近期工信部印發通知�,組織開展2022年工業互聯網安全深度行活動�,旨在深入宣貫工業互聯網安全相關政策標準���,推動在全國范圍內深入實施工業互聯網企業網絡安全分類分級管理�,共同提升工業互聯網安全保障能力���。同時�����,多個省市和地區在當地主管機關組織下���,開展2022年度工業互聯網企業網絡安全分類分級管理工作(以下簡稱“分類分級管理工作”)�����。
早在2021年����,工業和信息化部就已發布開展工業互聯網企業網絡安全分類分級管理試點工作的通知����,明確了首批開展試點工作的15個省市地區(包括天津���、吉林���、上海����、江蘇���、浙江�、安徽���、福建��、山東��、河南�����、湖南�、廣東�����、廣西�����、重慶���、四川��、新疆)���。
聚焦聯網工業企業��、平臺企業�����、標識解析三類企業�����,根據企業所屬行業網絡安全影響程度分級評定�����,根據不同的分級結果���,應當落實與自身等級相適應的安全防護措施��。要求各地工業互聯網主管部門進一步完善分類分級規則標準�����、定級流程以及工業互聯網安全系列防護規范的科學性�、有效性和可操作性�����,加快構建分類分級管理制度��,形成可復制可推廣的工業互聯網網絡安全分類分級管理模式���。
工業互聯網企業網絡安全分類分級管理指南(試行)
第一章:總則
第一條?為貫徹落實《中華人民共和國網絡安全法》《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》����,根據《加強工業互聯網安全工作的指導意見》有關要求��,開展工業互聯網企業網絡安全分類分級��,加強工業互聯網企業差異化���、精細化管理���,落實企業網絡安全主體責任����,提高網絡安全防護能力和水平�����,促進工業互聯網高質量發展�����,制定本指南��。
第二條?工業和信息化部以及地方工業和信息化主管部門�、通信管理局開展工業互聯網企業網絡安全分類分級工作�����,適用本指南��。
第三條?工業互聯網企業網絡安全分類分級工作遵循統籌指導�����、分類施策�����、分級負責����、突出重點的方針�����,建立健全工業互聯網企業網絡安全保障體系����,提升工業互聯網企業網絡安全防護能力��。
第四條?工業互聯網企業應當依照法律�、行政法規的規定和相關標準的要求��,采取技術�、管理等綜合措施���,保障工業互聯網相關設備��、控制�、網絡�、平臺�、應用�、數據等網絡安全����,有效防范應對網絡安全事件���。
第二章?企業網絡安全分類分級
第五條?工業互聯網企業主要包括以下三類:
(一)應用工業互聯網的工業企業(簡稱聯網工業企業)���,主要是指將新一代信息通信技術與工業系統深度融合�����,推動企業模型化研發�����、智能化制造���、網絡化協同�����、個性化定制���、數字化管理��、服務化延伸��,實現智能控制���、運營優化和生產組織方式的變革���,主要涉及原材料工業���、裝備工業���、消費品工業和電子信息制造業等行業�;
(二)工業互聯網平臺企業(簡稱平臺企業)�,主要指向工業企業提供云服務等資源協作�����、信息服務及應用(工業App)服務等的企業��;
(三)標識解析企業���,主要指從事工業互聯網標識注冊服務����、解析服務及其運行維護的機構����。
第六條?根據工業互聯網企業網絡安全分類分級評定規則���,參照行業重要性��、企業規模���、安全風險程度等因素��,將企業網絡安全等級由高到低劃分為三級�����、二級����、一級�。
第七條?綜合工業互聯網企業網絡安全分類分級評定規則��,結合實際情況����,開展企業網絡安全自主定級���,落實與自身等級相適應的安全防護措施����,形成定級報告�����。當企業業務規模�、服務范圍�����、服務對象等發生重大變化時����,應當自變化之日起三十個工作日內重新定級��。
第八條?工業互聯網企業應在自主定級后十個工作日內將定級結果報地方主管部門�。聯網工業企業應將定級報告報屬地工業和信息化主管部門��,平臺企業��、標識解析企業應將定級報告報屬地通信管理局����,分屬多個類別的工業互聯網企業����,按照其業務活動涉及的不同屬性分別定級并上報��。
第九條?省級工業和信息化主管部門����、通信管理局形成屬地工業互聯網企業清單��,其中����,定級為三級的工業互聯網企業清單定期報工業和信息化部����。清單發生變化時��,十個工作日內將變化情況報工業和信息化部��。鼓勵省級工業和信息化主管部門����、通信管理局建立工作機制���,加強工業互聯網企業定級情況通報�,形成工作合力��。
第十條?地方工業和信息化主管部門�����、通信管理局每年對工業互聯網企業開展抽查����,指導企業準確定級�����,落實安全防護措施��。
第三章?企業網絡安全防護
第十一條?工業互聯網企業承擔本企業網絡安全主體責任�����,主動開展自主定級��、安全建設�、風險評估�����、安全整改和應急保障等工作��,落實安全防護標準�����,有效應對網絡安全風險��,保障本企業工業互聯網安全�����。
第十二條?工業互聯網企業主要負責人為本企業網絡安全第一責任人�����,負責建立健全網絡安全責任制并組織落實�����,建設完善企業網絡安全管理制度�,建立網絡安全事件應急處置機制�,加強網絡安全投入和考核��,將網絡安全防護作為企業經營管理的重要部分����。
第十三條?工業互聯網企業應當制定并落實網絡安全總體規劃��,制定合理的安全建設方案���,劃分生產業務區域和管理信息區域����,明確重要數據��,實行分區分域邊界防護���,部署必要的安全防護措施��。
第十四條?工業互聯網企業應當建立網絡安全監測預警和信息通報制度�����,建設完善工業互聯網安全監測技術手段�,發現重大網絡安全隱患��,開展安全影響評估����,及時采取針對性有效防范措施�,并及時上報屬地工業和信息化主管部門���、通信管理局����。
(一)三級工業互聯網企業建設企業級工業互聯網安全監測平臺�����,并接入屬地省級工業互聯網安全監測平臺��;
(二)鼓勵二級工業互聯網企業積極建設企業級工業互聯網安全監測平臺��,并接入屬地省級工業互聯網安全監測平臺���。
第十五條?工業互聯網企業應當依據工業互聯網安全相關規范�,落實與自身安全級別相適應的防護措施���,自行或委托第三方評測機構開展標準符合性評測和風險評估�����。對評估評測發現的重大安全風險�����,制定整改方案�����,落實整改措施�。
(一)三級工業互聯網企業每年開展一次符合性評測和風險評估���;
(二)二級工業互聯網企業每兩年開展一次符合性評測和風險評估��。
第十六條?工業互聯網企業應當制定本企業網絡安全應急預案����,定期開展應急演練��。發現重大網絡安全風險和事件�,應對時向屬地工業和信息化主管部門�、通信管理局報告����。
(一)三級工業互聯網企業每年至少開展一次應急演練
(二)二級工業互聯網企業每兩年至少開展一次應急演練����。
第十七條?一級工業互聯網企業參照二級企業相關要求落實安全防護措施�����。
第四章?支持與保障
第十八條?工業和信息化部指導地方工業和信息化主管部門�、通信管理局做好工業互聯網企業網絡安全分類分級工作�����,制定工業互聯網企業網絡安全分類分級相關標準��。地方工業和信息化主管部門指導本行政區域內聯網工業企業開展網絡安全分類分級工作�����。地方通信管理局對本行行政區域內平臺企業�、標識解析企業進行網絡安全分類分級監管管理�����,并加強對公共互聯網上的聯網設備��、系統等的安全監測�����。
第十九條?地方工業和信息化主管部門���、通信管理局加強對工業互聯網企業網絡安全分類分級工作的宣傳動員�,制定宣貫培訓計劃����,定期開展宣傳教育����,提升工業互聯網企業網絡安全防范意識���。鼓勵和支持企事業單位�、行業協會��、研究機構等開展工業互聯網企業網絡安全分類分級教育與培訓���,加強工業互聯網企業網絡安全分類分級管理和技術人才培養�。
第二十條?地方工業和信息化主管部門�、通信管理局組建本地區工業互聯網企業網絡安全分類分級工作專家庫��,充分發揮專家在分類分級管理中的作用�。地方工業和信息化主管部門�����、通信管理局聯合開展工業互聯網網絡安全產品�、安全服務���、解決方案等提供商推薦遴選工作��,建立安全評估評測機構隊伍����,鼓勵支持基礎電信企業安全企業���、安全評估評測機構等依托專業技術優勢����,提供安全服務���,形成供給資源池����,引導工業互聯網企業自主選擇使用安全服務����。
第二十一條?地方工業和信息化主管部門��、通信管理局建立健全工業互聯網安全監測預警��、信息通報�����、應急處置等制度�����,加強威脅信息共享����,對監測發現的安全風險隱患及時通報相關企業����。地方主管部門監測發現重大安全隱患或安全事件�����,及時報工業和信息化部�。
第二十二條?地方工業和信息化主管部門組織開展針對本行政區域內聯網工業企業的網絡安全風險評估�����,對發現的重大網絡安全風險隱患�����,指導企業及時整改�����。地方通信管理局對本行政區域內平臺企業�、標識解析企業����,每年開展一次工業互聯網安全檢查�����,對發現的重大網絡安全風險隱患���,責令企業及時整改����。
第二十三條?工業互聯網企業未有效落實網絡安全分類分級防護要求���,違反《中華人民共和國網絡安全法》有關規定的���,有關主管部門依法給予處罰���。
關注六方云公眾號后臺私信“指南”或“規范”可自行下載工業互聯網企業網絡安全分類分級管理指南(試行)全文和工業互聯網企業網絡安全分類分級防護系列規范(試行)全文�。
