广东省工业和信息化厅 广东省通信管理局关于印发广东省加强工业互联网安全和工业控制系统信息安全工作实施方案(2021-2023年)的通知
粤工信工业互联网函〔2021〕27号
来源:本网原创稿发布时间: 2021-06-11 21:53:04

各地级以上市工业和信息化主管部门,深圳市通信管理局:

  为切实做好我省工业互联网安全和工业控制系统信息安全工作,全面提升工业互联网安全和工业控制系统信息安全保障能力,促进安全产业高质量发展,现将《广东省加强工业互联网安全和工业控制系统信息安全工作实施方案(2021—2023年)》印发给你们,请认真贯彻落实。

   

  广东省工业和信息化厅       广东省通信管理局

           2021年6月10日

广东省加强工业互联网安全和工业控制系统信息安全工作实施方案

(2021—2023年)

  

  依照工业和信息化部等部委关于《加强工业互联网安全工作的指导意见》和工业和信息化部关于《工业控制系统信息安全事件应急管理工作指南》部署要求,为提升全省工业互联网安全和工业控制系统信息安全(以下简称“工控安全”)保障能力,促进安全产业高质量发展,高水平建设广东省工业互联网示范区,特制定本实施方案。

  一、总体要求

  (一)指导思想

  为深入贯彻习近平新时代中国特色社会主义思想和习近平总书记关于网络安全重要讲话和重要指示批示精神,围绕设备、控制、网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制、完善技术手段、促进产业发展、强化人才培育,构建责任清晰、制度健全、技术先进的工业互联网安全和工控安全保障体系,覆盖工业互联网规划、建设、运行等全生命周期,形成事前防范、事中监测、事后应急能力,全面提升工业互联网创新发展安全保障能力和服务水平。

  (二)基本原则

  ——统筹指导,协同推进。做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全和工控安全保障体系,确保安全工作落实到位。

  ——筑牢安全,保障发展。以安全保发展,以发展促安全。严格落实《中华人民共和国网络安全法》等法律法规,按照谁运营谁负责、谁主管谁负责的原则,坚持发展与安全并重,安全和发展同步规划、同步建设、同步运行。

  ——分类施策,分级管理。根据行业重要性、企业规模、安全风险程度等因素,对企业实施分类分级管理,集中力量指导、监管重要行业、重点企业提升工业互联网安全和工控安全保障能力,夯实企业安全主体责任。

  ——融合创新,重点突破。基于工业互联网融合发展特性,创新安全管理机制和技术手段,鼓励推动重点领域技术突破,加快工业互联网安全和工控安全产业创新应用,有效应对新型安全挑战。

  (三)工作目标

  到2021年底,健全并完善省级工业互联网安全技术保障平台、工控安全技术保障平台建设,工业互联网安全和工控安全分类分级管理模式开展应用试点。开展工业互联网安全和工控安全贯标试点工作,工业互联网和工控安全产业体系初步建立。

  到2023年,推动省级工业互联网安全技术保障平台、工控安全技术保障平台深度应用,工业互联网安全和工控安全分类分级管理模式在全省范围深入推广。面向全省20个战略性产业集群培育一批工业互联网安全和工控安全贯标示范企业。积极创建具有较大影响力的重点行业安全公共服务平台,推动工业数据分类分级指南和数据管理能力成熟度评估推广实施,培育一批具有核心竞争力的工业互联网安全和工控安全企业,工业互联网安全和工控安全产业体系进一步完善。

  二、重点任务

  (一)推动工业互联网安全和工控安全责任落实

  1.依法落实企业主体责任。工业互联网企业应明确工业互联网安全和工控安全责任部门和责任人,建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度,建立安全事件报告和问责机制,加大安全投入,有效部署安全技术防护,保障工业互联网安全和工控安全稳定运行。(省工业和信息化厅,省通信管理局,第一个为牵头单位,其他单位按职责分工负责)

  2.政府履行监督管理责任。省工业和信息化厅指导全省工业企业工控安全工作,同步推进工业互联网安全和工控安全产业发展,并联合省应急管理厅推进工业互联网在安全生产监管中的应用;省通信管理局监管全省标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。各地级以上市工业和信息化主管部门负责推动工控安全企业落实主体责任,协助省通信管理局做好标识解析系统、公共工业互联网平台监测工作。(省工业和信息化厅,省通信管理局)

  (二)构建工业互联网安全和工控安全管理体系

  3.健全安全管理制度。围绕工业互联网安全和工控安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,定期开展自查、抽查工作,强化对企业的安全监管。(省工业和信息化厅,省通信管理局)

  4.落实分类分级管理机制。建立工业互联网行业分类指导目录、企业分级指标体系,落实工业和信息化部关于工业互联网行业企业分类分级指南,形成重点企业清单,强化逐级负责的政府监管模式,实施差异化管理。(省通信管理局,省工业和信息化厅)

  (三)提升工业互联网安全和工控安全技术手段及防护水平

  5.建设省、市、企业三级协同的安全技术保障平台。省通信管理局统筹建设省级工业互联网安全技术保障平台、工控安全技术保障平台。鼓励基础较好的地市试点建设市级工业互联网安全技术保障平台、工控安全技术保障平台,以及围绕重点行业建设企业级安全平台,强化地方、企业与省级平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。(省通信管理局,省工业和信息化厅)

  6.夯实设备和控制安全。督促工业企业部署针对性防护措施,加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的安全。(省工业和信息化厅)

  7.提升网络设施安全。指导工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中,落实安全标准要求,开展安全评估,部署安全设施,提升企业内外网的安全防护能力。标识解析系统的建设运营单位要加强安全防护能力建设,确保标识解析系统的安全运行。(省通信管理局)

  8.强化平台和工业应用程序(APP)安全。工业互联网平台的建设、运营单位要按照相关安全标准来开展,在平台上线前应进行安全评估,并在边缘层、云基础设施层(IaaS)、工业平台层(PaaS)、工业应用层(SaaS)等位置分层部署安全防护措施。建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据的安全保护。(省通信管理局)

  (四)打造工业互联网安全和工控安全试点示范

  9.开展安全贯标试点工作。明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、生产制造、运维管理、平台知识机理和数字化模型等数据管理,并在防窃密、防篡改和数据备份等方面做好安全防护措施。强化先进引领,遴选工业互联网安全和工控安全智能工厂和应用示范工厂,提炼推广最佳实践,开展工业互联网安全和工控安全贯标试点工作。(省工业和信息化厅,省通信管理局)

  10.开展安全应用示范区建设。鼓励具备条件的地市培育壮大工业互联网安全和工控安全专业人才队伍,引进全国知名工业互联网安全和工控安全服务商,培育工业互联网安全和工控安全产业生态,开展工业互联网安全应用示范区建设工作。(省工业和信息化厅)

  (五)培育工业互联网安全和工控安全产业

  11.提升安全服务水平。鼓励和支持专业机构、安全企业等提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。鼓励基础电信企业、互联网企业、系统解决方案提供商等依托专业技术优势,加强与工业互联网企业的需求对接,输出安全保障服务。加快培育集约化安全运营服务中心和具有较大影响力的重点行业安全公共服务平台,逐步构建工业互联网安全和工控安全企业产业供给生态体系。(省工业和信息化厅,省通信管理局)

  12.促进安全产业发展。推动产业集聚发展,推进强链优链,围绕特定应用场景培育一批“高精尖”特色安全企业,培育具有核心竞争力的工业互联网安全和工控安全企业。优化产业园区布局,打造资源汇聚、要素共享的工业互联网安全和工控安全产业孵化基地。(省工业和信息化厅)

  三、工作保障

  (一)加强组织领导,健全工作机制。加强统筹协调,强化部门协同、政企联动,构建省、市、县(市、区)三级各负其责、紧密配合、运转高效的工业互联网安全和工控安全联防联控管理机制,配备充实相关专业管理人才和技术保障队伍,形成事前防范、事中监测、事后应急能力。坚持常态化在线监测,建立定期通报机制,结合重点行业重点区域开展督导检查工作。

  (二)保障重大节点,提升处置能力。完善重大时间节点省、市、县(市、区)工业互联网安全和工控安全零报告制度。省级工业互联网安全技术保障平台、工控安全技术保障平台应在重大时间节点上进行高密度高频次扫描,降低全省工业企业安全入侵风险。各地要进一步加强重大时间节点的安全指导力度,督促企业落实企业主体责任,提升企业应急处置能力;加强重大时间节点涉及国计民生等工业企业控制系统、生产核心控制单元安全保障工作。

  (三)发挥市场作用,汇聚多方力量。充分发挥市场在资源配置中的决定性作用,以工业互联网企业和工控安全的需求为着力点,形成市场需求牵引、政府支持推动的发展局面。组织专业机构结合全省20个战略性产业集群开展对接活动,组织开展安全联盟论坛、人才培养等的创新支撑平台,形成支持安全产业发展合力。

  (四)加强宣传教育,优化创新环境。开展工业互联网安全和工控安全走进产业集群宣传活动,提升工业互联网企业和工业企业相关人员安全意识。深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。组织工业互联网安全和工控安全应急攻防演练活动、安全竞赛等,培养选拔不同层次的安全从业人员。依托专业机构,打造技术领先、业界知名的安全高端智库和区域性专业人才支撑队伍。