各省、自治區、直轄市、計劃單列市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén)，有關(guān)行業(yè)協(xié)會(huì )，有關(guān)企業(yè)，部屬有關(guān)單位，部屬各高校：現將《工業(yè)領(lǐng)域數據安全能力提升實(shí)施方案（2024-2026年）》印發(fā)給你們，請認真抓好貫徹落實(shí)。

工業(yè)和信息化部

2024年2月23日

工業(yè)領(lǐng)域數據安全能力提升實(shí)施方案（2024-2026年）

數據作為新型生產(chǎn)要素，是數字化、網(wǎng)絡(luò )化、智能化的基礎，已快速融入生產(chǎn)、分配、流通等各環(huán)節，保障數據安全，事關(guān)國家安全大局。為貫徹落實(shí)習近平總書(shū)記關(guān)于數據安全的重要指示精神和黨中央、國務(wù)院決策部署，推動(dòng)《中華人民共和國數據安全法》《中華人民共和國網(wǎng)絡(luò )安全法》《工業(yè)和信息化領(lǐng)域數據安全管理辦法（試行）》等在工業(yè)領(lǐng)域落地實(shí)施，加快提升工業(yè)領(lǐng)域數據安全保護能力，助力工業(yè)高質(zhì)量發(fā)展，夯實(shí)新型工業(yè)化發(fā)展的安全基石，制定本方案。

一、總體要求

（一）指導思想

以習近平新時(shí)代中國特色社會(huì )主義思想為指導，全面貫徹落實(shí)黨的二十大精神，堅定不移貫徹總體國家安全觀(guān)，堅持統籌發(fā)展和安全，堅持底線(xiàn)思維和極限思維，堅持目標導向和問(wèn)題導向，以構建完善工業(yè)領(lǐng)域數據安全保障體系為主線(xiàn)，以落實(shí)企業(yè)主體責任為核心，以保護重要數據、提升監管能力、強化產(chǎn)業(yè)支撐等為重點(diǎn)，提高數據安全治理能力，促進(jìn)數據要素安全有序流動(dòng)和價(jià)值釋放，為加快推進(jìn)新型工業(yè)化，建設制造強國、網(wǎng)絡(luò )強國和數字中國提供堅實(shí)支撐。

（二）基本原則

統籌推進(jìn)，重點(diǎn)突破。加強頂層謀劃，系統推進(jìn)數據安全組織架構、政策制度、管理機制、標準規范、技術(shù)手段建設和產(chǎn)業(yè)發(fā)展工作。以強化重點(diǎn)行業(yè)、重點(diǎn)企業(yè)、重要系統平臺、重要數據保護為切入點(diǎn)，以點(diǎn)帶面促進(jìn)整體保護水平提升。

政府引導，協(xié)同共治。綜合運用正向激勵和反向約束等方式，選樹(shù)標桿典型，強化監管執法，壓實(shí)企業(yè)主體責任。充分發(fā)揮行業(yè)協(xié)會(huì )、龍頭企業(yè)、專(zhuān)業(yè)機構、高等院校等各方力量，形成數據安全協(xié)同治理的良好局面。

場(chǎng)景牽引，分業(yè)施策。摸清數據處理重點(diǎn)環(huán)節風(fēng)險易發(fā)場(chǎng)景的特點(diǎn)規律，緊貼業(yè)務(wù)場(chǎng)景數據保護需求，強化科學(xué)防控。結合行業(yè)特色、數據特征等，差異化指導、精準化施策，加速提升行業(yè)數據安全管理水平。

創(chuàng )新驅動(dòng)，技管結合。不斷創(chuàng )新管理模式、技術(shù)、產(chǎn)品與服務(wù)，適應新時(shí)期工業(yè)領(lǐng)域數據安全保護新形勢、新特點(diǎn)和新需求。注重“以技管數”手段建設和運用，與日常監管形成合力。

（三）總體目標

到2026年底，工業(yè)領(lǐng)域數據安全保障體系基本建立。數據安全保護意識普遍提高，重點(diǎn)企業(yè)數據安全主體責任落實(shí)到位，重點(diǎn)場(chǎng)景數據保護水平大幅提升，重大風(fēng)險得到有效防控。數據安全政策標準、工作機制、監管隊伍和技術(shù)手段更加健全。數據安全技術(shù)、產(chǎn)品、服務(wù)和人才等產(chǎn)業(yè)支撐能力穩步提升。

——基本實(shí)現各工業(yè)行業(yè)規上企業(yè)數據安全要求宣貫全覆蓋。

——開(kāi)展數據分類(lèi)分級保護的企業(yè)超4.5萬(wàn)家，至少覆蓋年營(yíng)收在各?。▍^、市）行業(yè)排名前10%的規上工業(yè)企業(yè)。

——立項研制數據安全國家、行業(yè)、團體等標準規范不少于100項。

——遴選數據安全典型案例不少于200個(gè)，覆蓋行業(yè)不少于10個(gè)。

——數據安全培訓覆蓋3萬(wàn)人次，培養工業(yè)數據安全人才超5000人。

二、重點(diǎn)任務(wù)

（一）提升工業(yè)企業(yè)數據保護能力

1.增強數據安全保護意識。加大數據安全法律法規和政策標準宣貫培訓力度，提高各行業(yè)企業(yè)數據安全意識。督促企業(yè)依法依規落實(shí)數據安全主體責任，壓實(shí)各單位法定代表人或主要負責人數據安全第一責任，建立健全數據安全管理體系和工作機制，配足數據安全崗位和人員隊伍，定期開(kāi)展數據安全教育培訓。引導企業(yè)貫徹發(fā)展與安全并重原則，將數據安全管理要求融入本單位發(fā)展戰略和考核機制，加強數據安全工作與業(yè)務(wù)發(fā)展同謀劃、同部署、同落實(shí)、同考核。

2.開(kāi)展重要數據安全保護。指導企業(yè)建立健全數據分類(lèi)分級保護等安全管理制度，定期梳理識別重要數據和核心數據，形成目錄并及時(shí)報備。督促重要數據和核心數據處理者明確數據安全負責人和管理機構，落實(shí)數據分級防護要求，每年至少開(kāi)展一次數據安全風(fēng)險評估，及時(shí)發(fā)現整改安全隱患，按要求報送評估報告。指導企業(yè)加強重要數據和核心數據安全風(fēng)險監測與應急處置，及時(shí)報告重大風(fēng)險事件。推動(dòng)各行業(yè)企業(yè)加強商用密碼應用保護數據安全。

3.強化重點(diǎn)企業(yè)數據安全管理。遴選掌握關(guān)鍵核心技術(shù)、代表行業(yè)發(fā)展水平、關(guān)系產(chǎn)業(yè)鏈安全穩定或關(guān)乎國家安全的企業(yè)，滾動(dòng)編制工業(yè)領(lǐng)域數據安全風(fēng)險防控重點(diǎn)企業(yè)名錄。將名錄內企業(yè)作為數據安全監管重點(diǎn)，督促其在落實(shí)數據安全要求基礎上，著(zhù)重提升風(fēng)險監測、態(tài)勢感知、威脅研判和應急處置等能力。發(fā)揮部省兩級主管部門(mén)作用，統籌各方數據安全監測預警手段和技術(shù)力量，加強技術(shù)支持，協(xié)同做好企業(yè)數據安全保護。

4.深化重點(diǎn)場(chǎng)景數據安全保護。指導企業(yè)圍繞數據匯聚、共享、出境、委托加工等重點(diǎn)數據處理場(chǎng)景，排查數據安全保護薄弱點(diǎn)，實(shí)施貼合行業(yè)特點(diǎn)的數據保護措施。聚焦供應鏈上下游協(xié)作、服務(wù)外包、上云上平臺等典型業(yè)務(wù)場(chǎng)景，厘清多主體數據安全責任界面和銜接模式，建立全鏈條全方位數據安全保護體系。針對勒索病毒攻擊、漏洞后門(mén)、人員違規操作、非受控遠程運維等易發(fā)頻發(fā)風(fēng)險場(chǎng)景，加強風(fēng)險自查自糾，采取精準的管理和防護措施。面向數據要素大規模流通交易典型場(chǎng)景，打造一批安全解決方案。

（二）提升數據安全監管能力

5.完善數據安全政策標準。建立健全工業(yè)領(lǐng)域數據安全管理制度，推動(dòng)出臺風(fēng)險評估實(shí)施細則、應急預案、行政處罰裁量指引等政策文件。持續完善重要數據識別、備案、分級防護、風(fēng)險評估等全流程監管機制，加強監督檢查。組建工業(yè)領(lǐng)域網(wǎng)絡(luò )與數據安全行業(yè)標準化組織，發(fā)布數據安全標準體系建設指南，加快研制重要數據識別、安全防護、風(fēng)險評估、產(chǎn)品檢測、密碼應用等亟需標準。鼓勵地方參照制定本地區數據安全政策。

6.加強數據安全風(fēng)險防控。完善工業(yè)領(lǐng)域數據安全風(fēng)險信息報送與共享工作機制，組建數據安全風(fēng)險分析專(zhuān)家組，動(dòng)態(tài)管理風(fēng)險直報單位庫，協(xié)同加強地方力量，常態(tài)化開(kāi)展風(fēng)險監測、報送、預警、處置等工作。摸排數據安全風(fēng)險事件特點(diǎn)和規律，建立重大風(fēng)險事件案例庫，加強案例剖析和風(fēng)險提示。面向重點(diǎn)行業(yè)開(kāi)展“數安護航”專(zhuān)項行動(dòng)，定期組織“數安鑄盾”應急演練，提升事件快速反應、規范處置、協(xié)同聯(lián)動(dòng)水平。

7.推進(jìn)數據安全技術(shù)手段建設。統籌建設工業(yè)和信息化領(lǐng)域數據安全管理平臺，建立工業(yè)領(lǐng)域數據安全工具庫，形成集數據資源管理、態(tài)勢感知、風(fēng)險信息報送與共享、技術(shù)測試驗證、事件應急響應等功能于一體的技術(shù)能力，加強與網(wǎng)絡(luò )安全技術(shù)、密碼技術(shù)手段協(xié)同。推動(dòng)有條件的地方、行業(yè)、企業(yè)等加快建立數據安全風(fēng)險監測與應急處置等技術(shù)手段，強化“部-省-企業(yè)”技術(shù)能力三級聯(lián)動(dòng)，不斷提升技術(shù)保障水平。

8.鍛造數據安全監管執法能力。規范數據安全事件調查處置程序，豐富取證方法和手段。加快完善數據安全執法流程和工作機制，推動(dòng)地方工業(yè)和信息化主管部門(mén)將數據安全納入本地區行政執法事項清單，指導各行業(yè)、各地方依法嚴格處置違法行為，加強執法案例宣介與警示教育。建立健全數據安全違法違規行為投訴舉報機制，多渠道收集違法違規線(xiàn)索。加大監管執法人員培訓力度，推動(dòng)地方工業(yè)和信息化主管部門(mén)強化數據安全監管力量，打造專(zhuān)業(yè)化、規范化監管執法隊伍。

（三）提升數據安全產(chǎn)業(yè)支撐能力

9.加大技術(shù)產(chǎn)品和服務(wù)供給。加強工業(yè)數據智能分類(lèi)分級、工業(yè)數據庫審計、低時(shí)延加密傳輸等共性技術(shù)優(yōu)化升級。加大適配工業(yè)業(yè)務(wù)場(chǎng)景和數據特征的輕量級數據加密、隱私計算、密態(tài)計算等關(guān)鍵技術(shù)攻關(guān)。支持使用商用密碼技術(shù)保障工業(yè)領(lǐng)域數據安全。圍繞工業(yè)數據泄露、竊取、篡改等風(fēng)險，推動(dòng)流量異常監測、攻擊行為識別、事件追溯和處置等產(chǎn)品研發(fā)。加強面向工業(yè)云、工業(yè)大數據、工業(yè)互聯(lián)網(wǎng)平臺等新興應用的數據安全架構設計。支持工業(yè)領(lǐng)域數據安全“產(chǎn)品+服務(wù)”供給模式創(chuàng )新。

10.促進(jìn)應用推廣和供需對接。加大多方安全計算、數據防勒索、數據溯源、商用密碼等技術(shù)產(chǎn)品在工業(yè)領(lǐng)域的試點(diǎn)應用。組織遴選一批在各行業(yè)具有廣泛應用價(jià)值的通用數據安全技術(shù)和產(chǎn)品，打造一批面向行業(yè)、面向場(chǎng)景、面向中小企業(yè)的數據安全解決方案，形成一批工業(yè)領(lǐng)域數據安全典型案例，分行業(yè)、分地區開(kāi)展宣傳推廣。推動(dòng)各行業(yè)利用主題沙龍、路演等渠道開(kāi)展數據安全技術(shù)產(chǎn)品和服務(wù)供需對接活動(dòng)。發(fā)揮數據安全產(chǎn)業(yè)公共服務(wù)平臺作用，強化信息共享、資源對接等服務(wù)。

11.建立健全人才培養體系。面向不同行業(yè)、崗位、層級數據安全工作需求，推動(dòng)專(zhuān)業(yè)化、特色化數據安全教材課程開(kāi)發(fā)，規范化開(kāi)展職業(yè)人才資格認定。支持產(chǎn)學(xué)研用各方加強合作，依托培訓中心、實(shí)訓基地、網(wǎng)絡(luò )學(xué)習平臺等聯(lián)合培養復合型管理人才和實(shí)戰型技能人才，通過(guò)技能競賽、技術(shù)交流、學(xué)習進(jìn)修、崗位練兵等形式持續促進(jìn)人才知識更新和能力提升。鼓勵工業(yè)企業(yè)建立健全數據安全績(jì)效評價(jià)機制，加強數據安全人才激勵。

三、保障措施

（一）加強組織協(xié)調。工業(yè)和信息化部加強工作統籌，做好與國家數據安全工作協(xié)調機制的銜接。各地工業(yè)和信息化主管部門(mén)負責組織實(shí)施本地區實(shí)施方案。鼓勵各地結合實(shí)際制定細化工作方案，加強與相關(guān)部門(mén)合作，確保目標任務(wù)落實(shí)。充分發(fā)揮高校、科研院所、第三方機構等在實(shí)施方案宣貫、手段建設指導、技術(shù)交流合作、成果應用推廣等方面的專(zhuān)業(yè)作用，引導企業(yè)加強數據安全能力建設。

（二）加大資源保障。統籌利用現有資金渠道，加大工業(yè)領(lǐng)域數據安全工作投入，支持關(guān)鍵核心技術(shù)攻關(guān)和公共服務(wù)平臺建設。深化產(chǎn)融合作，支持數據安全企業(yè)參與“科技產(chǎn)業(yè)金融一體化”專(zhuān)項，通過(guò)國家產(chǎn)融合作平臺獲得便捷高效的金融服務(wù)。鼓勵各地將數據安全納入地方工業(yè)領(lǐng)域數字化轉型發(fā)展相關(guān)規劃，在支持數字化、網(wǎng)絡(luò )化、智能化等項目時(shí)，同步明確數據安全要求。引導企業(yè)在信息化建設中為數據安全防護安排一定比例資金。

（三）強化成效評估。各行業(yè)、各地區及時(shí)跟蹤調度實(shí)施方案落實(shí)情況，總結經(jīng)驗做法，評估工作成效，加強溝通交流，及時(shí)報告重大進(jìn)展情況或問(wèn)題。工業(yè)和信息化部對工作推動(dòng)有力、取得明顯成效的地區、企業(yè)和單位予以表?yè)P，對優(yōu)秀經(jīng)驗做法加強提煉總結和推廣應用。

（四）做好宣傳引導。綜合利用產(chǎn)業(yè)活動(dòng)、國際合作等方式，宣傳普及工業(yè)領(lǐng)域數據安全理念和舉措，提高地方、企業(yè)和公眾對工業(yè)領(lǐng)域數據安全的認可度。充分調動(dòng)行業(yè)協(xié)會(huì )、學(xué)會(huì )、產(chǎn)業(yè)聯(lián)盟等力量，引導企業(yè)加強自律、凝聚共識，營(yíng)造行業(yè)數據安全保護良好氛圍。