山西轉型綜改示范區管委會,各市工業和信息化局、有關市大數據局,廳機關各有關處室,有關企事業單位:
現將《山西省促進工業領域數據安全能力提升實施方案(2024-2026年)》印發給你們,請各地、各有關部門按照“誰管業務,誰管數據,誰管數據安全”的原則,根據山西省工業和信息化領域數據安全工作機制有關部署,切實抓好實施方案的貫徹落實。
山西省工業和信息化廳
2024年3月25日
山西省促進工業領域數據安全能力提升實施方案(2024-2026年)
按照工業和信息化部《工業領域數據安全能力提升實施方案(2024-2026年)》(工信部網安〔2024〕34號)安排部署,為促進我省工業領域數據安全保護能力水平躍升,進一步夯實我省新型工業化安全基石,結合我省工作實際,制定本方案。
一、總體要求
(一)指導思想
以習近平新時代中國特色社會主義思想為指導,全面貫徹落實黨的二十大精神,堅定不移貫徹總體國家安全觀,堅持統籌發展和安全,以加快構建適應我省工業發展水平的數據安全保障體系為主線,按照“省統籌-市主抓-縣(區)具體落實”的屬地管理和“誰管業務,誰管數據,誰管數據安全”的責任分工原則,指導和推動企業主體責任落實,加強重點企業、重要數據、重點場景的數據安全保護,加強政策標準、技術手段、風險防控、監管執法等監管能力,加強技術產品和服務供給、人才培養等產業支撐能力,為加快推進新型工業化,建設制造強省、網絡強省和數字山西提供堅實支撐。
(二)總體目標
到2026年,適應我省工業領域發展實際的數據安全保障體系基本建立。工業企業數據安全保護意識和能力水平得到極大提升。全省各級各有關方面工業領域數據安全監管工作扎實穩步推進。數據安全產業能夠有效支撐服務工業企業數據安全防護工作開展。
規上工業企業數據安全和宣貫培訓實現全覆蓋。開展數據分類分級保護的工業企業超600家,年營收行業排名前10%的規上工業企業實現全覆蓋。冶金、化工、裝備制造等省內支柱工業行業選樹一批典型案例,實現企業數據安全培訓全覆蓋。
二、重點任務
(一)提升工業企業數據保護能力
1.組織開展宣貫培訓活動。以《數據安全法》《網絡安全法》《個人信息保護法》等法律法規,《工業和信息化領域數據安全管理辦法(試行)》等政策規定為主要內容,以集中講解培訓、主題論壇等為主要形式,以普適性政策宣貫和分行業專題培訓相結合,分年度分批次對工業企業進行法律法規和政策標準的宣貫培訓,培養樹立并逐步提升企業數據安全意識。
2.壓實企業數據安全主體責任。督促企業依法依規落實數據安全主體責任,壓實各單位法定代表人或主要負責人數據安全第一責任,推動企業建立健全適應行業和企業實際數據安全責任制,落實各級各有關部門有關人員的數據安全責任。遴選和推廣一批各行業領域數據安全管理制度完備的企業案例,組織行業企業學習借鑒。指導企業建立健全數據分類分級安全保護等工作機制,配齊、配足、配強數據安全崗位和人員隊伍。推動數據安全專家團隊與重點企業開展結對聯學,協助企業做好數據安全教育培訓。引導企業統籌做好發展與安全工作,將數據安全管理要求融入本單位發展戰略和考核機制,將數據安全管理與業務發展同謀劃、同部署,將數據安全管理與業績評估同落實、同考核。
3.深入開展數據安全分類分級保護。按照《工業和信息化領域數據安全管理辦法(試行)》的要求,以重要數據、重點企業和重點場景為著眼點,深入開展數據安全分類分級管理工作。按照工信部重要數據和核心數據識別細則,定期組織企業梳理識別形成重要數據和核心數據目錄并及時報備。督促重要數據和核心數據處理者每年度至少開展一次數據安全風險評估,指導企業加強數據安全風險監測,妥善應對并處置安全事件,按要求報告風險評估和重大風險應急處置等工作開展情況。立足我省工業領域實際,以產業鏈“鏈主”“鏈核”企業為重點,動態調整我省工信領域數據安全風險防控重點企業名錄,督促其在提升風險監測、態勢感知、威脅研判和應急處置等方面“先走一步,走深一步”。推廣解讀工業領域數據安全保護實踐系列指南,指導企業圍繞重點數據處理場景、典型業務場景、易發頻發風險場景,厘清數據安全主體責任,采取針對性強的防護措施,強化風險自查自糾,加強重點場景數據安全保護。各地各部門要加強技術支持,推動商用密碼應用,協同做好企業數據安全保護。
(二)提升數據安全監管能力
4.完善數據安全政策標準。結合方案推進情況,制定工業數據安全年度行動計劃,指導全省工業領域數據安全工作。落實落細工業領域風險評估實施細則、應急預案、行政處罰裁量指引等政策文件。持續完善重要數據工業領域數據安全全流程監管工作機制,扎實開展監督檢查。制定《落實〈工業領域數據安全標準體系建設指南(2023版)〉工作舉措》,推動工業領域數據安全標準的制定和應用,發揮標準對工業領域數據安全的技術引領和規范指導作用。
5.加強數據安全風險防控。建立完善我省工業領域數據安全風險信息報送與共享工作機制,做好與國家工作機制的銜接配合。強化“以技管數”,遴選工業領域網絡和數據安全服務支撐機構,組建安全風險分析專家組,授權開展工業領域數據安全風險監測,協同地市工信部門,常態化開展風險監測、報送、預警、處置等工作。根據工作部署,分行業、分批次組織開展“數安護航”專項行動,積極參與“數安鑄盾”應急演練,提升事件應急反應、規范處置、協同聯動水平。
6.推進數據安全技術手段建設。按照國家工業和信息化領域數據安全管理平臺建設規劃,積極爭取建設我省工業數據安全管理平臺(省級節點),支持原有安全類平臺升級改造,實現與國家平臺的對接連通,建立完善數據安全監測、信息報送與共享、應急管理、安全評估等系統功能,有力支撐事件應急處置、輔助決策、跟蹤追溯等工作。推動重點企業建設企業側數據安全風險監測與感知等技術手段,實現與部(省)級平臺的對接聯動,不斷提升技術保障水平。
7.推動數據安全行政執法。依據《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》,根據工信部工統一安排部署,推動將工業領域數據安全納入行政執法事項清單,建立健全行政執法隊伍,依法依規處置違法行為。指導地市依法嚴格處置違法行為,打造專業化、規范化監管執法隊伍。
(三)提升數據安全產業支撐能力
8.加大研發創新和應用推廣。鼓勵安全機構、服務廠商、密碼企業等加強協作,立足我省產業數據安全實際和企業個性化防護需求開展產品研發,推動數據安全共性技術優化創新。支持使用商用密碼技術保障工業領域數據安全。利用好省級數字經濟資金獎勵引導機制,樹選參評國家級數據安全典型案例和試點示范,提煉試點示范經驗,以點帶面,增強示范引領作用。
9.加強人才培養。深化產教融合、校企合作,支持企業與開設數據安全課程的院校開展訂單式培養、套餐制培訓,聯合培養符合工業數據防護實際的實戰型技能人才。鼓勵企業結合自身實際把數據安全人才培養納入企業發展總體規劃和年度計劃,依托企業培訓中心、產教融合實訓基地、網絡學習平臺等優質資源,組織開展技術交流、學習進修、崗位練兵等活動持續提升員工數據安全能力。積極組織參與工業領域數據安全賽事、賽項,以賽促訓,提升工業數據安全人員的綜合技術水平,鼓勵企業落實競賽獲獎選手表彰獎勵、職級晉升等激勵機制。
三、保障措施
(一)加強工作協同。按照工信部統一安排部署,在省數據安全工作協調機制的統一領導下,注重與省委國安辦、省委網信辦等有關部門的工作協同。各市工信主管部門及山西轉型綜改示范區要結合地區實際細化本地工作方案,將工業領域數據安全工作納入地方工業領域數字化轉型發展相關規劃,在支持數字化、網絡化、智能化等項目時,同步明確數據安全要求。引導企業在信息化建設中為數據安全防護安排一定比例資金,確保各項任務落地落實。省工信領域數據安全工作機制組成單位要強化行業數據安全管理,切實按照“誰管業務,誰管數據,誰管數據安全”履行相關職責。
(二)加強宣傳引導。各級各有關部門要加強工業領域數據安全政策措施的宣傳,將工業領域數據安全宣貫融入產業活動等業務工作中,宣傳普及工業領域數據安全理念和舉措,提升工業企業對工業領域數據安全的認識。充分調動行業協會、學會、產業聯盟等力量,引導企業加強自律、凝聚共識,營造行業數據安全保護良好氛圍。
(三)加強成效評估。各市工信主管部門及山西轉型綜改示范區、各行業處室要及時跟蹤本地區、本行業方案落實情況,不斷探索新的做法,優化工作成效,每年度匯總相關工作開展情況,及時報告重大進展情況或問題。省工信廳將對工作推動有力、取得明顯成效的地區、企業予以通報表揚,對優秀的經驗做法進行推廣應用,并向工信部推薦參評國家級優秀做法案例。
