400-88-27001
service@aryasec.com

《工业互联网企业分级分类指南》解读

来源:    发布日期:2021.02.18   点击量:


近日,工业和信息化部近日印发通知,部署开展工业互联网企业网络安全分类分级管理试点工作。初定天津、吉林、上海、江苏、浙江、安徽、福建、山东、河南、湖南、广东、广西、重庆、四川、新疆等15个省(区、市)开展试点。

本次试点工作目的与相关方收益如下表所示:



基于此背景,本文将针对《工业互联网企业分级分类指南》(以下简称《指南》)进行梳理解读,帮助各企业加深对分类分级工作的理解。


《指南》主要包含两部分内容:分级分类标准与安全管理要求,本文将参照此标准进行解读。


一、 分级分类背景


2017年国务院发布《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》,建立了后续30年国家打造工业互联网生态体系的发展目标,其中明确提出“强化安全保障”将作为后续发展的主要工作任务。

2019年工信部联合国资委等8部门联合发布《加强工业互联网安全工作的指导意见》,其中的三十二字原则统筹领导后续安全工作开展,推动建设工业互联网安全保障体系进程。同年12月,工信部发布《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿),落实了工业互联网企业分类分级工作管理。


图1 工业互联网分级分类背景


二、 适用范围


1、安全管理范围

工业和信息化部主管行业范围内的工业互联网企业的网络安全管理。主要包括以下三类企业:
应用工业互联网的工业企业(简称“联网工业企业”): 主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业;
工业互联网平台企业(简称“平台企业”):主要指对外提供工业互联网平台等互联网信息服务的企业);
工业互联网基础设施运营企业:主要包括基础电信运营企业和标识解析系统建设运营机构。

2、安全分级分类适用范围

本指南对联网工业企业网络安全分级进行规范。
工业互联网平台企业和基础设施运营企业按照《通信网络安全防护管理办法》的分级方式进行规范。


三、安全管理原则

《指南》提出三项基本安全管理原则要求(见图2),明确了对企业实行差异化管理并通过提升重点企业安全管理能力,拉动行业整体安全保障水平的决心。同时建立了“工信部领导地方主管部门,地方主管部门监管企业”的整体管理模式。



图2 安全管理原则


四、 联网工业企业分级分类标准

1、企业分类

企业分类参照以《国民经济行业分类》(GB/T 4754-2017)由所属行业网络安全影响程度由低到高分别划分为一类、二类和三类,见下表。



2、企业分级

联网工业企业分级主要考虑:企业所属行业网络安全影响程度(40分)、企业规模(10分)、企业应用工业互联网的程度(30分)、企业发生网络安全事件的影响程度(20分)。
本次试点工作由工业和信息化部选择重点行业或区域开展,参照以下联网工业企业分级评定参考规则进行评定。后续将依据本次试点工作成效,细化该规则并形成正式评定规则。



企业分级采用计分方式进行,满分为 100 分:



属于三类行业的规模以上联网工业企业原则上为三级。


3、企业分级评定过程

企业分级评定主要依靠企业自评及主管部门的核查确定最终等级,具体步骤及过程如下表所示:



五、 安全管理要求

各地区企业安全监管架构如下图3。



图3 各地区企业安全安全监管架构


企业安全管理内容主要包含企业安全组织架构、安全技术防护与监测、风险评估与应急管理四块内容组成,《指南》对三级与二级工业互联网企业提出了相应要求,具体内容见下表。



以上内容版权均为安言所有。如需转载,不得修改,并要求所有转载文章均需注明作者和出处,来源为:安言Aryasec官方微信公众号。如需修改内容,需先获得安言的书面确认。


更多相关业务与内容,请持续关注我们。
电话:021-62101209
邮件:mkt@aryasec.com





分享到:

相关新闻: