近日，工信部為貫徹落實《數據安全法》《工業和信息化領域數據安全管理辦法（試行）》，研究起草了《工業和信息化領域數據安全行政處罰裁量指引（試行）》并向社會公開征求意見，這意味著工業和信息化領域的數據安全將從“需要怎么做，應該怎么做”進入到“不這么做，將會受什么處罰”的監管執法階段，此辦法推動著工業和信息化領域數據安全行政處罰工作向制度化、規范化方向開展。

來看看行政處罰裁定的工作方式是怎樣的。

依據網安法、數安法、行政處罰法和工信部行政處罰程序，工業和信息化領域數據安全行政處罰由違法行為發生地的行政處罰機關管轄，兩個及以上行政處罰機關對同一違法行為均有管轄權 ，應當由最先立案的行政處罰機關管轄，工業和信息化部依職權指導監督工業和信息化領域數據安全違法行為管轄工作。

已經明確了處罰情形，需要著重關注。

裁量指引中定義的數據安全行政處罰情形，按不履行數據安全保護義務、向境外非法提供數據和不配合監管三個方面，明確了25個違規情形，對重要數據和核心數據處理者進行了著重要求。

25個明確的違規情形包含了數據安全工作的組織體系、管理體系、技術體系和運營體系，進一步銜接、細化、落實《網絡安全法》《數據安全法》《工業和信息化領域數據安全管理辦法（試行）》，推動著工業和信息化領域組織的數據安全進行體系化建設、實戰化建設。

昂楷科技的方案是不錯的選擇。

工業企業數據安全組織體系，需要構建一個由企業數據部門、業務部門、信息安全部門共同組成的，既懂安全，又懂數據的，獨立的，為數據安全端到端負責的組織，包括數據安全管理團隊、數據安全建設運營團隊、數據安全審計團隊等數據安全治理相關角色。建立相互促進、相互監督的數據安全管理組織機制。

工業企業數據安全管理體系的制度流程規劃需要從組織層面整體考慮和設計，并形成體系框架。制度體系需要分層，層與層之間，同一層不同模塊之間需要有關聯邏輯，在內容上不能重復或矛盾，一般分為四級。

工業數據安全防護技術能力，要以基礎網絡安全能力為支撐，根據數據安全需求、標準、規范、目標等，在數據全生命周期不同的過程中執行最佳的數據安全防護實踐，構建一套有效保障工業數據安全使用、共享的技術保障體系。

（1）數據采集安全：結合數據采集、清洗、轉換、匯聚階段的不同特點和要求，利用敏感數據識別、分類分級、身份認證、安全審計等技術，保障數據采集安全、數據真實可靠。

（2）數據傳輸安全：數據在傳輸過程中可能會面臨被竊取風險，可利用鏈路加密、數據加密、數據脫敏等技術，保障數據在傳輸過程中的安全。

（3）數據存儲安全：結合數據分級分類，實現關鍵數據加密存儲與分級數據的安全隔離，保障數據的存儲安全，主要包括實施用戶訪問控制、數據存儲合規審計、存儲介質安全、訪問行為審計等。

（4）數據處理安全：根據數據分級分類，明確數據處理模式和要求，為處理過程提供安全保障，主要包括數據權限管控、數據脫敏、數據處理異常行為監控和分析、數據處理合規審計等。

（5）數據交換安全：根據數據管理制度規定、數據分類分級結果，利用權限管控、數據脫敏、數據水印等技術保障數據交換過程中的安全，同時對交換過程中數據類別、數據量進行識別監控，防止數據被過量交換。

（6）數據銷毀安全：數據銷毀常采用刪除、格式化等常規操作來“銷毀”數據，事實上數據并沒有被真正銷毀，在新數據寫入同一存儲空間前，該數據會一直保留，從而存在被他人刻意恢復的風險，所以在數據銷毀時，需要采用多次復寫，或者加密復寫等技術保證數據完全被銷毀。

以應用數據安全管理平臺的“化零為整、機器學習、威脅分析、感知未然、聯防聯控、健康預警”功能作為數據安全運營的抓手，對全網數據安全風險持續監測、風險識別、安全防護、安全響應，提升數據安全運營的效率。

同時，通過數據安全風險評估、應急演練、定期審計等運營手段，對數據安全能力度和效果進行稽核，對短板指標對應的人員、制度、技術多維度分析與優化，不斷豐富和提升數據安全建設的完整性和成熟度，最終達到對整個數據安全的全方位管控和動態調優。

●全面覆蓋處罰裁定指引中的處罰情形，規避組織的處罰風險；

●建立并完善工業和信息化領域組織的數據安全管理體系，引導組建數據安全管理團隊，完善安全制度及流程體系，提高數據安全管理能力和運營能力；

●為工業和信息化領域組織構建起統一的、聯動聯防的、合成作戰的數據安全防護控制體系，可應對更加復雜的數據安全威脅及問題，提升數據安全防控能力；