各市州工信局,有关单位:
为进一步加强工业互联网网络安全管理,提升工业互联网企业网络安全水平,根据工信部等十部委《加强工业互联网安全工作的指导意见》(工信部联网安〔2019〕168号)和《工业和信息化部办公厅关于开展工业互联网安全深度行活动的通知》(工信厅网安函〔2022〕97号)等文件精神,省工信厅、省通管局决定在全省范围内组织开展工业互联网企业网络安全分类分级管理工作(以下简称“分类分级工作”)。现就有关事项通知如下。
一、工作目标
打造“湖南省工业互联网企业网络安全分类分级管理服务平台”,在省内10个以上重点行业100家左右工业互联网企业实施分类分级,帮助解决1000个以上工业互联网安全问题。到2022年底,全省工业互联网企业安全责任意识全面增强,安全保障体系基本构建,安全从业人员大幅增长,安全管理水平和防护能力显著改善,安全事故发生率持续降低,网络安全产业快速发展。
全省工业互联网企业包括应用工业互联网企业(简称联网工业企业)、工业互联网平台企业(简称平台企业)和标识解析企业,均应实施分类分级。现结合各地工业互联网发展基础并参照省委考核办印发的《2022年度市州绩效考核实施细则》的通知 (湘考办发〔2022〕 3号)有关规定,将14个市州分为A、B、C三类。其中,A类地区为长沙市、衡阳市、株洲市、湘潭市、岳阳市、常德市、郴州市、娄底市8个市,B类地区为邵阳市、益阳市、永州市3个市,C类地区为张家界市、怀化市、湘西自治州3个市州。2022年各市州参加分类分级工作企业数量,A类地区不少于8家,其中长沙不少于25家;B类地区不少于5家;C类地区不少于3家。
二、职责分工
省级组织及监管单位:省工信厅和省通管局负责建立框架合作协议,全面领导和组织全省分类分级工作。
地区监管单位:市州工信局负责本行政区内分类分级工作,制订分类分级目录,指导督促工业互联网企业完成自主定级、安全评估、落实安全防护要求和参加应急演练,组织对工业互联网企业开展定级核查和安全评估检查。
工业互联网企业(联网工业企业、平台企业、标识解析企业):履行工业互联网安全管理主体责任,按照有关规定开展自主定级、安全评估、安全整改、应急保障等工作,落实安全防护规范要求,保障工业互联网安全稳定运行。
支撑机构(湖南省电子信息产业研究院及相关安全技术服务机构):湖南省电子信息产业研究院为分类分级工作支撑机构,在监管单位领导下,开展分类分级政策宣贯、业务培训,组织安全技术服务机构为工业互联网企业自主定级、安全评估、安全整改等工作提供义务技术指导,组织评估评测机构开展定级核查、评估检查和安全整改验收,研究制订分类分级标准规范和政策制度。
三、工作流程
(一)工作启动(6月中旬)。省工信厅和省通管局制定全分类分级工作方案,组织召开分类分级工作启动会,部署开展相关政策宣贯和业务辅导。各市州工信局制定本地区分类分级工作方案,确定参与分类分级工作的工业互联网企业名单。
(二)自主定级(6月20日—6月30日)。工业互联网企业注册登录“湖南省工业互联网企业网络安全分类分级管理服务平台”(以下简称省平台),在安全技术服务机构指导下完成自主定级并上报定级报告。
(三)定级核查(7月1日—7月30日)。7月15日前,省电子信息产业研究院委托安全技术服务机构协助市州工信局对工业互联网企业自主定级情况进行核查,并在省平台上报核查情况。7月30日前,省工信厅、省通管局对各市州工信局核查结果进行复核,正式发布全省工业互联网企业分类分级清单。
(四)安全风险评估(8月1日—8月10日)。8月10日前,工业互联网企业在安全技术服务机构指导下开展安全评估,并将评估报告上传省平台。
(五)安全评估检查(8月10日—8月30日)。省工信厅、省通管局组织市州工信局、评估评测机构赴工业互联网企业开展安全评估核查,对检查发现的重大网络安全隐患出具整改通知书。
(六)安全整改建设(8月10日—10月30日)。工业互联网企业根据安全评估报告和整改通知书,在安全技术服务机构指导下制定整改建设方案,自主选择安全服务商落实与自身等级相适应的安全防护措施。
(七)检查验收(11月1日—20日)。省工信厅、省通管局组织评估评测机构对三级企业安全整改建设情况逐一开展现场检查,并出具整改验收报告。
(八)工作总结(11月20日—12月10日)。11月20日前,各市州工信局总结本地区分类分级工作情况并报送省工信厅。12月中旬,省工信厅和省通管局组织召开总结会议,对分类分级工作情况进行总结。
四、工作要求
(一)加强组织领导。工业互联网企业要落实安全主体责任,把分类分级工作列入重要议事日程,加强统筹组织,强化工作力量,加大资金投入,确保工作实效。各市州工信局要落实属地监管责任,加大宣传动员,加强协调服务,督导工业互联网全面做好分类分级工作。
(二)提升服务质量。省电子信息产业院要发挥支撑作用,牵头评估评测机构和安全技术服务机构与工业互联网企业建立“一对一”服务机制,切实做好政策宣贯、技术指导和检查督导工作。安全技术服务机构在自主定级、安全评估、整改验收中为企业提供技术指导以及评估评测机构开展安全评估检查、整改验收等所产生的人工和工作费用,均由省电子信息产业研究院负责。工业互联网企业在此之外的其他安全服务需求,由工业互联网企业与安全服务商自行约定。
(三)强化工作调度。各市州工信局要加强调度研究,及时协调解决分类分级工作中的问题,并于每月15日前在省平台报送工作进展情况。省工信厅和省通管局加大监督检查,定期通报好的做法,帮助协调存在问题。
湖南省工业和信息化厅
湖南省通信管理局
2022年6月16日