關于開展江蘇省2023年度工業信息安全防護星級企業培育工作的通知
各區工信局,江北新區、各國家級開發區經發局:
根據省工信廳《關于開展江蘇省2023年度工業信息安全防護星級企業培育工作的通知》要求,為進一步提升全市工業互聯網企業信息安全防護能力水平,現定于6月至11月開展我市工業信息安全防護星級企業培育工作,有關事項通知如下:
一、培育對象及目標
培育工作面向全市重點行業重點領域工業企業和工業互聯網平臺企業、2020年以來已達到工業信息安全防護相應星級并有意愿進一步提升的企業展開。通過幫助企業開展工業信息安全評估診斷及整改服務,進一步提升企業網絡安全防護能力,為完善全市工業信息安全保障體系提供支撐。
二、培育方式及任務分工
(一)培育方式。通過檢測評估、咨詢診斷和整改提升等流程,幫助企業進一步提升企業安全防護能力,實現星級達標(工控安全防護基礎建設級或平臺安全防護基本級及以上等級)或星級提升。
(二)任務分工。市工業和信息化局負責全市培育工作的總體協調推進,指導各板塊按要求完成培育任務。各區(開發區)工信部門負責組織發動企業積極參與培育(具體要求見附件1),遴選推薦符合要求的自評估咨詢機構(具體要求見附件2),并做好機構與參培企業間的對接服務工作。自評估咨詢服務機構負責為企業提供一對一免費咨詢服務,幫助企業摸清信息安全防護能力實際情況,指導企業完成線上自評估。省級工業信息安全服務支撐機構負責為企業提供免費咨詢診斷、整改提升等服務,幫助企業診斷問題并提出安全防護整改建議。參培企業應主動配合做好各項評估和整改提升工作,可按照自評估咨詢服務機構管理工作要求自行聯系并委托服務機構,也可由當地工信部門指定服務機構。
三、培育類型及對應要求
(一)工控安全防護星級企業
依據《江蘇省工業信息安全防護實施指南》,工控系統信息安全防護能力分為5個級別,包括:基礎建設級(1星)、規范防護級(2星)、集成管控級(3星)、綜合協同級(4星)、智能優化級(5星)。
基礎建設級(1星):企業能夠依據工業控制系統信息安全防護的技術基礎和條件開展基本保護工作,安全防護能力建設主要基于特定業務場景,尚未形成規范化、流程化的工作方式。
規范防護級(2星):企業建立并記錄工業控制系統信息安全防護能力建設工作,能夠針對工控設備、工業主機、網絡、數據等方面制定規范化的安全防護規章制度,采用數字化裝備、信息技術手段等有針對性地開展安全防護,面向各方面形成獨立、可復制的安全防護能力。
集成管控級(3星):企業能夠針對工控設備、主機、系統、網絡、數據等,在規范防護的基礎上,通過集成化工具(系統)對相對獨立的單點防護設備進行集中統一管控,同時形成體系化的防護規章制度,實現企業內部工控系統信息安全防護的集中管理和統一控制。
綜合協同級(4星):企業能夠面向不同產線、廠區、工廠及產業鏈上下游相關單位,統籌考慮信息安全風險需求,開展安全防護建設,建立多級協同的安全管理體系,并通過態勢感知、統一管控等技術手段實現綜合決策、協同防護的安全能力。
智能優化級(5星):企業能夠采用人工智能、主動防御、內生安全等先進技術,與已有安全防護設備、系統、制度體系深度融合,使得可通過知識學習、智能建模分析等技術,構建可智能化演進的安全防護系統,形成具有自決策、自進化能力的安全防護體系。
(二)工業互聯網平臺安全防護星級企業
依據《江蘇省工業信息安全防護實施指南》,工業互聯網平臺安全防護能力分為兩個級別,包括:基本級、增強級。
基本級:工業互聯網平臺在提供服務時應具備必要的安全控制措施,保護工業互聯網平臺能夠抵御或應對常見的攻擊、威脅。
增強級:工業互聯網平臺在提供服務時在基本級的基礎上能提供更高級別的安全控制措施,保護工業互聯網平臺能夠抵御或應對強度更高的攻擊、威脅。
四、組織實施
工業信息安全防護星級企業培育工作主要分為組織動員、企業自評估、整改提升、現場核查、工作總結等5個階段。
(一)組織動員。4月份,市工業和信息化局組織開展了2023年度全市工業信息安全防護星級企業摸底并形成了擬培育名單。各區(開發區)工信部門要在此基礎上進一步發動信息化基礎較好企業參與培育工作,新增培育企業信息及時報送市工業和信息化局,相關工作于6月26日前完成。
(二)企業自評估。參培企業在“江蘇省工業信息安全公共服務平臺”(https://www.jsgyaq.com)注冊并填報相關信息,于7月30日前完成企業安全防護能力自評估和安全上云情況填報,相關操作手冊可登錄平臺下載。市工業和信息化局組織自評估咨詢機構指導企業開展自評估相關工作,各區(開發區)工信部門督促參培企業與自評估咨詢機構有序開展工作,并好做相關協調工作。
(三)整改提升。省工信廳組織省級工業信息安全服務支撐機構對完成自評估的企業開展線上核查評估,并根據企業自評估安全防護狀況給出整改建議。市、區(開發區)工信部門組織企業根據整改建議進行對標整改,企業于9月30日前完成整改,并在平臺提交有關整改情況。
(四)現場核查。結合企業自評估和機構線上核查評估情況,省工信廳指定專業服務機構對重點企業開展現場評估,為企業提供專業診斷服務并幫助提升,相關工作于11月20日前完成。
(五)工作總結。省工信廳根據線上核查評估和現場抽查評估結果,綜合確定本年度安全防護星級企業名單,編制星級防護企業培育工作報告,并遴選推薦年度優秀案例和工業信息安全優秀服務商,相關工作于11月30日前完成。
五、工作要求
(一)加強工作組織動員。各區(開發區)工信部門要加強對企業的宣貫指導和組織發動,擴大區域內重點企業的自評估覆蓋率,為分析研判本地工業信息安全態勢提供有效支撐。上年度參加但未完成全部流程的企業,本次可繼續參加培育。江寧經濟技術開發區要充分發揮省級工業互聯網安全應用先導區優勢,持續提升轄區工業信息安全防護星級達標企業數量。
(二)加強工作協調配合。各區(開發區)工信部門要加強內部工作協同配合,將星級防護企業培育工作納入智能化改造數字化轉型工作統籌推進,按照時序進度組織企業開展自評估和整改提升,配合做好現場核查評估等工作。
(三)加強第三方機構管理。各區(開發區)工信部門要組織服務支撐機構、參培企業間簽訂服務承諾書,承諾在服務過程中不對企業系統運行造成影響,不泄露服務中獲取的企業信息,所獲取數據信息僅用于支持政府主管部門相關工作;服務支撐機構服務質量和指標完成情況將作為下一年度服務支撐機構遴選重要依據。
各區(開發區)工信部門根據《南京市自評估咨詢服務機構名單》(附件3),結合實際遴選1-2家自評估咨詢服務機構,于6月26日前將《XX區(開發區)自評估咨詢服務機構匯總表》(見附件4)蓋章掃描件和word版報市工業和信息化局。
聯系人及聯系方式:
信息化建設與發展處:何賢晶,025-68788787,xkckhxj@163.com;
省信息安全測評中心:程愷,18961815839;
平臺技術支持:梅亦,18952482367 朱工,13813003187。
南京市工業和信息化局
2023年6月19日