式,選樹(shù)标杆典型,強化監管執法,壓實企業主體(tǐ)責任。充分(fēn)發揮行業協會、龍頭企業、專業機構、高等院校等各方力量,形成數據安全協同治理的良好局面。場景牽引,分(fēn)業施策。摸清數據處理重點環節風險易發場景的特點規律,緊貼業務場景數據保護需求,強化科學防控。結合行業特色、數據特征等,差異化指導、精準化施策,加速提升行業數據安全管理水平。創新驅動,技管結合。不斷創新管理模式、技術、産品與服務,适應新時期工(gōng)業領域數據安全保護新形勢、新特點和新需求。注重“以技管數”手段建設和運用,與日常監管形成合力。
到2026年底,工(gōng)業領域數據安全保障體(tǐ)系基本建立。數據安全保護意識普遍提高,重點企業數據安全主體(tǐ)責任落實到位,重點場景數據保護水平大(dà)幅提升,重大(dà)風險得到有效防控。數據安全政策标準、工(gōng)作機制、監管隊伍和技術手段更加健全。數據安全技術、産品、服務和人才等産業支撐能力穩步提升。
——基本實現各工(gōng)業行業規上企業數據安全要求宣貫全覆蓋。
——開(kāi)展數據分(fēn)類分(fēn)級保護的企業超4.5萬家,至少覆蓋年營收在各省(區、市)行業排名前10%的規上工(gōng)業企業。
——立項研制數據安全國家、行業、團體(tǐ)等标準規範不少于100項。
——遴選數據安全典型案例不少于200個,覆蓋行業不少于10個。
——數據安全培訓覆蓋3萬人次,培養工(gōng)業數據安全人才超5000人。
二、重點任務
1.增強數據安全保護意識。加大(dà)數據安全法律法規和政策标準宣貫培訓力度,提高各行業企業數據安全意識。督促企業依法依規落實數據安全主體(tǐ)責任,壓實各單位法定代表人或主要負責人數據安全第一(yī)責任,建立健全數據安全管理體(tǐ)系和工(gōng)作機制,配足數據安全崗位和人員(yuán)隊伍,定期開(kāi)展數據安全教育培訓。引導企業貫徹發展與安全并重原則,将數據安全管理要求融入本單位發展戰略和考核機制,加強數據安全工(gōng)作與業務發展同謀劃、同部署、同落實、同考核。
2.開(kāi)展重要數據安全保護。指導企業建立健全數據分(fēn)類分(fēn)級保護等安全管理制度,定期梳理識别重要數據和核心數據,形成目錄并及時報備。督促重要數據和核心數據處理者明确數據安全負責人和管理機構,落實數據分(fēn)級防護要求,每年至少開(kāi)展一(yī)次數據安全風險評估,及時發現整改安全隐患,按要求報送評估報告。指導企業加強重要數據和核心數據安全風險監測與應急處置,及時報告重大(dà)風險事件。推動各行業企業加強商(shāng)用密碼應用保護數據安全。
3.強化重點企業數據安全管理。遴選掌握關鍵核心技術、代表行業發展水平、關系産業鏈安全穩定或關乎國家安全的企業,滾動編制工(gōng)業領域數據安全風險防控重點企業名錄。将名錄内企業作爲數據安全監管重點,督促其在落實數據安全要求基礎上,着重提升風險監測、态勢感知(zhī)、威脅研判和應急處置等能力。發揮部省兩級主管部門作用,統籌各方數據安全監測預警手段和技術力量,加強技術支持,協同做好企業數據安全保護。
4.深化重點場景數據安全保護。指導企業圍繞數據彙聚、共享、出境、委托加工(gōng)等重點數據處理場景,排查數據安全保護薄弱點,實施貼合行業特點的數據保護措施。聚焦供應鏈上下(xià)遊協作、服務外(wài)包、上雲上平台等典型業務場景,厘清多主體(tǐ)數據安全責任界面和銜接模式,建立全鏈條全方位數據安全保護體(tǐ)系。針對勒索病毒攻擊、漏洞後門、人員(yuán)違規操作、非受控遠程運維等易發頻(pín)發風險場景,加強風險自查自糾,采取精準的管理和防護措施。面向數據要素大(dà)規模流通交易典型場景,打造一(yī)批安全解決方案。
|
專欄1 數據安全保護築基工(gōng)程 |
|
1.夯實數據分(fēn)類分(fēn)級基礎。分(fēn)行業分(fēn)領域研究制定重要數據和核心數據識别細則,形成“1+N”的工(gōng)業領域數據分(fēn)類分(fēn)級規範體(tǐ)系,科學指導各行業落地實施。持續叠代重要數據和核心數據目錄,逐步摸清行業重要數據規模、分(fēn)布、處理等情況,明确行業重點保護數據對象。 |
5.完善數據安全政策标準。建立健全工(gōng)業領域數據安全管理制度,推動出台風險評估實施細則、應急預案、行政處罰裁量指引等政策文件。持續完善重要數據識别、備案、分(fēn)級防護、風險評估等全流程監管機制,加強監督檢查。組建工(gōng)業領域網絡與數據安全行業标準化組織,發布數據安全标準體(tǐ)系建設指南(nán),加快研制重要數據識别、安全防護、風險評估、産品檢測、密碼應用等亟需标準。鼓勵地方參照制定本地區數據安全政策。
6.加強數據安全風險防控。完善工(gōng)業領域數據安全風險信息報送與共享工(gōng)作機制,組建數據安全風險分(fēn)析專家組,動态管理風險直報單位庫,協同加強地方力量,常态化開(kāi)展風險監測、報送、預警、處置等工(gōng)作。摸排數據安全風險事件特點和規律,建立重大(dà)風險事件案例庫,加強案例剖析和風險提示。面向重點行業開(kāi)展“數安護航”專項行動,定期組織“數安鑄盾”應急演練,提升事件快速反應、規範處置、協同聯動水平。
|
專欄2 打造數據安全風險防控品牌 |
|
1.“數安護航”專項行動。分(fēn)行業、分(fēn)批次集中(zhōng)開(kāi)展數據安全風險排查和防範,聚焦數據洩露、篡改、濫用、違規傳輸、非法訪問、流量異常等突出風險,利用企業自查、遠程檢測、現場診斷等手段,針對性增強風險應對處置能力。 |
7.推進數據安全技術手段建設。統籌建設工(gōng)業和信息化領域數據安全管理平台,建立工(gōng)業領域數據安全工(gōng)具庫,形成集數據資(zī)源管理、态勢感知(zhī)、風險信息報送與共享、技術測試驗證、事件應急響應等功能于一(yī)體(tǐ)的技術能力,加強與網絡安全技術、密碼技術手段協同。推動有條件的地方、行業、企業等加快建立數據安全風險監測與應急處置等技術手段,強化“部-省-企業”技術能力三級聯動,不斷提升技術保障水平。
|
專欄3 數據安全技術保障工(gōng)程 |
|
1.統籌建設工(gōng)業和信息化領域數據安全管理平台。建立完善工(gōng)業領域數據安全監測、信息報送與共享、應急管理、安全評估等系統功能,強化風險統一(yī)彙集、分(fēn)析、研判和通報,支撐事件應急處置、輔助決策、跟蹤追溯等工(gōng)作,提供風險評估、出境安全評估、防護能力評估等服務,覆蓋不少于20個省級(行業級)節點和500個企業節點。 |
8.鍛造數據安全監管執法能力。規範數據安全事件調查處置程序,豐富取證方法和手段。加快完善數據安全執法流程和工(gōng)作機制,推動地方工(gōng)業和信息化主管部門将數據安全納入本地區行政執法事項清單,指導各行業、各地方依法嚴格處置違法行爲,加強執法案例宣介與警示教育。建立健全數據安全違法違規行爲投訴舉報機制,多渠道收集違法違規線索。加大(dà)監管執法人員(yuán)培訓力度,推動地方工(gōng)業和信息化主管部門強化數據安全監管力量,打造專業化、規範化監管執法隊伍。
9.加大(dà)技術産品和服務供給。加強工(gōng)業數據智能分(fēn)類分(fēn)級、工(gōng)業數據庫審計、低時延加密傳輸等共性技術優化升級。加大(dà)适配工(gōng)業業務場景和數據特征的輕量級數據加密、隐私計算、密态計算等關鍵技術攻關。支持使用商(shāng)用密碼技術保障工(gōng)業領域數據安全。圍繞工(gōng)業數據洩露、竊取、篡改等風險,推動流量異常監測、攻擊行爲識别、事件追溯和處置等産品研發。加強面向工(gōng)業雲、工(gōng)業大(dà)數據、工(gōng)業互聯網平台等新興應用的數據安全架構設計。支持工(gōng)業領域數據安全“産品+服務”供給模式創新。
10.促進應用推廣和供需對接。加大(dà)多方安全計算、數據防勒索、數據溯源、商(shāng)用密碼等技術産品在工(gōng)業領域的試點應用。組織遴選一(yī)批在各行業具有廣泛應用價值的通用數據安全技術和産品,打造一(yī)批面向行業、面向場景、面向中(zhōng)小(xiǎo)企業的數據安全解決方案,形成一(yī)批工(gōng)業領域數據安全典型案例,分(fēn)行業、分(fēn)地區開(kāi)展宣傳推廣。推動各行業利用主題沙龍、路演等渠道開(kāi)展數據安全技術産品和服務供需對接活動。發揮數據安全産業公共服務平台作用,強化信息共享、資(zī)源對接等服務。
11.建立健全人才培養體(tǐ)系。面向不同行業、崗位、層級數據安全工(gōng)作需求,推動專業化、特色化數據安全教材課程開(kāi)發,規範化開(kāi)展職業人才資(zī)格認定。支持産學研用各方加強合作,依托培訓中(zhōng)心、實訓基地、網絡學習平台等聯合培養複合型管理人才和實戰型技能人才,通過技能競賽、技術交流、學習進修、崗位練兵等形式持續促進人才知(zhī)識更新和能力提升。鼓勵工(gōng)業企業建立健全數據安全績效評價機制,加強數據安全人才激勵。
三、保障措施
(一(yī))加強組織協調。工(gōng)業和信息化部加強工(gōng)作統籌,做好與國家數據安全工(gōng)作協調機制的銜接。各地工(gōng)業和信息化主管部門負責組織實施本地區實施方案。鼓勵各地結合實際制定細化工(gōng)作方案,加強與相關部門合作,确保目标任務落實。充分(fēn)發揮高校、科研院所、第三方機構等在實施方案宣貫、手段建設指導、技術交流合作、成果應用推廣等方面的專業作用,引導企業加強數據安全能力建設。
(二)加大(dà)資(zī)源保障。統籌利用現有資(zī)金渠道,加大(dà)工(gōng)業領域數據安全工(gōng)作投入,支持關鍵核心技術攻關和公共服務平台建設。深化産融合作,支持數據安全企業參與“科技産業金融一(yī)體(tǐ)化”專項,通過國家産融合作平台獲得便捷高效的金融服務。鼓勵各地将數據安全納入地方工(gōng)業領域數字化轉型發展相關規劃,在支持數字化、網絡化、智能化等項目時,同步明确數據安全要求。引導企業在信息化建設中(zhōng)爲數據安全防護安排一(yī)定比例資(zī)金。
(三)強化成效評估。各行業、各地區及時跟蹤調度實施方案落實情況,總結經驗做法,評估工(gōng)作成效,加強溝通交流,及時報告重大(dà)進展情況或問題。工(gōng)業和信息化部對工(gōng)作推動有力、取得明顯成效的地區、企業和單位予以表揚,對優秀經驗做法加強提煉總結和推廣應用。
(四)做好宣傳引導。綜合利用産業活動、國際合作等方式,宣傳普及工(gōng)業領域數據安全理念和舉措,提高地方、企業和公衆對工(gōng)業領域數據安全的認可度。充分(fēn)調動行業協會、學會、産業聯盟等力量,引導企業加強自律、凝聚共識,營造行業數據安全保護良好氛圍。