关于印发《山西省促进工业领域数据安全能力提升实施方案(2024-2026年)》的通知
山西转型综改示范区管委会,各市工业和信息化局、有关市大数据局,厅机关各有关处室,有关企事业单位:
现将《山西省促进工业领域数据安全能力提升实施方案(2024-2026年)》印发给你们,请各地、各有关部门按照“谁管业务,谁管数据,谁管数据安全”的原则,根据山西省工业和信息化领域数据安全工作机制有关部署,切实抓好实施方案的贯彻落实。
山西省工业和信息化厅
2024年3月25日
山西省促进工业领域数据安全能力提升实施方案
(2024-2026年)
按照工业和信息化部《工业领域数据安全能力提升实施方案(2024-2026年)》(工信部网安〔2024〕34号)安排部署,为促进我省工业领域数据安全保护能力水平跃升,进一步夯实我省新型工业化安全基石,结合我省工作实际,制定本方案。
一、总体要求
(一)指导思想
以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大精神,坚定不移贯彻总体国家安全观,坚持统筹发展和安全,以加快构建适应我省工业发展水平的数据安全保障体系为主线,按照“省统筹-市主抓-县(区)具体落实”的属地管理和“谁管业务,谁管数据,谁管数据安全”的责任分工原则,指导和推动企业主体责任落实,加强重点企业、重要数据、重点场景的数据安全保护,加强政策标准、技术手段、风险防控、监管执法等监管能力,加强技术产品和服务供给、人才培养等产业支撑能力,为加快推进新型工业化,建设制造强省、网络强省和数字山西提供坚实支撑。
(二)总体目标
到2026年,适应我省工业领域发展实际的数据安全保障体系基本建立。工业企业数据安全保护意识和能力水平得到极大提升。全省各级各有关方面工业领域数据安全监管工作扎实稳步推进。数据安全产业能够有效支撑服务工业企业数据安全防护工作开展。
规上工业企业数据安全和宣贯培训实现全覆盖。开展数据分类分级保护的工业企业超600家,年营收行业排名前10%的规上工业企业实现全覆盖。冶金、化工、装备制造等省内支柱工业行业选树一批典型案例,实现企业数据安全培训全覆盖。
二、重点任务
(一)提升工业企业数据保护能力
1.组织开展宣贯培训活动。以《数据安全法》《网络安全法》《个人信息保护法》等法律法规,《工业和信息化领域数据安全管理办法(试行)》等政策规定为主要内容,以集中讲解培训、主题论坛等为主要形式,以普适性政策宣贯和分行业专题培训相结合,分年度分批次对工业企业进行法律法规和政策标准的宣贯培训,培养树立并逐步提升企业数据安全意识。
2.压实企业数据安全主体责任。督促企业依法依规落实数据安全主体责任,压实各单位法定代表人或主要负责人数据安全第一责任,推动企业建立健全适应行业和企业实际数据安全责任制,落实各级各有关部门有关人员的数据安全责任。遴选和推广一批各行业领域数据安全管理制度完备的企业案例,组织行业企业学习借鉴。指导企业建立健全数据分类分级安全保护等工作机制,配齐、配足、配强数据安全岗位和人员队伍。推动数据安全专家团队与重点企业开展结对联学,协助企业做好数据安全教育培训。引导企业统筹做好发展与安全工作,将数据安全管理要求融入本单位发展战略和考核机制,将数据安全管理与业务发展同谋划、同部署,将数据安全管理与业绩评估同落实、同考核。
3.深入开展数据安全分类分级保护。按照《工业和信息化领域数据安全管理办法(试行)》的要求,以重要数据、重点企业和重点场景为着眼点,深入开展数据安全分类分级管理工作。按照工信部重要数据和核心数据识别细则,定期组织企业梳理识别形成重要数据和核心数据目录并及时报备。督促重要数据和核心数据处理者每年度至少开展一次数据安全风险评估,指导企业加强数据安全风险监测,妥善应对并处置安全事件,按要求报告风险评估和重大风险应急处置等工作开展情况。立足我省工业领域实际,以产业链“链主”“链核”企业为重点,动态调整我省工信领域数据安全风险防控重点企业名录,督促其在提升风险监测、态势感知、威胁研判和应急处置等方面“先走一步,走深一步”。推广解读工业领域数据安全保护实践系列指南,指导企业围绕重点数据处理场景、典型业务场景、易发频发风险场景,厘清数据安全主体责任,采取针对性强的防护措施,强化风险自查自纠,加强重点场景数据安全保护。各地各部门要加强技术支持,推动商用密码应用,协同做好企业数据安全保护。
(二)提升数据安全监管能力
4.完善数据安全政策标准。结合方案推进情况,制定工业数据安全年度行动计划,指导全省工业领域数据安全工作。落实落细工业领域风险评估实施细则、应急预案、行政处罚裁量指引等政策文件。持续完善重要数据工业领域数据安全全流程监管工作机制,扎实开展监督检查。制定《落实〈工业领域数据安全标准体系建设指南(2023版)〉工作举措》,推动工业领域数据安全标准的制定和应用,发挥标准对工业领域数据安全的技术引领和规范指导作用。
5.加强数据安全风险防控。建立完善我省工业领域数据安全风险信息报送与共享工作机制,做好与国家工作机制的衔接配合。强化“以技管数”,遴选工业领域网络和数据安全服务支撑机构,组建安全风险分析专家组,授权开展工业领域数据安全风险监测,协同地市工信部门,常态化开展风险监测、报送、预警、处置等工作。根据工作部署,分行业、分批次组织开展“数安护航”专项行动,积极参与“数安铸盾”应急演练,提升事件应急反应、规范处置、协同联动水平。
6.推进数据安全技术手段建设。按照国家工业和信息化领域数据安全管理平台建设规划,积极争取建设我省工业数据安全管理平台(省级节点),支持原有安全类平台升级改造,实现与国家平台的对接连通,建立完善数据安全监测、信息报送与共享、应急管理、安全评估等系统功能,有力支撑事件应急处置、辅助决策、跟踪追溯等工作。推动重点企业建设企业侧数据安全风险监测与感知等技术手段,实现与部(省)级平台的对接联动,不断提升技术保障水平。
7.推动数据安全行政执法。依据《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,根据工信部工统一安排部署,推动将工业领域数据安全纳入行政执法事项清单,建立健全行政执法队伍,依法依规处置违法行为。指导地市依法严格处置违法行为,打造专业化、规范化监管执法队伍。
(三)提升数据安全产业支撑能力
8.加大研发创新和应用推广。鼓励安全机构、服务厂商、密码企业等加强协作,立足我省产业数据安全实际和企业个性化防护需求开展产品研发,推动数据安全共性技术优化创新。支持使用商用密码技术保障工业领域数据安全。利用好省级数字经济资金奖励引导机制,树选参评国家级数据安全典型案例和试点示范,提炼试点示范经验,以点带面,增强示范引领作用。
9.加强人才培养。深化产教融合、校企合作,支持企业与开设数据安全课程的院校开展订单式培养、套餐制培训,联合培养符合工业数据防护实际的实战型技能人才。鼓励企业结合自身实际把数据安全人才培养纳入企业发展总体规划和年度计划,依托企业培训中心、产教融合实训基地、网络学习平台等优质资源,组织开展技术交流、学习进修、岗位练兵等活动持续提升员工数据安全能力。积极组织参与工业领域数据安全赛事、赛项,以赛促训,提升工业数据安全人员的综合技术水平,鼓励企业落实竞赛获奖选手表彰奖励、职级晋升等激励机制。
三、保障措施
(一)加强工作协同。
按照工信部统一安排部署,在省数据安全工作协调机制的统一领导下,注重与省委国安办、省委网信办等有关部门的工作协同。各市工信主管部门及山西转型综改示范区要结合地区实际细化本地工作方案,将工业领域数据安全工作纳入地方工业领域数字化转型发展相关规划,在支持数字化、网络化、智能化等项目时,同步明确数据安全要求。引导企业在信息化建设中为数据安全防护安排一定比例资金,确保各项任务落地落实。省工信领域数据安全工作机制组成单位要强化行业数据安全管理,切实按照“谁管业务,谁管数据,谁管数据安全”履行相关职责。
(二)加强宣传引导。
各级各有关部门要加强工业领域数据安全政策措施的宣传,将工业领域数据安全宣贯融入产业活动等业务工作中,宣传普及工业领域数据安全理念和举措,提升工业企业对工业领域数据安全的认识。充分调动行业协会、学会、产业联盟等力量,引导企业加强自律、凝聚共识,营造行业数据安全保护良好氛围。
(三)加强成效评估。
各市工信主管部门及山西转型综改示范区、各行业处室要及时跟踪本地区、本行业方案落实情况,不断探索新的做法,优化工作成效,每年度汇总相关工作开展情况,及时报告重大进展情况或问题。省工信厅将对工作推动有力、取得明显成效的地区、企业予以通报表扬,对优秀的经验做法进行推广应用,并向工信部推荐参评国家级优秀做法案例。