12月17日,據(jù)工信部官網(wǎng),為貫徹落實《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》,推動工業(yè)互聯(lián)網(wǎng)安全責任落實,對工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全實施分類分級管理,提升工業(yè)互聯(lián)網(wǎng)安全保障能力和水平,工信部研究起草了《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級指南(試行)》(征求意見稿)?,F(xiàn)向社會公開征求意見。工信部表示,有三類企業(yè)適用于本指南:1. 應用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè);2. 工業(yè)互聯(lián)網(wǎng)平臺企業(yè)(主要指對外提供工業(yè)互聯(lián)網(wǎng)平臺等互聯(lián)網(wǎng)信息服務的企業(yè));3. 工業(yè)互聯(lián)網(wǎng)基礎設施運營企業(yè),主要包括基礎電信運營企業(yè)和標識解析系統(tǒng)建設運營機構。
此外,工信部表示,本次指南的基本原則包括:企業(yè)分級與行業(yè)網(wǎng)絡安全影響程度相關聯(lián)、行業(yè)指導與地方監(jiān)管相結合、企業(yè)自評與屬地核查相結合等。
以下為《分類指南》全文:
工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級指南(試行)
(征求意見稿)
為加強工業(yè)互聯(lián)網(wǎng)安全保障工作,提高工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全防范能力和水平,進一步明確和落實企業(yè)網(wǎng)絡安全主體責任,加快構建工業(yè)互聯(lián)網(wǎng)安全保障體系,促進工業(yè)互聯(lián)網(wǎng)高質量發(fā)展,護航制造強國和網(wǎng)絡強國戰(zhàn)略實施,依據(jù) 《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》要求,制定本指南。
(一)適用范圍
工業(yè)和信息化部主管行業(yè)范圍內的工業(yè)互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡安全管理,適用本指南。
依據(jù)企業(yè)屬性,工業(yè)互聯(lián)網(wǎng)企業(yè)主要包括三類:
1. 應用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)(簡稱“聯(lián)網(wǎng)工業(yè)企業(yè)”),主要涉及原材料工業(yè)、裝備工業(yè)、消費品工業(yè)和電子信息制造業(yè)等行業(yè);
2. 工業(yè)互聯(lián)網(wǎng)平臺企業(yè)(簡稱“平臺企業(yè)”,主要指對外提供工業(yè)互聯(lián)網(wǎng)平臺等互聯(lián)網(wǎng)信息服務的企業(yè));
3. 工業(yè)互聯(lián)網(wǎng)基礎設施運營企業(yè),主要包括基礎電信運營企業(yè)和標識解析系統(tǒng)建設運營機構。
本指南對聯(lián)網(wǎng)工業(yè)企業(yè)網(wǎng)絡安全分級進行規(guī)范。工業(yè)互聯(lián)網(wǎng)平臺企業(yè)和基礎設施運營企業(yè)按照《通信網(wǎng)絡安全防護管理辦法》的分級方式進行規(guī)范。
(二)基本原則
企業(yè)分級與行業(yè)網(wǎng)絡安全影響程度相關聯(lián)。以《國民經(jīng)濟行業(yè)分類》(GB/T 4754-2017)為基準細化聯(lián)網(wǎng)工業(yè)企業(yè)行業(yè)類別,明確各相關行業(yè)網(wǎng)絡安全影響程度,將企業(yè)所屬行業(yè)網(wǎng)絡安全影響程度作為企業(yè)分級評定的關鍵參考因素。
行業(yè)指導與地方監(jiān)管相結合。工業(yè)和信息化部對主管行業(yè)領域的工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全工作開展指導管理。地方主管部門對本行政區(qū)域工業(yè)互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡安全工作開展指導監(jiān)管。
企業(yè)自評與屬地核查相結合。工業(yè)互聯(lián)網(wǎng)企業(yè)根據(jù)分級評定細則開展自評,地方主管部門對企業(yè)自評結果進行核查和確認。
二、企業(yè)分級
(一)聯(lián)網(wǎng)工業(yè)企業(yè)分級聯(lián)網(wǎng)工業(yè)企業(yè)分級主要考慮企業(yè)所屬行業(yè)網(wǎng)絡安全影響程度、企業(yè)規(guī)模、企業(yè)應用工業(yè)互聯(lián)網(wǎng)的程度、企業(yè)發(fā)生網(wǎng)絡安全事件的影響程度等要素。其中所屬行業(yè)網(wǎng)絡安全影響程度由低到高分別劃分為一類、二類和三類。企業(yè)分級采用計分方式進行,滿分為 100 分:評分大于等于 80 分的,為三級企業(yè);評分大于等于 60 分的,且小于 80 分的,為二級企業(yè);評分小于 60 分的,為一級企業(yè)。屬于三類行業(yè)的規(guī)模以上聯(lián)網(wǎng)工業(yè)企業(yè)原則上為三級。
(二)多重屬性企業(yè)的分級
對于同時具有聯(lián)網(wǎng)工業(yè)企業(yè)、平臺企業(yè)、工業(yè)互聯(lián)網(wǎng)基礎設施運營企業(yè)中兩種以上屬性的企業(yè),按照其業(yè)務活動涉及的不同屬性分別定級。
三、級別評定
(一)制定評定規(guī)則
工業(yè)和信息化部選擇重點行業(yè)或區(qū)域開展分類分級試點,細化聯(lián)網(wǎng)工業(yè)企業(yè)分級評定參考規(guī)則(見附件 2),形成評定規(guī)則。
(二)企業(yè)自評
依托工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理服務平臺,聯(lián)網(wǎng)工業(yè)企業(yè)在線填報問卷,形成自評報告。
(三)核查確認
地方主管部門可自行或組織第三方專業(yè)服務機構對企業(yè)提交的自評報告真實性、完整性進行核查,發(fā)現(xiàn)信息不真實、不完整的,通知企業(yè)予以補正后進行確認。
(四)級別變更
當聯(lián)網(wǎng)工業(yè)企業(yè)網(wǎng)絡安全風險程度發(fā)生重大變化時,應主動重新定級。
四、安全管理
省、市、縣各級工業(yè)和信息化主管部門指導本行政區(qū)域內聯(lián)網(wǎng)工業(yè)企業(yè)網(wǎng)絡安全工作,省級通信管理局對本行政區(qū)域內平臺企業(yè)、標識解析系統(tǒng)建設運營機構進行網(wǎng)絡安全監(jiān)督管理。地方工信和通信主管部門加強對三級工業(yè)互聯(lián)網(wǎng)企業(yè)的安全監(jiān)管。
(一)組織管理
1. 三級工業(yè)互聯(lián)網(wǎng)企業(yè)應當建立健全網(wǎng)絡安全責任制,設置專門網(wǎng)絡安全機構和安全管理負責人,組織制定和實施網(wǎng)絡安全防護和培訓計劃,加強網(wǎng)絡安全考核,確保安全投入;
2. 二級工業(yè)互聯(lián)網(wǎng)企業(yè)應當明確專門的網(wǎng)絡安全管理負責人,逐步建立健全并落實網(wǎng)絡安全責任制,組織制定和實施網(wǎng)絡安全防護和培訓計劃。
(二)安全防護
1. 三級工業(yè)互聯(lián)網(wǎng)企業(yè)應當根據(jù)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全管理和技術防護系列標準規(guī)范要求,采取相應的技術防護措施;建設完善企業(yè)級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺,并接入省級以上工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺。省級以上工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺定期向三級企業(yè)通報安全風險。
2. 二級工業(yè)互聯(lián)網(wǎng)企業(yè)應當根據(jù)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全
管理和技術防護系列標準規(guī)范要求,采取相應的技術防護措施;積極建設企業(yè)級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺,并與省級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺對接。
(三)風險評估
1. 三級工業(yè)互聯(lián)網(wǎng)企業(yè)應當至少每年進行一次網(wǎng)絡安全風險評估與審計。
2. 二級工業(yè)互聯(lián)網(wǎng)企業(yè)應當至少每兩年進行一次網(wǎng)絡安全風險評估與審計。
(四)應急管理
工業(yè)互聯(lián)網(wǎng)企業(yè)應當制定切實可行的應急預案,建立應急響應機制,定期開展應急演練,采取必要措施消除安全隱患。發(fā)現(xiàn)重大網(wǎng)絡安全風險和安全事件應當及時上報。
分享到微信 ×
打開微信,點擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。