《工业互联网安全分类分级管理办法》全文公布
发布时间:2025-03-29 10:58:31 浏览次数:924 来源:工业和信息化部网站
近日,《工业互联网安全分类分级管理办法》全文公布,《办法》共五章二十二条,以工业互联网企业为对象,明确应用工业互联网的工业企业、工业互联网平台企业、工业互联网标识解析企业三类企业类型,并将企业级别由高到低分为三级、二级、一级,《办法》规定工业互联网企业应根据要求开展自主定级,并通过全国工业互联网安全分类分级管理平台完成定级核查、做好分级防护、符合性评测、安全整改等工作。此外,《办法》规定三级工业互联网企业每年至少开展一次评测,二级工业互联网企业每两年至少开展一次评测。
工业和信息化部关于印发《工业互联网安全分类分级管理办法》的通知
工信部网安〔2024〕68号
各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市及计划单列市通信管理局,有关企事业单位:
现将《工业互联网安全分类分级管理办法》印发给你们,请认真抓好落实。
工业和信息化部
2024年4月11日
工业互联网安全分类分级管理办法
第一章 总 则
第一条 为加强工业互联网安全分类分级管理,落实企业网络安全主体责任,提升工业互联网安全防护水平,促进工业互联网深度融合应用,护航新型工业化高质量发展,维护国家安全和发展利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规及国家有关规定,制定本办法。
第二条 在中华人民共和国境内开展工业互联网安全分类分级管理工作的,应当遵守相关法律、行政法规和本办法的要求。
第三条 工业和信息化部统筹指导开展工业互联网安全分类分级管理工作,主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等主管行业领域。
各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门(以下称地方工业和信息化主管部门),各省、自治区、直辖市及计划单列市通信管理局(以下称地方通信管理局)开展本行政区域内工业互联网安全分类分级管理。地方工业和信息化主管部门主要负责指导本行政区域内联网工业企业的安全分类分级管理,同步加强工业控制系统网络安全防护。地方通信管理局主要负责开展本行政区域内平台企业、标识解析企业的安全分类分级管理,并在公共互联网上对联网设备、系统等进行安全监测。
地方工业和信息化主管部门、地方通信管理局统称地方主管部门。
第四条 工业互联网安全分类分级管理工作遵循统筹指导、分类施策、分级防护、突出重点的原则,指导企业提升安全防护能力。
第二章 企业分类分级
第五条 工业互联网安全分类分级管理以工业互联网企业为对象,企业类型主要包括以下三类:
(一)应用工业互联网的工业企业(以下称联网工业企业),主要是指将新一代信息通信技术与工业系统深度融合,推动开展数字化研发、智能化制造、网络化协同、个性化定制、服务化延伸等的工业企业;
(二)工业互联网平台企业(以下称平台企业),主要是指面向制造业数字化、网络化、智能化需求,基于云平台等方式对外提供工业大数据、工业APP等资源和公共服务的企业;
(三)工业互联网标识解析企业(以下称标识解析企业),主要是指工业互联网标识解析根节点运行机构、国家顶级节点运行机构、标识注册服务机构、递归节点运行机构等提供工业互联网标识服务的机构。
第六条 工业互联网企业应当按照工业互联网安全定级相关标准规范,结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响后果等要素,开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。
当企业定级要素发生较大变化,可能影响企业定级结果时,企业应当在发生变化的三个月内重新定级。同时具有联网工业企业、平台企业、标识解析企业中两种及以上属性的企业,应当按照不同类型分别定级。
第七条 完成自主定级的工业互联网企业通过全国工业互联网安全分类分级管理平台(以下称分类分级管理平台)开展信息登记,登记内容包括但不限于企业名称、企业类型、企业级别、联系方式、网络安全负责人等相关情况。地方主管部门通过分类分级管理平台对企业提交登记的材料,在三十个工作日内开展核查,对材料内容不齐全、定级不准确的,应当通知企业在二十个工作日内予以补正。
第八条 工业互联网企业应当按照联网工业企业、平台企业、标识解析企业、数据等相关安全防护标准规范,根据企业类型、自身级别落实相适应的安全要求,提升相关设备、控制、网络、平台、数据等的安全防护能力。
第九条 工业互联网企业应当按照法律法规和相关标准,自行或委托第三方评测机构,定期开展符合性评测,三级工业互联网企业每年至少开展一次评测,二级工业互联网企业每两年至少开展一次评测。一级工业互联网企业可参照二级企业相关要求开展评测。
第十条 工业互联网企业针对发现存在的网络安全风险,应当积极采取措施消除隐患。
第三章 网络安全管理
第十一条 工业和信息化部建立健全工业互联网安全分类分级管理制度体系,组织制定评估评测、信息通报、应急预案等相关制度,以及分类分级、安全管理、安全服务等相关标准,建立完善安全检查、监测预警、应急处置、成效评价等工作机制。
地方主管部门应当建立健全属地工业互联网安全分类分级管理制度机制,将工业互联网安全纳入重点工作任务,督促企业落实网络安全主体责任,强化重点企业指导管理,定期向工业和信息化部报送工业互联网安全管理工作情况。地方工业和信息化主管部门、通信管理局加强工作协同,共同做好工业互联网安全工作。
工业互联网企业承担本企业网络安全主体责任,企业主要负责人为本企业网络安全第一责任人,要建立健全企业内部网络安全管理制度,积极将网络安全纳入企业发展规划和工作考核,加大网络安全投入,加强网络安全防护能力建设,有效防范化解网络安全风险。企业应当配合工业和信息化部、地方主管部门的监督管理。
第十二条 工业和信息化部建立健全工业互联网安全监测预警和信息通报机制,建设国家级安全态势感知与风险预警手段,组织开展安全风险监测、预警和通报,加强威胁信息共享。
地方主管部门建立属地工业互联网安全监测预警机制,建设地方工业互联网安全技术平台,组织开展本行政区域内安全风险监测,及时向相关企业通报安全风险隐患,指导企业及时整改。
工业互联网企业应当根据自身级别,建设监测网络运行状态、网络安全事件的技术手段,留存相关的网络日志不少于六个月,采取防范网络攻击、病毒入侵等危害网络安全行为的技术措施,有效发现网络安全风险隐患并及时处置。三级工业互联网企业按照有关标准,加强企业平台与国家、地方平台之间的协同联动。
第十三条 工业和信息化部建立健全工业互联网安全应急处置制度机制,组织协调工业互联网重大及以上网络安全事件应急处置,开展工业互联网安全演练。
地方主管部门建立属地工业互联网安全应急处置制度,组织开展工业互联网安全演练,做好本行政区域内工业互联网安全事件应急处置工作,发现重大及以上安全事件,及时上报工业和信息化部。
工业互联网企业应当制定网络安全事件应急预案,定期开展安全演练,检验安全防护和应急处置能力。企业在网络安全事件发生后,立即启动应急预案,采取相应补救措施。发生一般及以上安全事件的,应当立即向地方主管部门报告。
第十四条 工业和信息化部建立健全工业互联网安全检查评估机制,定期组织开展对工业互联网企业的安全检查评估。
地方工业和信息化主管部门开展本行政区域内联网工业企业的安全评估,地方通信管理局开展本行政区域内平台企业、标识解析企业的安全检查,对发现的网络安全风险隐患,指导企业加强安全整改。地方主管部门每年面向三级工业互联网企业开展安全检查评估,定期面向二级、一级工业互联网企业开展安全检查评估。
工业互联网企业应当配合工业和信息化部、地方主管部门的网络安全检查评估。
第四章 支持与保障
第十五条 地方主管部门要加大人员投入和经费支持力度,加强工业互联网安全工作相关考核激励,建设工业互联网安全资源池,壮大属地安全支撑服务力量。
第十六条 地方主管部门要加强工业互联网安全政策标准宣贯,充分利用大会、论坛等方式,提升工业互联网安全意识和能力。加强工业互联网安全人才培养力度,鼓励行业企业、联盟协会、研究机构等开展工业互联网安全人才培训和岗位能力评价,支持举办工业互联网安全相关赛事活动。
第十七条 工业和信息化部鼓励、支持具备相关专业能力的第三方机构、网络安全企业等依据相关标准,开展工业互联网安全检测评估、安全咨询、安全运维、人员培训等安全服务,推动工业互联网安全服务认证,规范安全服务要求,提高安全服务质量。
第十八条 工业和信息化部指导联网工业企业识别重要工业控制系统,推动将分布式控制系统(DCS)等纳入网络关键设备目录,支持开展工业控制系统和设备安全检测。
第十九条 工业和信息化部支持地方主管部门以及行业企业、研究机构、高等学校等,通过专项项目、试点示范等方式,加大工业互联网安全技术研发和成果转化应用,选树分类分级防护典型案例,推广工业互联网安全产品和服务。
第五章 附则
第二十条 工业互联网企业违反本办法规定,不履行网络和数据安全保护义务的,工业和信息化部、地方主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规予以处理。
第二十一条 涉及关键信息基础设施安全保护的,按照有关规定执行。
第二十二条 本办法自印发之日起施行。
关键字: 网络和数据安全
新闻>政策法规
头条热点
公司新闻
行业标准
政策法规
国家数据局发布《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》(征求意见稿)
发布时间:2024-12-03 09:44:45 浏览次数:1759 来源:“国家数据局”微信公众号
11月29日,国家数据局发布《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》(征求意见稿),《征求意见稿》围绕明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人信息流通保障等方面提出7条重要任务,释放了打通数据、完善数据市场治理机制,促进数据要素发展的信号,其中,在明晰企业数据流通安全规则中提出,鼓励企事业单位设立首席数据官,强化数据开发利用。数据处理者应按照国家有关规定识别、申报重要数据,并依法接受监管部门的监督检查。在防范数据滥用风险中提出,要加强重点行业领域数据安全风险监测,持续增强风险分析、监测和处置能力,防范发生系统性、大范围数据安全风险。
关于向社会公开征求《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》意见的公告
为贯彻党的二十届三中全会精神,落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》,促进数据要素合规高效流通使用,充分释放数据价值,我们会同有关部门研究起草了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》,现向社会公开征求意见。
此次公开征求意见的时间是2024年11月29日至12月6日。欢迎社会各界人士提出意见,请通过电子邮件方式将意见发送至gjsjjzcs@126.com。
感谢您的参与和支持!
附件:关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案(征求意见稿)
国家数据局
2024年11月29日
附件
关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案(征求意见稿)
数据流通安全治理规则是数据基础制度的重要组成。为贯彻落实党中央、国务院决策部署,更好统筹发展和安全,建立健全数据流通安全治理机制,提升数据安全治理能力,促进数据要素合规高效流通利用,提出如下意见。
一、总体要求
以习近平新时代中国特色社会主义思想为指导,深入落实党的二十大和二十届二中、三中全会精神,全面贯彻总体国家安全观,统筹数据发展与安全,坚持系统思维、底线思维,将安全贯穿数据供给、流通、使用全过程,落实国家数据分类分级保护制度,明确数据跨主体流通中的安全治理规则,加强数据流通安全技术应用和产业培育,完善责任界定和权益保护机制,提升安全治理能力,防范数据滥用风险,坚决维护国家安全,保护个人信息和商业秘密,以成本最小化实现安全最优化,推动数据高质量发展和高水平安全良性互动,充分释放数据价值,促进数据开发利用。
到2027年底,规则明晰、产业繁荣、多方协同的数据流通安全治理体系基本构建,企业数据、公共数据、个人信息合规高效流通机制更加完善,治理效能显著提升,为繁荣数据市场、释放数据价值提供坚强保障。
二、主要任务
(一)明晰企业数据流通安全规则。支持企业通过编制数据资源目录、分析流通过程安全风险、制定分类分级保护措施等方式,提升数据治理能力。鼓励企业通过多种方式加强数据开发利用。鼓励企事业单位设立首席数据官,强化数据开发利用。数据处理者应按照国家有关规定识别、申报重要数据,并依法接受监管部门的监督检查。对确认为重要数据的,相关地区、部门应当及时向数据处理者告知或公开发布。数据处理者对外提供重要数据时,应按照相关法律法规、行业主管部门要求,采取必要的安全保护措施,切实维护国家安全、经济运行、社会稳定、公共健康和安全。鼓励开展数据脱敏等技术研究,对于经脱敏等技术处理后,依据所属行业领域的分类分级标准规范重新识别为一般数据的,可按照一般数据开展流通交易。
(二)加强公共数据流通安全管理。政务数据共享过程中,供给方按照“谁主管、谁提供、谁负责”的原则,明确政务数据共享范围、用途、条件,承担数据提供前的安全管理责任,探索建立接收方数据安全管理风险评估制度,确保数据在安全前提下有序共享。接收方按照“谁经手、谁使用、谁管理、谁负责”的原则,承担数据接收后的安全管理责任。有关地方和部门开展公共数据授权运营的,应依据有关要求明确公共数据授权运营机构的安全管理责任,建立健全数据安全管理制度,采取必要安全措施,加强关联风险识别和管控,保护公共数据安全。
(三)强化个人信息流通保障。个人信息流通应当依法依规取得个人同意或经过匿名化处理,不得通过强迫、欺诈、误导等方式取得个人同意。制定个人信息匿名化相关标准规范,明确匿名化操作规范、技术指标和流通环境要求。完善个人信息权益保障机制,鼓励采用国家网络公共身份认证等多种方式,强化个人信息保护。加强对个人信息处理活动的规范引导,健全个人信息保护投诉举报渠道。
(四)完善数据流通安全责任界定机制。数据供给方应当确保数据来源合法,数据需求方应严格按照要求使用数据,防止超范围使用。鼓励供需双方在数据流通交易合同中约定各自权责范围,清晰界定权责边界。探索建立数据流通安全审计和溯源机制,完善数据流通安全治理标准,融合应用数字水印、数据指纹、区块链等技术手段,高效支撑数据流通过程中的取证和定责。支持在自由贸易试验区(港)等地方开展先行先试,围绕数据流通交易溯源机制、重点场景安全治理标准、重点场景安全责任界定机制等,探索新型治理模式,提高治理效能。
(五)加强数据流通安全技术应用。支持数据流通安全技术创新,完善数据流通安全标准,引导企业按照数据分类分级保护要求,采取不同的安全技术开展数据流通。对于不涉及风险问题的一般数据,鼓励自行采取必要安全措施进行流通利用。对于未认定为重要数据,但企业认为涉及重要经营信息的,鼓励数据供给方、需求方接入和使用数据流通利用基础设施,促进数据安全流动。对于重要数据,在保护国家安全、个人隐私和确保公共安全的前提下,鼓励通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式,依法依规实现数据价值开发。
(六)丰富数据流通安全服务供给。繁荣数据安全服务业态,壮大数据安全治理服务规模,提升企业数据安全治理能力。支持数据安全服务机构加强基础理论研究、核心技术攻关和产品创新应用,向规模化、专业化、一体化方向发展,提升安全服务效能,降低应用成本。培育数据流通安全检测评估、安全审计等服务,健全有利于数据流通主体互信的市场化机制。丰富数据托管和数据保险服务供给,鼓励有条件的企业拓展面向中小企业的数据安全托管服务。
(七)防范数据滥用风险。依法严厉打击非法获取、出售或提供数据的黑灰产业,加强敏感个人信息保护,限制超出授权范围使用个人信息。依法依规惩处利用数据开展垄断、不正当竞争等行为,维护各方主体权益和市场公平竞争秩序。在国家数据安全工作协调机制统筹协调下,加强重点行业领域数据安全风险监测,持续增强风险分析、监测和处置能力,防范发生系统性、大范围数据安全风险,维护国家安全和经济社会稳定。研究完善数据流通安全事故或纠纷处置机制,提升流通风险应对能力。
强化部门协同,加强数据安全、个人信息保护等方面的执法协同,推动行政执法信息共享、情况通报和协同配合,提高监管效能。组织发布数据流通安全治理典型案例,充分发挥示范作用,营造“一地创新、全国共享”“一企创新、多企复用”的创新环境,促进数据安全有序流通。
关键字: 数据要素