两部门:到2026年形成较为完备的工业领域数据安全标准体系

298 12月29日
share-image.png
智通编选 挖掘最有价值的港股热点信息,捕捉最有魅力的资本市场动向。

智通财经APP获悉,12月29日,工信部、国家标准化管理委员会印发《工业领域数据安全标准体系建设指南(2023版)》。到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准30项以上。到2026年,形成较为完备的工业领域数据安全标准体系,全面落实数据安全相关法律法规和政策制度要求,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,有力支撑工业领域数据安全重点工作,研制数据安全国家、行业或团体标准100项以上。

原文如下:

一、总体要求

以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,深入落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规和政策文件要求,建立健全工业领域数据安全标准体系,加快弥补关键基础标准短板,强化重点急需标准供给,着力推动标准应用实施和国际标准化工作,有效支撑工业领域数字化转型,护航数字经济高质量发展。

(一)基本原则

统筹规划,全面布局。统筹标准化工作资源,结合工业领域技术和产业发展现状及特点,以满足工业领域数据安全保障需求为目标,坚持政府引导和市场驱动相结合,建立健全工业领域数据安全标准体系。

需求引导,多层构建。结合不同行业工业领域数据安全标准化需求,在体现工业领域数据安全共性的基础上,突出工业领域和各工业领域细分行业所具有的个性,形成以国家标准为基础、行业标准为主体、团体标准为补充的标准化工作格局,推动构建各类标准衔接有序、融合发展的多层次标准架构。

基础先立,急用先行。围绕工业领域数据安全工作重点和难点,加快数据分类分级、重要数据识别、分级防护基础共性标准的制定发布。综合考虑工业领域数据安全现状及面临的风险挑战,加快推进重点急需标准的研究制定。

注重实效,开放合作。加强标准与法规政策的配套承接,组织开展标准宣贯培训、对标达标和实施监督,提升标准应用实践成效。积极开展国际交流合作,加大国际标准化工作参与力度,建立适用度高、开放性强的工业领域数据安全标准体系。

(二)建设目标

到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准 30 项以上。

到 2026 年,形成较为完备的工业领域数据安全标准体系,全面落实数据安全相关法律法规和政策制度要求,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,有力支撑工业领域数据安全重点工作,研制数据安全国家、行业或团体标准100 项以上。

二、主要内容

(一)体系框架

工业领域数据安全标准体系明确了总体框架,以及基础共性、安全管理、技术和产品、安全评估与产业评价、新兴融合领域、工业细分行业六个子体系内容。基础共性、安全管理、技术和产品、安全评估与产业评价子体系聚焦工业领域具有共性的数据安全标准,新兴融合领域、工业细分行业等两个子体系重点突出特定业务场景的数据安全标准。

其中,基础共性标准用于明确工业数据安全术语,包括术语定义、分类分级规则、识别认定、分级防护标准,为各类标准研制提供基础支撑。安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理,提供了覆盖数据全生命周期的安全管理措施保障。技术和产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准,建立了工业领域数据安全的技术支撑体系。安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作,为相关数据安全评估与产业评价提供了标准依据。新兴融合领域标准旨在解决重点领域的数据安全问题,包括智能制造、工业互联网领域数据安全标准。工业细分行业标准面向重点工业行业、领域的数据特点和安全需求,制定行业数据安全管理和技术标准规范。工业领域数据安全标准体系框架如图1 所示。

(二)重点领域

1.基础共性标准基础共性标准是数据安全保护的基础性、通用性、指导性标准,包括术语定义、分类分级规则、识别认定、分级防护标准。基础共性标准子体系如图2所示。


1.1 术语定义术语定义用于规范工业领域数据安全相关概念,为其他标准的制定提供支撑,包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系。

1.2 分类分级规则分类分级规则标准用于指导工业数据处理者开展工业数据分类分级工作。

1.3 识别认定识别认定标准用于指导工业数据处理者开展重要数据识别和认定工作。

1.4 分级防护分级防护标准用于指导工业数据处理者根据工业数据分类分级和识别认定结果,采取有针对性地防护措施。2.安全管理标准安全管理标准从数据安全框架的管理视角出发,指导工业数据处理者落实法律法规以及行业主管部门的管理要求,包括安全运营、数据处理安全、组织人员管理标准。安全管理标准子体系如图 3 所示。

2.1 安全运营

安全运营标准用于规范工业领域安全运营,主要包括工业领域数据安全风险监测预警、监测接口、事件管理、事件分类分级、应急演练、应急预案与处置、信息上报与共享、数据容灾备份管理等标准。

2.2 数据处理安全

数据处理安全标准用于规范工业数据使用、共享、出境处理活动安全要求,其中数据使用包括数据收集、传输、存储、使用加工方面安全要求,数据共享包括提供、公开、转移、委托处理方面安全要求。

2.3 组织人员管理

组织人员管理标准用于加强工业数据处理者组织机构建设,规范工业数据处理岗位和人员安全管理,推动组织和人员数据安全意识与能力提升,主要包括组织机构管理、关键岗位人员管理、数据安全从业人员能力要求标准。

3.技术和产品标准

技术和产品标准对数据安全关键技术和产品及其检测要求进行规范,包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。技术和产品标准子体系如图 4 所示。

3.1 数据分类分级技术和产品

数据分类分级技术和产品标准用于规范数据资产发现、识别、标识、分析方面的技术、产品要求,主要包括数据分类分级、数据血缘分析、数据质量管理标准。

3.2 数据安全防护技术和产品

数据安全防护技术和产品标准用于规范数据收集、存储、使用、加工、传输、销毁方面技术、产品要求,主要包括数据防篡改、数据加密、数据脱敏、数据防泄漏、数据销毁、数据恢复标准。

3.3 数据行为防控技术和产品

数据行为防控标准用于规范数据处理异常行为识别、监测、态势感知、安全审计、数据访问控制方面的技术、产品要求,主要包括用户行为分析、数据流转监测、数据安全态势感知、安全审计、数据访问控制、可信执行环境标准。

3.4 数据共享安全技术和产品

数据共享安全技术和产品标准用于规范数据提供、公开方面技术、产品要求,主要包括数据溯源、多方安全计算、联邦学习、同态加密标准。 

4.安全评估与产业评价标准

安全评估与产业评价标准用于支撑工业领域数据安全评估及产业评价,包括安全评估、产业评价标准。安全评估与产业评价标准子体系如图 5 所示。

4.1 安全评估

安全评估标准用于指导评估机构开展数据安全风险评估、能力评估、出境安全评估工作,主要包括工业领域数据安全风险评估、数据安全能力评估、数据出境安全评估标准。

4.2 产业评价

产业评价标准用于数据安全产业、数据安全服务能力及产业竞争力评价,包括数据安全产业评价指标、数据安全服务机构能力评价、数据安全产业竞争力评价标准。

5.新兴融合领域标准

新兴融合领域标准主要用于规范工业相关新兴融合领域的数据安全要求,包括智能制造、工业互联网领域数据安全标准。新兴融合领域标准子体系如图6所示。

5.1 智能制造数据安全标准

智能制造数据安全标准用于规范智能制造场景下的数据安全,包括智能装备、智能工厂、智能服务、智能赋能技术、智慧供应链数据安全标准。

5.2 工业互联网数据安全标准

工业互联网数据安全标准用于规范工业互联网场景下的数据安全,包括工业互联网终端和网络、工业互联网标识解析、工业互联网边缘计算、工业互联网平台、工业互联网典型应用数据安全标准。 

6.工业领域细分行业标准

根据基础共性、安全管理、技术和产品、安全评估与产业评价标准,结合原材料、装备、消费品、电子信息制造、民爆、节能与综合利用、软件和信息技术服务等重点工业行业、领域数据特点和安全需求,制定工业领域细分行业数据安全标准。工业领域细分行业标准子体系如图7所示。

6.1 原材料工业

针对原材料工业中钢铁、有色、稀土、石化化工、建材等行业的数据安全特点、场景,提出原材料工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。

6.2 装备工业

针对装备工业中汽车、民用飞机、民用船舶等行业的数据安全特点、场景,提出装备工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。 

6.3 消费品工业

针对消费品工业中轻工、纺织等行业的数据安全特点、场景,提出消费品工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。 

6.4 电子信息制造业

针对电子信息制造业的数据安全特点、场景,提出电子信息制造业数据分类分级、重要数据识别、数据安全防护重点标准。 

6.5 民爆

针对民爆行业的数据安全特点、场景,提出民爆行业数据分类分级、重要数据识别、数据安全防护重点标准。

6.6 节能与综合利用

针对工业领域节能与综合利用相关领域的数据安全特点、场景,提出节能与综合利用数据分类分级、重要数据识别、数据安全防护重点标准。

6.7 软件和信息技术服务业

针对软件和信息技术服务业的数据安全特点、场景,提出软件和信息技术服务业数据分类分级、重要数据识别、数据安全防护重点标准。

三、组织实施

一是加强统筹协调。工业和信息化部统筹推进工业领域数据安全标准体系建设,组织开展国家标准和行业标准制修订工作,鼓励支持开展高质量团体标准、企业标准制定与实施。加强各标准组织的协作配合以及各行业、各领域之间的协同推进。

二是加快任务落实。汇聚工业领域产学研用各方力量,大力推进重点急需标准研制。注重工业领域数据安全标准化工作与新技术新应用及行业优秀实践的有机融合,建立完善标准试验验证平台与环境,提升标准的实用性。紧密围绕技术和产业发展趋势,适时修订标准体系和相关标准。

三是强化宣贯实施。鼓励各地主管部门、有关行业协会、联盟、标准化技术组织、专业机构通过多种渠道宣传工业领域数据安全标准化成果,有针对性地开展专题培训,引导企业开展贯标达标工作,推动标准落地实施和应用推广。

四是加强国际合作。积极与国外数据安全、工业互联网、智能制造相关组织开展标准化交流与合作,支持企事业单位参与国际电信联盟(ITU)、国际标准化组织(ISO)、国际电工委员会(IEC)国际标准化活动,推动相关国际标准制定。

本文编选自“工信部”官网,智通财经编辑:汪婕。

相关阅读

日本经济复苏不均衡 日本央行加息有障碍

12月28日 | 魏昊铭

国家统计局:1-11月份全国规模以上工业企业利润同比下降4.4%

12月27日 | 智通编选

CFRA Research:美股金融和工业板块存在巨大机遇

12月27日 | 马火敏

中信证券:DCS国产化与周期共振 PLC有望迎来结构性机会

12月4日 | 李佛

中信建投10月工业企业利润数据点评:进入被动去库存 周期拐点出现

11月29日 | 张计伟