加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見
按照《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》(以下簡稱《指導(dǎo)意見》)部署,為加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系,提升工業(yè)互聯(lián)網(wǎng)安全保障能力,促進工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展,推動現(xiàn)代化經(jīng)濟體系建設(shè),護航制造強國和網(wǎng)絡(luò)強國戰(zhàn)略實施,現(xiàn)就加強工業(yè)互聯(lián)網(wǎng)安全工作提出如下意見。
一、總體要求
(一)指導(dǎo)思想
堅持以習(xí)近平新時代中國特色社會主義思想為指導(dǎo),全面貫徹黨的十九大和十九屆二中、三中全會精神,按照《指導(dǎo)意見》有關(guān)要求,圍繞設(shè)備、控制、網(wǎng)絡(luò)、平臺、數(shù)據(jù)安全,落實企業(yè)主體責(zé)任、政府監(jiān)管責(zé)任,健全制度機制、建設(shè)技術(shù)手段、促進產(chǎn)業(yè)發(fā)展、強化人才培育,構(gòu)建責(zé)任清晰、制度健全、技術(shù)先進的工業(yè)互聯(lián)網(wǎng)安全保障體系,覆蓋工業(yè)互聯(lián)網(wǎng)規(guī)劃、建設(shè)、運行等全生命周期,形成事前防范、事中監(jiān)測、事后應(yīng)急能力,全面提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展安全保障能力和服務(wù)水平。
(二)基本原則
筑牢安全,保障發(fā)展。以安全保發(fā)展,以發(fā)展促安全。嚴格落實《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī),按照誰運營誰負責(zé)、誰主管誰負責(zé)的原則,堅持發(fā)展與安全并重,安全和發(fā)展同步規(guī)劃、同步建設(shè)、同步運行。
統(tǒng)籌指導(dǎo),協(xié)同推進。做好頂層設(shè)計和系統(tǒng)謀劃,結(jié)合各地實際,突出重點,分步協(xié)同推進,加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系,確保安全工作落實到位。
分類施策,分級管理。根據(jù)行業(yè)重要性、企業(yè)規(guī)模、安全風(fēng)險程度等因素,對企業(yè)實施分類分級管理,集中力量指導(dǎo)、監(jiān)管重要行業(yè)、重點企業(yè)提升工業(yè)互聯(lián)網(wǎng)安全保障能力,夯實企業(yè)安全主體責(zé)任。
融合創(chuàng)新,重點突破?;诠I(yè)互聯(lián)網(wǎng)融合發(fā)展特性,創(chuàng)新安全管理機制和技術(shù)手段,鼓勵推動重點領(lǐng)域技術(shù)突破,加快安全可靠產(chǎn)品的創(chuàng)新推廣應(yīng)用,有效應(yīng)對新型安全挑戰(zhàn)。
(三)總體目標
到2020年底,工業(yè)互聯(lián)網(wǎng)安全保障體系初步建立。制度機制方面,建立監(jiān)督檢查、信息共享和通報、應(yīng)急處置等工業(yè)互聯(lián)網(wǎng)安全管理制度,構(gòu)建企業(yè)安全主體責(zé)任制,制定設(shè)備、平臺、數(shù)據(jù)等至少20項亟需的工業(yè)互聯(lián)網(wǎng)安全標準,探索構(gòu)建工業(yè)互聯(lián)網(wǎng)安全評估體系。技術(shù)手段方面,初步建成國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺、基礎(chǔ)資源庫和安全測試驗證環(huán)境。產(chǎn)業(yè)發(fā)展方面,在汽車、電子信息、航空航天、能源等重點領(lǐng)域,形成至少20個創(chuàng)新實用的安全產(chǎn)品、解決方案的試點示范,培育若干具有核心競爭力的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。
到2025年,制度機制健全完善,技術(shù)手段能力顯著提升,安全產(chǎn)業(yè)形成規(guī)模,基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系。
二、主要任務(wù)
(一)推動工業(yè)互聯(lián)網(wǎng)安全責(zé)任落實
1.依法落實企業(yè)主體責(zé)任。工業(yè)互聯(lián)網(wǎng)企業(yè)明確工業(yè)互聯(lián)網(wǎng)安全責(zé)任部門和責(zé)任人,建立健全重點設(shè)備裝置和系統(tǒng)平臺聯(lián)網(wǎng)前后的風(fēng)險評估、安全審計等制度,建立安全事件報告和問責(zé)機制,加大安全投入,部署有效安全技術(shù)防護手段,保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行。由網(wǎng)絡(luò)安全事件引發(fā)的安全生產(chǎn)事故,按照安全生產(chǎn)有關(guān)法規(guī)進行處置。
2.政府履行監(jiān)督管理責(zé)任。工業(yè)和信息化部組織開展工業(yè)互聯(lián)網(wǎng)安全相關(guān)政策制定、標準研制等綜合性工作,并對裝備制造、電子信息及通信等主管行業(yè)領(lǐng)域的工業(yè)互聯(lián)網(wǎng)安全開展行業(yè)指導(dǎo)管理。地方工業(yè)和信息化主管部門指導(dǎo)本行政區(qū)域內(nèi)應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)的安全工作,同步推進安全產(chǎn)業(yè)發(fā)展,并聯(lián)合應(yīng)急管理部門推進工業(yè)互聯(lián)網(wǎng)在安全生產(chǎn)監(jiān)管中的作用;地方通信管理局監(jiān)管本行政區(qū)域內(nèi)標識解析系統(tǒng)、公共工業(yè)互聯(lián)網(wǎng)平臺等的安全工作,并在公共互聯(lián)網(wǎng)上對聯(lián)網(wǎng)設(shè)備、系統(tǒng)等進行安全監(jiān)測。生態(tài)環(huán)境、衛(wèi)生健康、能源、國防科技工業(yè)等部門根據(jù)各自職責(zé),開展本行業(yè)領(lǐng)域工業(yè)互聯(lián)網(wǎng)推廣應(yīng)用的安全指導(dǎo)、監(jiān)管工作。
(二)構(gòu)建工業(yè)互聯(lián)網(wǎng)安全管理體系
3.健全安全管理制度。圍繞工業(yè)互聯(lián)網(wǎng)安全監(jiān)督檢查、風(fēng)險評估、數(shù)據(jù)保護、信息共享和通報、應(yīng)急處置等方面建立健全安全管理制度和工作機制,強化對企業(yè)的安全監(jiān)管。
4.建立分類分級管理機制。建立工業(yè)互聯(lián)網(wǎng)行業(yè)分類指導(dǎo)目錄、企業(yè)分級指標體系,制定工業(yè)互聯(lián)網(wǎng)行業(yè)企業(yè)分類分級指南,形成重點企業(yè)清單,強化逐級負責(zé)的政府監(jiān)管模式,實施差異化管理。
5.建立工業(yè)互聯(lián)網(wǎng)安全標準體系。推動工業(yè)互聯(lián)網(wǎng)設(shè)備、控制、網(wǎng)絡(luò)(含標識解析系統(tǒng))、平臺、數(shù)據(jù)等重點領(lǐng)域安全標準的研究制定,建設(shè)安全技術(shù)與標準試驗驗證環(huán)境,支持專業(yè)機構(gòu)、企業(yè)積極參與相關(guān)國際標準制定,加快標準落地實施。
(三)提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護水平
6.夯實設(shè)備和控制安全。督促工業(yè)企業(yè)部署針對性防護措施,加強工業(yè)生產(chǎn)、主機、智能終端等設(shè)備安全接入和防護,強化控制網(wǎng)絡(luò)協(xié)議、裝置裝備、工業(yè)軟件等安全保障,推動設(shè)備制造商、自動化集成商與安全企業(yè)加強合作,提升設(shè)備和控制系統(tǒng)的本質(zhì)安全。
7.提升網(wǎng)絡(luò)設(shè)施安全。指導(dǎo)工業(yè)企業(yè)、基礎(chǔ)電信企業(yè)在網(wǎng)絡(luò)化改造及部署IPv6、應(yīng)用5G的過程中,落實安全標準要求并開展安全評估,部署安全設(shè)施,提升企業(yè)內(nèi)外網(wǎng)的安全防護能力。要求標識解析系統(tǒng)的建設(shè)運營單位同步加強安全防護技術(shù)能力建設(shè),確保標識解析系統(tǒng)的安全運行。
8.強化平臺和工業(yè)應(yīng)用程序(APP)安全。要求工業(yè)互聯(lián)網(wǎng)平臺的建設(shè)、運營單位按照相關(guān)標準開展平臺建設(shè),在平臺上線前進行安全評估,針對邊緣層、IaaS層(云基礎(chǔ)設(shè)施)、平臺層(工業(yè)PaaS)、應(yīng)用層(工業(yè)SaaS)分層部署安全防護措施。建立健全工業(yè)APP應(yīng)用前安全檢測機制,強化應(yīng)用過程中用戶信息和數(shù)據(jù)安全保護。