工业互联网企业网络安全分类分级管理指南.docx

理信息区域，明确重要数据，实行分区分域边界防护，部署必要的安全防护措施。第十四条工业互联网企业应当建立网络安全监测预警和信息通报制度，建设完善工业互联网安全监测技术手段，发现重大网络安全隐患，开展安全影响评估，及时采取针对性有效防范措施，并及时上报属地工业和信息化主管部门、通信管理局。（一）三级工业互联网企业建设企业级工业互联网安全监测平台，并接入属地省级工业互联网安全监测平台；（二）鼓励二级工业互联网企业积极建设企业级工业互联网安全监测平台，并接入属地省级工业互联网安全监测平台。第卜五条工业互联网企业应当依据工业互联网安全相关规范，落实与自身安全级别相适应的防护措施，自行或委托第三方评测机构开展标准符合性评测和风险评估。对评估评测发现的重大安全风险，制定整改方案，落实整改措施。（一）三级工业互联网企业每年开展一次符合性评测和风险评估；（二）二级工业互联网企业每两年开展一次符合性评测和风险评估。第十六条工业互联网企业应当制定本企业网络安全应急预案，定期开展应急演练。发现重大网络安全风险和事件，应及时向属地工业和信息化主管部门、通信管理局报告。（一）三级工业互联网企业每年至少开展一次应急演练:（二）二级工业互联网企业每两年至少开展一次应急演练。第十七条一级工业互联网企业参照二级企业相关要求落实安全防护措施。第四章支持与保障第卜八条工业和信息化部指导地方工业和信息化主管部门、通信管理局做好工业互联网企业网络安全分类分级工作，制定工业互联网企业网络安全分类分级相关标准。地方工业和信息化主管部门指导本行政区域内联网工业企业开展网络安全分类分级工作。地方通信管理局对本行政区域内平台企业、标识解析企业进行网络安全分类分级监督管理，并加强对公共互联网上的联网设备、系统等的安全监测。第卜九条地方工业和信息化主管部门、通信管理局加强对工业互联网企业网络安全分类分级工作的宣传动员，制定宣贯培训计划，定期开展宣传教行，提升工业互联网企业网络安全防范意识。鼓励和支持企事业单位、行业协会、研究机构等开展工业互联网企业网络安全分类分级教育与培训，加强工业互联网企业网络安全分类分级管理和技术人才培养。第二十条地方工业和信息化主管部门、通信管理局组建本地区工业互联网企业网络安全分类分级工作专家库，充分发挥专家在分类分级管理中的作用。地方工业和信息化主管部门、通信管理局联合开展工业互联网网络安全产品、安全服务、解决方案等提供商推荐遴选工作，建立安全评估评测机构队伍，鼓励支持基础电信企业、安全企业、安全评估评测机构等依托专业技术优势，提供安全服务，形成供给资源池，引导工业互联网企业自主选择使用安全服务。第二十一条地方工业和信息化主管部门、通信管理局建立健全工业互联网安全监测预警、信息通报、应急处置等制度，加强威胁信息共享，对监测发现的安全风险隐患及时通报相关企业。地方主管部门监测发现重大安全隐患或安全事件，及时报工业和信息化部。第二十二条地方工业和信息化主管部门组织开展针对本行政区域内联网工业企业的网络安全风险评估，对发现的重大网络安全风险隐患，指导企业及时整改。地方通信管理局对本行政区域内平台企业、标识解析企业，每年开展i次工业互联网安全检查，对发现的重大网络安全风险隐患，责令企业及时整改。第二十三条工业互联网企业未有效落实网络安全分类分级防护要求，违反中华人民共和国网络安全法有关规定的，有关主管部门依法给予处罚。附：1.工业互联网企业网络安全分类分级评定规则2 .工业互联网行业网络安全影响程度分类目录3 .工业互联网企业网络安全分类分级定级报告4 .企业一旦发生工业互联网网络安全事件的影响程度定级要素及分值要素说明企业一旦发生工业互联网网络安全事件的影响程度（30分）一旦发生重大工业比联网网络安全事件后，对国家安全、社会秩序、经济运行、公众利益、人身安全及企业自身运行的影响程度，分为重大影响、较大影响、一般影响.评分规则I1.i大膨响：严亚影响企业自身运行、造成特别重大人m伤亡，会对社会秩序、经济运行和公众利益造成严重损杏，或对国家安全造成严重损害.25分较大影响：影响企业自身运行、造成重大人员伤亡，或对社会秩序、经济运行和公众利益造成较大损害,或对国家安全造成轻微损害。20-25分一般影响：影响企业自身运行，造成轻微人员伤害，或对社会秩序、经济运行和公众利益造成轻微损害，不损害国家安全。<20分注：对于涉及“两重点一重大”的石化化工企业纳入三级企业。（一）平台企业定级平台企业定级要素包括企业平台服务行业的网络安全影响程度、平台业务范围、平台业务规模、平台一旦发生网络安全事件的影响程度。平台企业定级要素和评分规则如下：1 .企业平台服务行业的网络安全影响程度定级要素及分值要素说明企业平台服务行业的网络安全影响程度20分）根据企业平台股务行业的网络安全影响程度，符平台服务行业网络安全影响程度由高到低可划分为一:类行业、二类行业和类行业（附2）。（平台暇务多个行业，按照服务行业网络安全影响程度的最高级别确定）评分规则企业服务：类行业*5分企业服务二类行业1015分企业服务一类行业VK）分2 .企业平台业务范围定级要素及分值要素说明企业平台业务范围（20分）根据企业平台服务覆盖行业数量，将平台企业业务范围分为大、中、小。评分规则范围大：平台服务覆靛行业6个18分范围中：平台服务覆盖行业3至5个1518分范用小：平台服务覆盖行业$2个<153 .企业平台业务规模定级要素及分值要素说明企业平台业务规模（30分）根据企业平台用户数量、连接设备数量，将平台业务规模分为大、中、小。评分规则规模大：用户数之20万：或设备数270万225分规模中：用户数<20万且设备数1万70万I525分规模小：设备数W1.万V15分4 .企业平台一旦发生网络安全事件的影响程度定级要素及分值要素说明企业平台一旦发生网络安全事件的影响程度<30分）企业平台一旦发生重大网络安全事件后对国家安全、社会秩序、经济运行、公众利益以及企业平台运行（瘫痪、中断、业务处理能力）的影响程度，平台承载数据丢失或被窃取、篡改、假冒的程度，分为重大影响、较大影响、一般影响.评分规则重大影响：严重影响企业平台运行、造成大盘关键数据和重要敏感信息丢失或被窃取、篡改、假冒，会对社会秩序、经济运行和公众利益造成严重损害，或对国家安全造成泮重损害。>25分较大影响：影响企业平台运行、造成较多关键数据和重要俄感信息丢失或被窃取、篡改、假目，或对社会秩序、经济运行和公众利益造成较大损害，或对国家安全造成轻微损害。15-25分一般影响：影响企业平台运行，造成少量关键数据和重要敏感信息丢失或被窃取、翦改、假冒，或对社会秩序、经济运行和公众利益造成轻微损害，不损害国家安全.V15分同一平台企业建设运营多个工业互联网平台，企业定级依照其建设运营的平台中较高级别确定。H)()标识解析企业定级结合目前标识解析业务现状，建议标识解析企业参考如下规则进行定级：1 .建设运营工业互联网标识解析国家顶级节点的为三级；2 .建设运营工业互联网标识解析二级节点和公共递归解析节点的为二级：3 .建设运营工业互联网标识解析企业节点的为一级。同一企业建设运营不同级别的标识解析节点，企业定级依照其建设运营的标识解析系统中较高级别确定。(四)多重属性企业分级对于同时具有联网工业企业、平台企业、标识解析企业中两种及以上属性的企业，按照其业务活动涉及的不同属性分别定级。附3工业互联网企业网络安全分类分级定级报告一、企业基本情况工业互联网企业的基本情况，主要包括以卜.内容：1 .概述企业工业互联网相关业务规模及范围、服务对象、服务范围、主要用户类型等内容；2 .简述企业工业互联网安全管理情况，包括但不限于安全管理制度及组织架构等内容；3 .简述企业工业互联网安全技术情况，包括但不限网络安全物理环境、网络拓扑结构、硬件设备的部署情况、网络边界划分等。二、各定级要素描述及分值确定(一)联网工业企业1.企业所属行业网络安全影响程度分值确定根据国民经济行业分类(GB/T4754-20”)，说明企业所属行业类别，按照工业互联网行业网络安全影响程度分类指导目录，确定企业所属行业分类，确定分值。4 .企业规模分值确定说明企业从业人员数量和资产总额多少，属于哪类规模企业，确定分值。5 .企业应用工业互联网程度分值确定说明企业工业相关智能设备、生产系统等联网情况，横或影响，说明对侵害客体的影响程度，确定分值。（三）标识解析企业1 .说明企业标识解析系统节点类型（顶级节点、二级节点、公共递归节点、企业内部节点等）、系统标识注册量、日标识解析查询量等。2 .说明企业标识解析系统服务的主要行业类别和行业数量等内容。3 .说明企业标识解析系统一旦发生重大网络安全事件后，受到侵害的客体是什么，即对国家安全、社会秩序、经济运行、公众利益、企业系统运行以及系统承载数据中哪些客体造成侵害或影响，说明对侵需客体的影响程度。三、企业网络安全等级的确定综合考虑各定级要素分值，参考工业互联网企业网络安全分类分级评定规则确定企业网络安全等级。企业类型定级要素得分总分安全等级联网工业企业平台企业标识解析企业（节点级别）