經(jīng)濟(jì)觀察網(wǎng) 記者 李華清 12月13日,工業(yè)和信息化部(以下簡稱“工信部”)官網(wǎng)發(fā)布印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(以下簡稱“《管理辦法》”)的通知,以系統(tǒng)解決工信領(lǐng)域數(shù)據(jù)“誰來管、管什么、怎么管”問題,該辦法從2023年1月1日起實(shí)施。
《管理辦法》指出,工業(yè)和信息化領(lǐng)域的數(shù)據(jù)包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)等。工業(yè)數(shù)據(jù)指工業(yè)各行業(yè)、各領(lǐng)域在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營管理、運(yùn)行維護(hù)、平臺(tái)運(yùn)營等過程中產(chǎn)生和收集的數(shù)據(jù)。電信數(shù)據(jù)指在電信業(yè)務(wù)經(jīng)營活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)。無線電數(shù)據(jù)指在開展無線電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無線電頻率、臺(tái)(站)等電波參數(shù)數(shù)據(jù)。工信領(lǐng)域的數(shù)據(jù)處理者對(duì)于工信數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)都被納入了監(jiān)管范圍。
《管理辦法》根據(jù)危害程度、重要程度的不同對(duì)工信數(shù)據(jù)做了三級(jí)分類:一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù),要求對(duì)一般數(shù)據(jù)要加強(qiáng)全生命周期安全管理,重要數(shù)據(jù)在一般數(shù)據(jù)保護(hù)的基礎(chǔ)上進(jìn)行重點(diǎn)保護(hù),核心數(shù)據(jù)在重要數(shù)據(jù)保護(hù)的基礎(chǔ)上實(shí)施更嚴(yán)格的保護(hù)。
對(duì)于一般數(shù)據(jù),《管理辦法》要求數(shù)據(jù)處理者建立全生命周期安全管理制度、配備管理人員、合理確定操作權(quán)限、制定應(yīng)急預(yù)案并開展應(yīng)急演練、開展教育培訓(xùn)、留存日志記錄,而對(duì)于重要數(shù)據(jù)和核心數(shù)據(jù),《管理辦法》要求數(shù)據(jù)處理者在做到對(duì)一般數(shù)據(jù)的安全保障的前提下,還應(yīng)當(dāng)建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系;明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé),并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書;建立內(nèi)部登記、審批等工作機(jī)制,對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄。
《管理辦法》要求,重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少完成一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,可以自行或委托第三方評(píng)估機(jī)構(gòu)開展,及時(shí)整改風(fēng)險(xiǎn)問題,并向本地區(qū)行業(yè)監(jiān)管部門報(bào)告。
《管理辦法》規(guī)定,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù),法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的,應(yīng)當(dāng)在境內(nèi)存儲(chǔ),確需向境外提供的,應(yīng)當(dāng)進(jìn)行數(shù)據(jù)出境安全評(píng)估。
《管理辦法》構(gòu)建了“工業(yè)和信息化部、地方行業(yè)監(jiān)管部門”兩級(jí)監(jiān)管機(jī)制,“部-省-企業(yè)”三級(jí)聯(lián)動(dòng)協(xié)同的數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作機(jī)制,行業(yè)監(jiān)管部門若發(fā)現(xiàn)數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn),可以對(duì)工信領(lǐng)域數(shù)據(jù)處理者進(jìn)行約談,并要求采取措施進(jìn)行整改,消除隱患。如數(shù)據(jù)處理者存在違反《管理辦法》規(guī)定的行為,由行業(yè)監(jiān)管部門按照相關(guān)法律法規(guī),根據(jù)情節(jié)嚴(yán)重程度給予沒收違法所得、罰款、暫停業(yè)務(wù)、停業(yè)整頓、吊銷業(yè)務(wù)許可證等行政處罰;構(gòu)成犯罪的會(huì)被追究刑事責(zé)任。
工信部指出,數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)時(shí)代最為活躍的新型生產(chǎn)要素,數(shù)據(jù)安全成為關(guān)系個(gè)人權(quán)益、公共利益和國家安全的重要因素,工業(yè)和信息化領(lǐng)域是數(shù)字經(jīng)濟(jì)發(fā)展的主陣地和先導(dǎo)區(qū),需指導(dǎo)工信領(lǐng)域數(shù)據(jù)處理者健全數(shù)據(jù)安全管理和技術(shù)保護(hù)措施,履行安全保護(hù)主體責(zé)任。下一步,工信部將從政策宣貫、細(xì)則制定、正向引導(dǎo)、監(jiān)督執(zhí)法等方面抓好落實(shí)《管理辦法》。
《管理辦法》的出臺(tái),給工業(yè)和電信領(lǐng)域企業(yè)的數(shù)據(jù)安全保護(hù)提出了新要求,一定程度上也將增加相關(guān)企業(yè)在信息安全方面的工作量和成本支出,但有的工業(yè)企業(yè)樂見其成。一是隨著工業(yè)互聯(lián)網(wǎng)、云計(jì)算、人工智能等新一代信息技術(shù)與制造業(yè)的深度融合發(fā)展,工業(yè)領(lǐng)域的數(shù)據(jù)積累會(huì)越來越龐雜,越早介入數(shù)據(jù)安全管理越有利于長遠(yuǎn)發(fā)展,二是現(xiàn)階段對(duì)于大型工業(yè)企業(yè)來說,為滿足客戶、用戶對(duì)于信息安全的要求,它們已在內(nèi)部探索、實(shí)踐保障數(shù)據(jù)安全的措施,工信部出臺(tái)《管理辦法》,從監(jiān)管層面幫助它們明晰數(shù)據(jù)管理的要求,對(duì)行業(yè)也起到了規(guī)范作用。
國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2021年工業(yè)信息安全態(tài)勢(shì)報(bào)告》顯示,2021年,全國工業(yè)信息安全指數(shù)為53.7,處于“中危”水平。2021年,國家工信安全中心完成全國工業(yè)控制系統(tǒng)威脅誘捕網(wǎng)絡(luò)部署工程,全年共捕獲來自境外105個(gè)國家和地區(qū)對(duì)我國實(shí)施的掃描探測(cè)、信息讀取等惡意行為超過600萬次。從地區(qū)來看,我國東部及南部沿海地區(qū)、中部地區(qū)面臨最為嚴(yán)峻的威脅,安全水平低于全國平均值;從行業(yè)來看,我國的制造、能源和交通行業(yè)面臨的工業(yè)信息安全風(fēng)險(xiǎn)較大。
京公網(wǎng)安備 11010802028547號(hào)