落實工業(yè)數據分類分級指南加強煙草行業(yè)工控安全管理

張雷峰

《指南》的架構和內容，既立足當前，又著眼長遠，對生產企業(yè)實施工業(yè)數據分類分級進行了普適性謀劃，具有較強的科學性和可行性。

此次發(fā)布的《指南》，為廣大工業(yè)企業(yè)在進一步開展工業(yè)數據保護、釋放工業(yè)數據紅利、破解難題瓶頸等方面指明了方向。

在全國各行各業(yè)認真貫徹落實黨中央、國務院關于數字經濟發(fā)展決策部署，全面推進數字經濟高質量發(fā)展之際，工業(yè)和信息化部印發(fā)了《工業(yè)數據分類分級指南（試行）》（以下簡稱《指南》），為工業(yè)領域提升數據管理能力、保障數據安全、發(fā)揮數據價值、促進數據共享，健全和完善數據生產要素參與分配機制提供了基本依據。在《指南》編制過程中，煙草行業(yè)有關單位參與了試驗驗證工作。下面，從行業(yè)角度就《指南》談幾點體會。

分類分級是數據管理的基礎

隨著信息技術的發(fā)展，數據在國民經濟運行中的作用越來越重要，數據不僅成為戰(zhàn)略資源，其本身也成為生產力的組成部分。由于不同類型的數據具有不同的權屬關系、管理主體、應用特點、價值體現以及安全屬性等，因此無論是開展數據資產管理和保護，還是建立數據生產要素參與分配的機制，首先都要從數據分類分級做起。近年來，煙草行業(yè)一直致力于加強工業(yè)數據管理能力建設的探索，但由于缺乏有效的方法和路徑，一些基礎性工作始終難以破局。2019年，在工信部的指導下，我們參與了《指南》編制預研和試驗驗證工作，分別在浙江中煙和廣東中煙兩個企業(yè)開展工業(yè)數據分類分級。我們按照工信部課題組提供的原則和方法，完成了企業(yè)管理機構及下屬卷煙廠兩個工作區(qū)域，包含MES、制絲、卷包、物流、PDM、數字倉儲、ERP、批次、營銷等多個業(yè)務系統，20多類數據的分析和梳理，按照研發(fā)域、生產域、運維域、管理域、運行域、外部域等六大域進行了數據分類，按照數據重要性標準劃分了數據防護等級。通過分類分級試驗工作，理清了工業(yè)數據“有哪些、有多少、在哪里、歸誰管、誰在用”等基本情況，建立了全局數據模型和科學合理的數據架構，為工業(yè)數據治理工作找到了方向和抓手，打通了解決短板弱項的關鍵環(huán)節(jié)，為規(guī)范數據資產管理、開展數據保護提供了基礎依據。

結合前期試驗驗證工作，我們體會到《指南》的架構和內容，是在充分吸收前期調研成果的基礎上制定的，既立足當前，又著眼長遠，對生產企業(yè)實施工業(yè)數據分類分級進行了普適性謀劃，為不同類型企業(yè)開展數據分類分級提供了方法論，具有較強的科學性和可行性。首先，數據分類原則劃定了工業(yè)數據的分類維度，易于企業(yè)按照業(yè)務流程和系統設備，對自身數據進行全面梳理、相互比對，做好數據資產確權和規(guī)范治理、應用和流通工作。其次，數據分級與等級保護要求相適應，均以安全影響和危害程度作為關鍵要素，并結合工業(yè)數據遭篡改、破壞、泄露或非法利用導致數據安全事件的影響程度等，采用定性方法進行等級劃分，提高了企業(yè)數據防護的針對性和有效性。最后，《指南》明確了工業(yè)數據管理機制、職責分工，以及保護要求和共享原則，為企業(yè)構建自身數據治理體系提供了方法和遵循。

貫徹落實《指南》要把握好幾個要點

近年來，為加快構建工業(yè)領域網絡安全保障體系，提升工業(yè)企業(yè)網絡安全保障能力，工業(yè)和信息化部先后發(fā)布了《工業(yè)控制系統信息安全防護指南》《工業(yè)控制系統信息安全事件應急管理工作指南》《工業(yè)控制信息安全防護能力評估工作管理辦法》和《工業(yè)控制系統信息安全行動計劃（2018-2020）》等多個指導性文件和安全標準規(guī)范。此次發(fā)布的《指南》，為廣大工業(yè)企業(yè)在進一步開展工業(yè)數據保護、釋放工業(yè)數據紅利、破解難題瓶頸等方面指明了方向。煙草行業(yè)在貫徹落實《指南》過程中.要將正確理解和把握《指南》的定位與要義作為切入點、著力點和前提條件，不斷提升用《指南》指導實踐工作的實效性。

（一）《指南》是貫徹落實《網絡安全法》的舉措

工業(yè)數據主要來源于支撐工業(yè)領域產品制造和服務的信息系統，無論是數據的產生者、收集者還是使用者，作為信息系統的法定運營者都要履行《網絡安全法》賦予的安全管理義務，都要按照法律規(guī)定采取數據分類、重要數據備份和加密等措施進行數據安全保護。《指南》針對我國工業(yè)數據的內涵和特征，提出了基于數據業(yè)務屬性及安全屬性的分類分級思路與方法以及安全保護的基本要求，在內容上對《工業(yè)控制系統信息安全防護指南》所提的“數據安全”要求進行了細化。兩個指南相結合，為工業(yè)企業(yè)依法履行信息網絡安全管理義務，開展工控系統運行安全和數據安全保護提供了可操作、可落地的實施規(guī)范和方法。可以說，貫徹落實《指南》就是貫徹落實《網絡安全法》的題中應有之義。

（二）《指南》是促進工業(yè)數據流動與共享的保障

孤木難成林。推動實施國家大數據戰(zhàn)略，必須同步推進數據資源整合與開放共享。但是，隨著知識產權保護力度不斷加大，以及數據確權制度不斷完善，哪些數據應該共享、哪些數據可以開放往往成為制約數據共享的瓶頸。《指南》在促進數據充分使用、全局流動和有序共享方面提出了明確的指導意見，鼓勵企業(yè)在做好數據管理的前提下適當共享一、二級數據，并且強調二級數據只對確需獲取該級數據的授權機構及相關人員開放，三級數據原則上不共享，確需共享的應嚴格控制知悉范圍。這就在需要數據共享的不同責任主體之間架起橋梁，大家可以在共同規(guī)則下共享數據，消除彼此的數據鴻溝和壁壘。為充分釋放工業(yè)數據的潛在價值，實現工業(yè)數據的最大挖掘利用，運用數字化催生極具活力的新業(yè)態(tài)、新產業(yè)，有效推動管理創(chuàng)新、商業(yè)模式創(chuàng)新、營銷創(chuàng)新和品牌創(chuàng)新提供了可行的路徑。

（三）《指南》是實施技術防護的前提

在數據資源共享開放變得更加廣泛、快捷的同時，安全隱患也隨之加大，內外網數據交互流通、海量數據集中匯聚分析等為不法分子提供了更多竊取、篡改數據的路徑和攻擊面，數據安全風險隱患倍增。眾所周知，數據安全離不開技術保障，但是，任何技術保障措施都是有成本的也是有限的。同時，在當前的科技發(fā)展階段，安全性與易用性始終處于矛盾狀態(tài)。習近平總書記指出，網絡安全是相對的而不是絕對的。沒有絕對安全，要立足基本國情保安全，避免不計成本追求絕對安全，那樣不僅會背上沉重負擔，甚至可能顧此失彼。因此，在數據安全防護上，我們不能眉毛胡子一把抓，要有針對性。企業(yè)按照《指南》進行工業(yè)數據分類分級以后，可以按照數據的重要程度和風險程度實施差異化保護，做到有的放矢，降低安全成本，提高技防有效性。

要在實踐中發(fā)揮《指南》的生命力

《指南》是加強工業(yè)數據管理實踐探索和理論創(chuàng)新的重要階段性成果。要讓這個成果迅速轉化為有關主管部門和廣大工業(yè)企業(yè)的工作成果，切實提升工業(yè)數據管理水平，必須加快推進《指南》落實落地，從工作機制、管理手段、流程環(huán)節(jié)、技術措施等多方面人手開展工作，讓《指南》在數據管理實踐中動起來，并在實踐中不斷發(fā)現問題，不斷改進提高。煙草行業(yè)是我國實體經濟的重要組成部分，不斷提升工業(yè)數據管理能力、釋放數據潛在價值，是推動行業(yè)高質量發(fā)展的必由之路。因此，煙草行業(yè)應堅持問題導向、目標導向和結果導向，圍繞《指南》開展以下工作：

一是加強《指南》宣貫力度。通過舉辦專題培訓、專題研討以及內部網站、網絡課堂等形式在行業(yè)廣泛開展宣傳工作，讓各級網信部門以及與工業(yè)數據相關的領導干部和業(yè)務部門工作人員知道《指南》，理解《指南》，樹立運用《指南》指導工作的意識并掌握加強數據管理的方法。

二是建立數據資產清單。以《指南》為藍本并結合各單位生產經營管理實際，全面梳理各部門、各環(huán)節(jié)、各系統收集、產生、存儲和使用的工業(yè)數據，建立數據資產清單，明確各項數據的分類分級和責任部門，全面掌握“有哪些、有多少、在哪里、歸誰管、誰在用”等基本情況，并由行業(yè)各級網信部門統一維護，實行清單動態(tài)管理，確保清單與實際相一致。

三是制定數據管理制度。結合《網絡安全法》等法律法規(guī)，將《指南》確定的概念、原則、方法和要求轉化為行業(yè)制度，實現工業(yè)數據分級分類工作制度化管理，重點從工業(yè)數據管理工作的職責分工、分類分級、產權歸屬、資產使用、安全保護和監(jiān)督管理等方面提出適合行業(yè)管理特點和數據特色的具體要求。

四是開展數據安全治理。對照各單位工業(yè)數據資產清單和等級保護要求，全面梳理各類各級工業(yè)數據安全狀況和風險隱患，按照《工業(yè)控制系統信息安全防護指南》完善技術防護措施，著力在數據安全管理技術能力提高上下功夫;完善工業(yè)數據治理機制，將數據分級分類標準與業(yè)務系統立項、開發(fā)和運維全過程相融合，實行工業(yè)數據管理能力定期檢查和定期評估制度，將檢查評估結果與繢效考核掛鉤。

五是推動行業(yè)數據共享。按照《指南》制定的數據共享編制行業(yè)共享數據目錄，分類指導各企業(yè)在保障安全的前提下實現數據充分使用、全局流動和有序共享，釋放各企業(yè)數據潛在價值，賦能全行業(yè)高質量發(fā)展。在工作中，要重點解決本位主義思想導致的只想別人給數據、不想自己給數據的問題，通過管理手段避免對該共享不共享、可公開不公開的情況。

目前，工業(yè)數據分類分級工作尚處于起步階段，煙草行業(yè)雖然積累了前期試驗驗證經驗，但在下一步貫徹執(zhí)行工作中還可能會遇到一些問題和困難，一方面要努力改進方式方法以適應《指南》要求，另一方面要認真總結經驗，積極爭取工信部專家指導，共同推進《指南》在煙草行業(yè)落地見效。