工業(yè)和信息化部關(guān)于印發(fā) 《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法》的通知

工信部網(wǎng)安〔2024〕68號(hào)

各省、自治區(qū)、直轄市、計(jì)劃單列市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門(mén)，各省、自治區(qū)、直轄市及計(jì)劃單列市通信管理局，有關(guān)企事業(yè)單位：

現(xiàn)將《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法》印發(fā)給你們，請(qǐng)認(rèn)真抓好落實(shí)。 

工業(yè)和信息化部

2024年4月11日

工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法

第一章  總  則

第一條 為加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理，落實(shí)企業(yè)網(wǎng)絡(luò)安全主體責(zé)任，提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)水平，促進(jìn)工業(yè)互聯(lián)網(wǎng)深度融合應(yīng)用，護(hù)航新型工業(yè)化高質(zhì)量發(fā)展，維護(hù)國(guó)家安全和發(fā)展利益，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》等法律法規(guī)及國(guó)家有關(guān)規(guī)定，制定本辦法。 

第二條 在中華人民共和國(guó)境內(nèi)開(kāi)展工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理工作的，應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)和本辦法的要求。 

第三條 工業(yè)和信息化部統(tǒng)籌指導(dǎo)開(kāi)展工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理工作，主要涉及原材料工業(yè)、裝備工業(yè)、消費(fèi)品工業(yè)和電子信息制造業(yè)等主管行業(yè)領(lǐng)域。 

各省、自治區(qū)、直轄市及計(jì)劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門(mén)（以下稱地方工業(yè)和信息化主管部門(mén)），各省、自治區(qū)、直轄市及計(jì)劃單列市通信管理局（以下稱地方通信管理局）開(kāi)展本行政區(qū)域內(nèi)工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理。地方工業(yè)和信息化主管部門(mén)主要負(fù)責(zé)指導(dǎo)本行政區(qū)域內(nèi)聯(lián)網(wǎng)工業(yè)企業(yè)的安全分類分級(jí)管理，同步加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)。地方通信管理局主要負(fù)責(zé)開(kāi)展本行政區(qū)域內(nèi)平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)的安全分類分級(jí)管理，并在公共互聯(lián)網(wǎng)上對(duì)聯(lián)網(wǎng)設(shè)備、系統(tǒng)等進(jìn)行安全監(jiān)測(cè)。 地方工業(yè)和信息化主管部門(mén)、地方通信管理局統(tǒng)稱地方主管部門(mén)。 

第四條 工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理工作遵循統(tǒng)籌指導(dǎo)、分類施策、分級(jí)防護(hù)、突出重點(diǎn)的原則，指導(dǎo)企業(yè)提升安全防護(hù)能力。 

第二章  企業(yè)分類分級(jí)

第五條 工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理以工業(yè)互聯(lián)網(wǎng)企業(yè)為對(duì)象，企業(yè)類型主要包括以下三類： 

（一）應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)（以下稱聯(lián)網(wǎng)工業(yè)企業(yè)），主要是指將新一代信息通信技術(shù)與工業(yè)系統(tǒng)深度融合，推動(dòng)開(kāi)展數(shù)字化研發(fā)、智能化制造、網(wǎng)絡(luò)化協(xié)同、個(gè)性化定制、服務(wù)化延伸等的工業(yè)企業(yè)； 

（二）工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)（以下稱平臺(tái)企業(yè)），主要是指面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求，基于云平臺(tái)等方式對(duì)外提供工業(yè)大數(shù)據(jù)、工業(yè)APP等資源和公共服務(wù)的企業(yè)； 

（三）工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)（以下稱標(biāo)識(shí)解析企業(yè)），主要是指工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析根節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)、國(guó)家頂級(jí)節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)、標(biāo)識(shí)注冊(cè)服務(wù)機(jī)構(gòu)、遞歸節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)等提供工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)服務(wù)的機(jī)構(gòu)。 

第六條 工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)按照工業(yè)互聯(lián)網(wǎng)安全定級(jí)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合企業(yè)規(guī)模、業(yè)務(wù)范圍、應(yīng)用工業(yè)互聯(lián)網(wǎng)的程度、運(yùn)營(yíng)重要系統(tǒng)的程度、掌握重要數(shù)據(jù)的程度、對(duì)行業(yè)發(fā)展和產(chǎn)業(yè)鏈供應(yīng)鏈安全的重要程度以及發(fā)生網(wǎng)絡(luò)安全事件的影響后果等要素，開(kāi)展自主定級(jí)。工業(yè)互聯(lián)網(wǎng)企業(yè)級(jí)別由高到低分為三級(jí)、二級(jí)、一級(jí)。 

當(dāng)企業(yè)定級(jí)要素發(fā)生較大變化，可能影響企業(yè)定級(jí)結(jié)果時(shí)，企業(yè)應(yīng)當(dāng)在發(fā)生變化的三個(gè)月內(nèi)重新定級(jí)。同時(shí)具有聯(lián)網(wǎng)工業(yè)企業(yè)、平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)中兩種及以上屬性的企業(yè)，應(yīng)當(dāng)按照不同類型分別定級(jí)。 

第七條 完成自主定級(jí)的工業(yè)互聯(lián)網(wǎng)企業(yè)通過(guò)全國(guó)工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理平臺(tái)（以下稱分類分級(jí)管理平臺(tái)）開(kāi)展信息登記，登記內(nèi)容包括但不限于企業(yè)名稱、企業(yè)類型、企業(yè)級(jí)別、聯(lián)系方式、網(wǎng)絡(luò)安全負(fù)責(zé)人等相關(guān)情況。地方主管部門(mén)通過(guò)分類分級(jí)管理平臺(tái)對(duì)企業(yè)提交登記的材料，在三十個(gè)工作日內(nèi)開(kāi)展核查，對(duì)材料內(nèi)容不齊全、定級(jí)不準(zhǔn)確的，應(yīng)當(dāng)通知企業(yè)在二十個(gè)工作日內(nèi)予以補(bǔ)正。 

第八條 工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)按照聯(lián)網(wǎng)工業(yè)企業(yè)、平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)、數(shù)據(jù)等相關(guān)安全防護(hù)標(biāo)準(zhǔn)規(guī)范，根據(jù)企業(yè)類型、自身級(jí)別落實(shí)相適應(yīng)的安全要求，提升相關(guān)設(shè)備、控制、網(wǎng)絡(luò)、平臺(tái)、數(shù)據(jù)等的安全防護(hù)能力。 

第九條 工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)按照法律法規(guī)和相關(guān)標(biāo)準(zhǔn)，自行或委托第三方評(píng)測(cè)機(jī)構(gòu)，定期開(kāi)展符合性評(píng)測(cè)，三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每年至少開(kāi)展一次評(píng)測(cè)，二級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每?jī)赡曛辽匍_(kāi)展一次評(píng)測(cè)。一級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)可參照二級(jí)企業(yè)相關(guān)要求開(kāi)展評(píng)測(cè)。 

第十條 工業(yè)互聯(lián)網(wǎng)企業(yè)針對(duì)發(fā)現(xiàn)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，應(yīng)當(dāng)積極采取措施消除隱患。 

第三章  網(wǎng)絡(luò)安全管理

第十一條 工業(yè)和信息化部建立健全工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理制度體系，組織制定評(píng)估評(píng)測(cè)、信息通報(bào)、應(yīng)急預(yù)案等相關(guān)制度，以及分類分級(jí)、安全管理、安全服務(wù)等相關(guān)標(biāo)準(zhǔn)，建立完善安全檢查、監(jiān)測(cè)預(yù)警、應(yīng)急處置、成效評(píng)價(jià)等工作機(jī)制。 

地方主管部門(mén)應(yīng)當(dāng)建立健全屬地工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理制度機(jī)制，將工業(yè)互聯(lián)網(wǎng)安全納入重點(diǎn)工作任務(wù)，督促企業(yè)落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，強(qiáng)化重點(diǎn)企業(yè)指導(dǎo)管理，定期向工業(yè)和信息化部報(bào)送工業(yè)互聯(lián)網(wǎng)安全管理工作情況。地方工業(yè)和信息化主管部門(mén)、通信管理局加強(qiáng)工作協(xié)同，共同做好工業(yè)互聯(lián)網(wǎng)安全工作。 

工業(yè)互聯(lián)網(wǎng)企業(yè)承擔(dān)本企業(yè)網(wǎng)絡(luò)安全主體責(zé)任，企業(yè)主要負(fù)責(zé)人為本企業(yè)網(wǎng)絡(luò)安全第一責(zé)任人，要建立健全企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理制度，積極將網(wǎng)絡(luò)安全納入企業(yè)發(fā)展規(guī)劃和工作考核，加大網(wǎng)絡(luò)安全投入，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力建設(shè)，有效防范化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。企業(yè)應(yīng)當(dāng)配合工業(yè)和信息化部、地方主管部門(mén)的監(jiān)督管理。 

第十二條 工業(yè)和信息化部建立健全工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警和信息通報(bào)機(jī)制，建設(shè)國(guó)家級(jí)安全態(tài)勢(shì)感知與風(fēng)險(xiǎn)預(yù)警手段，組織開(kāi)展安全風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警和通報(bào)，加強(qiáng)威脅信息共享。 

地方主管部門(mén)建立屬地工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警機(jī)制，建設(shè)地方工業(yè)互聯(lián)網(wǎng)安全技術(shù)平臺(tái)，組織開(kāi)展本行政區(qū)域內(nèi)安全風(fēng)險(xiǎn)監(jiān)測(cè)，及時(shí)向相關(guān)企業(yè)通報(bào)安全風(fēng)險(xiǎn)隱患，指導(dǎo)企業(yè)及時(shí)整改。 

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)根據(jù)自身級(jí)別，建設(shè)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)手段，留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月，采取防范網(wǎng)絡(luò)攻擊、病毒入侵等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，有效發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患并及時(shí)處置。三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)按照有關(guān)標(biāo)準(zhǔn)，加強(qiáng)企業(yè)平臺(tái)與國(guó)家、地方平臺(tái)之間的協(xié)同聯(lián)動(dòng)。 

第十三條 工業(yè)和信息化部建立健全工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置制度機(jī)制，組織協(xié)調(diào)工業(yè)互聯(lián)網(wǎng)重大及以上網(wǎng)絡(luò)安全事件應(yīng)急處置，開(kāi)展工業(yè)互聯(lián)網(wǎng)安全演練。 

地方主管部門(mén)建立屬地工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置制度，組織開(kāi)展工業(yè)互聯(lián)網(wǎng)安全演練，做好本行政區(qū)域內(nèi)工業(yè)互聯(lián)網(wǎng)安全事件應(yīng)急處置工作，發(fā)現(xiàn)重大及以上安全事件，及時(shí)上報(bào)工業(yè)和信息化部。

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期開(kāi)展安全演練，檢驗(yàn)安全防護(hù)和應(yīng)急處置能力。企業(yè)在網(wǎng)絡(luò)安全事件發(fā)生后，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)補(bǔ)救措施。發(fā)生一般及以上安全事件的，應(yīng)當(dāng)立即向地方主管部門(mén)報(bào)告。 

第十四條 工業(yè)和信息化部建立健全工業(yè)互聯(lián)網(wǎng)安全檢查評(píng)估機(jī)制，定期組織開(kāi)展對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)的安全檢查評(píng)估。 

地方工業(yè)和信息化主管部門(mén)開(kāi)展本行政區(qū)域內(nèi)聯(lián)網(wǎng)工業(yè)企業(yè)的安全評(píng)估，地方通信管理局開(kāi)展本行政區(qū)域內(nèi)平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)的安全檢查，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，指導(dǎo)企業(yè)加強(qiáng)安全整改。地方主管部門(mén)每年面向三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)開(kāi)展安全檢查評(píng)估，定期面向二級(jí)、一級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)開(kāi)展安全檢查評(píng)估。 

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)配合工業(yè)和信息化部、地方主管部門(mén)的網(wǎng)絡(luò)安全檢查評(píng)估。 

第四章 支持與保障

第十五條 地方主管部門(mén)要加大人員投入和經(jīng)費(fèi)支持力度，加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作相關(guān)考核激勵(lì)，建設(shè)工業(yè)互聯(lián)網(wǎng)安全資源池，壯大屬地安全支撐服務(wù)力量。 

第十六條 地方主管部門(mén)要加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全政策標(biāo)準(zhǔn)宣貫，充分利用大會(huì)、論壇等方式，提升工業(yè)互聯(lián)網(wǎng)安全意識(shí)和能力。加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全人才培養(yǎng)力度，鼓勵(lì)行業(yè)企業(yè)、聯(lián)盟協(xié)會(huì)、研究機(jī)構(gòu)等開(kāi)展工業(yè)互聯(lián)網(wǎng)安全人才培訓(xùn)和崗位能力評(píng)價(jià)，支持舉辦工業(yè)互聯(lián)網(wǎng)安全相關(guān)賽事活動(dòng)。 

第十七條 工業(yè)和信息化部鼓勵(lì)、支持具備相關(guān)專業(yè)能力的第三方機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)等依據(jù)相關(guān)標(biāo)準(zhǔn)，開(kāi)展工業(yè)互聯(lián)網(wǎng)安全檢測(cè)評(píng)估、安全咨詢、安全運(yùn)維、人員培訓(xùn)等安全服務(wù)，推動(dòng)工業(yè)互聯(lián)網(wǎng)安全服務(wù)認(rèn)證，規(guī)范安全服務(wù)要求，提高安全服務(wù)質(zhì)量。 

第十八條 工業(yè)和信息化部指導(dǎo)聯(lián)網(wǎng)工業(yè)企業(yè)識(shí)別重要工業(yè)控制系統(tǒng)，推動(dòng)將分布式控制系統(tǒng)（DCS）等納入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄，支持開(kāi)展工業(yè)控制系統(tǒng)和設(shè)備安全檢測(cè)。 

第十九條 工業(yè)和信息化部支持地方主管部門(mén)以及行業(yè)企業(yè)、研究機(jī)構(gòu)、高等學(xué)校等，通過(guò)專項(xiàng)項(xiàng)目、試點(diǎn)示范等方式，加大工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)和成果轉(zhuǎn)化應(yīng)用，選樹(shù)分類分級(jí)防護(hù)典型案例，推廣工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)。 

第五章 附則

第二十條 工業(yè)互聯(lián)網(wǎng)企業(yè)違反本辦法規(guī)定，不履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)義務(wù)的，工業(yè)和信息化部、地方主管部門(mén)按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》等相關(guān)法律法規(guī)予以處理。 

第二十一條 涉及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的，按照有關(guān)規(guī)定執(zhí)行。 

第二十二條 本辦法自印發(fā)之日起施行。 

來(lái)源：工業(yè)和信息化部絡(luò)安全管理局