各省��、自治區(qū)��、直轄市及計劃單列市����、新疆生產(chǎn)建設兵團工業(yè)和信息化、教育����、人力資源社會保障、生態(tài)環(huán)境、衛(wèi)生健康��、應急管理�、國有資產(chǎn)監(jiān)管、市場監(jiān)管��、能源�����、國防科技工業(yè)主管部門��,各省�、自治區(qū)、直轄市通信管理局:
現(xiàn)將《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》印發(fā)給你們���,請結合工作實際�����,抓好貫徹落實。
工業(yè)和信息化部 教育部
人力資源和社會保障部 生態(tài)環(huán)境部
國家衛(wèi)生健康委員會 應急管理部
國務院國有資產(chǎn)監(jiān)督管理委員會 國家市場監(jiān)督管理總局
國家能源局 國家國防科技工業(yè)局
2019年7月26日
加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見
按照《國務院關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》(以下簡稱《指導意見》)部署�����,為加快構建工業(yè)互聯(lián)網(wǎng)安全保障體系,提升工業(yè)互聯(lián)網(wǎng)安全保障能力����,促進工業(yè)互聯(lián)網(wǎng)高質量發(fā)展,推動現(xiàn)代化經(jīng)濟體系建設��,護航制造強國和網(wǎng)絡強國戰(zhàn)略實施�,現(xiàn)就加強工業(yè)互聯(lián)網(wǎng)安全工作提出如下意見。
一����、總體要求
(一)指導思想
堅持以習近平新時代中國特色社會主義思想為指導,全面貫徹黨的十九大和十九屆二中���、三中全會精神����,按照《指導意見》有關要求��,圍繞設備����、控制、網(wǎng)絡�����、平臺、數(shù)據(jù)安全��,落實企業(yè)主體責任��、政府監(jiān)管責任���,健全制度機制��、建設技術手段���、促進產(chǎn)業(yè)發(fā)展、強化人才培育�����,構建責任清晰�����、制度健全����、技術先進的工業(yè)互聯(lián)網(wǎng)安全保障體系,覆蓋工業(yè)互聯(lián)網(wǎng)規(guī)劃�����、建設�����、運行等全生命周期��,形成事前防范�����、事中監(jiān)測�、事后應急能力,全面提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展安全保障能力和服務水平���。
(二)基本原則
筑牢安全����,保障發(fā)展����。以安全保發(fā)展�,以發(fā)展促安全�����。嚴格落實《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)��,按照誰運營誰負責��、誰主管誰負責的原則���,堅持發(fā)展與安全并重���,安全和發(fā)展同步規(guī)劃、同步建設�、同步運行。
統(tǒng)籌指導����,協(xié)同推進。做好頂層設計和系統(tǒng)謀劃��,結合各地實際�,突出重點,分步協(xié)同推進���,加快構建工業(yè)互聯(lián)網(wǎng)安全保障體系��,確保安全工作落實到位��。
分類施策��,分級管理���。根據(jù)行業(yè)重要性、企業(yè)規(guī)模�����、安全風險程度等因素�����,對企業(yè)實施分類分級管理�,集中力量指導、監(jiān)管重要行業(yè)��、重點企業(yè)提升工業(yè)互聯(lián)網(wǎng)安全保障能力��,夯實企業(yè)安全主體責任���。
融合創(chuàng)新��,重點突破����。基于工業(yè)互聯(lián)網(wǎng)融合發(fā)展特性����,創(chuàng)新安全管理機制和技術手段,鼓勵推動重點領域技術突破�,加快安全可靠產(chǎn)品的創(chuàng)新推廣應用,有效應對新型安全挑戰(zhàn)�。
(三)總體目標
到2020年底,工業(yè)互聯(lián)網(wǎng)安全保障體系初步建立。制度機制方面,建立監(jiān)督檢查���、信息共享和通報、應急處置等工業(yè)互聯(lián)網(wǎng)安全管理制度,構建企業(yè)安全主體責任制�,制定設備��、平臺�����、數(shù)據(jù)等至少20項亟需的工業(yè)互聯(lián)網(wǎng)安全標準,探索構建工業(yè)互聯(lián)網(wǎng)安全評估體系��。技術手段方面��,初步建成國家工業(yè)互聯(lián)網(wǎng)安全技術保障平臺�����、基礎資源庫和安全測試驗證環(huán)境��。產(chǎn)業(yè)發(fā)展方面�,在汽車����、電子信息、航空航天���、能源等重點領域���,形成至少20個創(chuàng)新實用的安全產(chǎn)品、解決方案的試點示范�,培育若干具有核心競爭力的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。
到2025年���,制度機制健全完善�,技術手段能力顯著提升,安全產(chǎn)業(yè)形成規(guī)模���,基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系���。
二、主要任務
(一)推動工業(yè)互聯(lián)網(wǎng)安全責任落實
1.依法落實企業(yè)主體責任�����。工業(yè)互聯(lián)網(wǎng)企業(yè)明確工業(yè)互聯(lián)網(wǎng)安全責任部門和責任人����,建立健全重點設備裝置和系統(tǒng)平臺聯(lián)網(wǎng)前后的風險評估、安全審計等制度���,建立安全事件報告和問責機制����,加大安全投入���,部署有效安全技術防護手段�,保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行。由網(wǎng)絡安全事件引發(fā)的安全生產(chǎn)事故����,按照安全生產(chǎn)有關法規(guī)進行處置。
2.政府履行監(jiān)督管理責任����。工業(yè)和信息化部組織開展工業(yè)互聯(lián)網(wǎng)安全相關政策制定、標準研制等綜合性工作���,并對裝備制造�、電子信息及通信等主管行業(yè)領域的工業(yè)互聯(lián)網(wǎng)安全開展行業(yè)指導管理�����。地方工業(yè)和信息化主管部門指導本行政區(qū)域內(nèi)應用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)的安全工作���,同步推進安全產(chǎn)業(yè)發(fā)展,并聯(lián)合應急管理部門推進工業(yè)互聯(lián)網(wǎng)在安全生產(chǎn)監(jiān)管中的作用���;地方通信管理局監(jiān)管本行政區(qū)域內(nèi)標識解析系統(tǒng)�����、公共工業(yè)互聯(lián)網(wǎng)平臺等的安全工作���,并在公共互聯(lián)網(wǎng)上對聯(lián)網(wǎng)設備��、系統(tǒng)等進行安全監(jiān)測����。生態(tài)環(huán)境����、衛(wèi)生健康、能源�����、國防科技工業(yè)等部門根據(jù)各自職責����,開展本行業(yè)領域工業(yè)互聯(lián)網(wǎng)推廣應用的安全指導、監(jiān)管工作����。
(二)構建工業(yè)互聯(lián)網(wǎng)安全管理體系
3.健全安全管理制度�����。圍繞工業(yè)互聯(lián)網(wǎng)安全監(jiān)督檢查���、風險評估、數(shù)據(jù)保護����、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制��,強化對企業(yè)的安全監(jiān)管�����。
4.建立分類分級管理機制�����。建立工業(yè)互聯(lián)網(wǎng)行業(yè)分類指導目錄��、企業(yè)分級指標體系�����,制定工業(yè)互聯(lián)網(wǎng)行業(yè)企業(yè)分類分級指南��,形成重點企業(yè)清單��,強化逐級負責的政府監(jiān)管模式�,實施差異化管理。
5.建立工業(yè)互聯(lián)網(wǎng)安全標準體系�����。推動工業(yè)互聯(lián)網(wǎng)設備�、控制、網(wǎng)絡(含標識解析系統(tǒng))�����、平臺���、數(shù)據(jù)等重點領域安全標準的研究制定�,建設安全技術與標準試驗驗證環(huán)境�,支持專業(yè)機構、企業(yè)積極參與相關國際標準制定���,加快標準落地實施�。
(三)提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護水平
6.夯實設備和控制安全。督促工業(yè)企業(yè)部署針對性防護措施��,加強工業(yè)生產(chǎn)�、主機、智能終端等設備安全接入和防護�����,強化控制網(wǎng)絡協(xié)議���、裝置裝備�����、工業(yè)軟件等安全保障�����,推動設備制造商���、自動化集成商與安全企業(yè)加強合作�����,提升設備和控制系統(tǒng)的本質安全。
7.提升網(wǎng)絡設施安全�����。指導工業(yè)企業(yè)�、基礎電信企業(yè)在網(wǎng)絡化改造及部署IPv6、應用5G的過程中���,落實安全標準要求并開展安全評估�����,部署安全設施��,提升企業(yè)內(nèi)外網(wǎng)的安全防護能力���。要求標識解析系統(tǒng)的建設運營單位同步加強安全防護技術能力建設,確保標識解析系統(tǒng)的安全運行����。
8.強化平臺和工業(yè)應用程序(APP)安全。要求工業(yè)互聯(lián)網(wǎng)平臺的建設���、運營單位按照相關標準開展平臺建設����,在平臺上線前進行安全評估,針對邊緣層��、IaaS層(云基礎設施)���、平臺層(工業(yè)PaaS)�、應用層(工業(yè)SaaS)分層部署安全防護措施��。建立健全工業(yè)APP應用前安全檢測機制����,強化應用過程中用戶信息和數(shù)據(jù)安全保護。
(四)強化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護能力
9.強化企業(yè)數(shù)據(jù)安全防護能力���。明確數(shù)據(jù)收集����、存儲�����、處理、轉移���、刪除等環(huán)節(jié)安全保護要求,指導企業(yè)完善研發(fā)設計���、工業(yè)生產(chǎn)�����、運維管理����、平臺知識機理和數(shù)字化模型等數(shù)據(jù)的防竊密���、防篡改和數(shù)據(jù)備份等安全防護措施����,鼓勵商用密碼在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)保護工作中的應用���。
10.建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系����。依據(jù)工業(yè)門類領域、數(shù)據(jù)類型���、數(shù)據(jù)價值等建立工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分級分類管理制度��,開展重要數(shù)據(jù)出境安全評估和監(jiān)測����,完善重大工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)泄露事件觸發(fā)響應機制����。
(五)建設國家工業(yè)互聯(lián)網(wǎng)安全技術手段
11.建設國家、省����、企業(yè)三級協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術保障平臺。工業(yè)和信息化部統(tǒng)籌建設國家工業(yè)互聯(lián)網(wǎng)安全技術保障平臺�����。工業(yè)基礎較好的省���、自治區(qū)�、直轄市先期試點建設省級技術保障平臺�。支持鼓勵機械制造、電子信息、航空航天等重點行業(yè)企業(yè)建設企業(yè)級安全平臺���,強化地方��、企業(yè)與國家平臺之間的系統(tǒng)對接��、數(shù)據(jù)共享、業(yè)務協(xié)作��,打造整體態(tài)勢感知��、信息共享和應急協(xié)同能力��。
12.建立工業(yè)互聯(lián)網(wǎng)安全基礎資源庫����。建設工業(yè)互聯(lián)網(wǎng)資產(chǎn)目錄庫、工業(yè)協(xié)議庫����、安全漏洞庫、惡意代碼病毒庫和安全威脅信息庫等基礎資源庫��,推動研制面向典型行業(yè)工業(yè)互聯(lián)網(wǎng)安全應急處置��、安全事件現(xiàn)場取證等工具集,加強工業(yè)互聯(lián)網(wǎng)安全資源儲備��。
13.建設工業(yè)互聯(lián)網(wǎng)安全測試驗證環(huán)境���。搭建面向機械制造���、電子信息、航空航天等行業(yè)的工業(yè)互聯(lián)網(wǎng)安全攻防演練環(huán)境���,測試�、驗證各環(huán)節(jié)存在的網(wǎng)絡安全風險以及相應的安全防護解決方案�,提升識別安全隱患、抵御安全威脅����、化解安全風險的能力。
(六)加強工業(yè)互聯(lián)網(wǎng)安全公共服務能力
14.開展工業(yè)互聯(lián)網(wǎng)安全評估認證�����。構建工業(yè)互聯(lián)網(wǎng)設備�、網(wǎng)絡、平臺��、工業(yè)APP等的安全評估體系,依托產(chǎn)業(yè)聯(lián)盟���、行業(yè)協(xié)會等第三方機構為工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)開展安全能力評測評估服務����,推動工業(yè)互聯(lián)網(wǎng)安全測評機構的審核認定����。
15.提升工業(yè)互聯(lián)網(wǎng)安全服務水平��。鼓勵和支持專業(yè)機構���、網(wǎng)絡安全企業(yè)等提供安全診斷評估���、安全咨詢、數(shù)據(jù)保護����、代碼檢查、系統(tǒng)加固�����、云端防護等服務。鼓勵基礎電信企業(yè)��、互聯(lián)網(wǎng)企業(yè)���、系統(tǒng)解決方案提供商等依托專業(yè)技術優(yōu)勢�����,加強與工業(yè)互聯(lián)網(wǎng)企業(yè)的需求對接���,輸出安全保障服務。
(七)推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展
16.支持工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新�����。加大對工業(yè)互聯(lián)網(wǎng)安全技術研發(fā)和成果轉化的支持力度��,強化標識解析系統(tǒng)安全�����、平臺安全���、工業(yè)控制系統(tǒng)安全����、數(shù)據(jù)安全、5G安全等相關核心技術研究��,加強攻擊防護�、漏洞挖掘、態(tài)勢感知等安全產(chǎn)品研發(fā)���。支持通過眾測眾研等創(chuàng)新方式����,聚集社會力量���,提升漏洞隱患發(fā)現(xiàn)技術能力。支持專業(yè)機構����、高校、企業(yè)等聯(lián)合建設工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新中心和安全實驗室�����。探索利用人工智能����、大數(shù)據(jù)��、區(qū)塊鏈等新技術提升安全防護水平���。
17.促進工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展。充分利用國家和地方網(wǎng)絡安全產(chǎn)業(yè)園(基地)等形式���,整合相關行業(yè)資源��,打造產(chǎn)學研用協(xié)同創(chuàng)新發(fā)展平臺�����,形成工業(yè)互聯(lián)網(wǎng)安全對外展示和市場服務能力����,培育一批核心技術水平高��、市場競爭能力強�����、輻射帶動范圍廣的工業(yè)互聯(lián)網(wǎng)安全企業(yè)��。在汽車、電子信息���、航空航天�、能源等重點領域開展試點示范����,遴選優(yōu)秀安全解決方案和最佳實踐,并加強應用推廣���。
三�、保障措施
(一)加強組織領導��,健全工作機制��。在工業(yè)互聯(lián)網(wǎng)專項工作組的統(tǒng)一指導下�����,加強統(tǒng)籌協(xié)調��,強化部門協(xié)同��、部省合作�,構建各負其責、緊密配合�、運轉高效的工作機制。各地工業(yè)和信息化���、教育�、人力資源社會保障���、生態(tài)環(huán)境�����、衛(wèi)生健康����、應急管理����、國有資產(chǎn)監(jiān)管、市場監(jiān)管���、能源���、國防科技工業(yè)等主管部門及地方通信管理局要加強配合���,形成合力。
(二)加大支持力度����,優(yōu)化創(chuàng)新環(huán)境。各地相關部門要結合本地工業(yè)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀��,優(yōu)化政府支持機制和方式����,加大對工業(yè)互聯(lián)網(wǎng)安全的支持力度,鼓勵企業(yè)技術創(chuàng)新和安全應用����,加快建設工業(yè)互聯(lián)網(wǎng)安全技術手段,推動安全產(chǎn)業(yè)集聚發(fā)展�����。
(三)發(fā)揮市場作用����,匯聚多方力量。充分發(fā)揮市場在資源配置中的決定性作用�,以工業(yè)互聯(lián)網(wǎng)企業(yè)的安全需求為著力點,形成市場需求牽引����、政府支持推動的發(fā)展局面。匯聚政產(chǎn)學研用多方力量�����,逐步建立覆蓋決策研究��、公共研發(fā)����、標準推進、聯(lián)盟論壇���、人才培養(yǎng)等的創(chuàng)新支撐平臺��,形成支持工業(yè)互聯(lián)網(wǎng)安全發(fā)展合力��。
(四)加強宣傳教育�����,加快人才培養(yǎng)��。深入推進產(chǎn)教融合�����、校企合作����,建立安全人才聯(lián)合培養(yǎng)機制,培養(yǎng)復合型�����、創(chuàng)新型高技能人才����。開展工業(yè)互聯(lián)網(wǎng)安全宣傳教育,提升企業(yè)和相關從業(yè)人員網(wǎng)絡安全意識�����。開展網(wǎng)絡安全演練�����、安全競賽等,培養(yǎng)選拔不同層次的工業(yè)互聯(lián)網(wǎng)安全從業(yè)人員�����。依托國家專業(yè)機構等����,打造技術領先�����、業(yè)界知名的工業(yè)互聯(lián)網(wǎng)安全高端智庫�����。