近日,工業和信息化部印發了《工業領域數據安全能力提升實施方案(2024—2026年)》(工信部網安〔2024〕34號)(以下簡稱《方案》)。鋼鐵行業作為國民經濟的支柱性產業,一旦數據體系遭受攻擊破壞,危及的不僅是單個企業,更可能影響整個產業或生態,甚至關乎經濟發展和社會穩定乃至國家安全。鋼鐵行業已成為數據安全乃至國家安全的新戰場,提升行業整體數據安全能力水平的重要性日益凸顯?!斗桨浮返某雠_為鋼鐵行業進一步提升數據安全能力提供了明確方向。
一、背景及指導意義
當前鋼鐵行業數字化轉型正從機械化、自動化向網絡化、智能化方向發展,從計算機、互聯網向云計算、大數據、人工智能方向演進。而作為數字化時代關鍵新型生產要素和載體的數據,更是全方位貫穿行業各個要素、流程、領域,越來越多的鋼鐵企業相關數據可能非計劃性地暴露在互聯網上。經過多年發展,鋼鐵行業積累了一定的經驗,但如何有效防范來自內部或外部的攻擊,做好海量數據的安全防護工作,仍是行業需要持續關注并不斷思考的問題。
《方案》提出的“堅持一個思想、把握四個原則、落實五個目標、提升三個能力、提供四個保障”,將指引鋼鐵行業從哪里入手,遵從哪些規則,量化哪些指標,分步驟、有重點地扎實推進鋼鐵行業數據安全建設工作。
二、《方案》總體目標及重點任務解讀
《方案》重點任務聚焦提升“三個能力”,分別從企業執行、政府監管、產業支撐的角度明確提出11項任務,依托產業技術進步,強化政府監管,調動企業建設積極性,推動行業數據安全整體水平提升。
一是從企業執行角度,為開展數據安全能力提升工作提供行動指南?!斗桨浮分攸c明確了提升工業企業數據保護能力的四項關鍵舉措,分別是增強數據安全保護意識、開展重要數據保護、強化重點企業數據安全管理、深化重點場景數據安全保護,并對其中每一項舉措進行了詳細闡述。結合鋼鐵行業流程連續性強、系統耦合性高、生產數據量大的特點,這些舉措涵蓋了行業數據安全管理的重點領域和關鍵環節,引導企業將數據安全管理要求融入本單位發展戰略和考核機制,將業務發展和數據安全有機結合,不僅為企業進行數據安全能力自我評估摸底提供了參照,也為下一步提升改進提供了抓手。
二是從政府監管角度,為完善數據安全政策標準、技術手段、工作隊伍提供依據。《方案》分別從完善政策標準、強化風險防控、推進技術手段建設、鍛造執法能力四個方面明確了數據安全監管的措施,也對政企聯動提出了新的要求。在政策層面,包括政府完善管理制度和監管機制,依托工業領域網絡與數據安全行業標準化組織研制標準,發布標準體系建設指南等,不斷明確數據安全能力提升工作開展的路徑和方向;在管控層面,要求政府構建常態化風險防控機制,面向重點企業開展專項行動等,同時也要求統籌共建工信領域數據安全管理平臺,持續增大技術手段加持力度,強化“部-省-企業”技術能力三級聯動,建立橫向到邊、縱向到底的全方位監管體系;在執法層面,要求規范相關程序、方法和手段,強化數據安全執法力度,自上而下,逐級落實,打造專業化、規范化監管執法隊伍,指導企業高效、規范、系統地開展相關工作。
三是從產業支撐角度,強化數據安全技術、產品、服務和人才等產業支撐能力,全面護航數據安全?!斗桨浮分攸c強調政產學研用各方協同,全面提升數據安全產業支撐能力,規劃布局未來三年產業發展。根據《方案》指示,鋼鐵行業下一步要加強新技術、新裝備、新理念在數據安全當面的應用推廣,持續引進新的管理工具和方法,推動新的技術產品在行業的試點應用。依托行業協會、智能制造解決方案供應商、領軍企業等,不斷發掘行業數據安全新需求,推動技術產品和服務在行業的深耕實踐,激發行業創新活力,組織遴選一批具有廣泛應用價值的通用數據安全技術和產品,打造一批高質量、可復制的數據安全解決方案和典型案例,形成具有行業特色的技術能力清單。同時,加強人才隊伍建設,為企業數據安全能力提升儲備源源不斷的力量,助力數據安全能力提升工作走深向實。
三、新時期鋼鐵行業數據安全工作思路和舉措
企業是履行數據安全保護責任和義務的主體。鋼鐵企業通常由專門部門管理企業自動化、信息化工作,由自動化/信息化子公司提供數字化與自動化改造建設與支撐服務。鋼鐵企業可通過以下四方面落實計劃:一是數據安全意識提升,通過宣貫與分享,提升企業全體員工的 數據安全意識,尤其是自動化信息化管理目標的意識;二是管理制度中增加數據安全內容,通過對自動化、信息化管理制度的修訂,將數據安全要求融入考核機制與工作制度中,從制度與流程上將數據安全要求作為一項日常工作去執行;三是數據安全保護技術體系建立,利用風險監測、態勢感知、威脅研判、分類分級、隱私技術按等技術手段,建立針對煉焦、燒結、球團、煉鐵、煉鋼、連鑄、軋鋼等生產工藝場景的數據安全防護體系,依托自動化與信息化子公司數據安全團隊健全企業數據安全防護能力;四是數據安全人才隊伍培養,通過與監管機構、行業協會、數據安全供應商通力協作,利用技能競賽、技術交流、學習進修、崗位練兵等形式持續促進人才知識更新和能力提升,培養復合型管理人才和實戰型技能人才,建立健全數據安全人才隊伍體系。
中國鋼鐵工業協會作為行業組織,可充分發揮政府與企業的橋梁紐帶作用,扎實推動《方案》落實落細。一是組織開展政策宣貫、培訓等活動。面向全行業鋼鐵企業做好政策文件重點、要點解讀,切實提升鋼鐵行業數據安全保護意識和工作水平。二是配合地方監管機構做好支撐工作。緊扣《方案》要求,配合部省工信監管機構,建立健全鋼鐵行業領域數據安全行業、團體標準規范,督促鋼鐵企業在標準規范指導下落地完成各項目標任務。三是發揮標桿示范作用??偨Y各企業在《方案》落地推進過程中的優秀經驗做法,遴選推廣一批典型案例和創新性的優秀產品及服務供應商,樹立行業標桿,并組織系列技術交流、供需對接會議,助力產業側與企業側的對接。四是加大人才培養力度。聯合產學研用各方,培養企業復合型管理人才與實戰型技能人才,不斷培養壯大數據安全人才隊伍。
