工业领域数据安全建设要点：如何落实数据分类分级及确保数据出境安全？

随着数字经济、工业互联网的迅猛发展，工业领域数据扮演着愈发重要的角色，已经成为推动企业发展和创新的关键驱动力。

在工业生产中，从设备、传感器到生产线、供应链，每个环节都不断涌现海量数据，这些数据被转化为可操作的流程和决策支持，可以实现生产效率大幅提升、产品质量高度保障以及创新持续推动。

在数字产业化和产业数字化双重影响下，工业领域数据正在呈现规模化增长、泛在化流动和平台化集聚的趋势。然而，这个过程中，企业也面临着新的风险和挑战。

长扬科技作为工业互联网安全领域领军企业，致力于为工业用户提供更全面、更专业、更深度的安全能力建设和大数据应用解决方案。为了第一时间了解当前数字经济浪潮中的挑战和需求，近年来，长扬科技与各行业客户保持深入交流。长扬科技了解到，数据安全已成为工业企业网络安全能力建设的核心议题，企业纷纷对此问题加大投入并高度关注。

在“数据二十条”及《数字中国建设整体布局规划》出台后，长扬科技接到用户关于数据安全合规和数据出境的咨询明显增多。如何有重点地保护海量工业数据、如何确保数据安全有序流动、如何有效地发现和处理风险、如何确保数据出境合规与安全，以及如何根据行业属性和企业经营状况做好分类分级等等，这些都是当前在工业领域数据安全管理中需要攻克的“硬骨头”。

以上问题存在很多未知领域，无论对用户还是对厂商来说都是重大挑战。长扬科技以满足工业企业实际需求为目标，针对数据分类分级和数据出境两个问题，深入挖掘用户痛点，提供以下优化方案。

01.“摸清家底” 落实数据分类分级管理

工业领域涉及的行业众多、应用场景丰富、业务流程复杂，特别是在大量工业系统和设备实时产生或收集数据的情况下，数据规模、数据种类和形态呈指数级增长。对于数据“有哪些、有多少、在哪里、归谁管、谁在使用”等问题，大多数企业往往面临“理不清、抓不住、搞不懂”的困境。数据分类分级是做好数据安全工作最基础且最重要的一项工作，同时也是一项工作量大且实施难度较高的任务。

在工业企业开展数据分类分级工作时，有以下四点需要注意：

1）完善企业顶层设计：依托“三大法”及《工业数据分类分级指南（试行）》 、《工业和信息化领域数据安全管理办法（试行）》 （征求意见稿） ，明确数据安全总体方针、安全责任、确定防护边界。

2）明确业务与数据属性：数据分类往往与数据所支撑业务息息相关，数据类别可从数据在业务运营中实现用途和价值进行划分，数据类型应与业务属性契合。

3）差异化分级防护：数据分级主要目的是为了明确防护措施的力度和粒度，避免“一刀切”粗放型防护。在工业数据分类分级中，需要特别关注数据对各类生产业务和工业生产等方面造成影响。

4）摸清家底：数据分类分级最终目标是理清数据资产底数，筛选出重要及核心数据，形成科学直观的数据目录清单，真正掌握数据保护的重点对象“有哪些、在哪里、谁在用”等情况。

工业用户分类分级参考标准如下：

《工业数据分类分级指南( 试行） 》：根据不同类别工业数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级、三级等3个级别。

《关于加强车联网网络安全和数据安全工作的通知》：加强数据分类分级管理，按照“谁主管、谁负责，谁运营、谁负责”的原则，智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。定期开展数据安全风险评估，强化隐患排查整改，并向所在省( 区、市) 通信管理局、工业和信息化主管部门报备。

《汽车数据安全管理办法》：规定了汽车研发、生产、销售、服务等领域的重要数据类别。

《工业和信息化领域数据安全管理办法( 试行）》(征求意见稿 )：工业和电信数据处理者应当坚持先分类后分级，定期梳理。根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识，形成数据分类清单。数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据、个人信息等。工业和信息化部按照国家有关规定，根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人/组织合法权益等造成的危害程度，将工业和电信数据分为一般数据、重要数据和核心数据三个级别。

02.数据出境安全评估要点

为促进数据出境流动并保护数据出境安全，“三大法”（《网络安全法》、《数据安全法》、《个人信息保护法》）首先对数据出境安全评估进行了原则性规定。2022年，《数据出境安全评估办法》与《数据出境安全评估申报指南（第一版）》的正式实施，进一步落实了数据出境安全评估机制，明确了数据出境安全评估监管主体、评估对象和实施流程等内容。两部法规初步构建起数据跨境第一条合规路径- "数据出境安全评估"的实务操作基本方法。

然而，很多用户对于如何具体实施仍存在疑问，以下是三个用户最关心的问题：

1）哪些数据需要申报数据出境？

准确识别数据出境场景是企业开展数据出境安全评估工作第一步，也是至关重要的一步，重要数据和符合条件的个人信息出境前需主动申报。针对于中国国境内运营中产生和收集的数据，有两类需要进行数据出境安全评估申报：一是重要数据，二是满足条件的个人信息相关数据。

2）数据出境有什么路径？

企业开展数据出境有以下路径：

图2：数据出境路径

3）企业数据出境安全评估如何开展？

数据出境安全评估中，企业需要组织数据出境风险自评估工作，并向省级网信部门提交申报书、数据出境风险自评估报告、与境外接收方拟订立法律文件以及其他需要的材料，省级网信部门完成申报材料完备性审核后再向国家网信办提报。其中，自评估工作需要企业全面筛查数据出境场景和情形，并深入评估数据出境风险。

图3：数据出境安全评估工作流程

 03.工业用户数据安全治理方法与未来展望

数据安全是数字经济建设和数据要素市场中至关重要的基础设施之一。随着数据安全监管趋势加强，政府和企业对数据安全的重视程度也明显提升。在我国数据安全防护和数据开发利用并重的监管格局下，数据安全防治理念正朝着业务视角方向转变。延用网络安全领域等保制度建设思路，各行业纷纷出台相关指导文件，数据安全防护监管要求也在逐步细化。

对于工业用户而言，以数据分类分级、识别数据保护关注点为基础，围绕数据全生命周期安全，跨部门、多体系开展有效活动进行综合治理是推动组织数据安全合规建设、数据安全风险防范和数据业务健康发展的重要抓手。

未来，长扬科技将继续深耕工业领域数据安全建设，致力于数据安全领域的研发和创新，紧密关注数据安全监管趋势变化，不断优化数据安全防护解决方案，确保企业数据的安全性，助力企业实现信息和生产的持续安全，为工业企业的可持续发展和社会安全保障做出贡献。