工業(yè)和信息化部關于《關于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見(征求意見稿)》公開征求意見的公告:
為貫徹落實《國務院關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》�����,加快構建工業(yè)互聯(lián)網(wǎng)安全保障體系�����,經(jīng)廣泛征求意見��,反復研究修改��,工業(yè)和信息化部會同有關部門起草了《關于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見(征求意見稿)》����。為保障公眾知情權和參與權�����,凝聚各界共識和智慧,現(xiàn)向社會公開征求意見��。有關意見或建議請于2019年4月30日前通過電子郵件方式發(fā)送至gyhlw409@163.com�,或傳真至010-68206187。
關于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見(征求意見稿)
各省����、自治區(qū)、直轄市及計劃單列市��、新疆生產(chǎn)建設兵團工業(yè)和信息化���、通信管理��、教育�、人力資源和社會保障�、生態(tài)環(huán)境、衛(wèi)生健康����、國有資產(chǎn)監(jiān)管��、市場監(jiān)管�、能源����、國防科技工業(yè)主管部門:
為深入貫徹習近平新時代中國特色社會主義思想和黨的十九大精神,全面落實《國務院關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》(以下簡稱《指導意見》)部署要求��,加快構建工業(yè)互聯(lián)網(wǎng)安全保障體系���,提升工業(yè)互聯(lián)網(wǎng)安全保障能力�����,促進工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展�����,推動現(xiàn)代化經(jīng)濟體系建設�,護航制造強國和網(wǎng)絡強國戰(zhàn)略實施�����,制定本指導意見。
一��、總體要求
(一)總體思路
深入貫徹《指導意見》有關要求����,落實企業(yè)主體責任、政府監(jiān)管責任����,圍繞設備�、控制、網(wǎng)絡�、平臺、數(shù)據(jù)安全����,以健全制度機制、建設技術手段�����、促進產(chǎn)業(yè)發(fā)展���、強化人才培育為基本內(nèi)容��,構建責任清晰��、制度健全��、技術先進的工業(yè)互聯(lián)網(wǎng)安全保障體系�����,覆蓋工業(yè)互聯(lián)網(wǎng)規(guī)劃���、建設��、運行等全生命周期���,形成事前防范、事中監(jiān)測�����、事后應急能力�,全面提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展安全保障能力和服務水平。
(二)基本原則
筑牢安全�����,保障發(fā)展。以安全保發(fā)展���,以發(fā)展促安全�。嚴格落實國家《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)有關要求��,按照誰運營誰負責���、誰主管誰負責的原則�����,堅持發(fā)展與安全并重,安全和發(fā)展同步規(guī)劃��、同步建設����、同步運行。
統(tǒng)籌指導���,協(xié)同推進����。做好頂層設計和系統(tǒng)謀劃,結(jié)合各地實際��,突出重點�,分步協(xié)同推進,加快構建工業(yè)互聯(lián)網(wǎng)安全保障體系���,確保安全工作落實到位����。
分類施策����,分級管理。根據(jù)行業(yè)重要性����、企業(yè)規(guī)模、安全風險程度等因素�����,對企業(yè)實施分類分級管理�����,集中力量指導、監(jiān)管重要行業(yè)��、重點企業(yè)提升工業(yè)互聯(lián)網(wǎng)安全保障能力���,夯實企業(yè)安全主體責任�。
融合創(chuàng)新����,重點突破��;诠I(yè)互聯(lián)網(wǎng)融合發(fā)展特性�����,創(chuàng)新安全管理機制和技術手段�����,鼓勵推動重點領域技術突破�����,加快安全可靠產(chǎn)品的創(chuàng)新推廣應用��,有效應對新型安全挑戰(zhàn)�����。
(三)總體目標
到2020年底����,工業(yè)互聯(lián)網(wǎng)安全保障體系初步建立。制度機制方面���,建立監(jiān)督檢查��、信息共享和通報�、應急處置等工業(yè)互聯(lián)網(wǎng)安全管理制度�����,構建企業(yè)安全主體責任制��,制定設備����、平臺、數(shù)據(jù)等至少20項亟需的工業(yè)互聯(lián)網(wǎng)安全標準����,探索構建工業(yè)互聯(lián)網(wǎng)安全評估體系����。技術手段方面�����,初步建成國家工業(yè)互聯(lián)網(wǎng)安全技術保障平臺�����、基礎資源庫和安全測試驗證環(huán)境�����。產(chǎn)業(yè)發(fā)展方面�����,在汽車�����、電子信息�、航空航天、能源等重點領域�����,形成至少20個創(chuàng)新實用的安全產(chǎn)品�����、解決方案的試點示范��,培育若干具有核心競爭力的工業(yè)互聯(lián)網(wǎng)安全企業(yè)�����。
到2025年�����,制度機制健全完善�,技術手段能力顯著提升,安全產(chǎn)業(yè)形成規(guī)模�,基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系。
二���、主要任務
(一)推動工業(yè)互聯(lián)網(wǎng)安全責任落實
企業(yè)依法落實主體責任���。工業(yè)互聯(lián)網(wǎng)企業(yè)明確工業(yè)互聯(lián)網(wǎng)安全責任部門和責任人����,建立健全重點設備裝置和系統(tǒng)平臺聯(lián)網(wǎng)前后的風險評估���、安全審計等制度��,建立安全事件報告和問責機制����,加大安全投入���,部署有效安全技術防護手段�����,保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行��。政府履行監(jiān)督管理責任�。工業(yè)和信息化部組織開展工業(yè)互聯(lián)網(wǎng)安全相關政策制定�、標準研制等綜合性工作��,并按照職責對裝備制造、電子信息及通信等主管行業(yè)領域的工業(yè)互聯(lián)網(wǎng)安全開展行業(yè)指導��、監(jiān)管�����。地方工信主管部門指導本行政區(qū)域內(nèi)應用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)的安全工作�����,同步推進安全產(chǎn)業(yè)發(fā)展��;地方通信管理局監(jiān)管本行政區(qū)域內(nèi)標識解析系統(tǒng)�����、公共工業(yè)互聯(lián)網(wǎng)平臺等的安全工作���,并在公共互聯(lián)網(wǎng)上對聯(lián)網(wǎng)設備�����、系統(tǒng)等進行安全監(jiān)測����。生態(tài)環(huán)境、衛(wèi)生健康�����、能源���、國防科工等部門根據(jù)各自安全管理職責�,開展本行業(yè)領域工業(yè)互聯(lián)網(wǎng)推廣應用的安全指導����、監(jiān)管工作。
(二)構建工業(yè)互聯(lián)網(wǎng)安全管理體系
健全安全管理制度�����。圍繞工業(yè)互聯(lián)網(wǎng)安全監(jiān)督檢查����、風險評估、數(shù)據(jù)保護�����、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制���,強化對企業(yè)的安全監(jiān)管�。建立分類分級管理機制��。建立工業(yè)互聯(lián)網(wǎng)行業(yè)分類指導目錄�����、企業(yè)分級指標體系���,制定工業(yè)互聯(lián)網(wǎng)行業(yè)企業(yè)分類分級指南,形成重點企業(yè)清單���,實施差異化管理���。建立工業(yè)互聯(lián)網(wǎng)安全標準體系。研究制定工業(yè)互聯(lián)網(wǎng)設備��、控制����、網(wǎng)絡(含標識解析系統(tǒng))�����、平臺�����、數(shù)據(jù)等重點領域安全標準的研究制定�����,支持專業(yè)機構���、企業(yè)積極參與相關國際標準制定,加快標準落地實施���。
(三)提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護水平
夯實設備和控制安全�。督促工業(yè)企業(yè)部署針對性防護措施���,加強工業(yè)生產(chǎn)設備�、主機設備�����、智能終端設備等設備安全接入和防護,強化控制網(wǎng)絡協(xié)議�、裝置裝備、工業(yè)軟件等安全保障��,推動設備制造商���、自動化集成商與安全企業(yè)加強合作�,提升設備和控制系統(tǒng)的本質(zhì)安全����。提升網(wǎng)絡設施安全����。指導工業(yè)企業(yè)、基礎電信企業(yè)在網(wǎng)絡化改造及部署IPv6�、應用5G的過程中,落實安全標準要求并開展安全評估���,部署安全設施����,提升企業(yè)內(nèi)外網(wǎng)的安全防護能力����。要求標識解析系統(tǒng)的建設運營單位同步加強安全防護技術能力建設�,確保標識解析系統(tǒng)的安全運行�。強化平臺安全。要求工業(yè)互聯(lián)網(wǎng)平臺的建設���、運營單位按照相關標準開展平臺建設�,在平臺上線前進行安全評估���,針對邊緣層����、IaaS層(云基礎設施)���、平臺層(工業(yè)PaaS)�����、應用層(工業(yè)SaaS)分層部署安全防護措施���。加強工業(yè)APP安全管理。建立健全工業(yè)APP應用前安全檢測機制����,強化應用過程中用戶信息和數(shù)據(jù)安全保護�。
專欄1 企業(yè)安全防護能力提升行動
建設安全技術與標準試驗驗證環(huán)境�,加快工業(yè)互聯(lián)網(wǎng)安全有關標準研制,鼓勵企業(yè)依據(jù)標準開展符合性自查�,積極推動標準在各重點行業(yè)、重點領域的推廣應用��。
加強監(jiān)督檢查���,組織對重點工業(yè)互聯(lián)網(wǎng)平臺���、工業(yè)控制系統(tǒng)����、工業(yè)APP、微服務組件等實施安全專項檢查評估�����,督促企業(yè)加強安全防護能力建設��。
組織開展工業(yè)互聯(lián)網(wǎng)安全應急演練����,建立應急處置機制���,提高重大突發(fā)事件的多方協(xié)同應對能力。
在汽車�、電子信息、航空航天�、能源等重點領域,開展安全產(chǎn)品�、解決方案的試點示范,大力推廣行業(yè)應用�����,并形成最佳實踐�����。
(四)強化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護能力
強化企業(yè)數(shù)據(jù)安全防護能力����。明確數(shù)據(jù)收集、存儲����、處理�����、轉(zhuǎn)移���、刪除等環(huán)節(jié)安全保護要求,指導企業(yè)完善研發(fā)設計�、工業(yè)生產(chǎn)、運維管理����、平臺知識機理和數(shù)字化模型等數(shù)據(jù)的防竊密、防篡改和數(shù)據(jù)備份等安全防護措施�����,鼓勵商用密碼在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)保護工作中的應用�。建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系�。依據(jù)工業(yè)門類領域、數(shù)據(jù)類型���、數(shù)據(jù)價值等建立工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分級分類管理制度����,加強工業(yè)互聯(lián)網(wǎng)重要數(shù)據(jù)安全監(jiān)測和管理,完善重大工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)泄露事件觸發(fā)響應機制��。
(五)建設國家工業(yè)互聯(lián)網(wǎng)安全技術手段
建設國家���、省�����、企業(yè)三級協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術保障平臺��。工業(yè)和信息化部統(tǒng)籌建設國家工業(yè)互聯(lián)網(wǎng)安全技術保障平臺��,工業(yè)基礎較好的省����、自治區(qū)���、直轄市先期試點建設省級技術保障平臺�,支持鼓勵機械制造��、電子信息����、航空航天����、輕工家電等重點行業(yè)企業(yè)建設企業(yè)級安全平臺�����,強化地方��、企業(yè)與國家平臺之間的系統(tǒng)對接�����、數(shù)據(jù)共享���、業(yè)務協(xié)作��,打造整體態(tài)勢感知����、信息共享和應急協(xié)同能力�����。建立工業(yè)互聯(lián)網(wǎng)安全基礎資源庫����。建設工業(yè)互聯(lián)網(wǎng)安全漏洞庫、惡意代碼庫等基礎資源庫���,加強工業(yè)互聯(lián)網(wǎng)安全資源儲備��。建設工業(yè)互聯(lián)網(wǎng)安全測試驗證環(huán)境�����。搭建功能完備的工業(yè)互聯(lián)網(wǎng)安全攻防演練環(huán)境����,提升識別安全隱患�、抵御安全威脅、化解安全風險的能力�。
專欄2 工業(yè)互聯(lián)網(wǎng)安全技術保障能力提升行動
推動建設工業(yè)互聯(lián)網(wǎng)安全技術保障平臺,在全國范圍內(nèi)針對工業(yè)互聯(lián)網(wǎng)平臺�、設備和系統(tǒng)、企業(yè)內(nèi)外網(wǎng)等開展資產(chǎn)探查�����、安全威脅監(jiān)測、數(shù)據(jù)分析�,匯聚政府、企業(yè)����、專業(yè)機構等安全信息,實現(xiàn)跨部門����、跨行業(yè)、跨領域的信息共享與預警通報�,開展對安全事件應急處置和分析溯源,形成全天候����、全方位、多層次的監(jiān)測發(fā)現(xiàn)和威脅態(tài)勢感知能力���,實現(xiàn)對工業(yè)互聯(lián)網(wǎng)高危漏洞���、大規(guī)模病毒等突發(fā)安全事件的及時發(fā)現(xiàn)、快速響應和高效處置����。
推動建設工業(yè)互聯(lián)網(wǎng)資產(chǎn)目錄庫�����、工業(yè)協(xié)議庫、安全漏洞庫�、惡意代碼病毒庫和安全威脅信息庫等基礎資源庫,研制面向典型行業(yè)工業(yè)互聯(lián)網(wǎng)安全應急處置�、安全事件現(xiàn)場取證等工具集,積累安全基礎資源����。
推動構建工業(yè)互聯(lián)網(wǎng)安全測試驗證環(huán)境,搭建面向機械制造���、電子信息�����、航空航天��、輕工家電等的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡攻防測試驗證環(huán)境���,實現(xiàn)對典型業(yè)務進行全流程安全仿真,測試�、驗證各環(huán)節(jié)存在的網(wǎng)絡安全風險以及相應的安全防護解決方案���。
(六)加強工業(yè)互聯(lián)網(wǎng)安全公共服務能力
開展工業(yè)互聯(lián)網(wǎng)安全評估認證。構建工業(yè)互聯(lián)網(wǎng)設備�����、網(wǎng)絡����、平臺、工業(yè)APP等的安全評估體系����,依托產(chǎn)業(yè)聯(lián)盟、行業(yè)協(xié)會等第三方機構為工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)開展安全能力評測評估服務����,推動工業(yè)互聯(lián)網(wǎng)安全測評機構的審核認定。提升工業(yè)互聯(lián)網(wǎng)安全服務水平�����。鼓勵和支持專業(yè)機構�、網(wǎng)絡安全企業(yè)等建設檢測評估、安全監(jiān)測、攻防測試���、應急響應等公共服務平臺�,面向機械制造����、電子信息�����、汽車����、石油化工等行業(yè)領域提供安全診斷評估、安全咨詢����、數(shù)據(jù)保護、代碼檢查�、系統(tǒng)加固、云端防護等服務�。鼓勵基礎電信企業(yè)、互聯(lián)網(wǎng)企業(yè)���、系統(tǒng)解決方案提供商等依托專業(yè)技術優(yōu)勢��,加強與工業(yè)互聯(lián)網(wǎng)企業(yè)的需求對接��,輸出安全保障服務����。
(七)推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展
支持工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新。加大對工業(yè)互聯(lián)網(wǎng)安全技術研發(fā)和成果轉(zhuǎn)化的支持力度�,強化標識解析系統(tǒng)安全、平臺安全�����、數(shù)據(jù)安全���、5G安全等相關核心技術研究��,加強攻擊防護�、漏洞挖掘�、態(tài)勢感知等安全產(chǎn)品研發(fā)。支持通過眾測眾研等創(chuàng)新方式����,聚集社會力量,提升漏洞隱患發(fā)現(xiàn)技術能力。支持專業(yè)機構��、高校��、企業(yè)等聯(lián)合建設工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新中心和安全實驗室���。探索利用人工智能�����、大數(shù)據(jù)�、區(qū)塊鏈等新技術提升安全防護水平��。促進工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展���。充分利用國家和地方網(wǎng)絡安全產(chǎn)業(yè)園(基地)等形式,整合相關行業(yè)資源�,打造產(chǎn)學研用協(xié)同創(chuàng)新發(fā)展平臺,形成工業(yè)互聯(lián)網(wǎng)安全對外展示和市場服務能力�,培育一批核心技術水平高、市場競爭能力強�、輻射帶動范圍廣的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。開展試點示范����,遴選優(yōu)秀安全解決方案和最佳實踐�����,并加強應用推廣��。
三���、保障措施
(一)加強組織領導,健全工作機制��。在工業(yè)互聯(lián)網(wǎng)專項工作組的統(tǒng)一指導下��,加強統(tǒng)籌協(xié)調(diào)���,強化部門協(xié)同��、部省合作�,構建各負其責�、緊密配合、運轉(zhuǎn)高效的工作機制�����。各地工業(yè)和信息化、通信管理�����、教育��、人力資源和社會保障�、生態(tài)環(huán)境、衛(wèi)生健康�、國有資產(chǎn)監(jiān)管、市場監(jiān)管�����、能源�����、國防科技工業(yè)等主管部門加強配合��,根據(jù)職責�,各有側(cè)重�����,形成合力,確保相關工作有序推進����。
(二)加大支持力度,優(yōu)化創(chuàng)新環(huán)境。各級主管部門會同有關部門結(jié)合本地工業(yè)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀���,優(yōu)化政府支持機制和方式���,加大對工業(yè)互聯(lián)網(wǎng)安全的支持力度,鼓勵企業(yè)技術創(chuàng)新和安全應用���,加快建設工業(yè)互聯(lián)網(wǎng)安全技術手段�,推動安全產(chǎn)業(yè)集聚發(fā)展����。
(三)發(fā)揮市場作用,匯聚多方力量�。充分發(fā)揮市場在資源配置中的決定作用,以工業(yè)互聯(lián)網(wǎng)企業(yè)的安全需求為著力點��,形成市場需求牽引��、政府支持推動的發(fā)展局面����。匯聚政產(chǎn)學研用多方力量�,逐步建立覆蓋決策研究�、公共研發(fā)、標準推進����、聯(lián)盟論壇、人才培養(yǎng)等的創(chuàng)新支撐平臺�����,形成支持工業(yè)互聯(lián)網(wǎng)安全發(fā)展合力�����。
(四)加強宣傳教育��,加快人才培養(yǎng)�����。深入推進產(chǎn)教融合�、校企合作����,建立安全人才聯(lián)合培養(yǎng)機制����,培養(yǎng)復合型���、創(chuàng)新型高技能人才�����。開展工業(yè)互聯(lián)網(wǎng)安全宣傳教育�,提升企業(yè)和相關從業(yè)人員網(wǎng)絡安全意識�����。開展網(wǎng)絡安全演練�、安全競賽等,培養(yǎng)選拔不同層次的工業(yè)互聯(lián)網(wǎng)安全從業(yè)人員����。依托國家專業(yè)機構等,打造技術領先����、業(yè)界知名的工業(yè)互聯(lián)網(wǎng)安全高端智庫�。
編輯:慕瑜
