近日,工业和信息化部印发了《工业领域数据安全能力提升实施方案(2024—2026年)》(工信部网安〔2024〕34号)(以下简称《方案》)。钢铁行业作为国民经济的支柱性产业,一旦数据体系遭受攻击破坏,危及的不仅是单个企业,更可能影响整个产业或生态,甚至关乎经济发展和社会稳定乃至国家安全。钢铁行业已成为数据安全乃至国家安全的新战场,提升行业整体数据安全能力水平的重要性日益凸显。《方案》的出台为钢铁行业进一步提升数据安全能力提供了明确方向。
一、背景及指导意义
当前钢铁行业数字化转型正从机械化、自动化向网络化、智能化方向发展,从计算机、互联网向云计算、大数据、人工智能方向演进。而作为数字化时代关键新型生产要素和载体的数据,更是全方位贯穿行业各个要素、流程、领域,越来越多的钢铁企业相关数据可能非计划性地暴露在互联网上。经过多年发展,钢铁行业积累了一定的经验,但如何有效防范来自内部或外部的攻击,做好海量数据的安全防护工作,仍是行业需要持续关注并不断思考的问题。
《方案》提出的“坚持一个思想、把握四个原则、落实五个目标、提升三个能力、提供四个保障”,将指引钢铁行业从哪里入手,遵从哪些规则,量化哪些指标,分步骤、有重点地扎实推进钢铁行业数据安全建设工作。
二、《方案》总体目标及重点任务解读
《方案》重点任务聚焦提升“三个能力”,分别从企业执行、政府监管、产业支撑的角度明确提出11项任务,依托产业技术进步,强化政府监管,调动企业建设积极性,推动行业数据安全整体水平提升。
一是从企业执行角度,为开展数据安全能力提升工作提供行动指南。《方案》重点明确了提升工业企业数据保护能力的四项关键举措,分别是增强数据安全保护意识、开展重要数据保护、强化重点企业数据安全管理、深化重点场景数据安全保护,并对其中每一项举措进行了详细阐述。结合钢铁行业流程连续性强、系统耦合性高、生产数据量大的特点,这些举措涵盖了行业数据安全管理的重点领域和关键环节,引导企业将数据安全管理要求融入本单位发展战略和考核机制,将业务发展和数据安全有机结合,不仅为企业进行数据安全能力自我评估摸底提供了参照,也为下一步提升改进提供了抓手。
二是从政府监管角度,为完善数据安全政策标准、技术手段、工作队伍提供依据。《方案》分别从完善政策标准、强化风险防控、推进技术手段建设、锻造执法能力四个方面明确了数据安全监管的措施,也对政企联动提出了新的要求。在政策层面,包括政府完善管理制度和监管机制,依托工业领域网络与数据安全行业标准化组织研制标准,发布标准体系建设指南等,不断明确数据安全能力提升工作开展的路径和方向;在管控层面,要求政府构建常态化风险防控机制,面向重点企业开展专项行动等,同时也要求统筹共建工信领域数据安全管理平台,持续增大技术手段加持力度,强化“部-省-企业”技术能力三级联动,建立横向到边、纵向到底的全方位监管体系;在执法层面,要求规范相关程序、方法和手段,强化数据安全执法力度,自上而下,逐级落实,打造专业化、规范化监管执法队伍,指导企业高效、规范、系统地开展相关工作。
三是从产业支撑角度,强化数据安全技术、产品、服务和人才等产业支撑能力,全面护航数据安全。《方案》重点强调政产学研用各方协同,全面提升数据安全产业支撑能力,规划布局未来三年产业发展。根据《方案》指示,钢铁行业下一步要加强新技术、新装备、新理念在数据安全当面的应用推广,持续引进新的管理工具和方法,推动新的技术产品在行业的试点应用。依托行业协会、智能制造解决方案供应商、领军企业等,不断发掘行业数据安全新需求,推动技术产品和服务在行业的深耕实践,激发行业创新活力,组织遴选一批具有广泛应用价值的通用数据安全技术和产品,打造一批高质量、可复制的数据安全解决方案和典型案例,形成具有行业特色的技术能力清单。同时,加强人才队伍建设,为企业数据安全能力提升储备源源不断的力量,助力数据安全能力提升工作走深向实。
三、新时期钢铁行业数据安全工作思路和举措
企业是履行数据安全保护责任和义务的主体。钢铁企业通常由专门部门管理企业自动化、信息化工作,由自动化/信息化子公司提供数字化与自动化改造建设与支撑服务。钢铁企业可通过以下四方面落实计划:一是数据安全意识提升,通过宣贯与分享,提升企业全体员工的数据安全意识,尤其是自动化信息化管理目标的意识;二是管理制度中增加数据安全内容,通过对自动化、信息化管理制度的修订,将数据安全要求融入考核机制与工作制度中,从制度与流程上将数据安全要求作为一项日常工作去执行;三是数据安全保护技术体系建立,利用风险监测、态势感知、威胁研判、分类分级、隐私技术按等技术手段,建立针对炼焦、烧结、球团、炼铁、炼钢、连铸、轧钢等生产工艺场景的数据安全防护体系,依托自动化与信息化子公司数据安全团队健全企业数据安全防护能力;四是数据安全人才队伍培养,通过与监管机构、行业协会、数据安全供应商通力协作,利用技能竞赛、技术交流、学习进修、岗位练兵等形式持续促进人才知识更新和能力提升,培养复合型管理人才和实战型技能人才,建立健全数据安全人才队伍体系。
中国钢铁工业协会作为行业组织,可充分发挥政府与企业的桥梁纽带作用,扎实推动《方案》落实落细。一是组织开展政策宣贯、培训等活动。面向全行业钢铁企业做好政策文件重点、要点解读,切实提升钢铁行业数据安全保护意识和工作水平。二是配合地方监管机构做好支撑工作。紧扣《方案》要求,配合部省工信监管机构,建立健全钢铁行业领域数据安全行业、团体标准规范,督促钢铁企业在标准规范指导下落地完成各项目标任务。三是发挥标杆示范作用。总结各企业在《方案》落地推进过程中的优秀经验做法,遴选推广一批典型案例和创新性的优秀产品及服务供应商,树立行业标杆,并组织系列技术交流、供需对接会议,助力产业侧与企业侧的对接。四是加大人才培养力度。联合产学研用各方,培养企业复合型管理人才与实战型技能人才,不断培养壮大数据安全人才队伍。