各市工业和信息化局,厅机关各有关处室,各有关单位:
现将《广西促进工业领域数据安全能力提升实施方案(2024—2026年)》印发给你们,请认真抓好贯彻落实。
广西壮族自治区工业和信息化厅
2024年7月12日
(此件删减发布)
广西促进工业领域数据安全能力提升实施方案(2024—2026年)
按照工业和信息化部《工业领域数据安全能力提升实施方案(2024—2026年)》(工信部网安〔2024〕34号)安排部署,为促进我区工业领域数据安全保护能力水平跃升,进一步夯实我区新型工业化安全基石,结合我区工作实际,制定本方案。
一、总体要求
以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中全会精神,坚定不移贯彻总体国家安全观,坚持统筹发展和安全,以加快构建适应我区工业发展水平的数据安全保障体系为主线,按照“自治区统筹-市主抓-县(市、区)具体落实”的属地管理和“谁管业务,谁管数据,谁管数据安全”的责任分工原则,指导和推动企业落实主体责任,加强重点企业、重要数据、重点场景的数据安全保护,提升技术手段、风险防控、行政执法等监管能力,强化技术产品和服务供给、人才培养等产业支撑能力,为加快推进新型工业化,建设制造强区、网络强区和数字广西提供坚实支撑。
二、主要目标
到2026年,工业领域数据安全监管工作稳步推进,适应我区发展实际的工业领域数据安全保障体系基本建立。工业企业数据安全保护意识和能力水平大幅提升。数据安全产业能够有效支撑服务工业领域数据安全工作开展。
工业企业数据安全和宣贯培训实现14个市全覆盖。开展数据分类分级保护的工业企业超1000家,年营收行业排名前10%的规上工业企业实现全覆盖。冶金、有色金属、汽车、机械、石化、食品等区内支柱工业行业选树一批典型案例,实现企业数据安全培训全覆盖。
三、重点任务
(一)提升工业企业数据保护能力
1.组织开展宣贯培训活动。以《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规,《工业和信息化领域数据安全管理办法(试行)》等政策规定为主要内容,以集中讲解培训、走进园区、企业等为主要形式,以政策宣贯和分行业专题培训相结合,分年度分批次对工业企业进行法律法规和政策标准的宣贯培训,培养树立并逐步提升企业数据安全意识。
2.压实企业数据安全主体责任。督促企业依法依规落实数据安全主体责任,压实各单位法定代表人或主要负责人数据安全第一责任,推动企业建立健全适应行业和企业实际数据安全责任制,落实各级各有关部门有关人员的数据安全责任。遴选和推广一批各行业领域数据安全管理制度完备的企业案例,组织行业企业学习借鉴。指导企业建立健全数据分类分级安全保护等工作机制,配齐、配足、配强数据安全岗位和人员队伍。推动数据安全专家团队与重点企业开展结对联学,协助企业做好数据安全教育培训。引导企业统筹做好发展与安全工作,将数据安全管理要求融入本单位发展战略和考核机制,将数据安全管理与业务发展同谋划、同部署,将数据安全管理与业绩评估同落实、同考核。
3.深入开展数据安全分类分级保护。按照《工业和信息化领域数据安全管理办法(试行)》的要求,以重要数据、重点企业和重点场景为着眼点,深入开展数据安全分类分级管理工作。以产业链“链主”企业为重点,动态调整我区工业领域数据安全风险防控重点企业名录,督促其在提升风险监测、态势感知、威胁研判和应急处置等方面“先走一步,走深一步”。定期组织数据安全风险防控重点企业梳理识别形成重要数据和核心数据目录并及时报备。督促重要数据和核心数据处理者每年度至少开展一次数据安全风险评估,指导企业加强数据安全风险监测,妥善应对并处置安全事件,按要求报告风险评估和重大风险应急处置等工作开展情况。推广解读工业领域数据安全保护实践系列指南,指导企业围绕重点数据处理场景、典型业务场景、易发频发风险场景,厘清数据安全主体责任,采取针对性强的防护措施,强化风险自查自纠,加强重点场景数据安全保护。鼓励企业深化商用密码应用,做好企业数据安全保护。
(二)提升数据安全监管能力
4.强化数据安全标准引领。推进工业领域数据开发利用和数据安全标准体系建设,组织企业、行业协会等积极参与相关标准制修订及推广应用工作。指导和督促重要行业、重点企业对标《工业领域数据安全标准体系建设指南》,在基础共性、安全管理、新兴融合领域、细分行业等方面加强标准应用,以高水平标准应用保障高水平数据安全。
5.加强数据安全风险防控。建立完善我区工业领域数据安全风险信息报送与共享工作机制,做好与国家工作机制的衔接配合。强化“以技管数”,遴选工业领域网络和数据安全服务支撑机构,组建安全风险分析专家组,授权开展工业领域数据安全风险监测,协同地市工业和信息化主管部门,常态化开展风险监测、报送、预警、处置等工作。根据工作部署,分行业、分批次组织开展“数安护航”专项行动,积极参与“数安铸盾”应急演练,提升事件应急反应、规范处置、协同联动水平。
6.推动数据安全行政执法。依据《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》,根据工业和信息化部统一安排部署,推动将工业领域数据安全纳入行政执法事项清单,建立健全行政执法队伍,依法依规处置违法行为。指导地市依法严格处置违法行为,打造专业化、规范化监管执法队伍。
(三)提升数据安全产业支撑能力
7.加大研发创新和应用推广。鼓励安全机构、服务厂商、密码企业等加强协作,立足我区产业数据安全实际和企业个性化防护需求开展产品研发,推动数据安全共性技术优化创新。支持使用商用密码技术保障工业领域数据安全。遴选参评国家级数据安全典型案例和试点示范,提炼试点示范经验,以点带面,增强示范引领作用。
8.加强人才培养。深化产教融合、校企合作,支持企业与开设数据安全课程的院校开展订单式培养、套餐制培训,联合培养符合工业数据防护实际的实战型技能人才。鼓励企业结合自身实际把数据安全人才培养纳入企业发展总体规划和年度计划,依托企业培训中心、产教融合实训基地、网络学习平台等优质资源,组织开展技术交流、学习进修、岗位练兵等活动持续提升员工数据安全能力。积极组织参与工业领域数据安全赛事、赛项,以赛促训,提升工业数据安全人员的综合技术水平,鼓励企业落实竞赛获奖选手表彰奖励、职级晋升等激励机制。
四、保障措施
(一)加强工作协同
按照工业和信息化部统一安排部署,在自治区数据安全工作协调机制的统一领导下,注重与自治区党委国安办、网信办等有关部门的工作协同。各市工业和信息化主管部门要结合地区实际细化本地工作方案,将工业领域数据安全工作纳入地方工业领域数字化转型发展相关规划,在支持数字化、网络化、智能化等项目时,同步明确数据安全要求。引导企业在信息化建设中为数据安全防护安排一定比例资金,确保各项任务落地落实。
(二)加强宣传引导
各级各有关部门要加强工业领域数据安全政策措施的宣传,将工业领域数据安全宣贯融入产业活动等业务工作中,宣传普及工业领域数据安全理念和举措,提升工业企业对工业领域数据安全的认识。充分调动行业协会、学会、产业联盟等力量,引导企业加强自律、凝聚共识,营造行业数据安全保护良好氛围。
(三)加强成效评估
各市工业和信息化主管部门、各行业处室要及时跟踪本地区、本行业方案落实情况,不断探索新的做法,优化工作成效,每年度汇总相关工作开展情况,及时报告重大进展情况或问题。自治区工业和信息化厅将对工作推动有力、取得明显成效的地区、企业予以通报表扬,对优秀的经验做法进行推广应用,并向工业和信息化部推荐参评国家级优秀做法案例。