安策数据加密保护-详细解读《工业企业数据安全防护要求（草案）》

工业作为第二产业的主要组成部分，它决定着我国国民经济现代化的速度、规模和水平，在当代国民经济中起着主导作用。当工业领域的安全受到冲击带来的关联影响是巨大的，威胁不仅仅局限于工业本身，甚至会对我国的国家安全、国民经济、社会稳定等带来重大冲击。随着《 “十四五”数字经济发展规划》的提出，更加强调了数据资源为关键要素的重要性，并呼应了数据要素正式被纳入生产要素的政策，着重提出了数字经济具有“融合应用”和“全要素数字化转型”的特征，因此，在工业安全领域数据安全又变得尤为重要，如何帮助工业企业强化数据安全防御能力，变成为了《工业企业数据安全防护要求（草案）》（以下简称“此要求”）重点内容。

(1) 数据收集安全：

在一般数据全生命周期安全保护中，要求以最小够用、合理合法、并要求强化收集人员和设备的管理能力开展数据收集安全。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，增加了对收集前约束条件、收集中的检测、收集后的审计。收集前：业务需求层面需明确收集来源、目的、方式、数量、精度、频率、周期 、范围、用途等；收集技术层面需要采取必要的测试、认证、鉴权等措施，进行内部审批；法律责任层面：间接途径获取数据的，应与数据提供方通过签署相关协议、数据源合法性承诺方式。收集中：具备数据收集行为监测技术能力和信息记录，及时进行异常告警；收集后：对数据收集的时间、范围、类型、数量、频度、流向、级别等信息进行审计。

在核心数据全生命周期安全保护中，在满足重要数据全生命周期安全保护要求的基础上，尤为强调了对数据收集行为实时监控和行为溯源能力。要求能够实时发现安全异常行为、实时终止、行为追踪的要求。

(2) 数据存储安全：

在一般数据全生命周期安全保护中，特意对加密和备份进行了明确要求，同时，需关注其中“确需”和“实际情况”的关键词，衍生含义是并非所有的一般数据都要进行加密和备份。如：提到对确需加密的数据，可采用加密技术、数字签名、校验等技术；提到根据实际情况开展数据备份。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，增加了对存储数据的使用、存储介质、备份管理、数据恢复演练频次、安全检测进行了明确要求。存储数据使用：需进行身份鉴别和访问控制；存储介质：需进行安全管控、校验技术、加密技术、数字签名等手段实现数据安全存储；备份管理：增加备份冗余度和备份介质的种类；数据恢复演练频次：要求全量数据备份至少每周一次，增量数据备份至少每天一次；安全检测：检测能力应具备对数据在存储过程中保密性、完整性、可用性受到破坏的检测能力，并能够向授权用户提供告警信息。

在核心数据全生命周期安全保护中，在满足重要数据全生命周期安全保护要求的基础上，尤为强调了实时数据备份、异地容灾备份、行为实时监控的能力要求。实时数据备份：主要对历史数据库、时序数据库、实时数据库等核心数据存储设备进行硬件冗余、实时数据备份、实施异地容灾备份；行为实时监控：发现异常时及时终止数据访问、删除、修改等操作行为，并采用技术手段确保所有存储操作行为可溯源。

(3) 数据使用加工安全：

在一般数据全生命周期安全保护中，体现透明化、公平公正、行为记录及追溯的要点（如：要求利用数据进行自动化决策的，应保证决策的透明度和结果公开合理；对数据挖掘、关联分析等数据使用行为进行记录。）。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，增加了数据使用授权、存储空间、数据权限管理、技术手段、记录和审计、标识、处理进行明确要求（如：数据使用授权：进行授权和验证；存储空间：避免将挖掘算法产生的中间过程数据与原始数据存储于同一逻辑空间；数据权限管理：周期性的检查用户操作数据的情况，统一管理数据使用权限；技术手段：采用恶意代码检测、身份鉴别、访问控制等技术手段，确保数据在使用加工中的环境安全；记录和审计：对数据挖掘、关联分析等数据使用行为信息进行记录和审计；标识：对原始数据和挖掘结果进行标识；）。

在核心数据全生命周期安全保护中，在满足重要数据全生命周期安全保护要求的基础上，尤为强调了实施监控和行为溯源能力（如：具备数据使用加工行为实时监控能力，在发现异常时及时终止数据使用加工行为，并采用技术手段确保所有数据挖掘、使用、加工、分析等行为可溯源）。

(4) 数据传输安全：

在一般数据全生命周期安全保护中，强调根据实际需求，保证数据传输安全（如：密码技术、数据脱敏、校验技术、安全传输通道或者安全传输协议等）。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，在技术手段增加了必要时可采用单向隔离传输、导入导出安全技术等，在检测技术、备份、传输都增加了相关安全要求（如：具备数据传输异常检测技术能力，对陌生IP地址、数据库异常连接等进行实时告警及时回复等；在数据导入导出过程中配备安全技术手段，降低肯能存在的数据泄露等风险；）。

在核心数据全生命周期安全保护中，在满足重要数据全生命周期安全保护要求的基础上，尤为强调了实时监测处置、数据传输行为溯源能力。

(5) 数据提供安全：

在一般数据全生命周期安全保护中，强调要量化内容、落实协议（如：应明确数据提供的范围、数量、条件、程序等，并与数据获取方签订数据安全协议）。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，要求具备数据提供安全监控、上云安全监控、数据获取方安全能力、技术手段进行补充（如：在数据提供过程中，采取必要的保护措施，包括但不限于数据脱敏、数据标注、数据水印等技术手段）。

在核心数据全生命周期安全保护中，在满足重要数据全生命周期安全保护要求的基础上，尤为强调了审批申请的必要手段（如：提供核心数据应事先向地方工业和信息化主管部门提出审批申请）。

(6) 数据销毁安全：

在一般数据全生命周期安全保护中，要求明确数据销毁对象、规则、流程技术等，对销毁活动进行记录和留存。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，增加了设置人员、不可恢复原则、完全清除、上报更新等要求（如：设置数据销毁相关监督人员；保证在数据完全删除后再销毁存储介质；应完全清除缓存数据；及时向地方工业和信息化主管部门更新重要数据目录备案）。

(7) 数据出境安全：

在一般数据全生命周期安全保护中，强调数据出境强要开展自评估和安全管理（如：应结合实际开展数据出境安全自评估和安全管理）。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，强化了安全评估要求，增加了安全监测、风险防范、出境技术支持等要求（如：依法依规进行数据出境安全评估；对通过评估的数据的出境行为、内容开展安全监测，加强数据出境安全风险防范和处置；预留数据安全监测、检查等技术接口 ，为数据出境安全管理提供技术支持）。

(8) 数据转移安全：

在一般数据全生命周期安全保护中，需形成数据转移方案，并通知受影响用户（如：通过电话、短信、邮件、公告等方式通知受影响用户）。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，增加了应及时向地方工业和信息化主管部门更新备案的要求。

(9) 数据委托处理安全：

在一般数据全生命周期安全保护中，强调应通过签订合同协议等方式，明确数据安全保护要求和责任落实要求，规范数据使用权限、内容、范围及用途，对合作方数据使用情况进行监督管理。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，强调了应对被委托方的数据安全保护能力、资质进行评估或核实。

(10) 数据公开安全：

在一般数据全生命周期安全保护中，要求公开前需对其数据进行分析研判，判断是否可公开、是否需脱敏等（如：应在数据公开前对数据公开的必要性、范围、规模、方式等进行分析研判，研判结果为 可以公开的，应根据数据特点、应用场景等采取合适方法对数据进行必要的脱敏处理，确保 数据公开安全）。

在核心数据全生命周期安全保护中，着重强调了原则上是不允许公开核心数据。

(11) 跨主体处理数据：

在核心数据全生命周期安全保护中，着重强调了需提出审批申请、确保数据可溯源、保证其真实性等（如：跨主体提供、转移、委托处理核心数据的，应事先向地方工业和信息化主管部门提 出审批申请；应采用数据溯源系统、审计系统等技术工具对跨主体传输、提供、转移、委托处理 行为进行全流程监控、审计、存证，确保数据活动的操作行为、传输路径可溯源， 并确保溯源数据的真实性和保密性）。

来源：安策信息、SafePloy安策数据治理 | 关键词：工业安全  工业数据安全  工业企业安全   | 受欢迎指数（）