《加强工业互联网安全工作的指导意见》已于2019年7月26日发布
作为工业智能化产物,工业互联网将人、机、物通过网络互联互通,近年来发展迅猛。在工业互联网运营过程中,涉及大量数据信息的采集、分析、传输、归档等,而这些数据网往往涉及个人隐私、企业商业秘密,甚至国家秘密。对此,国家陆续出台《网络安全法》、《工业控制网络安全风险评估规范》等法律法规、国家标准强化信息保护。
为了进一步加强工业互联网安全管理,工业和信息化部联合其他九部门于2019年7月26日联合发布了《加强工业互联网安全工作的指导意见》(下称“《指导意见》”)。对企业实操而言,《指导意见》中需要特别关注的事项包括:
1、依法落实企业主体责任制
工业互联网的业务操作具有隐蔽、不可视的特点,例如数据收集,机器控制授权等等。《指导意见》明确规定了企业主体责任制,即企业应设立工业互联网安全责任部门和责任人,建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度,建立安全事件报告和问责机制。
对于网络安全事件引发的安全生产事故,由于暂无明确的处罚依据,《指导意见》规定可按照安全生产有关法规进行处置。
2、加强安全保护能力
《指导意见》指出,国家将逐步明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用;同时,国家将依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度,开展重要数据出境安全评估和监测,完善重大工业互联网数据泄露事件触发响应机制。
《指导意见》为后续相关法律法规、国家标准的出台指明了方向。与工业互联网相关的企业应关注相关立法动向,避免因“无知”而被处罚。