工业互联网安全分类分级管理办法拟出台，公开征求意见

10月24日，工业和信息化部公示《工业互联网安全分类分级管理办法（公开征求意见稿）》，公开征求意见。

企业分类分级

工业互联网安全分类分级管理以工业互联网企业为对象，企业类型主要包括以下三类： 

（一）应用工业互联网的工业企业（以下简称联网工业 企业），主要是指将新一代信息通信技术与工业系统深度融 合，推动开展数字化研发、智能化制造、网络化协同、个性化定制、服务化延伸等的工业企业； 

（二）工业互联网平台企业（以下简称平台企业），主 要是指面向制造业数字化、网络化、智能化需求，基于云平台等方式对外提供工业大数据、工业APP等资源和公共服务的企业； 

（三）工业互联网标识解析企业（以下简称标识解析企业），主要是指工业互联网标识解析根节点运行机构、国家顶级节点运行机构、标识注册服务机构、递归节点运行机构等提供工业互联网标识服务的机构。

自主定级：

工业互联网企业应当按照工业互联网安全定级相关标准规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响后果等要素，开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。

当企业定级要素发生较大变化，可能影响企业定级结果时，企业应当在发生变化的三个月内重新定级。同时具有联网工业企业、平台企业、标识解析企业中两种及以上属性的企业，应当按照不同类型分别定级。

分级防护：

工业互联网企业应当按照联网工业企业、平台企业、标识解析企业、数据等相关安全防护标准规范，根据企业类型、自身级别落实相适应的安全要求， 采取管理、技术等措施，提升相关设备、控制、网络、平台、 数据等的安全防护能力。

网络安全管理：

工业和信息化部建立健全工业互联网安全分类分级管理制度体系，组织制定评估评测、信 息通报、应急预案等相关制度，以及分类分级、安全管理、 安全服务等相关标准，建立完善安全检查、监测预警、应急处置、成效评价等工作机制。 

地方主管部门应当建立健全属地工业互联网安全分类分级管理制度机制，将工业互联网安全纳入重点工作任务， 督促企业落实网络安全主体责任，强化重点企业指导管理， 定期向工业和信息化部报送工业互联网安全管理工作情况。 

地方工业和信息化主管部门、通信管理局加强工作协同，共同做好工业互联网安全工作。工业互联网企业承担本企业网络安全主体责任，企业主要负责人为本企业网络安全第一责任人，要建立健全企业内部网络安全管理制度，积极将网络安全纳入企业发展规划和工作考核，加大网络安全投入，加强网络安全防护能力建设， 有效防范化解网络安全风险。企业应当配合工业和信息化部、 地方主管部门的监督管理。

支持与保障：

地方主管部门要加大人员投入和经费支持力度，加强工业互联网安全工作相关考核激励， 建设工业互联网安全资源池，壮大属地安全支撑服务力量。

工业和信息化部指导联网工业 企业识别重要工业控制系统，推动将分布式控制系统（DCS） 等纳入网络关键设备目录，支持开展工业控制系统和设备安 全检测。

工业和信息化部支持地方主管部门以及行业企业、研究机构、高等学校等，通过专项项目、 试点示范等方式，加大工业互联网安全技术研发和成果转化应用，选树分类分级防护典型案例，推广工业互联网安全产品和服务。