工業(yè)和信息化部關(guān)于《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級指南（試行）》（征求意見稿）公開征求意見的公告

　　為貫徹落實《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》，推動工業(yè)互聯(lián)網(wǎng)安全責(zé)任落實，對工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全實施分類分級管理，提升工業(yè)互聯(lián)網(wǎng)安全保障能力和水平，工業(yè)和信息化部研究起草了《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級指南（試行）》（征求意見稿）?，F(xiàn)向社會公開征求意見。有關(guān)意見或建議請于2019年12月31日前反饋。

　　聯(lián)系電話：010-68206187

　　傳    真：010-66022774

　　郵    箱：gyhlw409@163.com

　　工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級指南（試行）（征求意見稿）

　　為加強工業(yè)互聯(lián)網(wǎng)安全保障工作，提高工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全防范能力和水平，進一步明確和落實企業(yè)網(wǎng)絡(luò)安全主體責(zé)任，加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，促進工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展，護航制造強國和網(wǎng)絡(luò)強國戰(zhàn)略實施，依據(jù)《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》要求，制定本指南。

　　一、范圍和原則

　?。ㄒ唬┻m用范圍

　　工業(yè)和信息化部主管行業(yè)范圍內(nèi)的工業(yè)互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡(luò)安全管理，適用本指南。依據(jù)企業(yè)屬性，工業(yè)互聯(lián)網(wǎng)企業(yè)主要包括三類：

　　1. 應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)（簡稱“聯(lián)網(wǎng)工業(yè)企業(yè)”），主要涉及原材料工業(yè)、裝備工業(yè)、消費品工業(yè)和電子信息制造業(yè)等行業(yè)；

　　2. 工業(yè)互聯(lián)網(wǎng)平臺企業(yè)（簡稱“平臺企業(yè)”，主要指對外提供工業(yè)互聯(lián)網(wǎng)平臺等互聯(lián)網(wǎng)信息服務(wù)的企業(yè)）；

　　3. 工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施運營企業(yè)，主要包括基礎(chǔ)電信運營企業(yè)和標識解析系統(tǒng)建設(shè)運營機構(gòu)。

　　本指南對聯(lián)網(wǎng)工業(yè)企業(yè)網(wǎng)絡(luò)安全分級進行規(guī)范。工業(yè)互聯(lián)網(wǎng)平臺企業(yè)和基礎(chǔ)設(shè)施運營企業(yè)按照《通信網(wǎng)絡(luò)安全防護管理辦法》的分級方式進行規(guī)范。

　　（二）基本原則

　　企業(yè)分級與行業(yè)網(wǎng)絡(luò)安全影響程度相關(guān)聯(lián)。以《國民經(jīng)濟行業(yè)分類》（GB/T 4754-2017）為基準細化聯(lián)網(wǎng)工業(yè)企業(yè)行業(yè)類別，明確各相關(guān)行業(yè)網(wǎng)絡(luò)安全影響程度，將企業(yè)所屬行業(yè)網(wǎng)絡(luò)安全影響程度作為企業(yè)分級評定的關(guān)鍵參考因素。行業(yè)指導(dǎo)與地方監(jiān)管相結(jié)合。工業(yè)和信息化部對主管行業(yè)領(lǐng)域的工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全工作開展指導(dǎo)管理。地方主管部門對本行政區(qū)域工業(yè)互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡(luò)安全工作開展指導(dǎo)監(jiān)管。

　　企業(yè)自評與屬地核查相結(jié)合。工業(yè)互聯(lián)網(wǎng)企業(yè)根據(jù)分級評定細則開展自評，地方主管部門對企業(yè)自評結(jié)果進行核查和確認。

　　二、企業(yè)分級

　?。ㄒ唬┞?lián)網(wǎng)工業(yè)企業(yè)分級

　　聯(lián)網(wǎng)工業(yè)企業(yè)分級主要考慮企業(yè)所屬行業(yè)網(wǎng)絡(luò)安全影響程度、企業(yè)規(guī)模、企業(yè)應(yīng)用工業(yè)互聯(lián)網(wǎng)的程度、企業(yè)發(fā)生網(wǎng)絡(luò)安全事件的影響程度等要素。其中所屬行業(yè)網(wǎng)絡(luò)安全影響程度由低到高分別劃分為一類、二類和三類（見附件 1）。

　　企業(yè)分級采用計分方式進行，滿分為 100 分：評分大于等于 80 分的，為三級企業(yè)；評分大于等于 60 分的，且小于 80 分的，為二級企業(yè)；評分小于 60 分的，為一級企業(yè)。屬于三類行業(yè)的規(guī)模以上聯(lián)網(wǎng)工業(yè)企業(yè)原則上為三級。

　?。ǘ┒嘀貙傩云髽I(yè)的分級

　　對于同時具有聯(lián)網(wǎng)工業(yè)企業(yè)、平臺企業(yè)、工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施運營企業(yè)中兩種以上屬性的企業(yè)，按照其業(yè)務(wù)活動涉及的不同屬性分別定級。

　　三、級別評定

　?。ㄒ唬┲贫ㄔu定規(guī)則

　　工業(yè)和信息化部選擇重點行業(yè)或區(qū)域開展分類分級試點，細化聯(lián)網(wǎng)工業(yè)企業(yè)分級評定參考規(guī)則（見附件 2），形成評定規(guī)則。

　?。ǘ┢髽I(yè)自評

　　依托工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理服務(wù)平臺，聯(lián)網(wǎng)工業(yè)企業(yè)在線填報問卷，形成自評報告。

　?。ㄈ┖瞬榇_認

　　地方主管部門可自行或組織第三方專業(yè)服務(wù)機構(gòu)對企業(yè)提交的自評報告真實性、完整性進行核查，發(fā)現(xiàn)信息不真實、不完整的，通知企業(yè)予以補正后進行確認。

　　（四）級別變更

　　當(dāng)聯(lián)網(wǎng)工業(yè)企業(yè)網(wǎng)絡(luò)安全風(fēng)險程度發(fā)生重大變化時，應(yīng)主動重新定級。

　　四、安全管理

　　省、市、縣各級工業(yè)和信息化主管部門指導(dǎo)本行政區(qū)域內(nèi)聯(lián)網(wǎng)工業(yè)企業(yè)網(wǎng)絡(luò)安全工作，省級通信管理局對本行政區(qū)域內(nèi)平臺企業(yè)、標識解析系統(tǒng)建設(shè)運營機構(gòu)進行網(wǎng)絡(luò)安全監(jiān)督管理。地方工信和通信主管部門加強對三級工業(yè)互聯(lián)網(wǎng)企業(yè)的安全監(jiān)管。

　　（一）組織管理

　　1. 三級工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全責(zé)任制，設(shè)置專門網(wǎng)絡(luò)安全機構(gòu)和安全管理負責(zé)人，組織制定和實施網(wǎng)絡(luò)安全防護和培訓(xùn)計劃，加強網(wǎng)絡(luò)安全考核，確保安全投入；

　　2. 二級工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)明確專門的網(wǎng)絡(luò)安全管理負責(zé)人，逐步建立健全并落實網(wǎng)絡(luò)安全責(zé)任制，組織制定和實施網(wǎng)絡(luò)安全防護和培訓(xùn)計劃。

　　（二）安全防護

　　1. 三級工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)根據(jù)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理和技術(shù)防護系列標準規(guī)范要求，采取相應(yīng)的技術(shù)防護措施；建設(shè)完善企業(yè)級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺，并接入省級以上工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺。省級以上工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺定期向三級企業(yè)通報安全風(fēng)險。

　　2. 二級工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)根據(jù)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理和技術(shù)防護系列標準規(guī)范要求，采取相應(yīng)的技術(shù)防護措施；積極建設(shè)企業(yè)級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺，并與省級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺對接。

　　（三）風(fēng)險評估

　　1. 三級工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)至少每年進行一次網(wǎng)絡(luò)安全風(fēng)險評估與審計。

　　2. 二級工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)至少每兩年進行一次網(wǎng)絡(luò)安全風(fēng)險評估與審計。

　　（四）應(yīng)急管理

　　工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)制定切實可行的應(yīng)急預(yù)案，建立應(yīng)急響應(yīng)機制，定期開展應(yīng)急演練，采取必要措施消除安全隱患。發(fā)現(xiàn)重大網(wǎng)絡(luò)安全風(fēng)險和安全事件應(yīng)當(dāng)及時上報