近日,工信部为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,研究起草了《工业和信息化领域数据安全行政处罚裁量指引(试行)》并向社会公开征求意见,这意味着工业和信息化领域的数据安全将从“需要怎么做,应该怎么做”进入到“不这么做,将会受什么处罚”的监管执法阶段,此办法推动着工业和信息化领域数据安全行政处罚工作向制度化、规范化方向开展。
来看看行政处罚裁定的工作方式是怎样的。
依据网安法、数安法、行政处罚法和工信部行政处罚程序,工业和信息化领域数据安全行政处罚由违法行为发生地的行政处罚机关管辖,两个及以上行政处罚机关对同一违法行为均有管辖权 ,应当由最先立案的行政处罚机关管辖,工业和信息化部依职权指导监督工业和信息化领域数据安全违法行为管辖工作。
已经明确了处罚情形,需要着重关注。
裁量指引中定义的数据安全行政处罚情形,按不履行数据安全保护义务、向境外非法提供数据和不配合监管三个方面,明确了25个违规情形,对重要数据和核心数据处理者进行了着重要求。
25个明确的违规情形包含了数据安全工作的组织体系、管理体系、技术体系和运营体系,进一步衔接、细化、落实《网络安全法》《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,推动着工业和信息化领域组织的数据安全进行体系化建设、实战化建设。
昂楷科技的方案是不错的选择。
昂楷数据安全治理体系化、实战化解决方案,从“一中心、四体系、六过程”的顶层设计思路出发,构建以工业和信息化领域重要数据、核心数据的安全防护为中心;以组织、管理、技术和运营四个数据安全体系;实现工业和信息化领域重要数据、核心数据全生命周期六大过程的安全防护。
工业企业数据安全组织体系,需要构建一个由企业数据部门、业务部门、信息安全部门共同组成的,既懂安全,又懂数据的,独立的,为数据安全端到端负责的组织,包括数据安全管理团队、数据安全建设运营团队、数据安全审计团队等数据安全治理相关角色。建立相互促进、相互监督的数据安全管理组织机制。
工业企业数据安全管理体系的制度流程规划需要从组织层面整体考虑和设计,并形成体系框架。制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾,一般分为四级。
工业数据安全防护技术能力,要以基础网络安全能力为支撑,根据数据安全需求、标准、规范、目标等,在数据全生命周期不同的过程中执行最佳的数据安全防护实践,构建一套有效保障工业数据安全使用、共享的技术保障体系。
(1)数据采集安全:结合数据采集、清洗、转换、汇聚阶段的不同特点和要求,利用敏感数据识别、分类分级、身份认证、安全审计等技术,保障数据采集安全、数据真实可靠。
(2)数据传输安全:数据在传输过程中可能会面临被窃取风险,可利用链路加密、数据加密、数据脱敏等技术,保障数据在传输过程中的安全。
(3)数据存储安全:结合数据分级分类,实现关键数据加密存储与分级数据的安全隔离,保障数据的存储安全,主要包括实施用户访问控制、数据存储合规审计、存储介质安全、访问行为审计等。
(4)数据处理安全:根据数据分级分类,明确数据处理模式和要求,为处理过程提供安全保障,主要包括数据权限管控、数据脱敏、数据处理异常行为监控和分析、数据处理合规审计等。
(5)数据交换安全:根据数据管理制度规定、数据分类分级结果,利用权限管控、数据脱敏、数据水印等技术保障数据交换过程中的安全,同时对交换过程中数据类别、数据量进行识别监控,防止数据被过量交换。
(6)数据销毁安全:数据销毁常采用删除、格式化等常规操作来“销毁”数据,事实上数据并没有被真正销毁,在新数据写入同一存储空间前,该数据会一直保留,从而存在被他人刻意恢复的风险,所以在数据销毁时,需要采用多次复写,或者加密复写等技术保证数据完全被销毁。
以应用数据安全管理平台的“化零为整、机器学习、威胁分析、感知未然、联防联控、健康预警”功能作为数据安全运营的抓手,对全网数据安全风险持续监测、风险识别、安全防护、安全响应,提升数据安全运营的效率。
同时,通过数据安全风险评估、应急演练、定期审计等运营手段,对数据安全能力度和效果进行稽核,对短板指标对应的人员、制度、技术多维度分析与优化,不断丰富和提升数据安全建设的完整性和成熟度,最终达到对整个数据安全的全方位管控和动态调优。
●全面覆盖处罚裁定指引中的处罚情形,规避组织的处罚风险;
●建立并完善工业和信息化领域组织的数据安全管理体系,引导组建数据安全管理团队,完善安全制度及流程体系,提高数据安全管理能力和运营能力;
●为工业和信息化领域组织构建起统一的、联动联防的、合成作战的数据安全防护控制体系,可应对更加复杂的数据安全威胁及问题,提升数据安全防控能力;