近期工信部印发通知,组织开展2022年工业互联网安全深度行活动,旨在深入宣贯工业互联网安全相关政策标准,推动在全国范围内深入实施工业互联网企业网络安全分类分级管理,共同提升工业互联网安全保障能力。同时,多个省市和地区在当地主管机关组织下,开展2022年度工业互联网企业网络安全分类分级管理工作(以下简称“分类分级管理工作”)。

早在2021年,工业和信息化部就已发布开展工业互联网企业网络安全分类分级管理试点工作的通知,明确了首批开展试点工作的15个省市地区(包括天津、吉林、上海、江苏、浙江、安徽、福建、山东、河南、湖南、广东、广西、重庆、四川、新疆)。

聚焦联网工业企业、平台企业、标识解析三类企业,根据企业所属行业网络安全影响程度分级评定,根据不同的分级结果,应当落实与自身等级相适应的安全防护措施。要求各地工业互联网主管部门进一步完善分类分级规则标准、定级流程以及工业互联网安全系列防护规范的科学性、有效性和可操作性,加快构建分类分级管理制度,形成可复制可推广的工业互联网网络安全分类分级管理模式。

工业互联网企业网络安全分类分级管理指南(试行)

第一章:总则

第一条 为贯彻落实《中华人民共和国网络安全法》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,根据《加强工业互联网安全工作的指导意见》有关要求,开展工业互联网企业网络安全分类分级,加强工业互联网企业差异化、精细化管理,落实企业网络安全主体责任,提高网络安全防护能力和水平,促进工业互联网高质量发展,制定本指南。

第二条 工业和信息化部以及地方工业和信息化主管部门、通信管理局开展工业互联网企业网络安全分类分级工作,适用本指南。

第三条 工业互联网企业网络安全分类分级工作遵循统筹指导、分类施策、分级负责、突出重点的方针,建立健全工业互联网企业网络安全保障体系,提升工业互联网企业网络安全防护能力。

第四条 工业互联网企业应当依照法律、行政法规的规定和相关标准的要求,采取技术、管理等综合措施,保障工业互联网相关设备、控制、网络、平台、应用、数据等网络安全,有效防范应对网络安全事件。

第二章 企业网络安全分类分级

第五条 工业互联网企业主要包括以下三类:

(一)应用工业互联网的工业企业(简称联网工业企业),主要是指将新一代信息通信技术与工业系统深度融合,推动企业模型化研发、智能化制造、网络化协同、个性化定制、数字化管理、服务化延伸,实现智能控制、运营优化和生产组织方式的变革,主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业;

(二)工业互联网平台企业(简称平台企业),主要指向工业企业提供云服务等资源协作、信息服务及应用(工业App)服务等的企业;

(三)标识解析企业,主要指从事工业互联网标识注册服务、解析服务及其运行维护的机构。

第六条 根据工业互联网企业网络安全分类分级评定规则,参照行业重要性、企业规模、安全风险程度等因素,将企业网络安全等级由高到低划分为三级、二级、一级。

第七条 综合工业互联网企业网络安全分类分级评定规则,结合实际情况,开展企业网络安全自主定级,落实与自身等级相适应的安全防护措施,形成定级报告。当企业业务规模、服务范围、服务对象等发生重大变化时,应当自变化之日起三十个工作日内重新定级。

第八条 工业互联网企业应在自主定级后十个工作日内将定级结果报地方主管部门。联网工业企业应将定级报告报属地工业和信息化主管部门,平台企业、标识解析企业应将定级报告报属地通信管理局,分属多个类别的工业互联网企业,按照其业务活动涉及的不同属性分别定级并上报。

第九条 省级工业和信息化主管部门、通信管理局形成属地工业互联网企业清单,其中,定级为三级的工业互联网企业清单定期报工业和信息化部。清单发生变化时,十个工作日内将变化情况报工业和信息化部。鼓励省级工业和信息化主管部门、通信管理局建立工作机制,加强工业互联网企业定级情况通报,形成工作合力。

第十条 地方工业和信息化主管部门、通信管理局每年对工业互联网企业开展抽查,指导企业准确定级,落实安全防护措施。

第三章 企业网络安全防护

第十一条 工业互联网企业承担本企业网络安全主体责任,主动开展自主定级、安全建设、风险评估、安全整改和应急保障等工作,落实安全防护标准,有效应对网络安全风险,保障本企业工业互联网安全。

第十二条 工业互联网企业主要负责人为本企业网络安全第一责任人,负责建立健全网络安全责任制并组织落实,建设完善企业网络安全管理制度,建立网络安全事件应急处置机制,加强网络安全投入和考核,将网络安全防护作为企业经营管理的重要部分。

第十三条 工业互联网企业应当制定并落实网络安全总体规划,制定合理的安全建设方案,划分生产业务区域和管理信息区域,明确重要数据,实行分区分域边界防护,部署必要的安全防护措施。

第十四条 工业互联网企业应当建立网络安全监测预警和信息通报制度,建设完善工业互联网安全监测技术手段,发现重大网络安全隐患,开展安全影响评估,及时采取针对性有效防范措施,并及时上报属地工业和信息化主管部门、通信管理局。

(一)三级工业互联网企业建设企业级工业互联网安全监测平台,并接入属地省级工业互联网安全监测平台;

(二)鼓励二级工业互联网企业积极建设企业级工业互联网安全监测平台,并接入属地省级工业互联网安全监测平台。

第十五条 工业互联网企业应当依据工业互联网安全相关规范,落实与自身安全级别相适应的防护措施,自行或委托第三方评测机构开展标准符合性评测和风险评估。对评估评测发现的重大安全风险,制定整改方案,落实整改措施。

(一)三级工业互联网企业每年开展一次符合性评测和风险评估;

(二)二级工业互联网企业每两年开展一次符合性评测和风险评估。

第十六条 工业互联网企业应当制定本企业网络安全应急预案,定期开展应急演练。发现重大网络安全风险和事件,应对时向属地工业和信息化主管部门、通信管理局报告。

(一)三级工业互联网企业每年至少开展一次应急演练

(二)二级工业互联网企业每两年至少开展一次应急演练。

第十七条 一级工业互联网企业参照二级企业相关要求落实安全防护措施。

第四章 支持与保障

第十八条 工业和信息化部指导地方工业和信息化主管部门、通信管理局做好工业互联网企业网络安全分类分级工作,制定工业互联网企业网络安全分类分级相关标准。地方工业和信息化主管部门指导本行政区域内联网工业企业开展网络安全分类分级工作。地方通信管理局对本行行政区域内平台企业、标识解析企业进行网络安全分类分级监管管理,并加强对公共互联网上的联网设备、系统等的安全监测。

第十九条 地方工业和信息化主管部门、通信管理局加强对工业互联网企业网络安全分类分级工作的宣传动员,制定宣贯培训计划,定期开展宣传教育,提升工业互联网企业网络安全防范意识。鼓励和支持企事业单位、行业协会、研究机构等开展工业互联网企业网络安全分类分级教育与培训,加强工业互联网企业网络安全分类分级管理和技术人才培养。

第二十条 地方工业和信息化主管部门、通信管理局组建本地区工业互联网企业网络安全分类分级工作专家库,充分发挥专家在分类分级管理中的作用。地方工业和信息化主管部门、通信管理局联合开展工业互联网网络安全产品、安全服务、解决方案等提供商推荐遴选工作,建立安全评估评测机构队伍,鼓励支持基础电信企业安全企业、安全评估评测机构等依托专业技术优势,提供安全服务,形成供给资源池,引导工业互联网企业自主选择使用安全服务。

第二十一条 地方工业和信息化主管部门、通信管理局建立健全工业互联网安全监测预警、信息通报、应急处置等制度,加强威胁信息共享,对监测发现的安全风险隐患及时通报相关企业。地方主管部门监测发现重大安全隐患或安全事件,及时报工业和信息化部。

第二十二条 地方工业和信息化主管部门组织开展针对本行政区域内联网工业企业的网络安全风险评估,对发现的重大网络安全风险隐患,指导企业及时整改。地方通信管理局对本行政区域内平台企业、标识解析企业,每年开展一次工业互联网安全检查,对发现的重大网络安全风险隐患,责令企业及时整改。

第二十三条 工业互联网企业未有效落实网络安全分类分级防护要求,违反《中华人民共和国网络安全法》有关规定的,有关主管部门依法给予处罚。

关注六方云公众号后台私信“指南”或“规范”可自行下载工业互联网企业网络安全分类分级管理指南(试行)全文工业互联网企业网络安全分类分级防护系列规范(试行)全文。

GET NEWSLETTER

Advertisement