欢迎来到江苏省互联网协会
【网站公告】
为贯彻落实《加强工业互联网安全工作的指导意见》,推动工业互联网安全责任落实,对工业互联网企业网络安全实施分类分级管理,提升工业互联网安全保障能力和水平,工业和信息化部研究起草了《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿)。现向社会公开征求意见。有关意见或建议请于2019年12月31日前反馈。
联系电话:010-68206187
传 真:010-66022774
邮 箱:gyhlw409@163.com
附件:工业互联网企业网络安全分类分级指南(试行)(征求意见稿)
工业互联网企业网络安全分类分级指南(试行)
(征求意见稿)
一、范围和原则
(一)适用范围企业分级与行业网络安全影响程度相关联。以《国民经济行业分类》(GB/T 4754-2017)为基准细化联网工业企业行业类别,明确各相关行业网络安全影响程度,将企业所属行业网络安全影响程度作为企业分级评定的关键参考因素。
行业指导与地方监管相结合。工业和信息化部对主管行业领域的工业互联网企业网络安全工作开展指导管理。地方主管部门对本行政区域工业互联网企业的网络安全工作开展指导监管。
企业自评与属地核查相结合。工业互联网企业根据分级评定细则开展自评,地方主管部门对企业自评结果进行核查和确认。
二、企业分级
(一)联网工业企业分级企业分级采用计分方式进行,满分为100分: 评分大于等于80分的,为三级企业; 评分大于等于60分的,且小于80分的,为二级企业; 评分小于60分的,为一级企业。 属于三类行业的规模以上联网工业企业原则上为三级。
(二)多重属性企业的分级
对于同时具有联网工业企业、平台企业、工业互联网基础设施运营企业中两种以上属性的企业,按照其业务活动涉及的不同属性分别定级。
三、级别评定
(一)制定评定规则
(二)企业自评 依托工业互联网企业网络安全分类分级管理服务平台,联网工业企业在线填报问卷,形成自评报告。
(三)核查确认 地方主管部门可自行或组织第三方专业服务机构对企业提交的自评报告真实性、完整性进行核查,发现信息不真实、不完整的,通知企业予以补正后进行确认。
(四)级别变更 当联网工业企业网络安全风险程度发生重大变化时,应主动重新定级。
四、安全管理
省、市、县各级工业和信息化主管部门指导本行政区域内联网工业企业网络安全工作,省级通信管理局对本行政区域内平台企业、标识解析系统建设运营机构进行网络安全监督管理。地方工信和通信主管部门加强对三级工业互联网企业的安全监管。2. 二级工业互联网企业应当明确专门的网络安全管理负责人,逐步建立健全并落实网络安全责任制,组织制定和实施网络安全防护和培训计划。
(二)安全防护 1. 三级工业互联网企业应当根据工业互联网网络安全管理和技术防护系列标准规范要求,采取相应的技术防护措施;建设完善企业级工业互联网安全监测平台,并接入省级以上工业互联网安全监测平台。省级以上工业互联网安全监测平台定期向三级企业通报安全风险。
2. 二级工业互联网企业应当根据工业互联网网络安全管理和技术防护系列标准规范要求,采取相应的技术防护措施;积极建设企业级工业互联网安全监测平台,并与省级工业互联网安全监测平台对接。
(三)风险评估 1. 三级工业互联网企业应当至少每年进行一次网络安全风险评估与审计。 2. 二级工业互联网企业应当至少每两年进行一次网络安全风险评估与审计。
2.联网工业企业分级评定参考规则
附件1:
联网工业企业所属行业网络安全分类指导目录
附件2:
联网工业企业分级评定参考规则
