转载 丨 工业数据安全能力建设路径与思考
The following article is from 虎符智库 Author 数据安全治理部
工业领域数据安全管理与防护能力建设要以分类分级为基础,围绕重要数据、核心数据,补短固底强化基础,实施分级防护与精细化管控、开展数据安全能力评估并持续运营。
工业数据安全建设路径:
1.以数据分类分级为基础,识别重要数据资产,做到“摸清家底,识别关键”
2.识别典型业务场景,围绕重要数据资产,“补短板”, 强化基础安全防护能力
3.基于数据分类分级结果实施分级管控与防护策略,做到“体系化管理,精细化管控”
4.持续数据安全能力评估,加强数据安全事件运营,做到“查漏补缺,运筹帷幄,持续运营”
一、背景
《中华人民共和国数据安全法》(以下简称“数据安全法”)是数据安全领域的基础性法律,明确提出了行业数据安全监管的职责,对于工业领域来讲,需对本行业制定相关数据安全标准、监测数据安全风险、区分本行业重要数据和核心数据,保障本行业的数据安全等要求。为贯彻落实数据安全法等法律法规对工业领域数据安全管理工作的要求,工业和信息化部拟发布《工业和信息化领域数据安全管理办法(试行)》,用于加快和推进工业和信息化领域数据安全管理工作制度化、规范化、并提升工业和电信行业数据安全保护能力,防范数据安全风险,同时相继推出《工业领域重要数据和核心数据识别规则(草案)》《工业企业数据安全防护要求(草案)》《工业数据安全评估指南(草案)》等,用来指导工业企业识别重要数据和核心数据、评估工业企业数据安全防护能力和建设参考。
工业领域已成为我国数字化转型与数字经济发展的前沿,随着工业领域数字化转型的推进,工业企业由传统的生产车间的生产制造逐步转向数字产业化和生产数字化,而数据作为具有生产效益的数字要素,已成为数字化发展的关键。
工业领域的数据规模呈爆发式增长,泛在化流动,并且向平台化集中,同时,随着业务系统上云、数据交互和流通(甚至存在跨境传输)需求的增加,针对于工业领域数据层面的安全管理、安全防护问题也逐渐增多,工业数据安全形式复杂且变得严峻。
如何对海量工业数据进行有针对性的防护,促进工业领域数据安全有序的流动、保障业务应用安全的使用、及时发现潜在数据风险并及时处置等,都是当前工业领域数据安全管理与防护的难题。
二、工业数据安全建设路径
对于工业领域的数据安全管理和能力建设,应聚焦工业领域数据的内容、特征,紧贴业务应用场景,构建以数据为核心,建立以“以分类分级为基础,围绕重要数据、核心数据,补短固底强化基础,开展分级防护与精细化管控、安全能力评估并与持续运营”的路线作为工业领域数据安全管理与防护能力建设的路线开展。
1、以数据分类分级为基础,识别重要数据资产,做到“摸清家底,识别关键”
数据分类分级是工业领域数据安全管理与防护体系建设的基础。
工业领域相关企业提供产品或服务时,相关产品的研发设计、生产制造、经营管理、运维服务等环节中产生和使用的数据类型众多。其中,工业领域数据的主要来源包括:一是来源于企业内部信息化管理系统,主要涉及到业务经营管理相关的数据,如产品、工艺、生产、采购、营销、订单、服务、运维、管理等方面的数据;二是来自产线设备的数据,主要包含生产过程中产线、设备、物流等环节的相关工况信息、工作面信息、运行状况信息、环境监控信息等,这类数据量大,数据来源繁杂且具有很强的实时性;三是来自于工业企业的外部数据,一般情况下包括工业企业外部相关的供应链数据、互联网数据、工业产品或服务交付后产生的数据(如设备工况、工作面等数据),此类数据一般情况会与工业企业业务相融合,经过开发分析与汇聚融合后,为工业企业提供数据支撑,促进业务发展。
因此,工业领域数据类型多、数据来源复杂、体量大,若对所有数据无差别的进行安全管理和防护,对于数据安全管理人员来说就显得不科学和不现实。摸清工业企业具有的数据类型、识别要保护的数据类型就显得很重要,将数据分类分级管理和开展工作赋能到工业企业相关业务条线,识别重点保护的数据类型,作为常态化管理工作是一种必然。
对于工业领域的数据分类分级与重要数据识别,应至少做到以下几点:
a) 识别并对工业企业各个业务条线上的数据的敏感性进行评价,识别出具有业务成果性、关键性、重要性、核心性相关联的业务系统的数据(含个人数据)的敏感性,区分敏感数据类型,并进行数据安全类型和数据安全级别的标记;
b) 按照工业和信息化领域的相关要求,需识别出对国家安全、行业发展(安全管控、经济运行、行业竞争)、行业特色、出库管制、供应链安全等相关的重要数据、核心数据,并按照要求完成重要数据、核心数据的备案管理工作;
2、识别典型业务场景,围绕重要数据资产,“补短板”, 强化基础安全防护能力
3、基于数据分类分级结果实施分级管控与防护策略,做到“体系化管理,精细化管控”
a) 优化数据安全管理体系,在企业原有相关的安全体系下构建数据安全管理体系,优化数据安全管理组织架构;b) 明确数据安全组织职能分工,确定数据安全主管部门(信息化部或数字化部)职责各相关方职责,其中各相关方包含采购、人力、研发设计、生产制造、运营维护、销售营销、法务、审计等部门;c) 明确数据安全岗位职责与说明,针对于数据安全管理、数据安全策略与数据安全实施相关的工作职责应明确相关负责人、职责说明。除了需要确定各相关方数据安全管理职责以外,还应通过数据安全相关管理制度、规程中明确出数据安全管理的具体内容,相关的数据安全管理制度包括但不限于数据安全管理办法、数据分类分级规范、数据安全审计规范、数据安全评估办法、数据安全应急管理制度、数据内部登记审批制度等等。工业领域相关企业在开展业务时,对数据对访问、使用等环节应基于业务视角,对相关数据类型、数据的流向、流转的系统与载体、流转的数据量级、数据的流转目的、数据存储位置、数据的消费方、数据使用方式等内容进行梳理并结合数据分类分级结果,构建精细化的数据安全防护策略,其中包含但不限于:a) 分级防护策略:与数据分类分级结果、数据全生命周期维度、从数据安全管理,数据安全技术防护视角构建数据安全防护策略;b) 精细化访问控制策略:基于数据分类分级结果,从业务访问数据资源的需求出发,制定可落地的访问控制策略或技术措施,保护访问角色、系统账户密码安全,做到系统数据资产统一访问纳管;c) 场景化防护策略:围绕业务场景和数据流转,梳理数据脉络,识别数据的访问关系,制定贴合业务场景的数据安全能力和防护策略。
4、持续数据安全能力评估,加强数据安全事件运营,做到“查漏补缺,运筹帷幄,持续运营”
三、总结