为提升数据安全管理水平,规范重要数据和核心数据处理活动,有效防范数据安全风险,上海市经济和信息化委员会(以下简称“上海市经信委”)按照工业和信息化部和市委市政府的有关部署要求,依据《网络安全法》《数据安全法》《个人信息保护法》《工业和信息化领域数据安全管理办法(试行)》等法律法规的规定,在上海市工业领域组织开展2023年“数安护航”专项行动。
01 “数安护航”专项行动的工作要求
本年度工业领域“数安护航”专项行动的适用对象为被纳入《2023年上海市工业领域数据安全风险防控重点企业名录》的重点单位(以下简称“重点单位”)。具体工作要求如下:
1●工业领域重要数据、核心数据识别备案
落实工业领域数据分类分级管理工作,开展工业领域重要数据和核心数据的识别认定及目录管理工作。相关重点单位应:
(1)按照《工业领域重要数据和核心数据识别指南(试行)》识别本单位重要数据和核心数据;
(2)形成具体目录并填写《工业和信息化领域重要数据和核心数据目录备案表》;
(3)8月31日前报上海市经信委备案。
上海市经信委将对备案内容进行审核,对符合要求的予以备案并纳入本市工业领域重要数据和核心数据目录。
2●工业领域数据安全风险评估
工业领域的重要数据和核心数据处理者应当:
(1)自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题;
(2)参照《工业领域数据安全风险排查和防范指导手册(2023版)》,自行或委托专业机构开展数据安全风险自查评估,于8月31日前形成《数据安全风险自查报告》并报送至上海市经信委。
上海市经信委将组织对各单位的数据安全风险评估报告进行审查,对评估不合规的报告予以退回整改,对未落实评估责任的单位依法依规予以通报和处罚。
3●常态化监测预警和应急处置
上海市经信委建立工业领域数据安全风险监测预警机制,对接工业和信息化部数据安全风险监测机制及相关数据安全通报平台,常态化开展工业数据安全风险信息通报和应急处置工作,强化企业数据安全风险治理。相关重点单位应:
(1)建立内部工作机制,及时排查安全隐患;
(2)收到数据安全风险通报信息后,应当及时整改,加强风险防范;
(3)在数据安全事件发生后,应当及时上报并开展应急处置。
第六届进博会等重大活动期间,上海市经信委将采取远程监测和现场诊断相结合的方式,对企业风险排查情况、整改落实情况及防范措施等进行诊断督导。
4●数据安全示范项目建设
上海市经信委围绕“3+6”重点产业,推动数据安全示范工程建设,形成一批行业解决方案和重大场景。相关重点单位应:
(1)开展信息数据资产、安全建设现状评估;
(2)根据自身网络安全、数据安全建设需求,选取行业应用显示度高、安全建设需求紧迫的场景应用,填写《上海市工业数据安全重大场景需求征集表》;
(3)9月15日前提交至上海市经信委电子邮箱。
上海市经信委对征集到的应用场景需求进行遴选,择优作为2023年上海工业领域网络和数据安全重大应用场景“揭榜挂帅”项目,在此基础上推动打造示范项目。揭榜后投入实际建设的项目,对其中符合条件的,将优先在本市产业高质量发展专项资金中给予支持。对纳入应用场景解决方案的创新产品,优先推荐纳入《上海市创新产品推荐目录》。
02 如何开展数据安全风险自查评估
企业可以自行开展或委托第三方专业机构开展。根据《工业领域数据安全风险排查和防范指导手册(2023版)》(以下简称“指导手册”),企业需从数据安全防护能力薄弱环节及数据处理人员违规操作两大方面、六个风险点开展数据安全风险自查评估,框架内容如下图所示:
指导手册就每一项风险均给出了详细具体的排查方式指引及防范措施的示范要求,是企业自查评估工作的重要参考。为保证自查评估工作的高效、有序的推进,企业可将自查评估工作分为自查准备、自查实施、自查报告三个主要阶段,具体可参考下图。
1●自查准备阶段
在准备阶段,首先企业需要组建自查工作小组。自查工作涉及的范围较广,例如系统开发运维、法律法规、安全技术等,工作小组可包含IT团队、法务合规部门、技术或安全团队的人员,同时也可以引入外部专业团队,从法律法规、技术措施、管理程序等方面给予专业支持。
其次,企业需要确定自查范围及对象。一般应当包括系统平台、涉及数据处理人员、相关规章制度及技术措施。
企业应当自查的系统平台包括:
① 处理重要数据和核心数据的系统平台;
② 处理大量数据和个人信息的系统平台;
③ 存在技术服务外包情况的系统平台。
数据处理人员的范围包括重要数据和核心数据处理活动所涉及的操作人员,以及技术外包场景下可能涉及的供应商人员。企业可以通过各部门梳理相关数据处理活动涉及的岗位职责人员及相应操作权限,形成重要数据和核心数据处理操作人员清单,重点自查与防范数据处理人员违规操作引发的风险。
企业应当提前梳理好与数据安全相关的制度文件,包括工作流程中可能涉及到的记录文件、表格工具等。此外,企业负责自查的工作人员还可以提前了解或熟悉数据处理流程中所涉及的相关安全技术措施,以及历史发生过数据安全事件的系统或数据处理环节,可视情况将其一并纳入自查范围或作为重点自查内容。
2●自查实施阶段
本次工业领域的“数安护航”专项行动中有关数据安全自查评估这项工作具有高度针对性,监管集中关注企业在数据安全高风险领域的风险排查和管控情况,故指导手册是本项工作的重要依据。除此之外可以参考《网络安全法》《数据安全法》《个人信息保护法》《工业和信息化领域数据安全管理办法(试行)》等法律法规及其他标准的要求。
就具体实施而言,我们建议企业可对指导手册中对各项风险的排查方式及防范措施进行拆分,形成具体的自查要点,从而制作形成自查矩阵;自查矩阵形成后,可采取包括文件审查、日志分析、技术检查(如系统演示、穿行测试、技术验证)等方法逐项开展自查评估。自查矩阵中可包括以下要素:风险点内容、自查项、自查要点、自查结果、自查评价,在自查结果中描述企业目前针对自查要点中所述要求的落实情况;在自查评价中,具体描述是否发现相关风险,若有,则应进一步对相关风险内容进行描述和分析。下列样表可供参考:
3●自查报告阶段
根据文件内容,《数据安全风险自查报告》的框架如下:
(1)风险自查基本情况
重点体现排查的相关系统平台名称、数量等情况,以及发现的风险类型、级别、数量等情况。我们建议将自查实施过程中形成的自查矩阵表格放至此处,以整体展现具体的自查过程及结果。
(2)存在的风险具体情况
针对每一类风险,分别阐述自查发现的具体风险情况,包括但不限于风险数量、类型、级别、产生的原因、可能带来的后果影响等。
(3)风险处置情况
阐述目前针对发现的风险,已采取哪些具体措施及取得的处置成效。
(4)面临的困难和问题
阐述目前风险防范、处置、整改加固等工作面临的困难和问题。
(5)下一步计划
提出针对数据安全风险处置和管理的下一步工作考虑和计划。
/ 结 语/
上海市经信委开展“数安护航”行动是在工业领域重点开展的数据安全相关专项工作,为推动《网络安全法》《数据安全法》《个人信息保护法》《工业和信息化领域数据安全管理办法(试行)》在上海市工业领域得以实质落地,从而助力夯实新型工业化发展的安全基石。
随着工业领域数字化、网络化、智能化的快速推进,数据已快速融入工业领域各大企业在生产、市场、流通等各个环节,保障工业领域数据安全将成为工业领域企业日常安全管理的重点日常工作,企业应当积极响应行动任务,提供数据安全保护意识,落实数据安全主体责任,加强数据安全风险管理,重大风险得到有效防控,真正提高数据安全保护水平。
作者:陶然彩 上海赛博网络安全产业创新研究院高级研究员
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
