近日,中國鋼鐵工業協會、中國汽車工業協會等十七家行業組織聯合發布了《工業和信息化領域數據安全合規指引(征求意見稿)》。該文件的發布旨在貫徹落實《數據安全法》及《工業和信息化領域數據安全管理辦法(試行)》等法律法規要求,加強工業和信息化領域的數據安全管理,保障數據安全,促進數據開發利用,維護國家安全和利益。
《指引》詳細列出了工信領域數據安全防護的問題及舉措,工業企業應如何利用技術及制度提升自身合規能力,滿足相關監管需求,成為當前關注的重點。
《指引》重點強調內容: 1 《指引》中提到,隨著企業信息化進程的加快,數據安全問題日益凸顯,特別是在工業領域,數據的廣泛應用對數據安全提出了更高的要求。數據泄露、信息濫用、非法跨境數據傳輸等問題已成為企業的巨大隱患。報告指出,在工業和信息化領域中,合規不再是一個選擇,而是企業生存和發展的必然要求。 2 《指引》不僅涵蓋了數據收集、存儲、傳輸和處理的合規要求,還提供了應對數據風險的最佳實踐。報告詳細列舉了企業在處理數據時應遵循的五項基本原則:數據最小化、知情同意、透明處理、數據安全措施和數據跨境傳輸合規。建議企業盡早評估現有的數據管理流程,識別潛在的合規風險,并根據《合規指引》進行整改,以滿足最新的合規標準。 3 《指引》強調數據安全合規并非僅靠企業自身的努力即可達成。各類利益相關方,包括政府監管機構、行業協會、技術提供商等,均需參與到合規體系的構建中來。企業應主動尋求與技術供應商的合作,利用最新的數據安全技術提升合規能力。 通過加強數據安全防護手段、完善數據安全體系建設,提升工信企業在數據安全管理、數據全生命周期管理、合規與技術等方面的能力與水平,才能切實提升數據安全管理水平,滿足相關政策法規的合規要求,避免數據安全風險。工信領域企業可以采取的具體措施有: 數據資產梳理、落實分類分級 對數據進行分類分級,梳理數據資產,了解企業中有哪些機密數據,并且按照保密等級進行分類,嚴格把控數據使用權限。以電信和互聯網領域為例,重要數據和核心數據的識別應在國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》基礎上,結合YD/T 3867-2024《電信領域重要數據識別指南(報批稿)》進行綜合判定。 完善全生命周期數據合規管控 在數據采集、存儲、使用、處理、傳輸、提供等一系列環節,網絡數據處理者應針對每個環節制定有針對性的管理規范,加強數據處理各個環節的合規性,建立健全數據存儲機制,在數據存儲時就采用加密等安全措施,確保重要數據備份和恢復能力,制定緊急事件處理預案并定期演練等。 強化數據安全防護與監管能力 對收集到的個人信息等敏感數據,采取加密技術覆蓋內部電子文檔的創建、修改、傳輸、歸檔、分發、銷毀等全過程,保密文檔、開發測試數據、國家級涉密文件等核心數據只有在內部加密環境下才可以進行復制、交互等操作。在外出、跨境等辦公環境下,不能對涉密數據進行訪問和編輯。 定期開展數據安全風險評估 參照《信息安全技術 數據安全風險評估方法(草案)》《工業領域數據安全風險評估指南(征求意見稿)》等規范要求,按照“數據資產及應用場景識別——數據處理活動識別——風險源識別——風險分析與定級”步驟進行評估,針對每一項風險制定風險處置方案,相關業務部門整改實施風險處置方案后再進行方案優化。 目前,隨著各項政策法規、監管條例不斷施行,合法合規的行業底線越來越清晰,對用戶、廠商、監管者來講都是一個較大的課題。尤其對企業來講,在合規壓力之下,更需在深刻了解國家監管要求的基礎上不斷改善自己的安全防護能力,從而適應日趨復雜的數據安全風險環境,為自身長遠發展打好安全基礎。
18120179909
關注敏捷小助手,了解更多