互联网企业分类分级(解读企业网络安全实施分类分级管理)
12月17日,据工信部官网,为贯彻落实《加强工业互联网安全工作的指导意见》,推动工业互联网安全责任落实,对工业互联网企业网络安全实施分类分级管理,提升工业互联网安全保障能力和水平,工信部研究起草了《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿)。现向社会公开征求意见。工信部表示,有三类企业适用于本指南:1. 应用工业互联网的工业企业;2. 工业互联网平台企业(主要指对外提供工业互联网平台等互联网信息服务的企业);3. 工业互联网基础设施运营企业,主要包括基础电信运营企业和标识解析系统建设运营机构。
此外,工信部表示,本次指南的基本原则包括:企业分级与行业网络安全影响程度相关联、行业指导与地方监管相结合、企业自评与属地核查相结合等。
以下为《分类指南》全文:
工业互联网企业网络安全分类分级指南(试行)
(征求意见稿)
为加强工业互联网安全保障工作,提高工业互联网企业网络安全防范能力和水平,进一步明确和落实企业网络安全主体责任,加快构建工业互联网安全保障体系,促进工业互联网高质量发展,护航制造强国和网络强国战略实施,依据 《加强工业互联网安全工作的指导意见》要求,制定本指南。
(一)适用范围
工业和信息化部主管行业范围内的工业互联网企业的网络安全管理,适用本指南。
依据企业属性,工业互联网企业主要包括三类:
1. 应用工业互联网的工业企业(简称“联网工业企业”),主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业;
2. 工业互联网平台企业(简称“平台企业”,主要指对外提供工业互联网平台等互联网信息服务的企业);
3. 工业互联网基础设施运营企业,主要包括基础电信运营企业和标识解析系统建设运营机构。
本指南对联网工业企业网络安全分级进行规范。工业互联网平台企业和基础设施运营企业按照《通信网络安全防护管理办法》的分级方式进行规范。
(二)基本原则
企业分级与行业网络安全影响程度相关联。以《国民经济行业分类》(GB/T 4754-2017)为基准细化联网工业企业行业类别,明确各相关行业网络安全影响程度,将企业所属行业网络安全影响程度作为企业分级评定的关键参考因素。
行业指导与地方监管相结合。工业和信息化部对主管行业领域的工业互联网企业网络安全工作开展指导管理。地方主管部门对本行政区域工业互联网企业的网络安全工作开展指导监管。
企业自评与属地核查相结合。工业互联网企业根据分级评定细则开展自评,地方主管部门对企业自评结果进行核查和确认。
二、企业分级
(一)联网工业企业分级联网工业企业分级主要考虑企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素。其中所属行业网络安全影响程度由低到高分别划分为一类、二类和三类。企业分级采用计分方式进行,满分为 100 分:评分大于等于 80 分的,为三级企业;评分大于等于 60 分的,且小于 80 分的,为二级企业;评分小于 60 分的,为一级企业。属于三类行业的规模以上联网工业企业原则上为三级。
(二)多重属性企业的分级
对于同时具有联网工业企业、平台企业、工业互联网基础设施运营企业中两种以上属性的企业,按照其业务活动涉及的不同属性分别定级。
三、级别评定
(一)制定评定规则
工业和信息化部选择重点行业或区域开展分类分级试点,细化联网工业企业分级评定参考规则(见附件 2),形成评定规则。
(二)企业自评
依托工业互联网企业网络安全分类分级管理服务平台,联网工业企业在线填报问卷,形成自评报告。
(三)核查确认
地方主管部门可自行或组织第三方专业服务机构对企业提交的自评报告真实性、完整性进行核查,发现信息不真实、不完整的,通知企业予以补正后进行确认。
(四)级别变更
当联网工业企业网络安全风险程度发生重大变化时,应主动重新定级。
四、安全管理
省、市、县各级工业和信息化主管部门指导本行政区域内联网工业企业网络安全工作,省级通信管理局对本行政区域内平台企业、标识解析系统建设运营机构进行网络安全监督管理。地方工信和通信主管部门加强对三级工业互联网企业的安全监管。
(一)组织管理
1. 三级工业互联网企业应当建立健全网络安全责任制,设置专门网络安全机构和安全管理负责人,组织制定和实施网络安全防护和培训计划,加强网络安全考核,确保安全投入;
2. 二级工业互联网企业应当明确专门的网络安全管理负责人,逐步建立健全并落实网络安全责任制,组织制定和实施网络安全防护和培训计划。
(二)安全防护
1. 三级工业互联网企业应当根据工业互联网网络安全管理和技术防护系列标准规范要求,采取相应的技术防护措施;建设完善企业级工业互联网安全监测平台,并接入省级以上工业互联网安全监测平台。省级以上工业互联网安全监测平台定期向三级企业通报安全风险。
2. 二级工业互联网企业应当根据工业互联网网络安全
管理和技术防护系列标准规范要求,采取相应的技术防护措施;积极建设企业级工业互联网安全监测平台,并与省级工业互联网安全监测平台对接。
(三)风险评估
1. 三级工业互联网企业应当至少每年进行一次网络安全风险评估与审计。
2. 二级工业互联网企业应当至少每两年进行一次网络安全风险评估与审计。
(四)应急管理
工业互联网企业应当制定切实可行的应急预案,建立应急响应机制,定期开展应急演练,采取必要措施消除安全隐患。发现重大网络安全风险和安全事件应当及时上报。