《工业数据安全能力提升行动计划(2025-2027)》.docxVIP

《工业数据安全能力提升行动计划(2025-2027)》

指导思想

坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党的二十大及二十届二中、三中全会精神，落实《数据安全法》《网络安全法》《个人信息保护法》《工业和信息化领域数据安全管理办法（试行）》等法律法规要求，统筹发展和安全，聚焦工业数据全生命周期防护痛点，以提升工业企业、工业互联网平台等主体数据安全能力为核心，加快构建“制度完备、技术先进、协同高效、生态健全”的工业数据安全防护体系，切实保障工业产业链供应链安全，支撑新型工业化高质量发展。

工作原则

1.需求导向、分类施策：紧扣原材料、装备制造、电子信息、能源、民爆、轨道交通等重点行业生产特性，针对核心、重要、一般三级工业数据差异化防护需求，分级分类明确防护标准，避免“一刀切”。

2.技管并举、协同联动：坚持技术防护与制度管理同步推进，压实企业主体责任，强化部门协同、上下联动、行业自律，形成政府、企业、服务机构、科研院所多方参与的治理格局。

3.底线思维、动态防御：以防范重大工业数据安全风险为底线，建立“监测-预警-处置-溯源”全链条闭环机制，动态适配工业场景迭代、数据流动模式变化带来的新型风险。

4.创新驱动、生态赋能：强化自主可控技术产品研发推广，培育壮大工业数据安全产业，完善人才供给、供需对接、认证评估等公共服务，降低企业合规成本。

工作目标

1.2025年阶段性目标：重点行业规上工业企业数据安全合规率达到60%以上，国家级跨行业跨领域工业互联网平台数据安全监测覆盖率达到100%，核心工业数据全生命周期加密率不低于50%，初步建成国家-省两级工业数据安全监测预警体系。

2.2026年阶段性目标：重点行业规上工业企业数据安全合规率提升至80%，省级重点工业互联网平台、重点工业园区数据安全监测覆盖率达到100%，核心工业数据加密率不低于70%，工业数据安全技术产品供给能力满足80%以上通用场景需求。

3.2027年终期目标：重点行业规上工业企业数据安全合规率达到95%以上，核心生产系统工业数据流动监测覆盖率达到100%，核心工业数据加密率不低于90%，工业数据安全治理体系全面建成，风险防控能力达到国际先进水平，有效防范各类工业数据安全事件。

主要任务

一、工业数据分类分级全生命周期管理能力提升行动

1.分类分级标准贯标落地：2025年底前出台原材料、装备制造、电子信息、电力、轨道交通、民爆等6个重点行业工业数据分类分级实施细则，明确各行业核心、重要数据判定标准。推动规上工业企业开展全量数据资产盘点，建立数据资产台账，2025年底前重点行业规上企业完成首次分类分级标注，2026年底前覆盖所有规上工业企业。建立分类分级动态更新机制，企业业务系统调整、新增数据品类后30个工作日内完成台账更新，每年至少开展1次分类分级复核。

2.全生命周期防护机制建设：针对数据采集、传输、存储、使用、加工、提供、销毁7个环节明确差异化防护要求：采集环节严格落实合法性、必要性校验，严禁超范围采集工业生产、人员相关数据；传输环节核心、重要工业数据必须采用国密算法加密传输，禁止未加密的核心数据跨公网传输；存储环节实现核心、重要数据与一般数据物理隔离存储，核心数据存储位置不得超出境内合规数据中心；使用环节建立最小权限访问机制，核心数据访问实行双人审批、全程留痕，严禁未经脱敏的重要、核心数据用于外部数据分析、模型训练；提供环节建立数据流出审计机制，向第三方提供重要及以上数据必须开展安全评估；销毁环节核心数据采用物理销毁或不可逆消磁方式处置，留存销毁记录不少于3年。

3.跨境数据流动规范管理：严格落实《数据出境安全评估办法》要求，核心工业数据原则上不予出境，确需出境的需报工业和信息化部开展专项安全评估；重要数据出境前必须通过属地省级工信部门前置审核，按要求开展数据出境安全评估。2026年底前所有有数据出境需求的重点工业企业完成出境数据台账梳理，每年向属地工信部门报送出境数据流动情况。

二、重点主体数据安全防护能力达标行动

1.压实工业企业主体责任：推动重点行业规上工业企业建立数据安全管理体系，2026年底前100%明确数据安全分管负责人及管理部门，其中年产值100亿元以上的企业100%设立首席数据安全官（CDSO）。督促企业落实“三同步”要求，新建、改建、扩建工业信息系统时，数据安全防护措施与系统同步规划、同步建设、同步运行。2027年底前重点行业规上企业核心生产网段与办公网、互联网实现物理或逻辑强隔离，禁止核心生产数据无防护向非生产区域流动。

2.强化平台与服务商安全责任：工业互联网平台、工业APP服务商、工业云服务商要建立覆盖平台全业务流程的数据安全管理制度，2025年底前国家级跨行业跨领域平台、行业级平台必须具备数据异常流