加强 工业 互联网 安全 工作 的 指导 意见
按照 《国务院 关于 深化 “互联网 + 先进 制造业” 发展 工业 互联网 的 指导 意见》 (以下 简称 《指导 意见》) 部署 , 为 加快 构建 工业 互联网 安全 保障 体系 , 提升 工业 互联网 安全 保障 能力 , 促进 工业 高质量发展 , 推动 现代化 经济 体系 建设 , 护航 制造 强国 和 网络 强国 战略 实施 , 现 就 加强 工业 互联网 安全 工作 提出 如下 意见。
XNUMX. Requisitos generales
(一) 指导 思想
坚持 以 习近平 新 时代 中国 特色 社会主义 思想 为 指导 , 全面 贯彻 党 的 十九 大 和 十 九届 二 中 、 三中全会 精神 , 按照 《指导 意见》 有关 要求 , 围绕 设备 、 控制 、 网络 、 平台 、 安全 安全, 落实 企业 主体 责任 、 政府 监管 责任 , 健全 制度 机制 、 建设 技术 手段 、 促进 产业 发展 、 强化 人才 培育 , 构建 责任 清晰 、 制度 健全 、 技术 的 工业 互联网 安全 保障 体系 , 覆盖 工业 互联网 规划 建设 ,等 全 生命 周期 , 形成 事前 防范 、 事 中 监测 、 事后 应急 能力 , 全面 提升 工业 互联网 创新 发展 安全 保障 能力 和 服务 水平。
(二) 基本 原则
筑牢 安全 , 保障 发展。 以 安全 保 发展 , 以 发展 促 安全。 严格 落实 《中华人民共和国 网络 安全 法》 等 法律 法规 , 按照 谁 运营 谁 负责 、 谁 主管 谁 负责 的 原则 坚持 发展 与 , , ,安全 和 发展 同步 规划 、 同步 建设 、 同步 运行。
统筹 指导 , 协同 推进。 做好 顶层 设计 和 系统 谋划 , 结合 各地 实际 , 突出 重点 , 分 步 协同 推进 , 加快 构建 工业 互联网 安全 保障 体系 , 确保 安全 工作 落实。。
分类 施 策 , 分级 管理。 根据 行业 重要性 、 企业 规模 、 安全 风险 程度 等 因素 , 对 企业 实施 分类 分级 管理 , 集中 力量 指导 、 监管 重要 行业 、 重点 企业 提升 工业 互联网 安全 保障 能力 , 责任。 主体 主体
融合 创新 , 重点 突破。 基于 工业 互联网 融合 发展 特性 , 创新 安全 管理 机制 和 技术 手段 , 鼓励 推动 重点 领域 技术 突破 , 加快 安全 可靠 产品 的 创新 推广 应用 , 有效 应对 新型 安全 挑战。
(三) 总体 目标
到 2020 年底 , 工业 互联网 安全 保障 体系 初步 建立。 制度 机制 方面 , 建立 监督 检查 、 信息 共享 和 通报 、 应急 处置 等 工业 互联网 安全 管理 制度 , 构建 企业 安全 主体 责任制 制定 设备 设备 、 平台 、 等 至少 20项 亟需 的 工业 互联网 安全 标准 , 探索 构建 工业 互联网 安全 评估 体系。 技术 手段 方面 , 初步 建成 国家 工业 互联网 安全 技术 保障 平台 、 基础 资源 库 和 安全 测试 验证 环境。 产业 发展 方面 , 在 汽车 、 信息 信息航空 航天 、 能源 等 重点 领域 , 形成 至少 20 个 创新 实用 的 安全 产品 、 解决 解决 的 试点 示范 , 培育 若干 具有 核心 竞争 力 的 工业 互联网 安全 企业。
到 2025 年 , 制度 机制 健全 完善 , 技术 手段 能力 显 著 提升 , 安全 产业 形成 规模 , 基本 建立起 较为 完备 可靠 的 工业 互联网 安全 保障 体系。
XNUMX. Tareas principales
(一) 推动 工业 互联网 安全 责任 落实
1. 依法 落实 企业 主体 责任。 工业 互联网 企业 明确 工业 互联网 安全 责任 部门 和 责任 人 , 建立 健全 重点 设备 装置 和 系统 平台 联网 前后 的 风险 评估 、 安全 审计 等 制度 , 建立 安全 事件 报告 和 问责 , 加大 安全 投入 , 部署 有效 安全 技术 防护 手段 , 保障 工业 互联网 安全 稳定 运行。 由 网络 安全 事件 引发 的 安全 生产 事故 , 按照 安全 生产 有关 法规 进行 处置。
2. 政府 履行 监督 管理 责任。 工业 和 信息 化 部 组织 开展 工业 互联网 安全 相关 政策 制定 、 标准 研制 等 综合 性 工作 , 并对 装备 制造 、 电子 信息 及 通信 等 主管 行业 领域 的 工业 互联网 安全 开展 指导 管理。 地方 工业 和 信息 化 主管 部门 指导 本 行政区 域内 应用 工业 互联网 的 工业 企业 的 安全 工作 , 同步 推进 安全 产业 发展 , 并 联合 应急 管理 部门 推进 工业 互联网 在 安全 生产 监管 中 的 作用 ; 地方 通信 监管本 行政区 域内 标识 解析 系统 、 公共 工业 互联网 平台 等 的 安全 工作 , 并 在 公共 互联网 上 对 联网 设备 、 系统 等 进行 安全 监测。 生态 环境 、 卫生 健康 、 能源 、 国防 科技 工业 等 部门 根据 职责 职责 ,本 行业 领域 工业 互联网 推广 应用 的 安全 指导 、 监管 工作。
(二) 构建 工业 互联网 安全 管理 体系
3. 健全 安全 管理 制度。 围绕 工业 互联网 安全 监督 检查 、 风险 评估 、 数据 保护 、 信息 共享 和 通报 、 应急 处置 等 方面 建立 健全 安全 管理 制度 和 工作 机制 , 强化 对 企业 的 安全 监管。
4. 建立 分类 分级 管理 机制。 建立 工业 互联网 行业 分类 指导 目录 、 企业 分级 指标 体系 , 制定 工业 互联网 行业 企业 分类 分级 指南 , 形成 重点 企业 清单 , 强化 逐级 负责 的 政府 监管 模式 , 实施 差异 化。
5. 建立 工业 互联网 安全 标准 体系。 推动 工业 互联网 设备 、 控制 、 网络 (含 标识 解析 系统) 、 平台 、 数据 等 领域 安全 标准 的 研究 制定 , 建设 安全 技术 与 标准 试验 验证 环境 , 支持 专业 、 、积极 参与 相关 国际 标准 制定 , 加快 标准 落地 实施。
(三) 提升 企业 工业 互联网 安全 防护 水平
6. 夯实 设备 和 控制 安全。 督促 工业 企业 部署 针对性 防护 措施 , 加强 工业 生产 、 主机 、 智能 终端 等 设备 安全 接入 防护 , 强化 控制 网络 协议 、 装置 装备 、 工业 软件 等 安全 保障 , 推动 制造商 、 自动化 集成 商 与 安全 企业 加强 合作 , 提升 设备 和 控制 系统 的 本质 安全。
7. 提升 网络 设施 安全。 指导 工业 企业 、 基础 电信 企业 在 网络 化 改造 及 部署 IPv6 、 应用 5G 的 过程 中 , 落实 安全 标准 要求 并 开展 安全 评估 , 部署 安全 设施 提升 企业 内外 网。 的 能力要求 标识 解析 系统 的 建设 运营 单位 同步 加强 安全 防护 技术 能力 建设 , 确保 标识 解析 系统 的 安全 运行。
8. 强化 平台 和 工业 应用 程序 (APP) 安全。 要求 工业 互联网 平台 的 建设 、 运营 按照 按照 相关 标准 开展 建设 , 在 平台 上 线 前 进行 安全 评估 , 针对 边缘 层 、 IaaS 层 (云 基础))层 (工业 PaaS) 、 应用 层 (工业 SaaS) 分层 部署 安全 防护 措施。 建立 健全 工业 APP 应用 前 安全 检测 机制 , 强化 应用 过程 中 用户 信息 和 数据 安全 保护。
(四) 强化 工业 互联网 数据 安全 保护 能力
9. 强化 企业 数据 安全 防护 能力。 明确 数据 收集 、 存储 、 处理 、 转移 、 删除 等 环节 安全 保护 要求 , 指导 企业 完善 研发 设计 、 工业 生产 、 运 维 管理 、 平台 知识 机理 和 数字 化 模型 等 数据、 防 篡改 和 数据 备份 等 安全 防护 措施 , 鼓励 商用 密码 在 工业 互联网 数据 保护 工作 中 的 应用。
10. 建立 工业 互联网 全 产业 链 数据 安全 管理 体系。 依据 工业 门类 领域 、 数据 类型 、 数据 价值 等 建立 工业 互联网 数据 分级 分类 管理 制度 , 开展 重要 数据 出境 安全 评估 和 监测 完善 重大 工业 互联网 数据 事件响应 机制。
(五) 建设 国家 工业 互联网 安全 技术 手段
11. 建设 国家 、 省 、 企业 三级 协同 的 工业 互联网 安全 技术 保障 平台。 工业 和 信息 化 部 统筹 建设 国家 工业 互联网 安全 技术 保障 平台。 工业 基础 较好 的 省 、 自治区 、 直辖市 先期 试点 建设 省级 技术保障 平台。 支持 鼓励 机械 制造 、 电子 信息 、 航空 航天 等 重点 行业 企业 建设 企业 级 安全 平台 , 强化 地方 、 企业 与 国家 平台 之间 的 系统 对接 、 数据 共享 、 业务 协作 打造 整体 态势 感知 , ,应急 协同 能力。
12. 建立 工业 互联网 安全 基础 资源 库。 建设 工业 互联网 资产 目录 库 、 工业 协议 库 、 安全 漏洞 库 、 恶意 代码 病毒 库 和 安全 威胁 信息 库 等 基础 资源 库 , 推动 研制 面向 典型 行业 工业 互联网 安全 处置 处置安全 事件 现场 取证 等 工具 集 , 加强 工业 互联网 安全 资源 储备。
13. 建设 工业 互联网 安全 测试 验证 环境。 搭建 面向 机械 制造 、 电子 信息 、 航空 航天 等 行业 的 工业 互联网 安全 攻防 演练 环境 , 测试 、 验证 各 环节 存在 的 网络 安全 风险 以及 相应 的 安全 防护 解决 , , 的 安全 防护 解决 , , 的安全 隐患 、 抵御 安全 威胁 、 化解 安全 风险 的 能力。
(六) 加强 工业 互联网 安全 公共 服务 能力
14. 开展 工业 互联网 安全 评估 认证。 构建 工业 互联网 设备 、 网络 、 平台 、 工业 APP 等 的 安全 评估 体系 , 依托 产业 联盟 、 行业 协会 等 第三方 机构 为 工业 互联网 企业 持续 开展 安全 能力 评测 评估 服务 , 工业互联网 安全 测评 机构 的 审核 认定。
15. 提升 工业 互联网 安全 服务 水平。 鼓励 和 支持 专业 机构 、 网络 安全 企业 等 提供 安全 诊断 评估 、 安全 咨询 、 数据 保护 、 代码 检查 、 系统 加固 、 云端 防护 等 服务。 鼓励 基础 电信 企业 、 互联网 、 系统解决 方案 提供商 等 依托 专业 技术 优势 , 加强 与 工业 互联网 企业 的 需求 对接 , 输出 安全 保障 服务。
(七) 推动 工业 互联网 安全 科技 创新 与 产业 发展
16. 支持 工业 互联网 安全 科技 创新。 加大 对 工业 互联网 安全 技术 研发 和 成果 转化 的 支持 力度 , 强化 标识 解析 系统 安全 、 平台 安全 、 工业 控制 系统 安全 、 数据 安全 、 5G 安全 等 相关 核心 技术 ,攻击 防护 、 漏洞 挖掘 、 态势 感知 等 安全 产品 研发。 支持 通过 众 测 众 研 等 创新 方式 , 聚集 社会 力量 , 提升 漏洞 隐患 发现 技术 能力。 支持 专业 机构 、 高校 、 企业 等 联合 建设 中心 和 创新 创新安全 实验室。 探索 利用 人工智能 、 大 数据 、 区块 链 等 新 技术 提升 安全 防护 水平。
17. 促进 工业 互联网 安全 产业 发展。 充分 利用 国家 和 地方 网络 安全 产业 园 (基地) 等 形式 , 整合 相关 行业 资源 , 打造 产学研 用 协同 创新 发展 平台 , 形成 工业 互联网 安全 对外 展示 和 市场 服务 , 培育一批 核心 技术 水平 高 、 市场 竞争 能力 强 、 辐射 带动 范围 广 的 工业 互联网 安全。。 在 、 电子 信息 、 航空 航天 、 能源 等 重点 领域 开展 试点 示范 , 遴选 优秀 安全 解决 方案 和 , , 并加强 应用 推广。
三 、 保障 措施
(一) 加强 组织 领导 , 健全 工作 机制。 在 工业 互联网 专项 工作 组 的 统一 指导 下 , 加强 统筹 协调 , 强化 部门 协同 、 部 省 合作 , 构建 各负其责 、 紧密 配合 、 运转 高效 的 工作 机制 各地工业 和 信息 化 、 教育 、 人力 资源 社会 保障 、 生态 环境 、 卫生 健康 、 应急 管理 、 国有 资产 监管 、 市场 监管 、 能源 、 国防 科技 工业 等 主管 部门 及 地方 通信 管理局 要 加强 配合 , 合力。
(二) 加大 支持 力度 , 优化 创新 环境。 各地 相关 部门 要 结合 本地 工业 互联网 发展 现状 , 优化 政府 支持 机制 和 方式 , 加大 对 工业 互联网 安全 的 支持 力度 , 鼓励 企业 技术 创新 和 安全 , , 建设工业 互联网 安全 技术 手段 , 推动 安全 产业 集聚 发展。
(三) 发挥 市场 作用 , 汇聚 多方 力量。 充分 发挥 市场 在 资源 配置 中 的 决定性 作用 , 以 工业 互联网 企业 的 安全 需求 为 着力 点 , 形成 市场 需求 牵引 、 政府 支持 推动 的 发展 局面。 汇聚 产学研 的多方 力量 , 逐步 建立 覆盖 决策 研究 、 公共 研发 、 标准 推进 、 联盟 论坛 、 人才 培养 等 的 创新 支撑 平台 , 形成 支持 工业 互联网 安全 发展 合力。
(四) 加强 宣传 教育 , 加快 人才 培养。 深入 推进 产 教 融合 、 校 企 合作 , 建立 安全 人才 联合 培养 机制 , 培养 复合 型 、 创新 型 高 技能 人才。 开展 工业 互联网 安全 宣传 教育 , 提升 和 和人员 网络 安全 意识。 开展 网络 安全 演练 、 安全 竞赛 等 , 培养 选拔 不同 层次 的 工业 互联网 安全 从业人员。 依托 国家 专业 机构 等 , 打造 技术 领先 、 业界 知名 的 工业 互联网 安全 高端 智库。