加强数据全生命周期安全防护
实现“知己知彼,安全发展”
工业领域涉及的行业众多、应用场景丰富、业务环节复杂,相应的数据种类、形态也十分多样,因此,应充分认识到,数据分类分级是做好数据安全工作最基础也是最重要的一项工作,更是一项工作量和实施难度都较大的工作,需要熟悉具体业务流程和数据使用的相关人员,按照标准规范进行科学分类、准确定级。
一是数据分类的目的是便于明确安全责任、确定防护边界,例如,研发、生产、管理等各业务部门,应切实承担各自产生和收集的数据安全保护责任,同时研发域、生产域、管理域等数据各自归类,也能更好地实施分区分域和边界防护。
二是数据分类往往与数据所支撑的业务息息相关,数据的类别可从数据在业务运营中实现的用途和价值进行划分,如在研发业务中会产生研发设计图纸、产品模型等数据,在生产业务中会产生控制信息、工况状态等数据,在管理业务中会产生客户信息、业务统计指标等数据,这些数据类型与业务属性相伴相生。
三是数据分级的目的主要是便于明确防护措施的力度和粒度,实施差异化分级防护,避免“一刀切”粗放型防护。数据分级的方法与国内网络安全等级保护定级、关键信息基础设施识别认定等相关思路一脉相承,都是从遭破坏后造成的最大后果影响来界定。对于工业数据分级,尤其还要关注数据对各类生产业务、工业经济、工业生产等方面造成的影响。
四是数据分类分级的最终目标是科学直观地梳理清楚数据资产底数,识别出重要数据和核心数据,形成数据目录清单,真正掌握数据保护的重点对象有哪些、在哪儿、谁在用等情况。
同步推进监管驱动与行业自律数据安全评估
常态化开展“自查自纠,固本强基”
从管理层面来看,数据安全评估可分为监管驱动类评估和行业自律类评估。
一是按照行业监管要求,定期开展数据安全风险评估,做好风险隐患排查,加强整改和安全加固。如有工业领域重要数据和核心数据出境,应严格依法依规履行数据出境安全评估等责任和义务。
二是敢于“刀刃向内”,强化自我革新。工业企业等工业数据处理者应积极主动开展数据安全治理能力评估、数据安全能力成熟度评估等工作,准确认识自身能力的短板弱项,及时查漏补缺,不断提升数据安全能力水平。
三是突出评估实效,建立完善“以评促防、以评促建”的长效工作机制,只有通过评估进行科学把脉问诊,才能给出准确的“体检报告”,才能更好地提醒推动构建以数据为中心的安全防护体系,才能持续促进数据安全保护水平螺旋式上升。
协会总结
工业领域数据安全管理亟需体系化、规范化开展,应加快推进数据分类分级、分级防护、安全评估、应急处置等工作的有机融合。其中,每一项工作的背后都需要更细化的制度标准作为“催化剂”,并在实践中推动各项工作机制协调、统一、灵活地运转起来,为保障工业数据安全、促进数字经济和制造业高质量发展、护航制造强国和网络强国建设筑牢坚实根基。