《工业和信息化领域数据安全合规指引（征求意见稿）》发布，企业提升合规能力的四个路径

2024-10-23

《工业和信息化领域数据安全合规指引（征求意见稿）》发布，企业提升合规能力的四个路径

近日，中国钢铁工业协会、中国汽车工业协会等十七家行业组织联合发布了 《工业和信息化领域数据安全合规指引（征求意见稿）》 。该文件的发布旨在贯彻落实《数据安全法》及《工业和信息化领域数据安全管理办法（试行）》等法律法规要求，加强工业和信息化领域的数据安全管理，保障数据安全，促进数据开发利用，维护国家安全和利益。

《指引》详细列出了工信领域数据安全防护的问题及举措，工业企业应如何利用技术及制度提升自身合规能力，满足相关监管需求，成为当前关注的重点。

《指引》重点强调内容：

1、《指引》中提到，随着企业信息化进程的加快，数据安全问题日益凸显，特别是在工业领域，数据的广泛应用对数据安全提出了更高的要求。数据泄露、信息滥用、非法跨境数据传输 等问题已成为企业的巨大隐患 。报告指出，在工业和信息化领域中，合规不再是一个选择，而是企业生存和发展的必然要求。

2、《指引》不仅涵盖了数据收集、存储、传输和处理的合规要求，还提供了应对数据风险的最佳实践。报告详细列举了企业在处理数据时应遵循的五项基本原则： 数据最小化、知情同意、透明处理、数据安全措施和数据跨境传输合规 。建议企业尽早评估现有的数据管理流程，识别潜在的合规风险，并根据《合规指引》进行整改，以满足最新的合规标准。

3、《指引》强调数据安全合规并非仅靠企业自身的努力即可达成。各类利益相关方，包括政府监管机构、行业协会、技术提供商等，均需参与到合规体系的构建中来。企业应 主动寻求与技术供应商的合作，利用最新的数据安全技术提升合规能力 。

通过加强数据安全防护手段、完善数据安全体系建设，提升工信企业在数据安全管理、数据全生命周期管理、合规与技术等方面的能力与水平，才能切实提升数据安全管理水平，满足相关政策法规的合规要求，避免数据安全风险。工信领域企业可以采取的具体措施有：

数据资产梳理、落实分类分级：

对数据进行分类分级，梳理数据资产，了解企业中有哪些机密数据，并且按照保密等级进行分类，严格把控数据使用权限。以电信和互联网领域为例，重要数据和核心数据的识别应在国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》基础上，结合YD/T 3867-2024《电信领域重要数据识别指南（报批稿）》进行综合判定。

完善全生命周期数据合规管控：

在数据采集、存储、使用、处理、传输、提供等一系列环节，网络数据处理者应针对每个环节制定有针对性的管理规范，加强数据处理各个环节的合规性，建立健全数据存储机制，在数据存储时就采用加密等安全措施，确保重要数据备份和恢复能力，制定紧急事件处理预案并定期演练等。

强化数据安全防护与监管能力：

对收集到的个人信息等敏感数据，采取加密技术覆盖内部电子文档的创建、修改、传输、归档、分发、销毁等全过程，保密文档、开发测试数据、国家级涉密文件等核心数据只有在内部加密环境下才可以进行复制、交互等操作。在外出、跨境等办公环境下，不能对涉密数据进行访问和编辑。

定期开展数据安全风险评估：

参照《信息安全技术数据安全风险评估方法（草案）》《工业领域数据安全风险评估指南（征求意见稿）》等规范要求，按照“数据资产及应用场景识别——数据处理活动识别——风险源识别——风险分析与定级”步骤进行评估，针对每一项风险制定风险处置方案，相关业务部门整改实施风险处置方案后再进行方案优化。

目前，随着各项政策法规、监管条例不断施行，合法合规的行业底线越来越清晰，对用户、厂商、监管者来讲都是一个较大的课题。尤其对企业来讲，在合规压力之下，更需在深刻了解国家监管要求的基础上不断改善自己的安全防护能力，从而适应日趋复杂的数据安全风险环境，为自身长远发展打好安全基础。