近日,工信部印发《工业领域数据安全能力提升实施方案(2024-2026年)》(以下简称《实施方案》), 该方案作为指导未来三年工业领域数据安全工作的纲领性规划文件,从企业侧、监管侧、产业侧等方面明确各工作目标,致力于实现企业保护水平大幅提升、监管能力和手段更加健全、产业供给稳步提升。
《实施方案》整体内容围绕提升工业企业数据保护能力、数据安全监管能力、数据安全产业支撑能力三个方面,提出了11项重点任务及3个专栏工程,要求到2026年底,工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。
方案关键指标如下:
◼︎ 实现各工业行业规上企业数据安全要求宣贯全覆盖;
◼︎ 开展数据分类分级保护的企业超4.5万家至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业;
◼︎ 立项研制数据安全国家、行业、团体等标准规范不少于100项;
◼︎ 遴选数据安全典型案例不少于200个,覆盖行业不少于10个;
◼︎ 数据安全培训覆盖3万人次,培养工业数据安全人才超5000人
如上图所示,《实施方案》所要求的重点任务包括三方面,针对企业侧的具体要求可总结概括为:
建立健全数据分类分级保护制度;
定期开展数据安全风险评估;
提高数据安全保护意识,建立健全数据安全管理体系;
针对不同业务场景采用不同数据保护措施,着重关注数据共享、跨境数据传输、勒索软件攻击、人员违规操作等重点及易发频发风险场景;
建立数据安全统一运营管理机制与体系,提升全局视角提升对安全威胁的发现识别、理解分析和响应处置能力。
对标《实施方案》重点任务,结合当前工业数据安全建设痛点,美创基于“弹性、自适应、可观测”为特征的韧性数据安全防护框架,借助更适应混合多云环境的灵活架构,以数据为中心,围绕“数据安全、运行安全、流动安全、安全运维服务”四大业务,助力工业企业打造以安全治理为基础,以制度为保障、以韧性为目标的数据安全保障体系,加快数据安全保护能力提升。
数据分类分级
美创具有行业经验和安全经验丰富的复合型咨询团队与智能化分类分级产品,根据《工业和信息化部关于工业大数据发展的指导意见》、《工业和信息化领域数据安全管理办法(试行)》等政策文件的指示要求,参考《工业互联网企业网络安全分类分级管理指南 (试行)》、《工业数据分类分级指南(试行)》、《工业领域重要数据和核心数据识别规则》等规则指南,可从组织建设、到数据分类分级制度建设、数据分类分级落地执行、到分类分级结果应用,提供完善的、流程化的路径指引,助力工业企业有效落地数据分类分级工作,满足监管合规和安全发展要求。
数据安全分类分级平台
美创数据安全分类分级平台以快速落地数据分类分级为目标,聚焦重要数据、个人信息和商业机密,平台内置工业企业相关标准业务发现模型和分类分级模版,可快速完成海量数据的标准化分类分级。数据分类分级能力支持数据源扫描、数据自动发现、数据含义及关联关系识别、自动化分类分级及打标等功能,保障分类分级工作的高效、有序开展。
数据安全风险评估
数据安全风险评估服务基于《数据安全法》《个人信息保护法》基线要求,参考《工业领域重要数据和核心数据识别规则》、《工业数据安全评估指南》等风险评估方法论,从组织、制度、技术和人员维度,全面评估组织、系统、平台等数据安全能力,围绕数据全生命周期的数据处理活动,按照风险分析的方法,通过数据安全综合评估系统(DCAS)内置的风险评估引擎进行全面的数据安全风险定性和定量评估工作。
数据安全综合评估系统
美创自研数据安全综合评估系统集数据资产梳理、安全能力差距分析、数据安全风险分析、生命周期风险分析等多种能力,实现“一次采集、多维分析”, 一站式满足各类评估场景,有效提升数据安全风险评估效率与结果可信度。
数据安全管理体系建设
数据安全管理体系是技术体系真正有效发挥保护作用的重要保障,美创数据安全治理咨询团队可基于风险、能力等多维目标开展体系化的数据安全规划和阶段性建设,包括组织建设、制度和流程规范建设、技术保障体系建设、人员安全意识教育和技能培训等。
在安全培训领域,美创基于19年经验沉淀,成立美创产业教育中心,形成专业化教材和培训课程,是中国电子学会“电子信息人才能力提升工程”培训基地,可根据工业企业具体情况提供针对性宣贯和培训,覆盖数据安全基础、安全意识、安全技术、安全事件、合规解读等多个方向。
数据安全防护体系建设
加强数据在存储域、流动域、访问域的全方位技术安全防护,美创科技创新提出“韧性”数据安全防护体系,并以基于“云端”技术架构的数据安全管理平台、灾备一体化平台、数据流动平台、数据库运行安全管理平台,以安全审计、数据加密、运维管控、数据脱敏、数据水印、API安全、终端安全、数据备份等20余款单产品能力,实现混合多云环境下、基于分类分级结果,以联动策略为牵引的全域安全联动防御。
⦿ 滑动
数据安全运营保障
美创数据安全运营服务借鉴国内外成熟安全架构IPDRR为基础模型,结合安全服务团队、标准化运营服务流程、安全产品工具,聚焦数据资产、安全风险、身份权限,从风险识别、安全防护、威胁检测、响应恢复四个阶段,贯穿一线、二线、三线能力支撑,提供满足合规检查要求、完善安全体系建设、防范安全风险和重要时期保障的数据安全运营服务,构建整体安全防护和资源持续优化的安全运营体系。
更多场景方案
满足“深化重点场景数据安全保护”要求
制造行业门类繁多,业务复杂,《实施方案》强调工业企业数据安全建设应以“场景牵引,分业施策”为原则,结合行业特色、数据特征等,差异化指导、精准化施策 ,聚焦重点场景、重点环节、 重要系统平台、重要数据等。
美创以场景化安全思维与工业企业实际业务相结合,基于自研产品,提供覆盖《实施方案》提到的勒索病毒风险防护、数据出境安全治理、工业数据灾备管理、外部企业(供应商/合作伙伴)取数、运维安全管控、重要数据统一监管等场景化方案。
⦿ 点击放大
作为国内头部数据安全企业,美创科技已服务众多工业领域客户,积累了丰富的数据安全实践经验。“加强数据安全保障是新型工业化发展绕不过的坎,是推进新型工业化行稳致远的基础和前提。”美创科技也将紧跟工业企业数据安全需求,不断发挥自身优势,持续护航新型工业化高质量发展。
