近日,工业和信息化部发布了《工业和信息化领域数据安全事件应急预案(试行)》(以下简称《应急预案》)。《应急预案》旨在进一步加强工业和信息化领域数据安全工作,提升数据安全事件应急处置能力,建立健全工业和信息化领域数据安全事件应急组织体系和工作机制,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失,保护个人、组织的合法权益,维护国家安全和公共利益。
《应急预案》细化了数据安全事件应急处置事前、事中、事后全流程各环节要求,提出分级预警、响应、处置、上报等各类机制,建立衔接有序、高效运行的工作闭环。三是根据数据安全事件应急处置工作的需要,明确相关预防措施和保障措施。
工信领域数据处理者开展应急处置工作:
1
先行处置和报告。一旦发现数据安全事件,数据处理者应当立即根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,判定数据安全事件级别(包括特别重大、重大、较大和一般四个级别)。对自判为较大及以上事件的,应当立即向地方行业监管部门报告。
2
启动应急响应。发现数据安全事件后,涉事数据处理者立即进入应急状态,根据事件级别分别采取相应的处置措施,开展数据恢复或追溯工作。同时,持续加强监测分析,跟踪事态发展,评估影响范围和事件原因,进一步采取有效整改处置措施,及时汇报工作进展和处置情况。
3
事件总结上报。重大及以上数据安全事件应急处置工作结束后,涉事数据处理者应当及时调查事件的起因、经过、责任,评估事件造成的影响和损失,总结事件防范和应急处置工作的经验教训,提出处理意见和改进措施,形成总结报告报地方行业监管部门。
为了满足《应急预案》的具体要求,提高数据安全事件综合应对能力,工信企业还是要在日常业务中通过加强数据安全防护手段、完善数据安全体系建设,提升企业在数据安全管理、数据全生命周期管理、合规与技术等方面的能力与水平,才能切实提升数据安全防护与管理水平,满足政策法规的合规要求,避免数据安全风险。工信领域企业可以采取的具体措施有:
数据资产梳理、落实分类分级 对数据进行分类分级,梳理数据资产,了解企业中有哪些机密数据,并且按照保密等级进行分类,严格把控数据使用权限。以汽车领域为例,重要数据和核心数据的识别应在国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》基础上,还要结合GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》进行综合判定。 完善全生命周期数据合规管控 在数据采集、存储、使用、处理、传输、提供等一系列环节,网络数据处理者应针对每个环节制定有针对性的管理规范,加强数据处理各个环节的合规性,建立健全数据存储机制,在数据存储时就采用加密等安全措施,确保重要数据备份和恢复能力,制定紧急事件处理预案并定期演练等。 强化数据安全防护与监管能力 对收集到的个人信息等敏感数据,采取加密技术覆盖内部电子文档的创建、修改、传输、归档、分发、销毁等全过程,保密文档、开发测试数据、国家级涉密文件等核心数据只有在内部加密环境下才可以进行复制、交互等操作。在外出、跨境等办公环境下,不能对涉密数据进行访问和编辑。 作为数据安全领域的领先厂商,敏捷科技数据安全产品及方案针对工业企业数据泄密痛点,通过独到的数据加密管控手段,使得工业企业智能制造数据得到集中管控的同时,实现安全可靠管理,保证企业的核心资产、知识产权及其它相关数据得到有效管控,为工业企业数字化保驾护航。 同时,敏捷科技也通过提供数据安全防护体系建设和意识培养培训,为工信企业解读如何做好网络和数据安全防护工作,帮助企业理解安全形势、增强安全意识、应对防护挑战、加强工业信息安全体系建设。
18120179909
关注敏捷小助手,了解更多