落实响应 | 工业领域数据安全能力提升实施方案

实施方案围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力，明确提出11项重点任务。

企业是履行数据安全保护责任和义务的主体，《实施方案》重点明确了提升工业企业数据保护能力的四项关键举措：

一是增强数据安全意识，通过法律政策和标准宣贯培训等工作，普及提高企业安全意识。从明确责任人、建立健全管理体系和工作机制、配足岗位和人员队伍、定期开展教育培训等方面压实企业主体责任。引导企业将数据安全管理要求融入本单位发展战略和考核机制，同步推进业务发展和数据安全工作。

二是开展重要数据保护，指导存在重要数据的企业落实建立健全管理制度、识别报备重要数据、实施分级防护、定期开展风险评估、开展风险事件监测与应急处置等要求，对重要数据进行重点保护。

三是强化重点企业数据安全管理，滚动编制工业领域数据安全风险防控重点企业名录，对名录内企业既要督促其着重提升风险监测、态势感知、威胁研判和应急处置等能力，又要发挥各级技术力量加强技术支持。

四是深化重点场景数据安全保护，聚焦数据处理场景、典型业务场景、易发频发风险场景和数据要素大规模流通交易场景，制定系列实践指南，指导企业精准施策。

1.建立健全企业数据安全体系

中国信通院深入研究数据安全治理体系建设方法论，在《数据安全治理能力实践指南（3.0）》（以下简称：《指南3.0》）中深入探讨了数据安全治理的目标、框架与实践路径，提炼出“全局规划、场景落地、运营强化、评估优化”的治理理念，为企业实施数据安全治理体系建设提供了有力指导。

同时，中国信通院分别依据YD/T 4558-2023《数据安全治理能力通用评估方法》和GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》开展数据安全治理能力评估服务（以下简称：DSG评估）和数据安全能力成熟度评估服务（以下简称：DSMM评估），为企业提供多种评估选择。其中DSG评估是中国信通院于2020年推出的国内首个综合性数据安全治理能力评估服务，经过3年多的发展，形成了系列评估服务，包括DSG通用评估、金融专项和汽车专项。迄今为止，中国信通院已经累计为包括头部金融机构、头部车企、三大运营商、头部互联网在内的27家企业提供了25次DSG评估服务和4次DSMM评估服务，助力这些企业实现数据安全治理体系的显著提升与优化。

2.落实数据分类分级工作

中国信通院《指南3.0》所提出的数据分类分级七步走建设思路，为企业开展数据分类分级工作提供了明确且高效的行动指南，值得企业借鉴参考。

同时，中国信通院推出了数据分类分级成熟度评估服务，对数据分类分级工作的规划、实施和运营三大阶段开展情况进行细致评价，以准确诊断企业实际的数据分类分级开展情况，并找到不足之处与提升方向。中国信通院已助力2家头部汽车企业实现数据分类分级能力提升。

3.开展数据安全风险评估

中国信通院深耕数据安全风险领域的理论研究，携手业内积极开展了数据安全风险评估以及治理实践探索，发布《数据安全风险评估实务：问题剖析与解决思路》，提炼了数据安全风险评估工作的具体实施流程，并以评估实施流程为主线，系统性梳理了组织在评估准备、评估实施、评估总结三大阶段面临的七大实务问题，并提出问题解决思路，为数据处理者、评估机构的数据安全风险评估实务提供参考以及三项建议。

同时，中国信通院提供数据安全风险评估服务，具备丰富的数据安全风险评估以及治理服务经验，先后服务国有六大行、商业银行以及国央企等大型客户，助力客户开展数据安全风险评估，排查客户面临的数据安全风险隐患问题。

中国信息通信研究院云大所数据安全团队具备丰厚的数据安全研究、服务积淀，在数据分类分级、数据安全风险评估、数据安全治理等方面有丰富的研究成果和实践经验，可以助力工业企业落实《实施方案》要求，提升数据安全能力，打造优秀典型案例。