關于開展江蘇省2021年度工業信息安全防護星級企業培育工作的通知


蘇工信信發〔2021〕428號

各設區市工信局:

為進一步提升我省工業企業、工業互聯網平臺企業的信息安全防護能力和水平,根據《關于加強工業互聯網安全工作的實施意見》、《2021年工業信息安全工作要點》等文件要求,省工信廳定于2021年8月至11月開展工業信息安全防護星級企業培育工作,現將有關要求通知如下:

一、培育對象

本次培育工作優先服務2021年新申報省工信廳試點示范項目的工業企業和工業互聯網平臺企業。積極鼓勵2018年以來由國家、省、市工信部門認定的各類信息化基礎較好的工業企業和工業互聯網平臺企業參與。

二、培育方式

本次培育工作通過檢測評估、咨詢診斷和整改提升等方式,提升企業安全防護能力,幫助企業實現星級達標(工控安全防護基礎建設級或平臺安全防護基本級及以上等級)或星級提升。省工信廳負責工業信息安全防護星級企業培育工作的總體協調推進,并組織對自評估咨詢機構的統一集中培訓。各設區市工信局負責遴選推薦流程規范、服務高效、技術過硬的自評估咨詢機構,組織發動轄區內企業積極參與培育,并做好機構與參培企業間的對接服務工作。自評估咨詢機構負責為企業提供免費咨詢服務,針對企業在自評估過程中存在的實際困難提供一對一咨詢服務,幫助企業摸清自身信息安全防護能力的實際情況。省級工業信息安全服務支撐機構負責為企業提供咨詢診斷、整改提升等服務,幫助企業診斷問題并認清與標準間的差距;同時針對存在的問題提出安全防護整改建議,幫助企業提升安全防護能力,滿足星級企業培育標準。參培企業可按照自評估咨詢服務機構管理工作要求(詳見附件1)自行聯系并委托服務機構,也可由當地工信部門指定服務機構。

三、培育類型及要求

(一)工控安全防護星級企業

依據《信息安全技術 工業控制系統信息安全防護能力成熟度模型》(報批稿),工控系統信息安全防護能力分為5個級別,包括:基礎建設級(1星)、規范防護級(2星)、集成管控級(3星)、綜合協同級(4星)、智能優化級(5星)。

基礎建設級(1星):企業能夠依據工業控制系統信息安全防護的技術基礎和條件開展基本保護工作,安全防護能力建設主要基于特定業務場景,尚未形成規范化、流程化的工作方式,相關工作多依賴信息安全人員主觀經驗,建設過程未要求以文檔形式記錄,無法形成可復制。

規范防護級(2星):企業建立并記錄工業控制系統信息安全防護能力建設工作,能夠針對工業控制設備、工業主機、工業網絡、工業數據等方面,制定規范化安全防護制度、規章,使得企業能夠以重復的方式執行,采用數字化裝備、信息技術手段等,有針對性的開展安全防護,面向各方面形成獨立、可復制的安全防護能力。

集成管控級(3星):企業能夠對工業控制系統設備、主機、系統、網絡、數據等方面,在規范防護已有工作基礎上,通過集成化工具、系統等,對相對獨立的單點防護設備進行集中統一管控,同時整合相關防護規章制度文件,形成體系化制度,實現企業內部工業控制系統信息安全的集中管理、統一控制的安全防護能力。

綜合協同級(4星):企業能夠面向不同產線、廠區、工廠及產業鏈上下游相關單位,統籌考慮信息安全風險需求,開展安全防護建設,建立多級協同的安全管理體系,并通過態勢感知、統一管控等技術手段實現綜合決策、協同防護的安全能力。

智能優化級(5星):企業能夠采用人工智能、主動防御、內生安全等先進技術,與已有安全防護設備、系統、制度體系深度融合,使得可通過知識學習、智能建模分析等技術,構建可智能化演進的安全防護系統,形成具有自決策、自進化能力的安全防護體系。

(二)工業互聯網平臺安全防護星級企業

依據《工業互聯網平臺安全防護要求》(AII/004-2018),工業互聯網平臺安全防護能力分為兩個級別,包括:基本級、增強級。

基本級:工業互聯網平臺在提供服務時應具備必要的安全控制措施,保護工業互聯網平臺能夠抵御或應對常見的攻擊、威脅。

增強級:工業互聯網平臺在提供服務時在基本級的基礎上能提供更高級別的安全控制措施,保護工業互聯網平臺能夠抵御或應對強度更高的攻擊、威脅。

四、組織實施

工業信息安全防護星級企業培育工作主要分為組織動員、企業自評估、整改提升、現場核查、工作總結等5個階段。

(一)組織動員階段。各設區市工信局收到通知后,積極做好轄區企業的宣傳發動工作,遴選推薦2-5家自評估咨詢服務機構(至少有1家省級工業信息安全服務支撐機構)參加自評估工作,相關工作于9月10日前完成。

(二)企業自評估階段。各設區市工信局組織企業在“江蘇省工業信息安全公共服務平臺”(網址:https://www.jsgyaq.com)注冊賬號并填報企業基礎信息,在9月25日前完成企業安全防護能力自評估并提交(詳見附件2)。各設區市工信局組織本地區的自評估咨詢機構,指導企業開展自評估相關工作。

(三)整改提升階段。省工信廳組織省級工業信息安全服務支撐機構對完成自評估的企業開展線上核查評估,并根據企業自評估安全防護狀況給出整改建議。各地工信部門組織相關企業根據整改建議進行對標整改,企業整改后將整改情況從平臺提交,整改工作于10月20日前完成。

(四)現場核查階段。結合企業線上自評估和機構線上核查評估情況,省工信廳指定專業服務機構對重點企業開展現場評估,為企業提供專業診斷服務并幫助提升,相關工作于11月10日前完成。

(五)工作總結階段。省工信廳將根據線上核查評估和現場抽查評估結果,確定并公布安全防護星級企業名單,編制2021年度星級防護企業培育工作報告,并遴選推薦年度優秀案例和工業信息安全優秀服務商,相關工作于11月30前完成。

五、工作要求

1、各設區市工信局要高度重視培育工作,加強內部處室工作協同,密切配合,組織動員企業積極參加星級防護企業培育工作(組織發動工作要求詳見附件3)。

2、各設區市工信局要按照時序進度,組織發動企業開展自評估和整改提升,配合做好現場核查評估等工作。

3、企業自評估工作是一項常態化工作,各設區市工信局要加強對企業的宣貫和指導,按照培育工作要求動員企業根據自身情況適時參加,不斷擴大區域內重點企業的自評估覆蓋率,有效支撐本地工業信息安全態勢分析研判。

4、省工信廳將組織服務支撐機構、參培企業簽訂服務承諾書,承諾在服務過程中不對企業系統運行造成影響,不泄露服務中獲取的企業敏感數據信息,所獲取數據信息僅用于支持政府主管部門相關工作。

5、省工信廳將委托省電子質檢院(省信息安全測評中心)等第三方專業服務機構做好技術支撐和配合工作。

6、請各設區市工信局根據自評估咨詢服務機構管理工作要求,于2021年9月10日前填寫《各設區市自評估咨詢服務機構匯總表》(詳見附件4),并將匯總表蓋章掃描件和word電子檔報送至省工信廳。

省工信廳聯系人:吳瑜,025-82288067,24406391@qq.com;省信息安全測評中心聯系人:程愷,18961815839,ck@jnlab.com;平臺技術支持:梅亦,18952482367   郭濤,17768065158。


附件:1. 自評估咨詢服務機構管理工作要求

        2. 服務平臺操作手冊(企業版)

        3. 星級企業培育組織發動工作要求

        4. 各設區市自評估咨詢服務機構匯總表

                   江蘇省工業和信息化廳

                        2021年9月3日