近日,中國(guó)鋼鐵工業(yè)協(xié)會(huì)、中國(guó)汽車工業(yè)協(xié)會(huì)等十七家行業(yè)組織聯(lián)合發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引(征求意見(jiàn)稿)》。該文件的發(fā)布旨在貫徹落實(shí)《數(shù)據(jù)安全法》及《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等法律法規(guī)要求,加強(qiáng)工業(yè)和信息化領(lǐng)域的數(shù)據(jù)安全管理,保障數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用,維護(hù)國(guó)家安全和利益。
《指引》詳細(xì)列出了工信領(lǐng)域數(shù)據(jù)安全防護(hù)的問(wèn)題及舉措,工業(yè)企業(yè)應(yīng)如何利用技術(shù)及制度提升自身合規(guī)能力,滿足相關(guān)監(jiān)管需求,成為當(dāng)前關(guān)注的重點(diǎn)。
《指引》重點(diǎn)強(qiáng)調(diào)內(nèi)容: 1 《指引》中提到,隨著企業(yè)信息化進(jìn)程的加快,數(shù)據(jù)安全問(wèn)題日益凸顯,特別是在工業(yè)領(lǐng)域,數(shù)據(jù)的廣泛應(yīng)用對(duì)數(shù)據(jù)安全提出了更高的要求。數(shù)據(jù)泄露、信息濫用、非法跨境數(shù)據(jù)傳輸等問(wèn)題已成為企業(yè)的巨大隱患。報(bào)告指出,在工業(yè)和信息化領(lǐng)域中,合規(guī)不再是一個(gè)選擇,而是企業(yè)生存和發(fā)展的必然要求。 2 《指引》不僅涵蓋了數(shù)據(jù)收集、存儲(chǔ)、傳輸和處理的合規(guī)要求,還提供了應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的最佳實(shí)踐。報(bào)告詳細(xì)列舉了企業(yè)在處理數(shù)據(jù)時(shí)應(yīng)遵循的五項(xiàng)基本原則:數(shù)據(jù)最小化、知情同意、透明處理、數(shù)據(jù)安全措施和數(shù)據(jù)跨境傳輸合規(guī)。建議企業(yè)盡早評(píng)估現(xiàn)有的數(shù)據(jù)管理流程,識(shí)別潛在的合規(guī)風(fēng)險(xiǎn),并根據(jù)《合規(guī)指引》進(jìn)行整改,以滿足最新的合規(guī)標(biāo)準(zhǔn)。 3 《指引》強(qiáng)調(diào)數(shù)據(jù)安全合規(guī)并非僅靠企業(yè)自身的努力即可達(dá)成。各類利益相關(guān)方,包括政府監(jiān)管機(jī)構(gòu)、行業(yè)協(xié)會(huì)、技術(shù)提供商等,均需參與到合規(guī)體系的構(gòu)建中來(lái)。企業(yè)應(yīng)主動(dòng)尋求與技術(shù)供應(yīng)商的合作,利用最新的數(shù)據(jù)安全技術(shù)提升合規(guī)能力。 通過(guò)加強(qiáng)數(shù)據(jù)安全防護(hù)手段、完善數(shù)據(jù)安全體系建設(shè),提升工信企業(yè)在數(shù)據(jù)安全管理、數(shù)據(jù)全生命周期管理、合規(guī)與技術(shù)等方面的能力與水平,才能切實(shí)提升數(shù)據(jù)安全管理水平,滿足相關(guān)政策法規(guī)的合規(guī)要求,避免數(shù)據(jù)安全風(fēng)險(xiǎn)。工信領(lǐng)域企業(yè)可以采取的具體措施有: 數(shù)據(jù)資產(chǎn)梳理、落實(shí)分類分級(jí) 對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),梳理數(shù)據(jù)資產(chǎn),了解企業(yè)中有哪些機(jī)密數(shù)據(jù),并且按照保密等級(jí)進(jìn)行分類,嚴(yán)格把控?cái)?shù)據(jù)使用權(quán)限。以電信和互聯(lián)網(wǎng)領(lǐng)域?yàn)槔?,重要?shù)據(jù)和核心數(shù)據(jù)的識(shí)別應(yīng)在國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》基礎(chǔ)上,結(jié)合YD/T 3867-2024《電信領(lǐng)域重要數(shù)據(jù)識(shí)別指南(報(bào)批稿)》進(jìn)行綜合判定。 完善全生命周期數(shù)據(jù)合規(guī)管控 在數(shù)據(jù)采集、存儲(chǔ)、使用、處理、傳輸、提供等一系列環(huán)節(jié),網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)針對(duì)每個(gè)環(huán)節(jié)制定有針對(duì)性的管理規(guī)范,加強(qiáng)數(shù)據(jù)處理各個(gè)環(huán)節(jié)的合規(guī)性,建立健全數(shù)據(jù)存儲(chǔ)機(jī)制,在數(shù)據(jù)存儲(chǔ)時(shí)就采用加密等安全措施,確保重要數(shù)據(jù)備份和恢復(fù)能力,制定緊急事件處理預(yù)案并定期演練等。 強(qiáng)化數(shù)據(jù)安全防護(hù)與監(jiān)管能力 對(duì)收集到的個(gè)人信息等敏感數(shù)據(jù),采取加密技術(shù)覆蓋內(nèi)部電子文檔的創(chuàng)建、修改、傳輸、歸檔、分發(fā)、銷毀等全過(guò)程,保密文檔、開(kāi)發(fā)測(cè)試數(shù)據(jù)、國(guó)家級(jí)涉密文件等核心數(shù)據(jù)只有在內(nèi)部加密環(huán)境下才可以進(jìn)行復(fù)制、交互等操作。在外出、跨境等辦公環(huán)境下,不能對(duì)涉密數(shù)據(jù)進(jìn)行訪問(wèn)和編輯。 定期開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估 參照《信息安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法(草案)》《工業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估指南(征求意見(jiàn)稿)》等規(guī)范要求,按照“數(shù)據(jù)資產(chǎn)及應(yīng)用場(chǎng)景識(shí)別——數(shù)據(jù)處理活動(dòng)識(shí)別——風(fēng)險(xiǎn)源識(shí)別——風(fēng)險(xiǎn)分析與定級(jí)”步驟進(jìn)行評(píng)估,針對(duì)每一項(xiàng)風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處置方案,相關(guān)業(yè)務(wù)部門(mén)整改實(shí)施風(fēng)險(xiǎn)處置方案后再進(jìn)行方案優(yōu)化。 目前,隨著各項(xiàng)政策法規(guī)、監(jiān)管條例不斷施行,合法合規(guī)的行業(yè)底線越來(lái)越清晰,對(duì)用戶、廠商、監(jiān)管者來(lái)講都是一個(gè)較大的課題。尤其對(duì)企業(yè)來(lái)講,在合規(guī)壓力之下,更需在深刻了解國(guó)家監(jiān)管要求的基礎(chǔ)上不斷改善自己的安全防護(hù)能力,從而適應(yīng)日趨復(fù)雜的數(shù)據(jù)安全風(fēng)險(xiǎn)環(huán)境,為自身長(zhǎng)遠(yuǎn)發(fā)展打好安全基礎(chǔ)。