为贯彻落实工业和信息化部《工业领域数据安全能力提升实施方案(2024-2026年)》(工信部网安〔2024〕34号)有关要求,全面提升我省工业领域数据安全保护能力,夯实新型工业化发展安全基石,结合我省实际,制定本方案。
一、总体要求
(一)指导思想
以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大精神,坚定不移贯彻总体国家安全观,坚持统筹发展和安全,以构建完善工业领域数据安全保障体系为主线,以落实企业主体责任为核心,实施工业企业数据保护能力、数据安全科学监管能力、数据安全产业支撑能力提升工程,提高工业领域数据安全治理能力,促进数据要素安全有序流动和价值释放,为加快推进新型工业化,建设制造强省、网络强省和数字强省提供坚实支撑。
(二)总体目标
到2026年底,全省工业领域数据安全保障体系基本建立。工业企业数据安全保护意识普遍提升,重点企业数据安全主体责任落实到位。数据安全工作机制、政策标准、技术手段更加健全。数据安全技术、产品和服务供给能力不断加强,人才规模与技能水平持续提升。全省规上工业企业数据安全政策宣贯实现全覆盖,培训规模超4万人次。开展数据分类分级保护的重点企业超5000家,各市年营收行业排名前10%的规上工业企业实现全覆盖。围绕我省特色优势行业,培育国家级数据安全应用案例不少于20个。
二、重点任务
(一)实施工业企业数据保护能力提升工程
1.增强企业数据安全保护意识。面向各级工业和信息化主管部门、规上工业企业和数据安全企业,采用专题网课、论坛讲座、现场观摩等线上线下形式,加强数据安全领域法律法规和政策标准宣贯力度,提高各行业企业数据安全意识。督促企业依法依规落实数据安全主体责任,压实法定代表人或主要负责人数据安全第一责任,配足、配强数据安全岗位和人员队伍,推动企业建立健全数据安全责任管理机制。引导企业统筹做好发展与安全工作,将数据安全融入企业发展战略和考核机制,推动数据安全管理与业务发展同谋划、同部署、同落实、同考核。
2.强化企业重要数据风险评估。按照《山东省工业和信息化领域数据安全管理实施细则(试行)》要求,指导重点企业建立健全数据分类分级保护等安全管理制度,定期梳理识别重要和核心数据,形成目录并及时报备。督促重要数据和核心数据处理者落实数据分级防护要求,每年至少开展一次数据安全风险评估,及时发现数据安全隐患,按要求报送评估报告。针对重要数据泄露、勒索病毒攻击、人员违规操作、非受控远程运维等易发频发安全风险,指导企业强化管理和技术防护措施,增强数据安全风险防范能力。
3.提升企业数据安全防护能力。指导企业依据工业领域数据安全保护实践系列指南,强化数据异常监测、数据加密、数据脱敏、数据防泄露等安全防护手段建设,提升企业风险监测、态势感知、威胁研判和应急处置等综合能力,及时报告重大风险事件。引导企业将数据安全融入业务数据化、数据业务化全过程,加快建设基于隐私计算的可信工业大数据平台和企业数据仓,构建企业可信数据空间,提升企业数据汇聚、流通和应用等数据处理场景安全保护能力。面向供应链上下游协作、服务外包、上云上平台等典型业务场景,厘清多主体数据安全责任界面和衔接模式,建立全链条全方位数据安全保护体系。
(二)实施数据安全科学监管能力提升工程
4.完善数据安全管理工作机制。落实国家工业领域数据安全风险评估实施细则、应急预案、行政处罚裁量指引等政策文件,推动各级工业和信息化主管部门完善重要数据备案、风险监测、监督检查与应急处置等工作流程,结合实际制定细化工作方案,加强与网信、公安等相关部门协作力度,共同提升区域数据安全管理水平。依托省数字经济标准化技术委员会建立数据安全工作组,加快研制工业领域数据安全防护、可信执行环境、态势感知、风险评估等标准,为工业领域数据安全管理工作提供规范指导。
5.推进数据安全技防手段建设。完善省级工业数据安全管理平台功能,有力支撑重要数据管理、风险监测、信息报送与共享、事件通报等工作。鼓励有条件的市和企业建设市级及企业级节点,推动与省级平台的对接联动,构建省市企协同高效的数据安全监测预警体系,提升区域性、规模性工业数据安全风险信息获取、分析研判和预警处置能力。加快建立省级工业领域数据安全工具库,优选一批数据分类分级、检测评估、合规检查、密码应用等专项工具,为数据安全监管和保护工作提供支撑。
6.提升数据安全监督检查能力。滚动编制省、市两级工业领域数据安全风险防控重点企业名录,以多部门联合检查和工业领域专项督查等形式,定期对名录内企业开展数据安全监督检查。实施“数安护航”专项行动,分行业、分批次开展数据安全风险排查和防范,利用企业自查、远程检测和现场诊断等手段,增强企业风险识别与处置能力。推动数据安全纳入行政执法事项清单,强化工业和信息化主管部门行政执法能力建设,打造专业化、规范化监管执法队伍,建立健全数据安全违法违规行为投诉举报渠道,严格处置违法违规行为。
7.提高数据安全应急处置水平。组建数据安全风险分析专家组,摸排数据安全风险事件特点和规律,加强典型案例剖析,建立重大风险事件案例库,为应急处置提供经验参考。强化省级、市级应急处置支撑队伍建设,面向重点企业开展数据安全风险事件事前预防、事中处置、事后总结等指导工作。按照工业和信息化部“数安铸盾”专项行动统一部署,组织重点企业开展应急演练,持续优化事件响应流程和机制,提升事件快速反应、规范处置、协同联动水平。
(三)实施数据安全产业支撑能力提升工程
8.强化关键核心技术攻关。发挥高校和科研院所在人才、技术、成果等方面聚集优势,支持建立数据安全产业技术研究院、联合实验室、技术创新中心等创新载体,加大加密芯片、安全操作系统、隐私计算数据库等基础软硬件核心技术研发力度。围绕工业数据安全场景,持续提升数据智能分类分级、工业数据库审计、低时延加密传输等共性技术创新能级。聚焦工业大数据、工业大模型等新兴应用需求,开展数据安全沙箱、数据防泄漏、数据溯源等应用技术研发。
9.加大产品和服务能力供给。鼓励数据安全企业围绕工业数据泄露、窃取、篡改等风险,研发流量异常监测、攻击行为识别、事件追溯和处置等数据安全产品,建立并滚动更新数据安全产品目录。支持具备相应资质的服务机构开展规划咨询、技术培训、应急响应、安全审计、评估认证等数据安全服务。创新“产品+服务”供给模式,面向中小企业提供“小快轻准、开箱即用”的数据安全产品和服务,面向大型企业定制“特新全优、安全可信”的数据安全一体化解决方案。
10.培育壮大数据安全企业。推动数据安全领军企业丰富数据安全产品矩阵,打造覆盖数据全生命周期的综合防护体系和整体解决方案,成长为具有核心竞争力的生态主导型企业。支持创新型中小企业聚焦数据治理、隐私计算等细分赛道,加快成长为创新能力突出、特色优势明显、市场占有率高的专精特新企业。鼓励网络安全企业基于自身行业、产品优势,向数据安全领域拓展。推进与京津冀地区、长江经济带深化合作,重点推动国家级科技创新平台、行业领军企业在我省设立区域总部、孵化平台、研发中心,形成数据安全产业协同发展新格局,辐射带动黄河流域数据安全产业高质量发展。
三、保障措施
(一)加强组织协调。省工业和信息化厅会同有关部门加强工作协同,做好与省数据安全工作协调机制的衔接,强化跨部门综合监管、联合执法与应急处置。构建省市县企四级联动的工业领域数据安全管理机制,强化省市联动、政企协同,形成工作合力。支持数据安全领域专业智库和服务机构,为全省数据安全发展提供政策规划、标准规范、交流合作、应用推广等能力支撑。
(二)加大要素保障。探索在各市工业转型发展资金中设立数据安全专项资金,采用奖补、贴息等扶持方式加大工业领域数据安全资金投入。鼓励银行业金融机构创新产品和服务,加大对数据安全产业的支持力度。引导高校、科研院所、数据安全企业等联合共建省级数字经济创新平台、数据安全产业人才实训基地,支持高等院校开展专业化、特色化数据安全专业学科建设,壮大数据安全人才队伍。
(三)强化成效评估。各市工业和信息化主管部门应及时跟踪调度实施方案落实和目标完成情况,评估数据安全工作成效。探索建立全省工业数据安全发展评估指标体系,支持行业协会和第三方机构开展数据安全发展评估,定期发布评估报告。省工业和信息化厅对工作推动有力、取得明显成效的地区、企业和单位予以表扬,遴选典型经验做法并进行推广,择优向工业和信息化部推荐。
(四)营造良好氛围。举办“技能兴鲁—山东省数据安全职业技能竞赛”“山东省大数据技术与应用职业技能竞赛”等大赛,促进人才知识更新和能力提升。充分发挥协会、学会和产业联盟作用,开展供需对接、技术交流、案例推介等活动,利用公众号、融媒体等方式开展创新宣传,营造数据安全共建共治共享的浓厚氛围。
本实施方案自2024年7月12日起施行,有效期至2026年12月31日。