在全國各行各業認真貫徹落實黨中央、國務院關於數字經濟發展決策部署,全面推進數字經濟高質量發展之際,工業和信息化部印發了《工業數據分類分級指南(試行)》(以下簡稱《指南》),為工業領域提升數據管理能力、保障數據安全、發揮數據價值、促進數據共享,健全和完善數據生產要素參與分配機制提供了基本依據。在《指南》編制過程中,菸草行業有關單位參與了試驗驗證工作。下面,從行業角度就《指南》談幾點體會。
一、分類分級是數據管理的基礎
隨著信息技術的發展,數據在國民經濟運行的作用越來越重要,數據不僅成為戰略資源,其本身也成為生產力的組成部分。由於不同類型的數據具有不同的權屬關係、管理主體、應用特點、價值體現以及安全屬性等等,因此無論是開展數據資產管理和保護,還是建立數據生產要參與分配的機制,首先都要從數據分類分級做起。近年來,菸草行業一直致力於加強工業數據管理能力建設的探索,但由於缺乏有效的方法和路徑,一些基礎性工作始終難以破局。2019年,在工信部信息技術發展司的指導下,我們參與了《指南》編制預研和試驗驗證工作,分別在浙江中煙和廣東中煙兩個企業開展工業數據分類分級。我們按照工信部課題組提供的原則和方法,完成了企業管理機構及下屬捲菸廠兩個工作區域,包含MES、制絲、卷包、物流、PDM、數字倉儲、ERP、批次、營銷等多個業務系統,20多類類數據的分析和梳理,按照研發域、生產域、運維域、管理域、運行域、外部域等六大域進行了數據分類,按照數據重要性標準劃分了數據防護等級。通過分類分級試驗工作,理清了工業數據「有哪些、有多少、在哪裡、歸誰管、誰在用」等基本情況,建立了全局數據模型和科學合理的數據架構,為工業數據治理工作找到了方向和抓手,打通了解決短板弱項的關鍵環節,為規範數據資產管理、開展數據保護提供了基礎依據。
結合前期試驗驗證工作,我們體會到《指南》的架構和內容,是在充分吸收前期調研成果的基礎上制定的,既立足當前、又著眼長遠,對生產企業實施工業數據分類分級進行了普適性謀劃,為不同類型企業開展數據分類分級提供了方法論,具有較強的科學性和可行性。首先,數據分類原則劃定了工業數據的分類維度,易於企業按照業務流程和系統設備,對自身數據進行全面梳理、相互比對,做好數據資產確權和規範治理、應用和流通工作。其次,數據分級與等級保護要求相適應,均以安全影響和危害程度作為關鍵要素,並結合工業數據遭篡改、破壞、洩露或非法利用導致數據安全事件的影響程度等,採用定性方法進行等級劃分,提高了企業數據防護的針對性和有效性。再次,《指南》明確了工業數據管理機制、職責分工,以及保護要求和共享原則,為企業構建自身數據治理體系提供了方法和遵循。
二、貫徹落實《指南》要把握好幾個要點
近年來,為加快構建工業領域網絡安全保障體系,提升工業企業網絡安全保障能力,工業和信息化部先後發布了《工業控制系統信息安全防護指南》《工業控制系統信息安全事件應急管理工作指南》《工業控制信息安全防護能力評估工作管理辦法》和《工業控制系統信息安全行動計劃(2018-2020)》等多個指導性文件和安全標準規範。此次發布的《指南》,為廣大工業企業在進一步開展工業數據保護、釋放工業數據紅利、破解難題瓶頸指明了方向。菸草行業在貫徹落實《指南》過程中,要將正確理解和把握《指南》的定位與要義作為切入點、著力點和前提條件,不斷提升用《指南》指導實踐工作的實效性。
(一)《指南》是貫徹落實《網絡安全法》的舉措
工業數據主要來源於支撐工業領域產品製造和服務的信息系統,無論是數據的產生者、收集者還是使用者,作為信息系統的法定運營者都要履行《網絡安全法》賦予的安全管理義務,都要按照法律規定採取數據分類、重要數據備份和加密等措施進行數據安全保護。《指南》針對我國工業數據的內涵和特徵,提出了基於數據業務屬性及安全屬性的分類分級思路與方法以及安全保護的基本要求,在內容上對《工業控制系統信息安全防護指南》所提的「數據安全」要求進行了細化。兩個指南相結合,為工業企業依法履行信息網絡安全管理義務,開展工控系統運行安全和數據安全保護提供了可操作、可落地的實施規範和方法。可以說,貫徹落實《指南》就是貫徹落實《網絡安全法》的題中應有之義。
(二)《指南》是促進工業數據流動與共享的保障
孤木難成林。推動實施國家大數據戰略,必須同步推進數據資源整合與開放共享。但是,隨著智慧財產權保護力度不斷加大,以及數據確權制度不斷完善,哪些數據應該共享、哪些數據可以開放往往成為制約數據共享的瓶頸。《指南》在促進數據充分使用、全局流動和有序共享方面提出了明確的指導意見,鼓勵企業在做好數據管理的前提下適當共享一、二級數據,並且強調二級數據只對確需獲取該級數據的授權機構及相關人員開放,三級數據原則上不共享,確需共享的應嚴格控制知悉範圍。這就在需要數據共享的不同責任主體之間架起橋梁,大家可以在共同規則下共享數據,消除彼此的數據鴻溝和壁壘。為充分釋放工業數據的潛在價值,實現工業數據的最大挖掘利用,運用數位化催生極具活力的新業態、新產業,有效推動管理創新、商業模式創新、營銷創新和品牌創新提供了可行的路徑。
(三)《指南》是實施技術防護的前提
在數據資源共享開放變得更加廣泛、快捷的同時,安全隱患也隨之加大,內外網數據交互流通、海量數據集中匯聚分析等為不法分子提供了更多竊取、篡改數據的路徑和攻擊面,數據安全風險隱患倍增。眾所周知,數據安全離不開技術保障,但是,任何技術保障措施都是有成本的也是有限的。同時,在當前的科技發展階段,安全性與易用性始終處於矛盾狀態。習近平總書記指出「網絡安全是相對的而不是絕對的。沒有絕對安全,要立足基本國情保安全,避免不計成本追求絕對安全,那樣不僅會背上沉重負擔,甚至可能顧此失彼。」因此,在數據安全防護上,我們不能眉毛鬍子一把抓,要有針對性。企業按照《指南》進行工業數據分類分級以後,可以按照數據的重要程度和風險程度實施差異化保護,做到有的放矢,降低安全成本、提高技防有效性。
三、要在實踐中發揮《指南》的生命力
《指南》是加強工業數據管理實踐探索和理論創新的重要階段性成果。要讓這個成果迅速轉化為有關主管部門和廣大工業企業的工作成果,切實提升工業數據管理水平,必須加快推進《指南》落實落地,從工作機制、管理手段、流程環節、技術措施等多方面入手開展工作,讓《指南》在數據管理實踐中動起來,並在實踐中不斷發現問題、不斷改進提高。菸草行業是我國實體經濟的重要組成也是,有100多個捲菸生產點和復烤企業以及眾多物流配送中心,不斷提升工業數據管理能力、釋放數據潛在價值,是推動行業高質量發展的必由之路。因此,菸草行業應堅持問題導向、目標導向和結果導向,圍繞《指南》開展以下工作:
一是加強《指南》宣貫力度。通過舉辦專題培訓、專題研討以及內部網站、網絡課堂等形式在行業廣泛開展宣傳工作,讓各級網信部門以及與工業數據相關的領導幹部和業務部門工作人員知道《指南》、理解《指南》,樹立運用《指南》指導工作的意識並掌握加強數據管理的方法。
二是建立數據資產清單。以《指南》為藍本並結合各單位生產經營管理實際,全面梳理各部門、各環節、各系統收集、產生、存儲和使用的工業數據,建立數據資產清單,明確各項數據的分類分級和責任部門,全面掌握「有哪些、有多少、在哪裡、歸誰管、誰在用」等基本情況,並由行業各級網信部門統一維護,實行清單動態管理,確保清單與實際相一致。
三是制定數據管理制度。結合《網絡安全法》等法律法規,將《指南》確定的概念、原則、方法和要求轉化為行業制度,實現工業數據分級分類工作制度化管理,重點從工業數據管理工作的職責分工、分類分級、產權歸屬、資產使用、安全保護和監督管理等方面提出適合行業管理特點和數據特色的具體要求。
四是開展數據安全治理。對照各單位工業數據資產清單和等級保護要求全面梳理各類各級工業數據安全安全狀況和風險隱患,按照《工業控制系統信息安全防護指南》完善技術防護措施,著力在數據安全管理技術能力提高上下功夫;完善工業數據治理機制,將數據分級分類標準與業務系統立項、開發和運維全過程相融合,實行工業數據管理能力定期檢查和定期評估制度,將檢查評估結果與績效考核掛鈎。
五是推動行業數據共享。按照《指南》制定的數據共享編制行業共享數據目錄,分類指導各企業在保障安全的前提下實現數據充分使用、全局流動和有序共享,釋放各企業數據潛在價值,賦能全行業高質量發展。在工作中,要重點解決本位主義思想導致的只想別人給數據、不想自己給數據的問題,通過管理手段避免對該共享不共享、可公開不公開的情況。
目前,工業數據分類分級工作尚處於起步階段,菸草行業雖然積累了前期試驗經驗,但在下一步貫徹執行工作中還可能會遇到一些問題和困難,一方面要努力改進方式方法以適應《指南》要求,一方面要認真總結經驗,積極爭取工信部專家指導,共同推進《指南》在菸草行業落地見效。