工信领域数据安全怎么管?专家:全周期管理实现“精准防护”(2)
中国信息通信研究院院长余晓晖表示,这种条块结合的监管组织架构既贯彻了《数据安全法》对于各地区、各行业、各领域数据安全监管的责任分工,也充分考虑了工信领域管理的共性需求与实践差异。
竖起技术铁甲 保障数据全生命周期安全
数字化的进程与风险相伴而生。今年2月,全球航港巨头瑞士空港遭遇一起勒索软件攻击,IT基础设施与服务受到干扰。苏黎世机场透露,这波网络攻击导致当天22架次航班发生延误。此类数据泄漏、勒索软件、黑客攻击等网络安全事件并不少见,每年的网络安全事件盘点都有数十个版本。
在数据生产加工的各个环节,数据违规传输、非授权访问、云端数据大规模泄露、勒索攻击、撞库攻击、黑产交易、网络漏洞等事件的危害性不容忽视。
为保障数据安全,《办法》围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,主要包括明确细化了协议约束、安全评估、审批等管理要求,以及校验与密码技术使用、数据访问控制等技术保护要求。同时,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护主体责任。
业内专家指出,从技术角度来说,不仅要通过协议解析、流量分析等手段深度识别监测的数据内容,还需利用关联分析、人工智能等技术分析数据处理安全措施是否到位(如重要数据未加密导致明文传输风险)、数据处理活动是否合法合规(如重要数据违规出境风险)等,更还应结合业务场景,通过深度学习等手段分析数据流量和操作行为是否正常、数据内容是否遭篡改等。
《办法》还规定了数据安全风险评估、数据出境安全评估、数据安全风险监测预警、数据安全应急处置等的开展情形,并对中央企业提出督促所属公司履行重要数据目录备案,及时向工业和信息化部报送集团本部数据安全保护情况等要求。
专家指出,《办法》出台后,应加快推进数据分类分级、分级防护、安全评估、应急处置等工作的有机融合。每一项工作的背后都需要更细化的制度标准作为“催化剂”,并在实践中推动各项工作机制协调、统一、灵活地运转起来,为保障工业数据安全、促进数字经济和制造业高质量发展筑牢坚实根基。(实习生施懿芝对本文亦有贡献)
(责编:郭思邈、高雷)
