各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,中国信息通信研究院、中国电子信息产业发展研究院、国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国电子产品可靠性与环境试验研究所、中国工业互联网研究院:
为探索构建工业领域数据安全管理体系,有效保障数据安全,推动数字经济高质量发展,现组织开展工业领域数据安全管理试点工作。有关事项通知如下:
一、总体目标
贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规,指导省级工业和信息化主管部门组织开展数据安全管理试点,督促企业落实数据安全主体责任,加强数据分类分级管理、安全防护、安全评估、安全监测等工作,提升数据安全防护能力。加强试点成果转化应用,完善工业领域数据安全制度规范和工作机制,遴选一批示范企业、优秀产品和典型解决方案,形成可复制可推广的管理模式,促进提升行业数据安全保护水平。
二、试点组织
工业和信息化部网络安全管理局会同节能与综合利用司、安全生产司、原材料工业司、装备工业一司、装备工业二司、消费品工业司、电子信息司、信息技术发展司成立部工业领域数据安全管理试点工作组(以下简称试点工作组),负责遴选试点省份、协调推动试点工作、决策处理重点难点问题。
省级工业和信息化主管部门负责组织试点申报,指导企业做好各项试点工作。其中,企业类型应涵盖原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业等领域,每个领域企业数量不少于3家,规模以大型、中型为主。
国家工业信息安全发展研究中心等相关部属单位为试点工作提供技术和服务支撑。
三、试点内容
试点内容分为必选和可选两部分。其中,可选内容由试点省份根据现有工作基础、条件和意愿,至少选择1项开展。
(一)必选试点内容。
1. 工业领域数据安全管理。试点企业按照《工业数据分类分级指南(试行)》《工业领域重要数据和核心数据识别规则(草案)》开展数据分类分级,制定重要数据清单,并向主管部门报备。省级工业和信息化主管部门建立工业领域省、市、企业数据分类分级安全管理机制,组织制定重要数据目录,对重要数据目录进行备案管理,探索建立工业领域数据安全全流程管理工作机制。
2. 工业领域数据安全防护。试点企业按照《工业企业数据安全防护要求(草案)》等标准规范,联合安全企业、支撑单位制定数据安全防护方案,加强数据安全分级防护措施,提升数据全生命周期安全保护能力。
3. 工业领域数据安全评估。试点企业根据《工业数据安全评估指南(草案)》等标准规范进行自评估,及时整改相关安全问题,并将评估结果报省级工业和信息化主管部门。省级工业和信息化主管部门对企业自评估情况进行督导检查,视情组织支撑单位进行远程检测和现场评估。
(二)可选试点内容。
4. 工业领域数据安全产品应用推广。安全企业加强数据安全产品创新及在工业领域的适配应用,提升产业侧供给能力。省级工业和信息化主管部门组织开展工业领域数据安全产品、技术、服务宣贯培训,遴选优秀产品应用案例和解决方案,加强行业推广应用,促进供需对接。
5. 工业领域数据安全监测。试点企业建设部署企业侧数据安全监测系统,并将监测结果上报省级工业数据安全监测平台和省级信息安全管理系统。省级工业和信息化主管部门建设省级工业数据安全监测平台,并将监测结果同步接入国家工业数据安全监测平台,构建部、省、企业三级联动的工业数据安全监测体系;建立省级工业领域数据安全事件通报响应机制,组织开展工业数据安全风险监测、威胁预警和事件处置等工作。部网络安全管理局依托全国信息安全管理系统和国家工业数据安全监测平台,协调开展跨地区工业数据安全风险监测、分析和处置工作。
6. 工业领域数据出境安全管理。省级工业和信息化主管部门配合网信部门探索建立工业领域数据出境安全评估工作模式和方法,研究制定安全评估要点,指导试点企业开展数据出境安全评估和备案工作。试点企业结合业务需要,开展数据出境安全自评估、第三方评估和备案等工作。
四、进度安排
(一)试点申报(2021年12月)。省级工业和信息化主管部门应于2021年12月25日前将试点申报书(见附件)一式三份及电子版报试点工作组(网络安全管理局)。试点工作组对申报书进行遴选,确定5个左右省份开展试点。
(二)启动部署(2021年12月至2022年1月)。工业和信息化部组织召开试点工作会议,明确工作目标和进度要求,加强统筹指导。试点省份工业和信息化主管部门视情开展试点工作宣贯培训、问答交流等活动。支撑单位结合试点工作需求,编制完善配套标准规范。
(三)试点实施(2022年1月至2022年9月)。按照试点工作要求,省级工业和信息化主管部门联合试点支撑单位,逐步推进各项工作,加强监督指导和总结分析,突出试点成效。试点企业应积极主动开展试点工作,加强落实数据安全主体责任。
(四)中期总结(2022年5月)。省级工业和信息化主管部门组织召开试点工作中期总结会议,交流试点工作开展情况,总结工作经验,更好地推进下一步试点工作。
(五)总结评估(2022年9月)。省级工业和信息化主管部门组织试点企业总结工作成果和经验,分析存在的问题及相关建议,形成总结报告报试点工作组(网络安全管理局)。工业和信息化部指导省级工业和信息化主管部门遴选试点优秀企业、典型案例和产品等,召开总结会议,推广典型实践做法。
五、工作要求
(一)加强组织领导,强化责任落实。各单位要充分认识开展工业领域数据安全管理试点工作的重要意义,加强组织领导,制定实施方案,严格落实试点要求。省级工业和信息化主管部门要加强督促指导,对试点企业工作落实情况进行检查,及时督促整改相关问题。支撑单位要切实做好宣贯培训、试点推进、评估总结等支撑保障工作。
(二)加大支持力度,优化试点环境。省级工业和信息化主管部门出台支持政策,鼓励企业积极开展数据分类分级、安全规范落实、监测能力建设、产品部署应用、出境备案与安全评估等试点工作,对试点工作表现突出的地市、部门、机构、人员等予以表彰。
(三)开展宣传推广,增强试点成效。省级工业和信息化主管部门要及时梳理形成工业领域数据安全试点示范样例,加强优秀实践应用推广,强化示范带动作用;积极推动工业领域数据安全试点成果向政策、标准、产品等方面转化,打造可复制、可推广、真实用的工业领域数据安全试点标杆。
(四)促进交流互动,加强信息报送。试点企业要积极与主管部门、安全企业、支撑单位加强沟通交流,形成政产研用各方协作配合、合力共进的试点工作格局;认真总结试点工作成效,于2022年5月、9月将工作情况、试点成果、问题分析、薄弱环节以及措施建议等报送省级工业和信息化主管部门。省级工业和信息化主管部门汇总分析后报试点工作组(网络安全管理局)。
工业和信息化部办公厅
2021年12月10日
(联系人及电话:杨帅锋 010-66022603)