发布机构 | 信息化发展处 | ||
文件号 | 苏工信信发〔2021〕428号 | 制发日期 | 2021-09-03 |
各设区市工信局:
为进一步提升我省工业企业、工业互联网平台企业的信息安全防护能力和水平,根据《关于加强工业互联网安全工作的实施意见》、《2021年工业信息安全工作要点》等文件要求,省工信厅定于2021年8月至11月开展工业信息安全防护星级企业培育工作,现将有关要求通知如下:
一、培育对象
本次培育工作优先服务2021年新申报省工信厅试点示范项目的工业企业和工业互联网平台企业。积极鼓励2018年以来由国家、省、市工信部门认定的各类信息化基础较好的工业企业和工业互联网平台企业参与。
二、培育方式
本次培育工作通过检测评估、咨询诊断和整改提升等方式,提升企业安全防护能力,帮助企业实现星级达标(工控安全防护基础建设级或平台安全防护基本级及以上等级)或星级提升。省工信厅负责工业信息安全防护星级企业培育工作的总体协调推进,并组织对自评估咨询机构的统一集中培训。各设区市工信局负责遴选推荐流程规范、服务高效、技术过硬的自评估咨询机构,组织发动辖区内企业积极参与培育,并做好机构与参培企业间的对接服务工作。自评估咨询机构负责为企业提供免费咨询服务,针对企业在自评估过程中存在的实际困难提供一对一咨询服务,帮助企业摸清自身信息安全防护能力的实际情况。省级工业信息安全服务支撑机构负责为企业提供咨询诊断、整改提升等服务,帮助企业诊断问题并认清与标准间的差距;同时针对存在的问题提出安全防护整改建议,帮助企业提升安全防护能力,满足星级企业培育标准。参培企业可按照自评估咨询服务机构管理工作要求(详见附件1)自行联系并委托服务机构,也可由当地工信部门指定服务机构。
三、培育类型及要求
(一)工控安全防护星级企业
依据《信息安全技术 工业控制系统信息安全防护能力成熟度模型》(报批稿),工控系统信息安全防护能力分为5个级别,包括:基础建设级(1星)、规范防护级(2星)、集成管控级(3星)、综合协同级(4星)、智能优化级(5星)。
基础建设级(1星):企业能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作,安全防护能力建设主要基于特定业务场景,尚未形成规范化、流程化的工作方式,相关工作多依赖信息安全人员主观经验,建设过程未要求以文档形式记录,无法形成可复制。
规范防护级(2星):企业建立并记录工业控制系统信息安全防护能力建设工作,能够针对工业控制设备、工业主机、工业网络、工业数据等方面,制定规范化安全防护制度、规章,使得企业能够以重复的方式执行,采用数字化装备、信息技术手段等,有针对性的开展安全防护,面向各方面形成独立、可复制的安全防护能力。
集成管控级(3星):企业能够对工业控制系统设备、主机、系统、网络、数据等方面,在规范防护已有工作基础上,通过集成化工具、系统等,对相对独立的单点防护设备进行集中统一管控,同时整合相关防护规章制度文件,形成体系化制度,实现企业内部工业控制系统信息安全的集中管理、统一控制的安全防护能力。
综合协同级(4星):企业能够面向不同产线、厂区、工厂及产业链上下游相关单位,统筹考虑信息安全风险需求,开展安全防护建设,建立多级协同的安全管理体系,并通过态势感知、统一管控等技术手段实现综合决策、协同防护的安全能力。
智能优化级(5星):企业能够采用人工智能、主动防御、内生安全等先进技术,与已有安全防护设备、系统、制度体系深度融合,使得可通过知识学习、智能建模分析等技术,构建可智能化演进的安全防护系统,形成具有自决策、自进化能力的安全防护体系。
(二)工业互联网平台安全防护星级企业
依据《工业互联网平台安全防护要求》(AII/004-2018),工业互联网平台安全防护能力分为两个级别,包括:基本级、增强级。
基本级:工业互联网平台在提供服务时应具备必要的安全控制措施,保护工业互联网平台能够抵御或应对常见的攻击、威胁。
增强级:工业互联网平台在提供服务时在基本级的基础上能提供更高级别的安全控制措施,保护工业互联网平台能够抵御或应对强度更高的攻击、威胁。
四、组织实施
工业信息安全防护星级企业培育工作主要分为组织动员、企业自评估、整改提升、现场核查、工作总结等5个阶段。
(一)组织动员阶段。各设区市工信局收到通知后,积极做好辖区企业的宣传发动工作,遴选推荐2-5家自评估咨询服务机构(至少有1家省级工业信息安全服务支撑机构)参加自评估工作,相关工作于9月10日前完成。
(二)企业自评估阶段。各设区市工信局组织企业在“江苏省工业信息安全公共服务平台”(网址:https://www.jsgyaq.com)注册账号并填报企业基础信息,在9月25日前完成企业安全防护能力自评估并提交(详见附件2)。各设区市工信局组织本地区的自评估咨询机构,指导企业开展自评估相关工作。
(三)整改提升阶段。省工信厅组织省级工业信息安全服务支撑机构对完成自评估的企业开展线上核查评估,并根据企业自评估安全防护状况给出整改建议。各地工信部门组织相关企业根据整改建议进行对标整改,企业整改后将整改情况从平台提交,整改工作于10月20日前完成。
(四)现场核查阶段。结合企业线上自评估和机构线上核查评估情况,省工信厅指定专业服务机构对重点企业开展现场评估,为企业提供专业诊断服务并帮助提升,相关工作于11月10日前完成。
(五)工作总结阶段。省工信厅将根据线上核查评估和现场抽查评估结果,确定并公布安全防护星级企业名单,编制2021年度星级防护企业培育工作报告,并遴选推荐年度优秀案例和工业信息安全优秀服务商,相关工作于11月30前完成。
五、工作要求
1、各设区市工信局要高度重视培育工作,加强内部处室工作协同,密切配合,组织动员企业积极参加星级防护企业培育工作(组织发动工作要求详见附件3)。
2、各设区市工信局要按照时序进度,组织发动企业开展自评估和整改提升,配合做好现场核查评估等工作。
3、企业自评估工作是一项常态化工作,各设区市工信局要加强对企业的宣贯和指导,按照培育工作要求动员企业根据自身情况适时参加,不断扩大区域内重点企业的自评估覆盖率,有效支撑本地工业信息安全态势分析研判。
4、省工信厅将组织服务支撑机构、参培企业签订服务承诺书,承诺在服务过程中不对企业系统运行造成影响,不泄露服务中获取的企业敏感数据信息,所获取数据信息仅用于支持政府主管部门相关工作。
5、省工信厅将委托省电子质检院(省信息安全测评中心)等第三方专业服务机构做好技术支撑和配合工作。
6、请各设区市工信局根据自评估咨询服务机构管理工作要求,于2021年9月10日前填写《各设区市自评估咨询服务机构汇总表》(详见附件4),并将汇总表盖章扫描件和word电子档报送至省工信厅。
省工信厅联系人:吴瑜,025-82288067,24406391@qq.com;省信息安全测评中心联系人:程恺,18961815839,ck@jnlab.com;平台技术支持:梅亦,18952482367 郭涛,17768065158。
江苏省工业和信息化厅
2021年9月3日
附件:
中华人民共和国国家发展和改革委员会 中华人民共和国工业和信息化部 中华人民共和国应急管理部 中华人民共和国生态环境部 中华人民共和国科学技术部 中华人民共和国财政部 中华人民共和国商务部 中国石油和化学工业联合会
江苏省发展和改革委员会 江苏省工业和信息化厅 江苏省财政厅 江苏省生态环境厅 江苏省科学技术厅 江苏省商务厅 江苏省应急管理厅 江苏省市场监督管理局 江苏省统计局
北京市化学工业协会 天津市石油和化工协会 辽宁省石油和化学工业协会 内蒙古石油和化学工业协会 重庆市石油与天然气学会 河北省石油和化学工业协会 山西省化学工业协会 吉林省能源协会 黑龙江省石化行业协会 浙江省石油和化学工业行业协会 安徽省石油和化学工业协会 福建省石油和化学工业协会 江西省石油和化学工业协会 河南省石油和化学工业协会 湖北省石化行业协会 湖南省石油化学工业协会 广东省石油和化学工业协会 海南省石油和化学工业行业协会 四川省化工行业协会 贵州省化学工业协会 云南省化工行业协会 陕西省经济联合会 甘肃省石化工业协会 青海省化工协会
电话:协会:025-8799064 学会:025-86799482
会员服务部:025-86918841
信息部:025-86910067
传真:025-83755381
邮箱:jshghyxh@163.com
邮编:210019
地址:南京市梦都大街50号东楼(省科技工作者活动中心)5楼
增值电信业务经营许可证:苏B2-20110130
备案号:苏ICP备13033418号-1