新闻详情

News

工业安全标准密集出台,多规管理融合保障工业安全合规
行业动态
2024-08-08

在数字化转型的浪潮中,工业领域正以前所未有的速度迈向智能化、网络化。近日,一系列重要标准的密集发布——YD/T 4975-2024《工业互联网安全隔离与信息交换系统技术要求》、YD/T 4978-2024《工业互联网安全监测与管理系统通用要求》及YD/T 4979-2024《工业互联网时序数据安全网关技术要求》等,不仅为工业互联网的安全防护筑起了坚实的屏障,更为牢固工业发展根基、推动技术创新与产业升级注入了强劲动力。

这些标准的出台,是工业信息安全领域的一次重大飞跃。它们不仅细化了工业互联网安全的技术要求,还明确了安全监测与管理系统的通用规范,以及时序数据安全网关的特定技术指标,为工业企业在复杂多变的网络环境中提供了明确的安全指引。这些标准的实施,将有效促进工业数据的安全流通与高效利用,为工业4.0时代的深入发展奠定坚实基础。

一、政策护航工业领域信息安全发展

除了标准的制定,2024年工业领域还出台了一系列相关政策,旨在为安全技术的创新和产业的健康发展提供明确的指引。这些政策不仅关注技术层面的创新和突破,还注重产业生态的构建和完善,通过政策引导和市场机制的作用,推动工业信息安全产业向更高水平、更高质量发展。这些政策的出台,将进一步巩固国家数字安全的防线,助力网络强国战略的推进。

《工业互联网专项工作组2024年工作计划》

6月5日,工业和信息化部印发《工业互联网专项工作组2024年工作计划》。《工作计划》从加强工业互联网安全管理、持续提升工业互联网安全风险防范水平、推进工业互联网安全人才培养、完善数据安全管理体系四个方面进行了系统性的规划,这些举措共同构成了工业互联网安全保障机制全面推进的蓝图。

《工业和信息化领域数据安全风险评估实施细则(试行)》的通知

5月26日,工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则(试行)》并明确提出,重要数据和核心数据处理者每年至少开展一次数据安全风险评估,评估结果有效期为一年,以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境,以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。

《工业领域数据安全能力提升实施方案(2024—2026年)》

2月23日,工业和信息化部印发《工业领域数据安全能力提升实施方案(2024—2026年)》。《实施方案》重点明确了提升工业企业数据保护能力的四项关键举措,分别是增强数据安全意识、开展重要数据保护、强化重点企业数据安全管理、深化重点场景数据安全保护,旨在加速提升工业领域数据安全保护能力,夯实新型工业化发展的安全基石。

《工业控制系统网络安全防护指南》

1月30日,工业和信息化部印发《工业控制系统网络安全防护指南》。指南要求定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。

二、我国工业网络安全合规面临诸多挑战

随着工业信息安全监管规定的不断增多且日益复杂,网络安全面临着前所未有的挑战。如何在确保信息安全的同时促进工业领域的健康发展,成为了亟待解决的问题。面对日益严格的信息安全监管要求,我国工业网络安全合规工作面临着众多挑战。

1.网络安全监管合规要求多

工业领域网络安全监管要求越来越多,满足监管的难度越来越大。各类监管规范、管理要求、技术标准等数量庞大繁杂且需要在不同项目阶段进行贯彻执行,需要进行系统化管理。

2.合规验证工作存在重复性

工业网络安全不同法规、标准间可能存在交叉,导致合规评估与整改工作耗时耗力,效率亟待提升。为满足监管要求,开展了等级测评、密码应用安全评估、数据安全、风险评估、个人信息保护等工作,但其中近40%的工作都存在一定的重复,付出了大量重复工作和重复劳动,如重复编写文档、填写报告、测评等,浪费了时间、人力、资金成本。

3.难以实现一次性合规

由于工业网络安全法规更新频繁、技术发展迅速、业务需求变化等因素,信息系统难以实现一次性合规。没有形成动态管理的机制,没有随着信息系统、信息资产、外部环境等各类变化,动态调整相应的合规管理工作,缺乏对合规问题的持续监测与跟踪,不能满足长期符合不断演进的网络安全监管要求。

三、注重多规管理融合,一次测评,多规满足

工业领域网络安全合规面临诸多风险挑战,道普信息风险管控专家提出,需在合规规划、合规实施、结果管理和合规跟踪等关键环节上,实施多合规融合管理策略,以实现全面、持续性的合规效果。

基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,从“合规规划、合规实施、结果管理、合规跟踪”四个维度,开展等保、密码、关保测评,针对风险提出改进建议,帮助完成合规整改,响应《规定》要求,做到一次测评,多规满足,避免了重复测评带来的时间和经济额外成本。

image.png


2024年上半年,一系列工业信息安全标准的密集出台标志着工业安全进入了一个全新的纪元在法治的引领下,多规管理融合已成为行业发展的必然趋势,它不仅简化了合规流程,更促进了技术创新与产业升级的深度融合。未来,随着技术的不断进步和政策环境的不断完善,安全合规将在工业领域乃至整个数字经济中发挥更加重要的作用,为可持续发展奠定坚实的基础。