盘点 | 工业和信息化领域数据安全相关重点政策及标准 - 新鲜讯息

寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

作者 | Smart

编辑 | 郑烨

探索数据安全要塞，守护数字世界。

——《数据守望》专栏

No.038

工业和信息化领域

数据安全相关重点政策及标准

▽

个人一直在跟踪数据安全相关的政策及标准，虽然比较耗费时间，但好处是可以了解数据安全行业的新趋势。无论是政策还是标准（国家、行业、地方标准等），大部分都是相对专业的人聚集在一块研究出来的内容，整体质量有保证。当我们不知道怎么开展某一项数据安全工作时，搜索相关关键字的标准，参考别人怎么整体思考，能给出一定的指导，避免自己空想闭门造车。

最近花时间整理近过去3年重要行业的数据安全相关内容，今天主要涉及工业和信息化领域，供参考。

有些行业因为数据的敏感度和业务高可用特性，更加重视数据安全，配套的政策和标准规范齐全、更新较快。比如政务、金融、医疗健康等，工业和信息化部管辖的工业和信息化领域也是数据重要承载地，整理相关清单（非完全统计）如下：

图1：数据安全相关内容

收集和整理相关文件比较消耗时间，但模式和方法基本一致，来源于互联网公开内容。比较困难的地方，需要用专业视角和实际数据安全工作经验去浏览和学习这些文件，找出对工作帮助比较大的内容，非常吃经验。对图1的政策和标准学习一遍，整理一些比较重要内容，如下：

1.《工业和信息化领域数据安全事件应急预案（试行）》

发布单位：工业和信息化部

发布时间：2024年10月29日

核心内容：各行业陆续行业的数据安全管理办法，配套数据安全事件应急预案是进一步延伸。该份预案主要针对工业和信息化领域，明确了事件分级（特别重大、重大、较大和一般）和工作原则，搭建应急预案的框架，包括组织体系及职责、监测与预警、事件响应、事后总结、预防措施和应急演练、保障措施等核心章节。附件给出了数据安全事件的分级、事件上报、工作总结模版、应急处置流程图等可操作的参考模版。

主要亮点：预案给了比较明确的分级参考模版，对经济影响的定量和个人信息泄漏的数量进行明确，需要注意的是这个判断标准针对行业层面的数量，企业层面可根据实际情况进行调整。

图2：《四类应急事件的响应条件》示例

2.《工业和信息化领域数据安全合规指引》

发布单位：中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会等16家全国性行业组织联合编制。

发布时间：2024年11月19日

核心内容：该指引旨在贯彻落实《数据安全法》《网络数据安全管理条例》等法律政策要求，引导工业和信息化领域数据处理者规范开展数据处理活动。它明确了数据分类分级、数据全生命周期保护、数据安全风险监测预警与处置等方面的具体要求，帮助企业建立健全数据安全管理体系，提升数据安全保护能力。

主要亮点：对各个技术要求从一般数据、重要和核心数据分别提出了企业侧需要重点做好的工作，并给出了数据清单的参考示例。

图3：《数据清单》示例

3.《工业领域数据安全能力提升实施方案（2024-2026年）》

发布单位：工业和信息化部

发布时间：2024年2月23日

核心内容：该方案旨在到2026年底基本建立工业领域数据安全保障体系，重点提升工业企业数据保护能力、数据安全监管能力和数据安全产业支撑能力。具体措施包括增强企业数据安全意识，完善数据安全政策标准，推进数据安全技术手段建设，并加大技术产品和服务供给。

主要亮点：提出“以技管数”理念，形成几个重点专栏工作进行推进，如专栏1《数据安全保护筑基工程》：夯实分类分级、编织数据保护指南、提升数据安全保护能力；

专栏2《打造数据安全风险防控品牌》：“数安护航”专项行动、“数安铸盾”应急演练；专栏3《数据安全技术保障工程》：统筹建设数据安全管理平台、建立工业领域数据安全工具库（分类分级、检测评估、安全防护、合规检查、应急处置、攻击夙愿、密码应用）。

4.《工业领域数据安全标准体系建设指南（2023版）》

发布单位：工业和信息化部与国家标准化管理委员会

发布时间：2024年12月19日

核心内容：一是明确了工业领域数据安全标准体系的总体框架，涵盖基础共性、安全管理、技术和产品、安全评估与产业评价、新兴融合领域以及工业细分行业等六个子体系。二是提出了建设目标，即到2024年初步建立工业领域数据安全标准体系，到2026年形成较为完备的体系。三是强调了标准的制定要结合工业领域技术和产业发展现状，突出共性与个性的结合，推动标准的应用实施和国际标准化工作。

主要亮点：明确了工业领域的数据安全标准体系框架，及后续标准的计划方向。

5.《工业和信息化领域数据安全管理办法（试行）》

发布单位：工业和信息化部

发布时间：2022年12月8日

核心内容：该办法规范了工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人和组织的合法权益，维护国家安全和发展利益。它明确了数据分类分级管理的要求，确定了重要数据和核心数据的识别与备案制度，并针对不同级别的数据，提出了在数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节的安全管理和保护要求。

主要亮点：作为行业内的数据安全管理办法指引，涉及工业和信息化领域在企业编织数据安全管理办法时，可以参考整体框架内容，具体细节需要进一步细化。

6.《工业领域重要数据识别指南》（YD/T 4981-2024）

发布单位：工业和信息化部

发布时间：2024年12月10日

核心内容：该指南规定了工业数据处理者开展工业领域重要数据识别的基本原则、流程和考虑因素。它适用于工业数据处理者在识别重要数据时的工作指导，同时也为行业监管部门制定工业领域重要数据目录提供了参考。

7.《工业企业数据安全防护要求（YD/T 4982-2024 ）》

发布单位：工业和信息化部

发布时间：2024年10月24日

核心内容：该标准规定了工业企业数据安全防护的总体要求、基础性数据安全防护要求以及数据全生命周期的安全防护要求。它适用于指导工业企业开展数据安全防护工作，并可为数据安全风险评估提供参考。

8.《工业互联网数据安全保护要求（YD/T 3865-2021）》

发布单位：工业和信息化部

发布时间：2021年5月17日