工业互联网企业
网络安全分类分级管理指南
(试 行)
第一章 总 则
第一条 为贯彻落实《中华人民共和国网络安全法》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,根据《加强工业互联网安全工作的指导意见》有关要求,开展工业互联网企业网络安全分类分级,加强工业互联网企业差异化、精细化管理,落实企业网络安全主体责任,提高网络安全防护能力和水平,促进工业互联网高质量发展,制定本指南。
第二条 工业和信息化部以及地方工业和信息化主管部门、通信管理局开展工业互联网企业网络安全分类分级工作,适用本指南。
第三条 工业互联网企业网络安全分类分级工作遵循统筹指导、分类施策、分级负责、突出重点的方针,建立健全工业互联网企业网络安全保障体系,提升工业互联网企业网络安全防护能力。
第四条 工业互联网企业应当依照法律、行政法规的规定和相关标准的要求,采取技术、管理等综合措施,保障工业互联网相关设备、控制、网络、平台、应用、数据等网络安全,有效防范应对网络安全事件。
第二章 企业网络安全分类分级
第五条 工业互联网企业主要包括以下三类:
(一)应用工业互联网的工业企业(简称联网工业企业),主要是指将新一代信息通信技术与工业系统深度融合,推动企业模型化研发、智能化制造、网络化协同、个性化定制、数字化管理、服务化延伸,实现智能控制、运营优化和生产组织方式的变革,主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业;
(二)工业互联网平台企业(简称平台企业),主要指面向工业企业提供云服务等资源协作、信息服务及应用(工业App)服务等的企业;
(三)标识解析企业,主要指从事工业互联网标识注册服务、解析服务及其运行维护的机构。
第六条 根据工业互联网企业网络安全分类分级评定规则,参照行业重要性、企业规模、安全风险程度等因素,将企业网络安全等级由高到低划分为三级、二级、一级。
第七条 综合工业互联网企业网络安全分类分级评定规则,结合实际情况,开展企业网络安全自主定级,落实与自身等级相适应的安全防护措施,形成定级报告。
当企业业务规模、服务范围、服务对象等发生重大变化时,应当自变化之日起三十个工作日内重新定级。
第八条 工业互联网企业应在自主定级后十个工作日内将定级结果报地方主管部门。
联网工业企业应将定级报告报属地工业和信息化主管部门,平台企业、标识解析企业应将定级报告报属地通信管理局,分属多个类别的工业互联网企业,按照其业务活动涉及的不同属性分别定级并上报。
第九条 省级工业和信息化主管部门、通信管理局形成属地工业互联网企业清单,其中,定级为三级的工业互联网企业清单定期报工业和信息化部。清单发生变化时,十个工作日内将变化情况报工业和信息化部。鼓励省级工业和信息化主管部门、通信管理局建立工作机制,加强工业互联网企业定级情况通报,形成工作合力。
第十条 地方工业和信息化主管部门、通信管理局每年对工业互联网企业开展抽查,指导企业准确定级,落实安全防护措施。
第三章 企业网络安全防护
第十一条 工业互联网企业承担本企业网络安全主体责任,主动开展自主定级、安全建设、风险评估、安全整改和应急保障等工作,落实安全防护标准,有效应对网络安全风险,保障本企业工业互联网安全。
第十二条 工业互联网企业主要负责人为本企业网络安全第一责任人,负责建立健全网络安全责任制并组织落实,建设完善企业网络安全管理制度,建立网络安全事件应急处置机制,加强网络安全投入和考核,将网络安全防护作为企业经营管理的重要部分。
第十三条 工业互联网企业应当制定并落实网络安全总体规划,制定合理的安全建设方案,划分生产业务区域和管理信息区域,明确重要数据,实行分区分域边界防护,部署必要的安全防护措施。
第十四条 工业互联网企业应当建立网络安全监测预警和信息通报制度,建设完善工业互联网安全监测技术手段,发现重大网络安全隐患,开展安全影响评估,及时采取针对性有效防范措施,并及时上报属地工业和信息化主管部门、通信管理局。
(一)三级工业互联网企业建设企业级工业互联网安全监测平台,并接入属地省级工业互联网安全监测平台;
(二)鼓励二级工业互联网企业积极建设企业级工业互联网安全监测平台,并接入属地省级工业互联网安全监测平台。
第十五条 工业互联网企业应当依据工业互联网安全相关规范,落实与自身安全级别相适应的防护措施,自行或委托第三方评测机构开展标准符合性评测和风险评估。对评估评测发现的重大安全风险,制定整改方案,落实整改措施。
(一)三级工业互联网企业每年开展一次符合性评测和风险评估;
(二)二级工业互联网企业每两年开展一次符合性评测和风险评估。
第十六条 工业互联网企业应当制定本企业网络安全应急预案,定期开展应急演练。发现重大网络安全风险和事件,应及时向属地工业和信息化主管部门、通信管理局报告。
(一)三级工业互联网企业每年至少开展一次应急演练;
(二)二级工业互联网企业每两年至少开展一次应急演练。
第十七条 一级工业互联网企业参照二级企业相关要求落实安全防护措施。
第四章 支持与保障
第十八条 工业和信息化部指导地方工业和信息化主管部门、通信管理局做好工业互联网企业网络安全分类分级工作,制定工业互联网企业网络安全分类分级相关标准。
地方工业和信息化主管部门指导本行政区域内联网工业企业开展网络安全分类分级工作。地方通信管理局对本行政区域内平台企业、标识解析企业进行网络安全分类分级监督管理,并加强对公共互联网上的联网设备、系统等的安全监测。
第十九条 地方工业和信息化主管部门、通信管理局加强对工业互联网企业网络安全分类分级工作的宣传动员,制定宣贯培训计划,定期开展宣传教育,提升工业互联网企业网络安全防范意识。
鼓励和支持企事业单位、行业协会、研究机构等开展工业互联网企业网络安全分类分级教育与培训,加强工业互联网企业网络安全分类分级管理和技术人才培养。
第二十条 地方工业和信息化主管部门、通信管理局组建本地区工业互联网企业网络安全分类分级工作专家库,充分发挥专家在分类分级管理中的作用。
地方工业和信息化主管部门、通信管理局联合开展工业互联网网络安全产品、安全服务、解决方案等提供商推荐遴选工作,建立安全评估评测机构队伍,鼓励支持基础电信企业、安全企业、安全评估评测机构等依托专业技术优势,提供安全服务,形成供给资源池,引导工业互联网企业自主选择使用安全服务。
第二十一条 地方工业和信息化主管部门、通信管理局建立健全工业互联网安全监测预警、信息通报、应急处置等制度,加强威胁信息共享,对监测发现的安全风险隐患及时通报相关企业。地方主管部门监测发现重大安全隐患或安全事件,及时报工业和信息化部。
第二十二条 地方工业和信息化主管部门组织开展针对本行政区域内联网工业企业的网络安全风险评估,对发现的重大网络安全风险隐患,指导企业及时整改。
地方通信管理局对本行政区域内平台企业、标识解析企业,每年开展一次工业互联网安全检查,对发现的重大网络安全风险隐患,责令企业及时整改。
第二十三条 工业互联网企业未有效落实网络安全分类分级防护要求,违反《中华人民共和国网络安全法》有关规定的,有关主管部门依法给予处罚。
附 件:
- 工业互联网企业网络安全分类分级评定规则
- 工业互联网行业网络安全影响程度分类目录
- 工业互联网企业网络安全分类分级定级报告
附1
工业互联网企业网络安全分类分级评定规则
一、定级对象
本规则适用的定级对象为工业和信息化部主管行业范围内的工业互联网企业,主要包括:应用工业互联网的工业企业(简称联网工业企业)、工业互联网平台企业(简称平台企业)、从事工业互联网标识注册服务、解析服务及其运行维护的机构(简称标识解析企业)。
二、等级划分
工业互联网企业根据行业重要性、企业规模、安全风险程度等因素,将企业网络安全等级由高到低划分为三级、二级、一级。
- 企业定级采用计分方式进行,满分为100分:
- 评分大于等于80分的,为三级企业;
- 评分大于等于60分,且小于80分的,为二级企业;
- 评分小于60分的,为一级企业。
三、定级方法
工业互联网企业结合自身实际情况,综合考虑各定级要素进行安全等级评定。
(一)联网工业企业定级
联网工业企业定级要素包括企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度和企业一旦发生工业互联网网络安全事件的影响程度。联网工业企业定级要素及评分规则如下:
1、企业所在行业网络安全影响程度
2、企业规模
3、企业应用工业互联网的程度
4、企业一旦发生工业互联网网络安全事件的影响程度
注:对于涉及“两重点一重大”的石化化工企业纳入三级企业。
(二)平台企业定级
平台企业定级要素包括企业平台服务行业的网络安全影响程度、平台业务范围、平台业务规模、平台一旦发生网络安全事件的影响程度。平台企业定级要素和评分规则如下:
1、企业平台服务行业的网络安全影响程度
2、企业平台业务范围
3、企业平台业务规模
4、企业平台一旦发生网络安全事件的影响程度
同一平台企业建设运营多个工业互联网平台,企业定级依照其建设运营的平台中较高级别确定。
(三)标识解析企业定级
结合目前标识解析业务现状,建议标识解析企业参考如下规则进行定级:
- 建设运营工业互联网标识解析国家顶级节点的为三级;
- 建设运营工业互联网标识解析二级节点和公共递归解析节点的为二级;
- 建设运营工业互联网标识解析企业节点的为一级。
同一企业建设运营不同级别的标识解析节点,企业定级依照其建设运营的标识解析系统中较高级别确定。
(四)多重属性企业分级
对于同时具有联网工业企业、平台企业、标识解析企业中两种及以上属性的企业,按照其业务活动涉及的不同属性分别定级。
附2
工业互联网行业
网络安全影响程度分类目录
工业互联网行业网络安全影响程度分类目录
注:分类依据国民经济行业分类(GB/T4754-2017)。
附3
工业互联网企业网络安全分类分级
定级报告
一、企业基本情况
工业互联网企业的基本情况,主要包括以下内容:
- 概述企业工业互联网相关业务规模及范围、服务对象、服务范围、主要用户类型等内容;
- 简述企业工业互联网安全管理情况,包括但不限于安全管理制度及组织架构等内容;
- 简述企业工业互联网安全技术情况,包括但不限于网络安全物理环境、网络拓扑结构、硬件设备的部署情况、网络边界划分等。
二、各定级要素描述及分值确定
(一)联网工业企业
1、企业所属行业网络安全影响程度分值确定
根据《国民经济行业分类(GB/T4754-2017)》,说明企业所属行业类别,按照《工业互联网行业网络安全影响程度分类指导目录》,确定企业所属行业分类,确定分值。
2、企业规模分值确定
说明企业从业人员数量和资产总额多少,属于哪类规模企业,确定分值。
3、企业应用工业互联网程度分值确定
说明企业工业相关智能设备、生产系统等联网情况,横向、纵向以及端到端集成情况,数据分析利用程度等,确定分值。
4、企业一旦发生工业互联网网络安全事件的影响程度分值确定
说明企业一旦发生重大工业互联网网络安全事件后,受到侵害的客体是什么,即对国家安全、社会秩序、经济运行、公众利益、人身安全及企业自身运行中哪些客体造成侵害或影响,说明对侵害客体的影响程度,确定分值。
(二)平台企业
1、企业平台服务行业网络安全影响程度分值确定
根据《国民经济行业分类(GB/T4754-2017)》,说明企业平台服务对象所在的行业,按照《工业互联网行业网络安全影响程度分类指导目录》,确定企业服务行业分类,确定分值。
2、企业平台业务范围分值确定
说明企业工业互联网平台服务覆盖哪些行业等,确定分值。
3、企业平台业务规模分值确定
说明企业平台的名称、接入用户数量、接入设备数量、运行工业App数量等基本情况,确定分值。
4、企业平台一旦发生网络安全事件的影响程度分值确定
说明企业平台一旦发生重大网络安全事件后,受到侵害的客体是什么,即对国家安全、社会秩序、经济运行、公众利益、企业平台运行以及平台承载数据中哪些客体造成侵害或影响,说明对侵害客体的影响程度,确定分值。
(三)标识解析企业
- 说明企业标识解析系统节点类型(顶级节点、二级节点、公共递归节点、企业内部节点等)、系统标识注册量、日标识解析查询量等。
- 说明企业标识解析系统服务的主要行业类别和行业数量等内容。
- 说明企业标识解析系统一旦发生重大网络安全事件后,受到侵害的客体是什么,即对国家安全、社会秩序、经济运行、公众利益、企业系统运行以及系统承载数据中哪些客体造成侵害或影响,说明对侵害客体的影响程度。
三、企业网络安全等级的确定
综合考虑各定级要素分值,参考《工业互联网企业网络安全分类分级评定规则》确定企业网络安全等级。
