工(gōng)信部:《關于加強工(gōng)業互聯網安全工(gōng)作的指導意見(征求意見稿)》
工(gōng)業和信息化部關于《關于加強工(gōng)業互聯網安全工(gōng)作的指導意見(征求意見稿)》公開(kāi)征求意見的公告
爲貫徹落實《國務院關于深化“互聯網+先進制造業”發展工(gōng)業互聯網的指導意見》,加快構建工(gōng)業互聯網安全保障體(tǐ)系,經廣泛征求意見,反複研究修改,工(gōng)業和信息化部會同有關部門起草了《關于加強工(gōng)業互聯網安全工(gōng)作的指導意見(征求意見稿)》。爲保障公衆知(zhī)情權和參與權,凝聚各界共識和智慧,現向社會公開(kāi)征求意見。有關意見或建議請于2019年4月30日前通過電(diàn)子郵件方式發送至gyhlw409@163.com,或傳真至010-68206187。
附件:
關于加強工(gōng)業互聯網安全工(gōng)作的指導意見
(征求意見稿)
各省、自治區、直轄市及計劃單列市、新疆生(shēng)産建設兵團工(gōng)業和信息化、通信管理、教育、人力資(zī)源和社會保障、生(shēng)态環境、衛生(shēng)健康、國有資(zī)産監管、市場監管、能源、國防科技工(gōng)業主管部門:
爲深入貫徹習近平新時代中(zhōng)國特色社會主義思想和黨的十九大(dà)精神,全面落實《國務院關于深化“互聯網+先進制造業”發展工(gōng)業互聯網的指導意見》(以下(xià)簡稱《指導意見》)部署要求,加快構建工(gōng)業互聯網安全保障體(tǐ)系,提升工(gōng)業互聯網安全保障能力,促進工(gōng)業互聯網高質量發展,推動現代化經濟體(tǐ)系建設,護航制造強國和網絡強國戰略實施,制定本指導意見。
一(yī)、總體(tǐ)要求
(一(yī))總體(tǐ)思路
深入貫徹《指導意見》有關要求,落實企業主體(tǐ)責任、政府監管責任,圍繞設備、控制、網絡、平台、數據安全,以健全制度機制、建設技術手段、促進産業發展、強化人才培育爲基本内容,構建責任清晰、制度健全、技術先進的工(gōng)業互聯網安全保障體(tǐ)系,覆蓋工(gōng)業互聯網規劃、建設、運行等全生(shēng)命周期,形成事前防範、事中(zhōng)監測、事後應急能力,全面提升工(gōng)業互聯網創新發展安全保障能力和服務水平。
(二)基本原則
築牢安全,保障發展。以安全保發展,以發展促安全。嚴格落實國家《中(zhōng)華人民共和國網絡安全法》等法律法規有關要求,按照誰運營誰負責、誰主管誰負責的原則,堅持發展與安全并重,安全和發展同步規劃、同步建設、同步運行。
統籌指導,協同推進。做好頂層設計和系統謀劃,結合各地實際,突出重點,分(fēn)步協同推進,加快構建工(gōng)業互聯網安全保障體(tǐ)系,确保安全工(gōng)作落實到位。
分(fēn)類施策,分(fēn)級管理。根據行業重要性、企業規模、安全風險程度等因素,對企業實施分(fēn)類分(fēn)級管理,集中(zhōng)力量指導、監管重要行業、重點企業提升工(gōng)業互聯網安全保障能力,夯實企業安全主體(tǐ)責任。
融合創新,重點突破。基于工(gōng)業互聯網融合發展特性,創新安全管理機制和技術手段,鼓勵推動重點領域技術突破,加快安全可靠産品的創新推廣應用,有效應對新型安全挑戰。
(三)總體(tǐ)目标
到2020年底,工(gōng)業互聯網安全保障體(tǐ)系初步建立。制度機制方面,建立監督檢查、信息共享和通報、應急處置等工(gōng)業互聯網安全管理制度,構建企業安全主體(tǐ)責任制,制定設備、平台、數據等至少20項亟需的工(gōng)業互聯網安全标準,探索構建工(gōng)業互聯網安全評估體(tǐ)系。技術手段方面,初步建成國家工(gōng)業互聯網安全技術保障平台、基礎資(zī)源庫和安全測試驗證環境。産業發展方面,在汽車(chē)、電(diàn)子信息、航空航天、能源等重點領域,形成至少20個創新實用的安全産品、解決方案的試點示範,培育若幹具有核心競争力的工(gōng)業互聯網安全企業。
到2025年,制度機制健全完善,技術手段能力顯著提升,安全産業形成規模,基本建立起較爲完備可靠的工(gōng)業互聯網安全保障體(tǐ)系。
二、主要任務
(一(yī))推動工(gōng)業互聯網安全責任落實
企業依法落實主體(tǐ)責任。工(gōng)業互聯網企業明确工(gōng)業互聯網安全責任部門和責任人,建立健全重點設備裝置和系統平台聯網前後的風險評估、安全審計等制度,建立安全事件報告和問責機制,加大(dà)安全投入,部署有效安全技術防護手段,保障工(gōng)業互聯網安全穩定運行。政府履行監督管理責任。工(gōng)業和信息化部組織開(kāi)展工(gōng)業互聯網安全相關政策制定、标準研制等綜合性工(gōng)作,并按照職責對裝備制造、電(diàn)子信息及通信等主管行業領域的工(gōng)業互聯網安全開(kāi)展行業指導、監管。地方工(gōng)信主管部門指導本行政區域内應用工(gōng)業互聯網的工(gōng)業企業的安全工(gōng)作,同步推進安全産業發展;地方通信管理局監管本行政區域内标識解析系統、公共工(gōng)業互聯網平台等的安全工(gōng)作,并在公共互聯網上對聯網設備、系統等進行安全監測。生(shēng)态環境、衛生(shēng)健康、能源、國防科工(gōng)等部門根據各自安全管理職責,開(kāi)展本行業領域工(gōng)業互聯網推廣應用的安全指導、監管工(gōng)作。
(二)構建工(gōng)業互聯網安全管理體(tǐ)系
健全安全管理制度。圍繞工(gōng)業互聯網安全監督檢查、風險評估、數據保護、信息共享和通報、應急處置等方面建立健全安全管理制度和工(gōng)作機制,強化對企業的安全監管。建立分(fēn)類分(fēn)級管理機制。建立工(gōng)業互聯網行業分(fēn)類指導目錄、企業分(fēn)級指标體(tǐ)系,制定工(gōng)業互聯網行業企業分(fēn)類分(fēn)級指南(nán),形成重點企業清單,實施差異化管理。建立工(gōng)業互聯網安全标準體(tǐ)系。研究制定工(gōng)業互聯網設備、控制、網絡(含标識解析系統)、平台、數據等重點領域安全标準的研究制定,支持專業機構、企業積極參與相關國際标準制定,加快标準落地實施。
(三)提升企業工(gōng)業互聯網安全防護水平
夯實設備和控制安全。督促工(gōng)業企業部署針對性防護措施,加強工(gōng)業生(shēng)産設備、主機設備、智能終端設備等設備安全接入和防護,強化控制網絡協議、裝置裝備、工(gōng)業軟件等安全保障,推動設備制造商(shāng)、自動化集成商(shāng)與安全企業加強合作,提升設備和控制系統的本質安全。提升網絡設施安全。指導工(gōng)業企業、基礎電(diàn)信企業在網絡化改造及部署IPv6、應用5G的過程中(zhōng),落實安全标準要求并開(kāi)展安全評估,部署安全設施,提升企業内外(wài)網的安全防護能力。要求标識解析系統的建設運營單位同步加強安全防護技術能力建設,确保标識解析系統的安全運行。強化平台安全。要求工(gōng)業互聯網平台的建設、運營單位按照相關标準開(kāi)展平台建設,在平台上線前進行安全評估,針對邊緣層、IaaS層(雲基礎設施)、平台層(工(gōng)業PaaS)、應用層(工(gōng)業SaaS)分(fēn)層部署安全防護措施。加強工(gōng)業APP安全管理。建立健全工(gōng)業APP應用前安全檢測機制,強化應用過程中(zhōng)用戶信息和數據安全保護。
(四)強化工(gōng)業互聯網數據安全保護能力
強化企業數據安全防護能力。明确數據收集、存儲、處理、轉移、删除等環節安全保護要求,指導企業完善研發設計、工(gōng)業生(shēng)産、運維管理、平台知(zhī)識機理和數字化模型等數據的防竊密、防篡改和數據備份等安全防護措施,鼓勵商(shāng)用密碼在工(gōng)業互聯網數據保護工(gōng)作中(zhōng)的應用。建立工(gōng)業互聯網全産業鏈數據安全管理體(tǐ)系。依據工(gōng)業門類領域、數據類型、數據價值等建立工(gōng)業互聯網數據分(fēn)級分(fēn)類管理制度,加強工(gōng)業互聯網重要數據安全監測和管理,完善重大(dà)工(gōng)業互聯網數據洩露事件觸發響應機制。
(五)建設國家工(gōng)業互聯網安全技術手段
建設國家、省、企業三級協同的工(gōng)業互聯網安全技術保障平台。工(gōng)業和信息化部統籌建設國家工(gōng)業互聯網安全技術保障平台,工(gōng)業基礎較好的省、自治區、直轄市先期試點建設省級技術保障平台,支持鼓勵機械制造、電(diàn)子信息、航空航天、輕工(gōng)家電(diàn)等重點行業企業建設企業級安全平台,強化地方、企業與國家平台之間的系統對接、數據共享、業務協作,打造整體(tǐ)态勢感知(zhī)、信息共享和應急協同能力。建立工(gōng)業互聯網安全基礎資(zī)源庫。建設工(gōng)業互聯網安全漏洞庫、惡意代碼庫等基礎資(zī)源庫,加強工(gōng)業互聯網安全資(zī)源儲備。建設工(gōng)業互聯網安全測試驗證環境。搭建功能完備的工(gōng)業互聯網安全攻防演練環境,提升識别安全隐患、抵禦安全威脅、化解安全風險的能力。
(六)加強工(gōng)業互聯網安全公共服務能力
開(kāi)展工(gōng)業互聯網安全評估認證。構建工(gōng)業互聯網設備、網絡、平台、工(gōng)業APP等的安全評估體(tǐ)系,依托産業聯盟、行業協會等第三方機構爲工(gōng)業互聯網企業持續開(kāi)展安全能力評測評估服務,推動工(gōng)業互聯網安全測評機構的審核認定。提升工(gōng)業互聯網安全服務水平。鼓勵和支持專業機構、網絡安全企業等建設檢測評估、安全監測、攻防測試、應急響應等公共服務平台,面向機械制造、電(diàn)子信息、汽車(chē)、石油化工(gōng)等行業領域提供安全診斷評估、安全咨詢、數據保護、代碼檢查、系統加固、雲端防護等服務。鼓勵基礎電(diàn)信企業、互聯網企業、系統解決方案提供商(shāng)等依托專業技術優勢,加強與工(gōng)業互聯網企業的需求對接,輸出安全保障服務。
(七)推動工(gōng)業互聯網安全科技創新與産業發展
支持工(gōng)業互聯網安全科技創新。加大(dà)對工(gōng)業互聯網安全技術研發和成果轉化的支持力度,強化标識解析系統安全、平台安全、數據安全、5G安全等相關核心技術研究,加強攻擊防護、漏洞挖掘、态勢感知(zhī)等安全産品研發。支持通過衆測衆研等創新方式,聚集社會力量,提升漏洞隐患發現技術能力。支持專業機構、高校、企業等聯合建設工(gōng)業互聯網安全創新中(zhōng)心和安全實驗室。探索利用人工(gōng)智能、大(dà)數據、區塊鏈等新技術提升安全防護水平。促進工(gōng)業互聯網安全産業發展。充分(fēn)利用國家和地方網絡安全産業園(基地)等形式,整合相關行業資(zī)源,打造産學研用協同創新發展平台,形成工(gōng)業互聯網安全對外(wài)展示和市場服務能力,培育一(yī)批核心技術水平高、市場競争能力強、輻射帶動範圍廣的工(gōng)業互聯網安全企業。開(kāi)展試點示範,遴選優秀安全解決方案和最佳實踐,并加強應用推廣。
三、保障措施
(一(yī))加強組織領導,健全工(gōng)作機制。
在工(gōng)業互聯網專項工(gōng)作組的統一(yī)指導下(xià),加強統籌協調,強化部門協同、部省合作,構建各負其責、緊密配合、運轉高效的工(gōng)作機制。各地工(gōng)業和信息化、通信管理、教育、人力資(zī)源和社會保障、生(shēng)态環境、衛生(shēng)健康、國有資(zī)産監管、市場監管、能源、國防科技工(gōng)業等主管部門加強配合,根據職責,各有側重,形成合力,确保相關工(gōng)作有序推進。
(二)加大(dà)支持力度,優化創新環境。
各級主管部門會同有關部門結合本地工(gōng)業互聯網發展現狀,優化政府支持機制和方式,加大(dà)對工(gōng)業互聯網安全的支持力度,鼓勵企業技術創新和安全應用,加快建設工(gōng)業互聯網安全技術手段,推動安全産業集聚發展。
(三)發揮市場作用,彙聚多方力量。
充分(fēn)發揮市場在資(zī)源配置中(zhōng)的決定作用,以工(gōng)業互聯網企業的安全需求爲着力點,形成市場需求牽引、政府支持推動的發展局面。彙聚政産學研用多方力量,逐步建立覆蓋決策研究、公共研發、标準推進、聯盟論壇、人才培養等的創新支撐平台,形成支持工(gōng)業互聯網安全發展合力。
(四)加強宣傳教育,加快人才培養。
深入推進産教融合、校企合作,建立安全人才聯合培養機制,培養複合型、創新型高技能人才。開(kāi)展工(gōng)業互聯網安全宣傳教育,提升企業和相關從業人員(yuán)網絡安全意識。開(kāi)展網絡安全演練、安全競賽等,培養選拔不同層次的工(gōng)業互聯網安全從業人員(yuán)。依托國家專業機構等,打造技術領先、業界知(zhī)名的工(gōng)業互聯網安全高端智庫。
(來源:工(gōng)信部網站)
- 向上:工(gōng)信部部長:将全面放(fàng)開(kāi)一(yī)般制造業(2019/4/19)
- 向下(xià):建久安之勢、成長治之業,習近平這樣推進網絡安全建設(2019/4/23)