工业和信息化部日前印发的《工业和信息化领域数据安全管理办法(试行)》指出,规范工业和信息化领域数据处理活动,加强数据分类分级管理,促进数据开发利用。业内人士表示,该法规的落地标志着数据安全管理从互联网行业向工业领域拓展,管理逐步深化,为信息安全和密码产业链带来新需求。
管理逐步深化
数据已成为数字经济时代活跃的新型生产要素。同时,数据安全风险日益突出。工信部相关负责人表示,《管理办法》在工业和信息化领域对国家数据安全管理制度要求进行细化,明确开展数据分类分级保护、重要数据管理等工作的具体要求,细化数据全生命周期安全义务,为行业数据安全监管提供制度保障。
《管理办法》明确,对工业和信息化领域数据处理活动进行安全监管。从处理主体看,工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中自主决定处理目的、处理方式的各类主体,主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。从处理对象看,工业和信息化领域数据主要包括工业数据、电信数据和无线电数据等。从处理活动看,数据收集、存储、使用、加工、传输、提供、公开等活动都属于监管范围。
《管理办法》指出,以数据分级保护为总体原则。要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。
数据安全管理逐步深化至工业领域。国泰君安分析师李沐华表示,数据安全管理是一个系统工程,管理制度是核心。《管理办法》指导开展数据分类分级管理工作,建立数据全生命周期安全管理制度。该法规的落地标志着数据安全管理从互联网行业向工业领域拓展,管理逐步深化。
带来增量需求
《管理办法》明确,重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。
密码产业获得发展机遇。李沐华表示,《管理办法》规定了存储重要数据和核心数据的数据处理者应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。这将给密码产业链相关公司带来额外需求。
针对如何管理跨境数据安全,《管理办法》要求,数据处理者在我国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依照《数据安全法》《数据出境安全评估办法》等法律法规进行安全评估。
华西证券分析师刘泽晶表示,数据安全是我国实现数字经济健康发展、防范数据跨境安全风险坚不可摧的“磐石”。“应用数据泄露、黑客攻击等安全事件频发,彰显网络安全在数字经济中的重要性。数据安全、云安全、移动互联网安全、物联网安全等新兴场景需求不断涌现,印证网络安全行业依旧保持高景气度。目前,各大网络安全厂商现金流回归平稳阶段,同时伴随着政府第四季度招标,我们判断之前受疫情影响的需求即将回归,‘大安全’逻辑正在逐步兑现。”刘泽晶称。