12月17日,根据工信部官网,为落实《加强》工业互联网安全工作的指导意见》,推动工业互联网落实安全责任,落实工业互联网企业工业和信息化部研究起草了《工业互联网安全分类管理》,提高了工业互联网安全保障能力和水平企业网络安全分类分类指南(试行)(草案)。现在向公众征求意见。工业和信息化部表示,本指南适用于三类企业:1。工业互联网的应用工业企业;2。工业互联网平台企业(主要指工业互联网平台等互联网平台信息服务3.工业互联网基础设施运营商主要包括基础设施电信运营建设和运营企业和标识分析系统。
此外,工业和信息化部表示,本指南的基本原则包括:企业分级与行业网络安全影响、行业指导与地方监督、企业自我评价与属地验证等。
以下是《分类指南》全文:
工业互联网企业网络安全分类分类指南(试行)
(征求意见稿)
为加强工业互联网安全工作,提高工业互联网企业网络安全能力和水平,进一步明确和落实企业网络安全的主要责任,加快建设工业互联网安全体系,促进工业互联网的高质量发展,护送制造力量和网络力量战略根据 《加强工业互联网安全指导意见》的要求,制定本指南。
(一)适用范围
工业和信息化部主管工业互联网企业在行业内的网络安全管理,适用本指南。
工业互联网企业根据企业属性主要包括三类:
1.应用工业互联网的工业企业(以下简称联网工业企业)主要涉及原材料工业、设备工业、消费品工业和电子信息制造业等行业;
2.工业互联网平台企业(以下简称平台企业信息服务的企业);
3.工业互联网基础设施运营商主要包括基础设施电信运营建设和运营企业和标识分析系统。
本指南规范了网络工业企业的网络安全分级。工业互联网平台企业和基础设施运营企业按照《通信网络安全保护管理办法》的分级方法进行规范。
(二)基本原则
企业分级与行业网络安全影响程度相关联。以《国民经济行业分类》(GB/T 4754-2017)为了基准化网络工业企业的行业类别,明确相关行业的网络安全影响程度,以企业所属行业的网络安全影响程度作为企业的关键参考因素。
行业指导与地方监管相结合。工业和信息化部对主管行业的工业互联网企业网络安全进行指导和管理。地方主管部门对本行政区域工业互联网企业的网络安全进行指导和监督。
企业自我评价与属地验证相结合。工业互联网企业按照分级评价规则进行自我评价,地方主管部门对企业自我评价结果进行验证和确认。
二、企业分级
(一)联网工业企业分级主要考虑企业所属行业网络安全的影响。企业规模、企业应用工业互联网的程度、企业网络安全事件的影响程度等因素。其中,行业网络安全的影响程度分为一、二、三类。企业分级为 100 :得分大于或等于 80 ,为三级企业;得分大于或等于 60 ,得分小于 80 ,为二级企业;得分小于 60 ,为一级企业。原则上,属于三类以上行业的互联网工业企业为三级。
(二)多属性企业的分级
同时具有互联网工业企业、平台企业、工业互联网基础设施运营企业两种以上属性的企业,按业务活动涉及的不同属性进行分类。
三、等级评定
(一)制定评估规则
工业和信息化部选择重点行业或地区进行分类试点,细化网络工业企业分类评价参考规则(见附件 2),形成评价规则。
(二)企业自评