湖南省工业和信息化领域网络安全和数据安全管理支撑服务工作管理办法(试行)
第一条 为加强全省工业和信息化领域网络安全和数据安全管理,规范工业和信息化领域网络安全和数据安全支撑服务工作,根据工信部《工业互联网安全分类分级管理办法》、《工业和信息化领域数据安全管理办法(试行)》和《工业控制系统网络安全防护指南》等有关规定,制订本试行办法。
第二条 本试行办法适用于“湖南省工业和信息化领域网络安全和数据安全管理支撑机构”(以下简称支撑机构)为全省工业和信息化领域企业(以下简称企业)和各级工业和信息化主管部门(以下简称工信部门)提供工业互联网企业网络安全分类分级管理、工业和信息化领域数据安全管理和工业控制系统网络安全防护等支撑服务的相关工作(以下简称支撑工作)。
筹推进全省工业和信息化领域网络安全和数据安全管理工作,推进全省工业和信息化领域网络安全和数据安全技术支撑队伍建设,培育发展一批本地支撑机构,壮大支撑服务力量,构建支撑服务资源池。各市县工信部门负责推进本行政区域工业和信息化领域网络安全和数据安全管理工作和支撑工作。
第四条 支撑机构应是在网络安全和数据安全领域具有突出技术优势,认可度较高的企事业单位,或其技术特长为我省工业和信息化领域网络安全和数据安全工作所需,并在湖南省内具有稳定的网络安全和数据安全技术服务团队。
第五条 具备相关条件的企事业单位,可自愿向省工业和信息化厅提出申请进入湖南省工业和信息化领域网络安全和数据安全支撑机构资源池。
第六条 支撑机构根据企业需求,通过市场机制开展支撑工作。鼓励支撑机构为企业提供普惠性、公益性支撑服务。
第七条 支撑机构应根据工信部门工作部署和企业实际需求开展支撑工作,内容包括且不限于:宣贯培训、资产清查、分类分级、定级核查、目录备案、安全评估、安全整改、检查评估、应急演练、应急处置、总结示范等。
第八条 宣贯培训 支撑机构应积极参加省工业和信息化厅组织的的相关业务培训,指派专业技术人员采取集中培训、线上培训、上门宣讲、帮扶释疑等方式,为企业提供工业互联网安全、数据安全、工业控制安全等方面的政策解读、业务指导和实操辅导,提升企业安全意识和能力。
第九条 资产清查 支撑机构应通过现场调研、资产扫描、远程摸排等方式,明确企业作为工业互联网企业、工业数据处理企业和使用工业控制系统企业的基本条件,协助企业全面梳理联网工业系统、工业控制系统、工业数据等信息资产现状,形成系统资产、设备资产和数据资产清单。
第十条 自主定级 支撑机构应协助企业按照相关标准规范对网络、数据、系统开展自主定级,编制网络安全自主定级报告,制订重要数据和核心数据目录,建立重要工业控制系统清单。
第十一条 安全评估 支撑机构应依据相关标准规范,采取现场或远程等方式,运用人工检测和专业检测工具,对企业重要信息系统、重要数据和核心数据、工业控制系统开展安全检测评估,指导企业进行安全指标评分,协助出具安全评估报告。
第十二条 安全整改 支撑机构应立足企业实际协助制定整改方案,指导企业依据整改方案开展风险隐患整改和落实相应技术防护要求,根据企业需求提供定制技术服务和安全设备等,指导企业报送整改落实情况。
第十三条 审核检查 支撑机构应按照省工业和信息化厅的统筹安排,加强与市县工信部门的协同配合,为工信部门提供定级报告审核、现场安全检查和整改项目验收等支撑服务。
第十四条 应急演练 工信部门或企业按照有关规定开展网络安全和数据安全应急演练活动,支撑机构应协助主办单位制定演练方案、演练报告、应急预案,指派技术人员参演和提供应急技术服务,保障演练安全顺利进行。
第十五条 应急处置 支撑机构应指导企业制定网络安全、数据安全和工控系统安全的应急预案,加强日常态势感知和监测预警能力建设。企业发生安全事件后,支撑机构应提供人员、技术和设备支持,指导企业根据事件等级开展分级响应、故障处置、系统恢复、分析研判、调查取证等应急处置工作。
第十六条 总结示范 支撑机构应协助工信部门和企业做好工作总结提炼,展示工作进展成效,宣传推广先进经验和典型案例,发挥示范引领作用。
第十七条 其他活动 支撑机构应积极参与省工业和信息化厅组织的业务交流、课题研究或其他专项工作。
(一)接受省工业和信息化厅对支撑工作的指导协调,严格遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等有关法律法规以及支撑工作的有关规定、规范和工作要求;
(二)发现重大网络或数据安全事件、风险隐患、高危漏洞和安全威胁时,应及时通报企业,并同步报告市州工信部门和省工业和信息化厅;
(五)建立网络安全和数据安全应急处置机制和纠纷处理机制,防范支撑工作风险,妥善处理纠纷。
第十九条 省工业和信息化厅对支撑机构资源池实行动态管理,建立“有进有出”机制。每年度对支撑工作进行考核评定,不定期对支撑机构的服务资质、应急人员、技术能力、规章制度、工作开展情况等进行检查。
第二十条 支撑机构有下列情形之一的,省工业和信息化厅责令其限期整改;情节严重的,将其移出资源池。
(一)未按照有关标准规范、工作流程开展支撑工作,运行管理不规范、支撑服务工作质量不达标;
(二)支撑工作中弄虚作假,出具不实支撑服务报告,隐瞒支撑工作中发现的重大安全问题;
(四)因支撑工作不到位,导致被支撑服务单位多次发生网络安全和数据安全事件;
(五)限定被支撑服务单位购买、使用指定网络安全和数据安全产品;
(六)监督检查中发现存在其他突出问题或违反法律法规情形。
第二十一条 对在前款规定中负有直接责任的支撑工作人员,支撑机构应责令其限期改正。
第二十二条 支撑机构在支撑工作中如有违反国家法律法规的行为,由其依法承担相应法律责任。
第二十三条 本试行办法自公布之日起施行,有效期2年。
关于开展2024年全省工业和信息化领域网络安全和数据安全分类分级管理工作的通知
为贯彻落实工信部等十部委《加强工业互联网安全工作的指导意见》、《工业互联网安全分类分级管理办法》、《工业和信息化领域数据安全管理办法(试行)》等文件精神和省政府“智赋万企”部署要求,加快提升我省工业和信息化领域网络安全和数据安全防护水平,进一步筑牢企业智改数转网联安全屏障,现就开展2024年全省工业和信息化领域网络安全和数据安全分类分级管理工作(以下简称分类分级管理工作)有关事项通知如下:
聚焦全省规模以上工业企业开展分类分级管理,2024年200家规上工业互联网企业完成工业互联网安全分类分级管理,年营收在行业排名前2%的工业企业完成数据安全分类分级管理,部署企业级工业互联网安全监测平台10个以上,培育网络安全和数据安全技术人才1000人以上,100家以上企业增设网络安全或数据安全岗位。
省工信厅、省通管局统筹全省分类分级管理工作,各市州工信局负责本地区分类分级管理工作,湖南省工业和信息化领域安全支撑服务机构(以下简称支撑机构)支撑省市工信部门和企业组织实施分类分级管理,分类分级管理工作依托由湖南省电子信息产业研究院负责运维的“湖南省工业信息安全公共服务平台”(以下简称服务平台)开展。
(一)制定工作方案。各市州工信局制定本地区2024年分类分级管理方案,汇总2024年参与分类分级管理申报企业名单(附件1),于5月15日前报至省工信厅。省工信厅对申报企业进行核查后发布2024年分类分级管理企业目录。
(二)企业自主定级。省工信厅组织遴选支撑机构,开展工业领域网络安全和数据安全业务培训。各市州工信局加强政策宣贯、开展培训指导,督导企业在服务平台完成基础信息填报和自主定级,并于6月30日前在服务平台提交自主定级报告。
(三)开展定级核查。市州工信部门组织支撑机构对自主定级报告开展核查,7月30日前在服务平台确认定级结果。三级工业互联网企业由省工信厅、省通管局负责核查确认。
(四)数据分类分级。企业自行或委托第三方专业机构开展数据清查、识别、分类、分级,形成数据分类分级清单,制订企业重要数据和核心数据目录,于6月30日前报市州工信局。市州工信局汇总、核查企业分类分级清单和目录,形成本地区重要数据和核心数据目录,于7月30日前以邮件形式报省工信厅。
(五)组织安全评估。企业自行或委托支撑机构开展安全风险评估,8月30日前在服务平台提交企业网络风险评估报告,数据安全风险评估报告由企业通过邮件方式报送省工信厅。各市州工信部门组织支撑机构对企业风险评估报告进行核查,9月15日前在服务平台确认核查结果。
(六)落实安全整改。各市州工信部门督促企业对照评估报告开展安全整改,建立健全管理制度、落实技术防护措施、优化网络结构、加强数据管理、建设安全监测平台,于10月30日前将安全整改情况上传服务平台。
(七)开展检查督导。省工信厅、省通管局开展“工业信息安全服务月”活动,组织支撑机构对所有三级企业和部分一、二级企业开展安全核查,对发现的问题隐患出具整改通知书。
(八)组织培训演练。省工信厅、省通管局联合举办2024年度“网安工匠”工业信息安全培训班和“铸网”工业互联网实网攻防应急演练,参与2024年分类分级管理企业指派相关负责人参加培训,并作为防守单位参加演练,参训人员将颁发相关职业技能证书。
(九)加强监测通报。省工信厅、省通管局加强省级工业互联网和数据安全态势感知监测平台建设,每月通报企业网络安全态势。各市州工信局要督导企业按照要求抓好安全整改,推进企业侧部署安全监测终端。三级企业或拥有核心数据的企业应落实有关规定,建设企业级工业互联网安全管控平台或数据安全态势监测平台,并于10月30日前完成与省监测平台对接。
(十)开展保险试点。省工信厅、省通管局结合分类分级管理工作,组织部分电信和互联网、工业互联网等行业企业以及相关工业园区同步开展网络安全保险试点,探索网络安全“保险+服务”运行机制。
(十一)开展工作总结。各市州工信部门对分类分级管理工作进行总结,11月30日前在服务平台提交总结报告。省工信厅、省通管局组织遴选一批分类分级管理典型案例、示范监测平台、优秀支撑机构。
(一)加强组织领导。分类分级管理工作是落实“智赋万企”数字安全屏障工程的具体举措,各市州工信局要指定人员负责,认真抓好落实,工作人员联系表请于4月30日前反馈至省工信厅。
