落實工業(yè)數(shù)據(jù)分類分級指南加強煙草行業(yè)工控安全管理

張雷峰

《指南》的架構和內(nèi)容，既立足當前，又著眼長遠，對生產(chǎn)企業(yè)實施工業(yè)數(shù)據(jù)分類分級進行了普適性謀劃，具有較強的科學性和可行性。

此次發(fā)布的《指南》，為廣大工業(yè)企業(yè)在進一步開展工業(yè)數(shù)據(jù)保護、釋放工業(yè)數(shù)據(jù)紅利、破解難題瓶頸等方面指明了方向。

在全國各行各業(yè)認真貫徹落實黨中央、國務院關于數(shù)字經(jīng)濟發(fā)展決策部署，全面推進數(shù)字經(jīng)濟高質(zhì)量發(fā)展之際，工業(yè)和信息化部印發(fā)了《工業(yè)數(shù)據(jù)分類分級指南（試行）》（以下簡稱《指南》），為工業(yè)領域提升數(shù)據(jù)管理能力、保障數(shù)據(jù)安全、發(fā)揮數(shù)據(jù)價值、促進數(shù)據(jù)共享，健全和完善數(shù)據(jù)生產(chǎn)要素參與分配機制提供了基本依據(jù)。在《指南》編制過程中，煙草行業(yè)有關單位參與了試驗驗證工作。下面，從行業(yè)角度就《指南》談幾點體會。

分類分級是數(shù)據(jù)管理的基礎

隨著信息技術的發(fā)展，數(shù)據(jù)在國民經(jīng)濟運行中的作用越來越重要，數(shù)據(jù)不僅成為戰(zhàn)略資源，其本身也成為生產(chǎn)力的組成部分。由于不同類型的數(shù)據(jù)具有不同的權屬關系、管理主體、應用特點、價值體現(xiàn)以及安全屬性等，因此無論是開展數(shù)據(jù)資產(chǎn)管理和保護，還是建立數(shù)據(jù)生產(chǎn)要素參與分配的機制，首先都要從數(shù)據(jù)分類分級做起。近年來，煙草行業(yè)一直致力于加強工業(yè)數(shù)據(jù)管理能力建設的探索，但由于缺乏有效的方法和路徑，一些基礎性工作始終難以破局。2019年，在工信部的指導下，我們參與了《指南》編制預研和試驗驗證工作，分別在浙江中煙和廣東中煙兩個企業(yè)開展工業(yè)數(shù)據(jù)分類分級。我們按照工信部課題組提供的原則和方法，完成了企業(yè)管理機構及下屬卷煙廠兩個工作區(qū)域，包含MES、制絲、卷包、物流、PDM、數(shù)字倉儲、ERP、批次、營銷等多個業(yè)務系統(tǒng)，20多類數(shù)據(jù)的分析和梳理，按照研發(fā)域、生產(chǎn)域、運維域、管理域、運行域、外部域等六大域進行了數(shù)據(jù)分類，按照數(shù)據(jù)重要性標準劃分了數(shù)據(jù)防護等級。通過分類分級試驗工作，理清了工業(yè)數(shù)據(jù)“有哪些、有多少、在哪里、歸誰管、誰在用”等基本情況，建立了全局數(shù)據(jù)模型和科學合理的數(shù)據(jù)架構，為工業(yè)數(shù)據(jù)治理工作找到了方向和抓手，打通了解決短板弱項的關鍵環(huán)節(jié)，為規(guī)范數(shù)據(jù)資產(chǎn)管理、開展數(shù)據(jù)保護提供了基礎依據(jù)。

結(jié)合前期試驗驗證工作，我們體會到《指南》的架構和內(nèi)容，是在充分吸收前期調(diào)研成果的基礎上制定的，既立足當前，又著眼長遠，對生產(chǎn)企業(yè)實施工業(yè)數(shù)據(jù)分類分級進行了普適性謀劃，為不同類型企業(yè)開展數(shù)據(jù)分類分級提供了方法論，具有較強的科學性和可行性。首先，數(shù)據(jù)分類原則劃定了工業(yè)數(shù)據(jù)的分類維度，易于企業(yè)按照業(yè)務流程和系統(tǒng)設備，對自身數(shù)據(jù)進行全面梳理、相互比對，做好數(shù)據(jù)資產(chǎn)確權和規(guī)范治理、應用和流通工作。其次，數(shù)據(jù)分級與等級保護要求相適應，均以安全影響和危害程度作為關鍵要素，并結(jié)合工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用導致數(shù)據(jù)安全事件的影響程度等，采用定性方法進行等級劃分，提高了企業(yè)數(shù)據(jù)防護的針對性和有效性。最后，《指南》明確了工業(yè)數(shù)據(jù)管理機制、職責分工，以及保護要求和共享原則，為企業(yè)構建自身數(shù)據(jù)治理體系提供了方法和遵循。

貫徹落實《指南》要把握好幾個要點

近年來，為加快構建工業(yè)領域網(wǎng)絡安全保障體系，提升工業(yè)企業(yè)網(wǎng)絡安全保障能力，工業(yè)和信息化部先后發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護指南》《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》《工業(yè)控制信息安全防護能力評估工作管理辦法》和《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020）》等多個指導性文件和安全標準規(guī)范。此次發(fā)布的《指南》，為廣大工業(yè)企業(yè)在進一步開展工業(yè)數(shù)據(jù)保護、釋放工業(yè)數(shù)據(jù)紅利、破解難題瓶頸等方面指明了方向。煙草行業(yè)在貫徹落實《指南》過程中.要將正確理解和把握《指南》的定位與要義作為切入點、著力點和前提條件，不斷提升用《指南》指導實踐工作的實效性。

（一）《指南》是貫徹落實《網(wǎng)絡安全法》的舉措

工業(yè)數(shù)據(jù)主要來源于支撐工業(yè)領域產(chǎn)品制造和服務的信息系統(tǒng)，無論是數(shù)據(jù)的產(chǎn)生者、收集者還是使用者，作為信息系統(tǒng)的法定運營者都要履行《網(wǎng)絡安全法》賦予的安全管理義務，都要按照法律規(guī)定采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施進行數(shù)據(jù)安全保護?！吨改稀丰槍ξ覈I(yè)數(shù)據(jù)的內(nèi)涵和特征，提出了基于數(shù)據(jù)業(yè)務屬性及安全屬性的分類分級思路與方法以及安全保護的基本要求，在內(nèi)容上對《工業(yè)控制系統(tǒng)信息安全防護指南》所提的“數(shù)據(jù)安全”要求進行了細化。兩個指南相結(jié)合，為工業(yè)企業(yè)依法履行信息網(wǎng)絡安全管理義務，開展工控系統(tǒng)運行安全和數(shù)據(jù)安全保護提供了可操作、可落地的實施規(guī)范和方法?？梢哉f，貫徹落實《指南》就是貫徹落實《網(wǎng)絡安全法》的題中應有之義。

（二）《指南》是促進工業(yè)數(shù)據(jù)流動與共享的保障

孤木難成林。推動實施國家大數(shù)據(jù)戰(zhàn)略，必須同步推進數(shù)據(jù)資源整合與開放共享。但是，隨著知識產(chǎn)權保護力度不斷加大，以及數(shù)據(jù)確權制度不斷完善，哪些數(shù)據(jù)應該共享、哪些數(shù)據(jù)可以開放往往成為制約數(shù)據(jù)共享的瓶頸?！吨改稀吩诖龠M數(shù)據(jù)充分使用、全局流動和有序共享方面提出了明確的指導意見，鼓勵企業(yè)在做好數(shù)據(jù)管理的前提下適當共享一、二級數(shù)據(jù)，并且強調(diào)二級數(shù)據(jù)只對確需獲取該級數(shù)據(jù)的授權機構及相關人員開放，三級數(shù)據(jù)原則上不共享，確需共享的應嚴格控制知悉范圍。這就在需要數(shù)據(jù)共享的不同責任主體之間架起橋梁，大家可以在共同規(guī)則下共享數(shù)據(jù)，消除彼此的數(shù)據(jù)鴻溝和壁壘。為充分釋放工業(yè)數(shù)據(jù)的潛在價值，實現(xiàn)工業(yè)數(shù)據(jù)的最大挖掘利用，運用數(shù)字化催生極具活力的新業(yè)態(tài)、新產(chǎn)業(yè)，有效推動管理創(chuàng)新、商業(yè)模式創(chuàng)新、營銷創(chuàng)新和品牌創(chuàng)新提供了可行的路徑。

（三）《指南》是實施技術防護的前提

在數(shù)據(jù)資源共享開放變得更加廣泛、快捷的同時，安全隱患也隨之加大，內(nèi)外網(wǎng)數(shù)據(jù)交互流通、海量數(shù)據(jù)集中匯聚分析等為不法分子提供了更多竊取、篡改數(shù)據(jù)的路徑和攻擊面，數(shù)據(jù)安全風險隱患倍增。眾所周知，數(shù)據(jù)安全離不開技術保障，但是，任何技術保障措施都是有成本的也是有限的。同時，在當前的科技發(fā)展階段，安全性與易用性始終處于矛盾狀態(tài)。習近平總書記指出，網(wǎng)絡安全是相對的而不是絕對的。沒有絕對安全，要立足基本國情保安全，避免不計成本追求絕對安全，那樣不僅會背上沉重負擔，甚至可能顧此失彼。因此，在數(shù)據(jù)安全防護上，我們不能眉毛胡子一把抓，要有針對性。企業(yè)按照《指南》進行工業(yè)數(shù)據(jù)分類分級以后，可以按照數(shù)據(jù)的重要程度和風險程度實施差異化保護，做到有的放矢，降低安全成本，提高技防有效性。

要在實踐中發(fā)揮《指南》的生命力

《指南》是加強工業(yè)數(shù)據(jù)管理實踐探索和理論創(chuàng)新的重要階段性成果。要讓這個成果迅速轉(zhuǎn)化為有關主管部門和廣大工業(yè)企業(yè)的工作成果，切實提升工業(yè)數(shù)據(jù)管理水平，必須加快推進《指南》落實落地，從工作機制、管理手段、流程環(huán)節(jié)、技術措施等多方面人手開展工作，讓《指南》在數(shù)據(jù)管理實踐中動起來，并在實踐中不斷發(fā)現(xiàn)問題，不斷改進提高。煙草行業(yè)是我國實體經(jīng)濟的重要組成部分，不斷提升工業(yè)數(shù)據(jù)管理能力、釋放數(shù)據(jù)潛在價值，是推動行業(yè)高質(zhì)量發(fā)展的必由之路。因此，煙草行業(yè)應堅持問題導向、目標導向和結(jié)果導向，圍繞《指南》開展以下工作：

一是加強《指南》宣貫力度。通過舉辦專題培訓、專題研討以及內(nèi)部網(wǎng)站、網(wǎng)絡課堂等形式在行業(yè)廣泛開展宣傳工作，讓各級網(wǎng)信部門以及與工業(yè)數(shù)據(jù)相關的領導干部和業(yè)務部門工作人員知道《指南》，理解《指南》，樹立運用《指南》指導工作的意識并掌握加強數(shù)據(jù)管理的方法。

二是建立數(shù)據(jù)資產(chǎn)清單。以《指南》為藍本并結(jié)合各單位生產(chǎn)經(jīng)營管理實際，全面梳理各部門、各環(huán)節(jié)、各系統(tǒng)收集、產(chǎn)生、存儲和使用的工業(yè)數(shù)據(jù)，建立數(shù)據(jù)資產(chǎn)清單，明確各項數(shù)據(jù)的分類分級和責任部門，全面掌握“有哪些、有多少、在哪里、歸誰管、誰在用”等基本情況，并由行業(yè)各級網(wǎng)信部門統(tǒng)一維護，實行清單動態(tài)管理，確保清單與實際相一致。

三是制定數(shù)據(jù)管理制度。結(jié)合《網(wǎng)絡安全法》等法律法規(guī)，將《指南》確定的概念、原則、方法和要求轉(zhuǎn)化為行業(yè)制度，實現(xiàn)工業(yè)數(shù)據(jù)分級分類工作制度化管理，重點從工業(yè)數(shù)據(jù)管理工作的職責分工、分類分級、產(chǎn)權歸屬、資產(chǎn)使用、安全保護和監(jiān)督管理等方面提出適合行業(yè)管理特點和數(shù)據(jù)特色的具體要求。

四是開展數(shù)據(jù)安全治理。對照各單位工業(yè)數(shù)據(jù)資產(chǎn)清單和等級保護要求，全面梳理各類各級工業(yè)數(shù)據(jù)安全狀況和風險隱患，按照《工業(yè)控制系統(tǒng)信息安全防護指南》完善技術防護措施，著力在數(shù)據(jù)安全管理技術能力提高上下功夫;完善工業(yè)數(shù)據(jù)治理機制，將數(shù)據(jù)分級分類標準與業(yè)務系統(tǒng)立項、開發(fā)和運維全過程相融合，實行工業(yè)數(shù)據(jù)管理能力定期檢查和定期評估制度，將檢查評估結(jié)果與繢效考核掛鉤。

五是推動行業(yè)數(shù)據(jù)共享。按照《指南》制定的數(shù)據(jù)共享編制行業(yè)共享數(shù)據(jù)目錄，分類指導各企業(yè)在保障安全的前提下實現(xiàn)數(shù)據(jù)充分使用、全局流動和有序共享，釋放各企業(yè)數(shù)據(jù)潛在價值，賦能全行業(yè)高質(zhì)量發(fā)展。在工作中，要重點解決本位主義思想導致的只想別人給數(shù)據(jù)、不想自己給數(shù)據(jù)的問題，通過管理手段避免對該共享不共享、可公開不公開的情況。

目前，工業(yè)數(shù)據(jù)分類分級工作尚處于起步階段，煙草行業(yè)雖然積累了前期試驗驗證經(jīng)驗，但在下一步貫徹執(zhí)行工作中還可能會遇到一些問題和困難，一方面要努力改進方式方法以適應《指南》要求，另一方面要認真總結(jié)經(jīng)驗，積極爭取工信部專家指導，共同推進《指南》在煙草行業(yè)落地見效。