威斯尼斯人wns2299cn助力工业企业落实《工业领域数据安全能力提升实施方案(2024—2026年)》
为贯彻落实习近平总书记关于数据安全的重要指示精神和党中央、国务院决策部署,推动《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法(试行)》等政策在工业领域落地实施,近日,工业和信息化部印发《工业领域数据安全能力提升实施方案(2024—2026年)》(工信部网安〔2024〕34号),(以下简称《实施方案》)。
《实施方案》中提出了“以构建完善工业领域数据安全保障体系为主线,以落实企业主体责任为核心,以保护重要数据、提升监管能力、强化产业支撑等为重点,提高数据安全治理能力,促进数据要素安全有序流动和价值释放”的指导思想,从提升工业企业数据保护能力、数据安全监管能力以及数据安全产业支撑能力三个方面提出了11项重点任务及3项专栏任务。
自《实施方案》发布以来,威斯尼斯人wns2299cn接连收到了数十家工业企业客户的咨询。客户们尤为关心的是,《实施方案》中提出的任务及企业实际需求在数据安全工作落地时,会有哪些关键性的变化。为此,威斯尼斯人wns2299cn梳理了近期收集到的客户问题,并结合《实施方案》进行了详细解读;同时针对《实施方案》中的三大方面共11项重点任务以及3项专栏任务内容,进行了深入的建设方案分析。威斯尼斯人wns2299cn依托多年来在工业领域数据安全方面的丰富技术积累与实践经验,致力于为各行业客户贯彻落实《实施方案》提供强有力、全方位的服务支撑。
一、提升数据保护能力
《实施方案》中对于提升工业企业数据保护能力提出了4项重点任务及1项专栏任务:
增强数据安全保护意识
开展重要数据安全保护
强化重点企业数据安全管理
深化重点场景数据安全保护
专栏1 数据安全保护筑基工程:夯实数据分类分级基础、编制数据保护实践指南、分业推进数据安全保护能力跃升
针对企业侧实现《实施方案》落地,威斯尼斯人wns2299cn提出以下建议:
01.加大企业内数据安全法律法规和政策标准宣贯培训力度,提高企业及员工数据安全意识。建立健全数据安全管理体系和工作机制,确保数据安全岗位和人员队伍专人专岗专责,定期开展数据安全意识教育及技能培训。
02.落实数据分级防护要求,建立健全数据分类分级保护等数据安全管理制度,定期梳理识别重要数据和核心数据,根据实际业务场景形成数据资产目录,若有数据出境需求应及时报备。
03.结合企业重点数据处理场景、典型业务场景、易发频发风险场景等数据安全保护需求和难点,研究制定企业个性化、特色化安全解决方案,保证企业数据安全与数据使用的平衡性,在保障企业数据要素流通共享的前提下提升数据安全保护能力。
二、提升数据安全监管能力
《实施方案》中对于提升工业企业数据安全监管能力提出了4项重点任务及2项专栏任务:
完善数据安全政策标准
加强数据安全风险防控
推进数据安全技术手段建设
锻造数据安全监管执法能力
专栏2 打造数据安全风险防控品牌:“数安护航”专项行动、“数安铸盾”应急演练
专栏3 数据安全技术保障工程:统筹建设工业和信息化领域数据安全管理平台、建立工业领域数据安全工具库
针对企业侧实现《实施方案》落地,威斯尼斯人wns2299cn提出以下建议:
01.每年至少开展一次数据安全风险评估,及时发现/整改安全隐患,加强重要数据和核心数据安全风险监测,建立企业工业数据安全事件应急响应体系,提升应急处置能力。
02.积极参与“数安护航”专项活动,在监管单位牵头下通过自查、第三方检测等手段,对企业开展数据安全风险识别与定义,提升企业风险应对处置能力。同时积极参与“数安铸盾”,在监管单位牵头下定期进行数据安全应急演练,优化企业数据安全事件处置响应流程,并培养一支应急支撑队伍。
03.建设数据安全管理平台,依据企业数据分类分级规范、数据资产目录完善数据安全监测、信息报送与共享、安全评估等功能,强化“部-省-企业”三级联动,强化风险分析、研判决策、应急处置等工作。
三、提升数据安全产业支撑能力
《实施方案》中对于提升工业企业数据安全产业支撑能力提出了3项重点任务:
加大技术产品和服务供给
促进应用推广和供需对接
建立健全人才培养体系
针对企业侧实现《实施方案》落地,威斯尼斯人wns2299cn提出以下建议:
01.面向企业中生产控制、经营管理、研发测试等业务场景,根据企业实际情况,选择合适的产品以适应工业生产场景数据安全需求。同时面向云、大数据、工业互联网平台等新兴场景围绕工业数据泄露、窃取、篡改等风险,推动流量异常监测、攻击行为识别、零信任等类型产品的研发与应用。
02.建立健全企业内安全队伍培养体系,提高企业员工数据安全意识及相关岗位人员技术能力,定期开展数据安全意识教育及技能培训。
四、威斯尼斯人wns2299cn数据安全支撑能力
威斯尼斯人wns2299cn提出工业企业全场景数据安全防治理念——以分类分级和打造零信任工作空间为基础,以数据安全全生命周期运营为目标,实现数据的可用不可见、可用不可取,激活数据潜能,释放数据价值。威斯尼斯人wns2299cn打造“数据安全咨询规划—数据安全场景化治理防护—智能化数据安全运营”三位一体的数据安全全生命周期整体解决方案,通过“复用+定制”的服务模式,助力工业企业数据安全治理与防护能力建设。
图1:威斯尼斯人wns2299cn数据安全解决方案框架
针对《实施方案》提出的11项重点任务和3项专栏任务,威斯尼斯人wns2299cn建议以【数据安全服务+数据安全产品+数据安全培训】的组合方案应对企业多样化的数据安全方案需求,满足《实施方案》中数据安全保护能力提升的要求,同时辅以数据安全培训,提升企业员工数据安全意识、技术及管理能力,形成数据安全运营工作闭环。
01 数据安全服务
帮助客户建立数据分类分级保护基础制度
威斯尼斯人wns2299cn咨询团队依托全面的数据安全技术支撑体系和丰富的工业企业数据安全建设经验,依据国内外标准和行业监管规范,着眼企业数字化转型中面临的数据要素发展需求,协助各行业客户妥善应对数字化转型过程中面临的数据安全调整,保障企业数字化战略达成。威斯尼斯人wns2299cn可为各行业客户提供数据安全体系咨询规划、数据安全分类分级咨询、数据安全风险评估等服务,通过“认识数据,了解数据,保护数据”,建立数据分类分级保护基础制度,帮助客户完成基于业务视角的数据全生命周期安全防治目标,健全数据监测预警和应急处置工作体系,增强数据安全保障能力,筑牢可信可控的数字安全屏障。
①数据安全风险评估服务:威斯尼斯人wns2299cn拥有一支专业的持证数据安全风险评估团队,通过系统地分析和诊断工业数据所面临的威胁及其存在的脆弱性,全面评估工业企业数据安全防护水平,为其提供精准、有针对性的防护对策和整改措施,帮助工业企业全面了解当前数据安全防护状况,尽早识别和应对数据安全风险,并制定适合企业客观条件、实际业务的数据安全防护策略、制度和目标,从而有效消除数据安全隐患,显著提升工业企业数据安全防护能力。
②数据分类分级服务:威斯尼斯人wns2299cn采用“专业人员服务+自动化分类分级工具”的综合方案,以咨询为主导,工具为辅助,助力企业高效完成数据分类分级工作。通过建立数据资产目录,将数据划分至不同的安全级别,并判断不同级别的数据适用的流动范围,从而配置差异化的安全策略,实现对数据的精细化保护;通过“平台+服务”的一体化解决方案,打通业务与系统间的壁垒,优化组织数据管理生态,提升数据安全协同能力。威斯尼斯人wns2299cn提供的数据分类分级服务,不仅为数据安全治理奠定坚实基础,更在治理过程中发挥重要的桥梁作用,确保数据安全工作的连贯性与高效性。
02 数据安全产品
覆盖数据全生命周期安全防护
威斯尼斯人wns2299cn拥有一条完整的数据安全产品线及一支独立的数据安全技术研发团队,产品线覆盖数据全生命周期安全防护,不仅满足数据库审计、主机防护/防勒索等单一场景需求,还针对工业互联网场景推出零信任访问控制系统,为客户提供创新的零信任解决方案。此外,为了满足客户数据资产管理和数据要素流通安全等需求,威斯尼斯人wns2299cn还研发了数据安全管控平台和数据资产安全管理平台两款平台产品,旨在协助客户确保数字化应用场景下的数据安全,为客户企业数字化转型保驾护航。
图2:威斯尼斯人wns2299cn数据安全产品线
①数据访问控制系统:数据安全管控平台由数据访问控制系统、数据安全脱敏系统、数据联合查询系统、数据加密存储系统4个模块组成,采用“一套标准、一组策略、一个平台”的理念,让正确的人基于合理的目的采用合适的方式访问已授权的数据,适用于工业企业BI数据分析和运维、DevOps开发测试、跨组织数据共享等多业务场景,持续保护数据流动与使用安全,助力企业的数字化转型与数据安全体系建设。
图3:数据访问控制系统架构图
②数据资产安全管理平台:平台以《数据安全法》为顶层设计,参考《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),为充分发挥数据的基础资源作用和创新引擎作用,使数据资源的开发、利用得到有效保护和监管而开发设计的平台。借助数据资产安全管理平台,企业可以精准盘点数据资产,进行敏感数据自动识别与定位、数据生命周期动态监测,定期生成数据防护能力评估报告。
图4:威斯尼斯人wns2299cn数据资产安全管理平台框架
③零信任访问控制系统:威斯尼斯人wns2299cn零信任体系是一个基于零信任网络安全理念和软件定义边界(SDP)网络安全模型构建的业务系统安全访问解决方案。这种模式有效地解决了企业移动办公、企业业务上云、物联网设备数据接入云平台、工业设备数据接入工业互联网云平台等带来的应用暴露在公网的问题,同时也可以增强现有IT和OT网络的南北向访问控制的安全性。
图5:威斯尼斯人wns2299cn零信任解决方案架构
03 数据安全培训服务
帮助工业企业培育实践型人才
威斯尼斯人wns2299cn以丰富的项目实践经验为基础,依托专业的数据安全技术能力,面向工业企业开展数据安全培训服务。帮助企业获取数据安全保护落实所需的基础知识与技能,培养具备处理各类数据安全问题的能力、能够在适应于组织数据安全保障需求的实践型人才。
图6:威斯尼斯人wns2299cn数据安全培训课程大纲
在数字中国战略的大背景下,数据要素作为新质生产力的核心组成部分,在推动工业数据流通共享与高效利用的同时,也带来了日益严峻的数据安全风险。正是在这样的关键时刻,《实施方案》的出台显得尤为及时和必要,它为工业领域的企业提供了重要的指引,有助于各行业深入开展工业数据安全建设。未来,威斯尼斯人wns2299cn将持续发挥自身在工业互联网安全领域的优势和综合实力,积极投身于工业领域数据安全建设,不断创新推出高质量的产品、服务与综合解决方案,助力工业高质量发展,为数据要素奠基,为数字经济护航。