【安恒观察】《工业领域数据安全能力提升实施方案（2024-2026年）》政策解读

数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通等各环节，保障数据安全，事关国家安全大局。提高数据安全治理能力，促进数据要素安全有序流动和价值释放，为加快推进新型工业化，建设制造强国、网络强国和数字中国提供坚实支撑。

方案提出要加强顶层谋划，以强化重点行业、重点企业、重要系统平台、重要数据保护为切入点，以点带面促进整体保护水平提升。充分发挥行业协会、龙头企业、专业机构、高等院校等各方力量，形成数据安全协同治理的良好局面。结合行业特色、数据特征等，差异化指导、精准化施策，加速提升行业数据安全管理水平。不断创新管理模式、技术、产品与服务，适应新时期工业领域数据安全保护新形势、新特点和新需求。

实施方案提出到2026年底，基本实现各工业行业规上企业数据安全要求宣贯全覆盖；开展数据分类分级保护的企业超4.5万家，至少覆盖年营收在各省（区、市）行业排名前10%的规上工业企业；立项研制数据安全国家、行业、团体等标准规范不少于100项；遴选数据安全典型案例不少于200个，覆盖行业不少于10个；数据安全培训覆盖3万人次，培养工业数据安全人才超5000人。

来源：网络安全管理局

数据是数字经济时代的关键新型生产要素，与国家经济运行、社会治理、公共服务等方面密切相关，保障数据安全已成为事关国家安全与经济社会发展的重大问题。2023年9月，全国新型工业化推进大会召开，推动新型工业化发展迈向新征程，工业领域数字化、网络化、智能化加速提质升级，在促进工业数据流通共享和开发利用的同时，伴随而来的大规模数据泄露、勒索攻击等风险形势日趋严峻，工业企业数据安全意识和能力普遍薄弱、地方主管部门监管工作缺抓手缺队伍、技术产品和服务供给不足等问题亟待研究解决。总体看，加强数据安全保障是新型工业化发展绕不过的坎，是推进新型工业化行稳致远的基础和前提。

党中央、国务院高度重视数据安全和新型工业化工作，习近平总书记多次作出重要指示，强调要“把安全贯穿数据治理全过程”“把必须管住的坚决管到位”“统筹发展和安全，深刻把握新时代新征程推进新型工业化的基本规律”。《数据安全法》《工业和信息化领域数据安全管理办法（试行）》等法律政策陆续出台，为工信领域数据安全监管和保护工作提供了指导和依据。为贯彻落实习近平总书记重要指示精神和党中央、国务院决策部署，将法律政策要求在工业领域再细化、再落实，切实提出符合行业特色、针对突出问题的任务举措，有效促进工业领域数据安全保护水平跃升，我部研究起草了《实施方案》，分步骤、有重点地指导各方扎实推进工业领域数据安全工作。

《实施方案》是指导未来三年工业领域数据安全工作的纲领性规划文件，以“到2026年底基本建立工业领域数据安全保障体系”为总体目标，分别从企业侧、监管侧、产业侧等方面明确各工作目标，致力于实现企业保护水平大幅提升、监管能力和手段更加健全、产业供给稳步提升：

一是从行业数据安全意识和能力普及覆盖考虑，提出基本实现各工业行业规上企业数据安全要求宣贯全覆盖。

二是紧抓重点企业和规上企业，实现数据分类分级保护的企业超4.5万家，至少覆盖年营收在各省（区、市）行业排名前10%的规上工业企业。

三是标准先行、树立典型。立项研制国家、行业、团体等各类标准规范不少于100项，对企业履行数据安全保护责任义务加强细化标准指导。面向不少于10个重点行业遴选典型案例不少于200个，强化优秀应用实践的引领带动作用。四是加大人才培养，实现培训覆盖3万人次、培养人才超5000人。

《实施方案》坚持统筹发展和安全，坚持底线思维和极限思维，坚持目标导向和问题导向，以构建完善工业领域数据安全保障体系为主线，以落实企业主体责任为核心，以保护重要数据、提升监管能力、强化产业支撑等为重点，从总体要求、重点任务、保障措施三方面提出主要内容：

一是总体要求方面，明确了指导思想、基本原则和总体目标，在总体目标中细化了各项关键任务指标。

二是重点任务方面，围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力，明确提出11项任务。其中，关于提升工业企业数据保护能力，提出了增强安全意识、开展重要数据保护、强化重点企业管理、深化重点场景保护4项任务；关于提升数据安全监管能力，提出了完善政策标准、加强风险防控、推进技术手段建设、锻造监管执法能力4项任务；关于提升数据安全产业支撑能力，提出了加大技术产品和服务供给、促进应用推广和供需对接、健全人才培养体系3项任务。

三是保障措施方面，围绕《实施方案》落地实施的保障需求，提出了加强组织协调、加大资源保障、强化成效评估、做好宣传引导4项工作。

工业企业是履行数据安全保护责任和义务的主体。《实施方案》重点明确了提升工业企业数据保护能力的四项关键举措：

一是增强数据安全意识，通过法律政策和标准宣贯培训等工作，普及提高企业安全意识。从明确责任人、建立健全管理体系和工作机制、配足岗位和人员队伍、定期开展教育培训等方面压实企业主体责任。引导企业将数据安全管理要求融入本单位发展战略和考核机制，同步推进业务发展和数据安全工作。

二是开展重要数据保护，指导存在重要数据的企业落实建立健全管理制度、识别报备重要数据、实施分级防护、定期开展风险评估、开展风险事件监测与应急处置等要求，对重要数据进行重点保护。

三是强化重点企业数据安全管理，滚动编制工业领域数据安全风险防控重点企业名录，对名录内企业既要督促其着重提升风险监测、态势感知、威胁研判和应急处置等能力，又要发挥各级技术力量加强技术支持。

四是深化重点场景数据安全保护，聚焦数据处理场景、典型业务场景、易发频发风险场景和数据要素大规模流通交易场景，制定系列实践指南，指导企业精准施策。

健全完善数据安全政策标准、技术手段、工作队伍等是提升监管能力的重要基础。《实施方案》从当前数据安全监管急需出发，重点明确了提升监管能力的四项关键举措：

一是完善数据安全政策标准，具体包括建立健全政策制度、完善全流程监管机制、研制重点急需标准等任务，并鼓励地方积极制定相关政策。

二是加强数据安全风险防控，在做好风险信息报送与共享、组建风险分析专家组、动态管理风险直报单位库、建立重大风险事件案例库、加强风险提示等常态化工作基础上，打造“数安护航”专项行动和“数安铸盾”应急演练2个品牌活动，有效提升风险事件防范和处置水平。

三是推进数据安全技术手段建设，统筹建设工业和信息化领域数据安全管理平台，加快推进“部-省-企业”三级监测应急等技术能力建设和协同联动。建立工业领域数据安全工具库，为高效开展监管和保护工作提供规范化、便捷式工具服务等支撑。

四是锻造数据安全监管执法能力，明确提出规范事件调查程序，丰富取证方法和手段，完善执法流程机制和加强执法案例宣介与警示教育。推动地方主管部门将数据安全纳入行政执法事项清单，打造专业化、规范化监管执法队伍。

强大的数据安全技术、产品、服务和人才等产业支撑能力，是开展数据安全工作的重要保障。《实施方案》推动政产学研用各方协同提升数据安全产业支撑能力，重点从以下三方面布局未来三年产业发展：

一是加大技术产品和服务供给，提出共性技术优化升级、关键技术攻关和产品研发、新型安全架构设计、供给模式创新等任务。

二是促进应用推广和供需对接，通过试点应用一批先进技术产品、打造一批解决方案、遴选推广一批典型案例以及组织一批沙龙等活动，充分盘活利用数据安全产业供需双方资源，激发产业创新活力。

三是建立健全人才培养体系，围绕教材课程开发、人才资格认定、丰富人才培养形式、培养复合型管理人才与实战型技能人才、加强人才激励等方面不断培养壮大数据安全人才队伍。

 下一步，要充分发挥部、省、企业、行业组织、专业机构、高等院校、安全企业等各方力量，协同扎实推进《实施方案》落实落细。

一要开展宣贯培训。分片区组织开展政策宣贯，面向地方工信主管部门、工业企业等做好政策文件重点、要点解读，切实提升行业数据安全保护意识和工作水平。鼓励各行业、各地区、各有关企业结合实际开展系列宣贯培训活动，加快将政策文件要求传达到位、落实到位。

二要抓好组织实施。紧扣《实施方案》要求，分解形成工业领域数据安全工作年度计划，明确各方任务分工，每年滚动跟踪检查工作进展、总结评估工作成效，对工作不力的加强督导落实，对表现突出的予以表扬激励。督促指导各有关单位细化制定本单位工作方案，加强责任落实，加大资金、人员等各类资源的投入力度，高质量完成各项目标任务。

三要加强典型引领。及时总结各单位在《实施方案》落地推进过程中的优秀经验做法，遴选推广典型案例，树立行业标杆。引导各行业、各地区结合实际创新建立工作模式、组织开展特色活动，持续深入挖掘优秀实践并加强宣传普及。

面对各行各业的客户，根据各自体量大小，其不同业务系统的总字段数，少则上万个，多则几十万上百万个。人工梳理的效率为平均1000字段/天左右，如果客户总字段数以10W来计算，大约需要100人天才能做完。面对这耗时耗力的分类分级工作，如何才能提升效率呢？

经过上百个项目实施的探索，我们给出的答案是，将AI人工智能整合进分类分级的工作中。安恒AiSort数据分类分级产品主打“AI让数据分类分级更简单”，内置了NLP、聚类、强化学习等AI模型。通过对数据的分级分类，可更清晰地了解敏感数据的分布情况，更有针对性地建立覆盖数据全生命周期的安全防护。安恒信息作为数据安全领域的领军企业之一，连续两年被Gartner报告列为“数据分类分级领域”领跑厂商。

为加强数据安全风险防控，应对大数据汇聚、流动及交换共享过程中引发的数据安全风险等问题，安恒信息在《数据安全法》颁布前三年，便推出了安恒数盾数据安全管理平台（又名：数据安全管控平台），堪称国内 DSP 数据安全平台品类的先驱开创者。

该平台利用复杂系统建模方法和大数据智能分析，提供流动数据风险治理、数据安全合规监管能力。从数据、接口、人员三个视角建立规则模型，对数据归集、处理、共享、交换场景下的数据风险进行全域治理和合规监管，对发现的数据安全风险进行及时预警和通报，建立适应数据动态流动的安全管理机制。以平台为基础工具，帮助客户建立了数据层面从资产识别、安全防护、监测预警、响应处置到安全合规的数据安全监督管理闭环。

数据安全管控平台被Gartner列为标杆供应商

自数据安全体系化治理概念推出以来，安恒信息在不断实践中提炼出更具象化的、落地性质的咨询理念，围绕数据安全防护、管控、监管三大协同一体化机制，作用于数据安全管理、运营、技术三大体系架构，延伸出数据处理支撑、使用、共享交换利用三大安全服务领域，持续为客户提供管理抓手、技术赋能、运营联动，保障全链路全场景的数据安全。

数据安全咨询服务体系目前囊括八大类核心服务：数据安全顶层规划、分类分级、合规评估、DSMM差距评估、风险评估、治理咨询、防泄密体系、运营体系设计咨询服务；

并联动“数盾”全系列产品团队协同研究开发推出八项运营细项服务：数据安全分类分级运营、风险管理、访问权限管理、策略管理、威胁监测、应急响应、隐私合规、及审计运营服务，不断夯实核心服务基座，逐步形成安恒信息数据安全服务全景图。

安恒AiLand数据安全岛隐私计算平台是一个专注于保障数据安全流通，致力于解决多源多方数据联合建模分析时的安全、信任和隐私保护问题的隐私计算平台。综合应用可信执行环境，联邦学习，MPC，同态加密等多种前沿技术，配合关键行为数字验签和区块链审计技术，实现数据要素流通的所有权和使用权分离，确保原始数据的“可用不可见”、“可用不可取”，保障多方数据联合计算过程的可靠、可控和可溯。平台目前服务于大数据交易中心、政务数据授权运营、公安大数据开放共享、东数西算工程等项目，获得多方好评。

安恒信息近几年已经结合自身的人才发展需求，积极布局数字安全人才培养体系建设。例如安恒信息与浙江大学和南京邮电大学等高校联合（安恒工作站）培养的博士后，研究方向均为数据识别、同态加密、隐私计算等提升数据安全保障和促进数据安全流通方面。

和中国科学技术大学，北京邮电大学和西安电子科技大学、哈尔滨工业大学等5所高校联合培养产教融合博士，基本也是以数字安全为研究方向。与西安电子科技大学共建教育部大数据安全工程技术研究中心，杭州电子科技大学共建的浙江省重点支持产业学院和省级大数据安全治理工程研究中心，都是通过产教融合培养技能、技术和研究型多层次数据安全人才的典范和先进案例；

通过行业培训、竞赛和认证培养与选拔优秀数据安全工程技术和应用型人才，比如教育部注册数据安全专业人员认证体系开发，工信部数据安全人才强基计划中的数据安全大赛，电信集团数据安全技术培训等；

而且作为核心成员参与了人社部数据安全工程技术人员新职业国家技能标准开发等数据安全人才培养顶层设计工作。