张雷峰
《指南》的架构和内容,既立足当前,又着眼长远,对生产企业实施工业数据分类分级进行了普适性谋划,具有较强的科学性和可行性。
此次发布的《指南》,为广大工业企业在进一步开展工业数据保护、释放工业数据红利、破解难题瓶颈等方面指明了方向。
在全国各行各业认真贯彻落实党中央、国务院关于数字经济发展决策部署,全面推进数字经济高质量发展之际,工业和信息化部印发了《工业数据分类分级指南(试行)》(以下简称《指南》),为工业领域提升数据管理能力、保障数据安全、发挥数据价值、促进数据共享,健全和完善数据生产要素参与分配机制提供了基本依据。在《指南》编制过程中,烟草行业有关单位参与了试验验证工作。下面,从行业角度就《指南》谈几点体会。
分类分级是数据管理的基础
随着信息技术的发展,数据在国民经济运行中的作用越来越重要,數据不仅成为战略资源,其本身也成为生产力的组成部分。由于不同类型的数据具有不同的权属关系、管理主体、应用特点、价值体现以及安全属性等,因此无论是开展数据资产管理和保护,还是建立数据生产要素参与分配的机制,首先都要从数据分类分级做起。近年来,烟草行业一直致力于加强工业数据管理能力建设的探索,但由于缺乏有效的方法和路径,一些基础性工作始终难以破局。2019年,在工信部的指导下,我们参与了《指南》编制预研和试验验证工作,分别在浙江中烟和广东中烟两个企业开展工业数据分类分级。我们按照工信部课题组提供的原则和方法,完成了企业管理机构及下属卷烟厂两个工作区域,包含MES、制丝、卷包、物流、PDM、数字仓储、ERP、批次、营销等多个业务系统,20多类数据的分析和梳理,按照研发域、生产域、运维域、管理域、运行域、外部域等六大域进行了数据分类,按照数据重要性标准划分了数据防护等级。通过分类分级试验工作,理清了工业数据“有哪些、有多少、在哪里、归谁管、谁在用”等基本情况,建立了全局数据模型和科学合理的数据架构,为工业数据治理工作找到了方向和抓手,打通了解决短板弱项的关键环节,为规范数据资产管理、开展数据保护提供了基础依据。
结合前期试验验证工作,我们体会到《指南》的架构和内容,是在充分吸收前期调研成果的基础上制定的,既立足当前,又着眼长远,对生产企业实施工业数据分类分级进行了普适性谋划,为不同类型企业开展数据分类分级提供了方法论,具有较强的科学性和可行性。首先,数据分类原则划定了工业数据的分类维度,易于企业按照业务流程和系统设备,对自身数据进行全面梳理、相互比对,做好数据资产确权和规范治理、应用和流通工作。其次,数据分级与等级保护要求相适应,均以安全影响和危害程度作为关键要素,并结合工业数据遭篡改、破坏、泄露或非法利用导致数据安全事件的影响程度等,采用定性方法进行等级划分,提高了企业数据防护的针对性和有效性。最后,《指南》明确了工业数据管理机制、职责分工,以及保护要求和共享原则,为企业构建自身数据治理体系提供了方法和遵循。
贯彻落实《指南》要把握好几个要点
近年来,为加快构建工业领域网络安全保障体系,提升工业企业网络安全保障能力,工业和信息化部先后发布了《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》《工业控制信息安全防护能力评估工作管理办法》和《工业控制系统信息安全行动计划(2018-2020)》等多个指导性文件和安全标准规范。此次发布的《指南》,为广大工业企业在进一步开展工业数据保护、释放工业数据红利、破解难题瓶颈等方面指明了方向。烟草行业在贯彻落实《指南》过程中.要将正确理解和把握《指南》的定位与要义作为切入点、着力点和前提条件,不断提升用《指南》指导实践工作的实效性。
(一)《指南》是贯彻落实《网络安全法》的举措
工业数据主要来源于支撑工业领域产品制造和服务的信息系统,无论是数据的产生者、收集者还是使用者,作为信息系统的法定运营者都要履行《网络安全法》赋予的安全管理义务,都要按照法律规定采取数据分类、重要数据备份和加密等措施进行数据安全保护。《指南》针对我国工业数据的内涵和特征,提出了基于数据业务属性及安全属性的分类分级思路与方法以及安全保护的基本要求,在内容上对《工业控制系统信息安全防护指南》所提的“数据安全”要求进行了细化。两个指南相结合,为工业企业依法履行信息网络安全管理义务,开展工控系统运行安全和数据安全保护提供了可操作、可落地的实施规范和方法。可以说,贯彻落实《指南》就是贯彻落实《网络安全法》的题中应有之义。
(二)《指南》是促进工业数据流动与共享的保障
孤木难成林。推动实施国家大数据战略,必须同步推进数据资源整合与开放共享。但是,随着知识产权保护力度不断加大,以及数据确权制度不断完善,哪些数据应该共享、哪些数据可以开放往往成为制约数据共享的瓶颈。《指南》在促进数据充分使用、全局流动和有序共享方面提出了明确的指导意见,鼓励企业在做好数据管理的前提下适当共享一、二级数据,并且强调二级数据只对确需获取该级数据的授权机构及相关人员开放,三级数据原则上不共享,确需共享的应严格控制知悉范围。这就在需要数据共享的不同责任主体之间架起桥梁,大家可以在共同规则下共享数据,消除彼此的数据鸿沟和壁垒。为充分释放工业数据的潜在价值,实现工业数据的最大挖掘利用,运用数字化催生极具活力的新业态、新产业,有效推动管理创新、商业模式创新、营销创新和品牌创新提供了可行的路径。
(三)《指南》是实施技术防护的前提
在数据资源共享开放变得更加广泛、快捷的同时,安全隐患也随之加大,内外网数据交互流通、海量数据集中汇聚分析等为不法分子提供了更多窃取、篡改数据的路径和攻击面,数据安全风险隐患倍增。众所周知,数据安全离不开技术保障,但是,任何技术保障措施都是有成本的也是有限的。同时,在当前的科技发展阶段,安全性与易用性始终处于矛盾状态。习近平总书记指出,网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。因此,在数据安全防护上,我们不能眉毛胡子一把抓,要有针对性。企业按照《指南》进行工业数据分类分级以后,可以按照数据的重要程度和风险程度实施差异化保护,做到有的放矢,降低安全成本,提高技防有效性。
要在实践中发挥《指南》的生命力
《指南》是加强工业数据管理实践探索和理论创新的重要阶段性成果。要让这个成果迅速转化为有关主管部门和广大工业企业的工作成果,切实提升工业数据管理水平,必须加快推进《指南》落实落地,从工作机制、管理手段、流程环节、技术措施等多方面人手开展工作,让《指南》在数据管理实践中动起来,并在实践中不断发现问题,不斷改进提高。烟草行业是我国实体经济的重要组成部分,不断提升工业数据管理能力、释放数据潜在价值,是推动行业高质量发展的必由之路。因此,烟草行业应坚持问题导向、目标导向和结果导向,围绕《指南》开展以下工作:
一是加强《指南》宣贯力度。通过举办专题培训、专题研讨以及内部网站、网络课堂等形式在行业广泛开展宣传工作,让各级网信部门以及与工业数据相关的领导干部和业务部门工作人员知道《指南》,理解《指南》,树立运用《指南》指导工作的意识并掌握加强数据管理的方法。
二是建立数据资产清单。以《指南》为蓝本并结合各单位生产经营管理实际,全面梳理各部门、各环节、各系统收集、产生、存储和使用的工业数据,建立数据资产清单,明确各项数据的分类分级和责任部门,全面掌握“有哪些、有多少、在哪里、归谁管、谁在用”等基本情况,并由行业各级网信部门统一维护,实行清单动态管理,确保清单与实际相一致。
三是制定数据管理制度。结合《网络安全法》等法律法规,将《指南》确定的概念、原则、方法和要求转化为行业制度,实现工业数据分级分类工作制度化管理,重点从工业数据管理工作的职责分工、分类分级、产权归属、资产使用、安全保护和监督管理等方面提出适合行业管理特点和数据特色的具体要求。
四是开展数据安全治理。对照各单位工业数据资产清单和等级保护要求,全面梳理各类各级工业数据安全状况和风险隐患,按照《工业控制系统信息安全防护指南》完善技术防护措施,着力在数据安全管理技术能力提高上下功夫;完善工业数据治理机制,将数据分级分类标准与业务系统立项、开发和运维全过程相融合,实行工业数据管理能力定期检查和定期评估制度,将检查评估结果与缋效考核挂钩。
五是推动行业数据共享。按照《指南》制定的数据共享编制行业共享数据目录,分类指导各企业在保障安全的前提下实现数据充分使用、全局流动和有序共享,释放各企业数据潜在价值,赋能全行业高质量发展。在工作中,要重点解决本位主义思想导致的只想别人给数据、不想自己给数据的问题,通过管理手段避免对该共享不共享、可公开不公开的情况。
目前,工业数据分类分级工作尚处于起步阶段,烟草行业虽然积累了前期试验验证经验,但在下一步贯彻执行工作中还可能会遇到一些问题和困难,一方面要努力改进方式方法以适应《指南》要求,另一方面要认真总结经验,积极争取工信部专家指导,共同推进《指南》在烟草行业落地见效。