助力工业数据安全防护,长扬科技参与制定的《工业领域重要数据识别指南》正式发布
近日,由长扬科技(北京)股份有限公司深度参与制定的通信行业标准YD/T 4981—2024《工业领域重要数据识别指南》经工业和信息化部批准正式发布,将于2025年4月1日起实施。该标准是我国首部针对工业领域数据安全特性制定的重要数据识别指南,填补了数据分类分级管理的行业空白,为工业数据安全防护工作提供了权威技术支撑。
该标准由中国通信标准化协会(CCSA)提出并归口,国家工业信息安全发展研究中心牵头,联合长扬科技等多家行业龙头企业、科研院所及高校共同研制,是工信部“新型基础设施-网络和数据安全”专项的重要组成部分。长扬科技作为核心参编单位,其数据安全及标准化专家全程参与了标准的研讨及编写工作,结合工业场景实践经验,为标准的科学性和可操作性提供了重要支撑。
一、编制背景 2017年《中华人民共和国网络安全法》首次提出了重要数据的概念,规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”,重要数据的保护成为各行业关注的重点;2021年《中华人民共和国数据安全法》出台,明确提出“国家建立数据分类分级保护制度”,“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”;2022年12月工信部印发《工业和信息化领域数据安全管理办法(试行)》,进一步要求行业制定重要数据目录并实施动态管理。 2024年3月,国家标准GB/T 43697—2024《数据安全技术 数据分类分级规则》发布,但提出的是各领域通用的数据分类分级依据,并非针对具体行业。而工业领域行业特色鲜明,细分行业众多、数据类型复杂,通用标准难以满足精准识别需求,企业常面临“识别泛化”或“保护不足”的困境,亟需制定符合工业领域特色的重要数据识别指南,助力行业快速精准开展重要数据识别,推动数据分级保护、重要数据备案、重要数据出境安全评估等工作的有效落实。 二、标准范围 本标准给出了工业数据处理者开展工业领域重要数据识别的基本原则、流程和考虑因素。 本标准适用于工业数据处理者开展工业领域重要数据识别工作,也可为行业监管部门制定工业领域重要数据目录提供参考。
三、主要内容 标准创新性提出“六大识别维度+动态管理”框架,覆盖工业领域全场景,为企业提供精准、可落地的操作指引。通过多维度的识别模型,帮助企业从国家安全、行业发展、行业特色等多个角度全面识别重要数据,确保数据安全管理的精准性和全面性。 1. 识别维度:六大核心维度,覆盖工业全场景 标准从六大维度出发,精准定位工业领域重要数据,确保识别工作既全面又具有行业针对性: (1) 与国家秘密生成相关:工业领域与国家秘密相关的或在生成国家秘密的过程中所使用分析的原始非密数据,确保与国家保密法规衔接。 (2) 与国家安全相关:涵盖经济安全、科技安全、网络安全、人工智能数据等。 (3) 与行业发展安全相关:包括行业竞争力数据、供应链安全数据、经济运行分析数据等。 (4) 与工业领域出口管制物项相关:涉及核心技术、设计方案、生产工艺、源代码等数据,确保符合《中国禁止出口限制出口技术目录》要求。 (5) 与行业特色相关:针对钢铁、有色金属、石化化工、装备工业等细分领域定制识别规则。例如,钢铁行业的特钢生产工艺、石化行业的重点危险化学品生产关键工艺等。 (6) 其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能影响国家安全或对公共利益、个组织合法权益等造成严重影响的数据,如10万人以上敏感个人信息。 2. 识别流程:四步法+动态管理,确保精准高效 标准为企业提供了清晰的重要数据识别流程,如下图所示: 分为四个步骤: (1) 数据资产梳理:全面梳理盘点企业数据资产,形成数据资产清单并进行数据分类。 (2) 重要数据识别:参照六大识别维度,筛选出符合条件的重要数据,形成重要数据清单。 (3) 内部审批:对重要数据清单进行内部审批,确保识别结果的准确性和合规性。 (4) 重要数据目录备案:将审核通过的重要数据目录报送行业监管部门,并根据业务变化动态更新目录。 标准强调“动态识别复查”原则,要求企业定期复查重要数据识别结果,并在数据范围、形态、用途、共享方式、敏感性等发生变化时,及时重新识别和更新目录。这一机制确保数据安全管理与业务发展同步,避免因数据变化而导致的安全漏洞或合规风险。 3. 定量定性结合:科学评估,避免“泛安全化” 标准提出“定量定性结合”原则,帮助企业科学评估数据的重要性: (1) 定性方法:通过主观判断和行业经验,识别数据的战略价值。例如,判断某项数据是否涉及国家安全或行业核心竞争力。 (2) 定量方法:通过数据量、影响范围、经济损失等可量化的指标,评估数据的重要性。例如,涉及10万人以上的敏感个人信息,或可能引发重大安全事故的数据,属于定量评估的范畴。 通过这种结合方式,标准为企业提供了更加科学、灵活的识别框架,确保数据安全管理的精准性和可操作性。 4. 行业特色:细分领域定制规则,解决“识别泛化”问题 针对工业领域细分行业众多、数据类型复杂的特点,该标准特别强调了行业特色数据的识别规则。例如: (1) 钢铁行业:特钢成分体系、生产工艺数据等。 (2) 石化行业:重点危化品炼化工艺参数、关键设备运行数据等。 (3) 装备制造行业:全球首台套高端装备数据、航空等重点领域装备分布数据等。 (4) 电子信息行业:集成电路先进设计和制造技术、重大计算装备的设计数据等。 通过定制化的识别规则,标准解决了传统标准与工业场景脱节的问题,帮助企业精准识别重要数据,避免“识别泛化”或“保护不足”的困境。 四、实施意义 该标准的发布可以帮助企业精准识别重要数据,为数据安全防护和评估提供明确指引,提升安全投入效率,标志着我国工业领域数据安全管理迈入标准化、规范化新阶段。 同时,该标准与《数据安全法》等法律法规深度衔接,助力企业快速满足合规要求;为工业互联网平台及上下游企业提供了统一的数据识别标准,促进产业链数据安全有序流动,推动协同创新。 此外,在全球化背景下,该标准考虑了出口管制数据管理,可有效助力我国工业技术安全参与国际竞争,为人工智能、高端制造等领域的数据跨境流动提供合规依据,推动工业安全生态健康发展。 长扬科技标准化工作介绍: 长扬科技在业界开创了“智能工业安全大脑”的产品理念,将产品及服务聚焦工业互联网安全及大数据应用领域,并通过人工智能技术赋予客户在网络和业务两个层面的安全防护能力。以信创安全操作系统为安全底座,以工业安全靶场为能力提升手段,自主研发了近百款产品,面向集团级客户提供工业网络安全态势感知、工业网络安全纵深防御、工业视觉AI安全分析、工业零信任安全、工业数据安全和工业数据通信等多维度产品,构建覆盖工业互联网安全产业完整生命周期的工控网络安全保障体系。产品及解决方案已广泛应用于电力、石油石化、轨道交通、城市市政、智能制造、钢铁冶金等行业,满足等保2.0及关键信息基础设施安全保护条例要求。 自成立以来,长扬科技积极参与相关领域标准制定工作,有效推动行业进步和发展。截至目前,长扬科技已牵头和参与制修订网络安全国家标准、行业标准及团体标准共计150余项,参与标准研究项目或技术白皮书共计20余项,覆盖数据安全、网络安全专用产品、网络安全产品互联互通、网络安全管理体系、网络安全人才培养、信息技术应用创新、软件供应链安全、关键信息基础设施保护、工业互联网企业网络安全等产业重点方向。 未来,长扬科技将继续以推动行业发展为己任,深化技术研发与行业实践,推动工业安全生态的标准化建设,为护航数字中国持续贡献力量!
