工业互联网安全分类分级管理办法.pdfVIP

工业互联网安全分类分级管理办法

第一章总则

第一条为加强工业互联网安全分类分级管理，落实企业网络安

全主体责任，提升工业互联网安全防护水平，促进工业互联网深度融

合应用，护航新型工业化高质量发展，维护国家安全和发展利益，根

据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等

法律法规及国家有关规定，制定本办法。

第二条在中华人民共和国境内开展工业互联网安全分类分级管

理工作的，应当遵守相关法律、行政法规和本办法的要求。

第三条工业和信息化部统筹指导开展工业互联网安全分类分级

管理工作，主要涉及原材料工业、装备工业、消费品工业和电子信息

制造业等主管行业领域。

各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和

信息化主管部门（以下称地方工业和信息化主管部门），各省、自治

区、直辖市及计划单列市通信管理局（以下称地方通信管理局）开展

本行政区域内工业互联网安全分类分级管理。地方工业和信息化主管

部门主要负责指导本行政区域内联网工业企业的安全分类分级管理，

同步加强工业控制系统网络安全防护。地方通信管理局主要负责开展

本行政区域内平台企业、标识解析企业的安全分类分级管理，并在公

共互联网上对联网设备、系统等进行安全监测。

地方工业和信息化主管部门、地方通信管理局统称地方主管部门。

第四条工业互联网安全分类分级管理工作遵循统筹指导、分类

施策、分级防护、突出重点的原则，指导企业提升安全防护能力。

第二章企业分类分级

第五条工业互联网安全分类分级管理以工业互联网企业为对象，

企业类型主要包括以下三类：

（一）应用工业互联网的工业企业（以下称联网工业企业），主

要是指将新一代信息通信技术与工业系统深度融合，推动开展数字化

研发、智能化制造、网络化协同、个性化定制、服务化延伸等的工业

企业；

（二）工业互联网平台企业（以下称平台企业），主要是指面向

制造业数字化、网络化、智能化需求，基于云平台等方式对外提供工

业大数据、工业APP等资源和公共服务的企业；

（三）工业互联网标识解析企业（以下称标识解析企业），主要

是指工业互联网标识解析根节点运行机构、国家顶级节点运行机构、

标识注册服务机构、递归节点运行机构等提供工业互联网标识服务的

机构。

第六条工业互联网企业应当按照工业互联网安全定级相关标准

规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要

系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全

的重要程度以及发生网络安全事件的影响后果等要素，开展自主定级。

工业互联网企业级别由高到低分为三级、二级、一级。

当企业定级要素发生较大变化，可能影响企业定级结果时，企业

应当在发生变化的三个月内重新定级。同时具有联网工业企业、平台

企业、标识解析企业中两种及以上属性的企业，应当按照不同类型分

别定级。

第七条完成自主定级的工业互联网企业通过全国工业互联网安

全分类分级管理平台（以下称分类分级管理平台）开展信息登记，登

记内容包括但不限于企业名称、企业类型、企业级别、联系方式、网

络安全负责人等相关情况。地方主管部门通过分类分级管理平台对企

业提交登记的材料，在三十个工作日内开展核查，对材料内容不齐全、

定级不准确的，应当通知企业在二十个工作日内予以补正。

第八条工业互联网企业应当按照联网工业企业、平台企业、标

识解析企业、数据等相关安全防护标准规范，根据企业类型、自身级

别落实相适应的安全要求，提升相关设备、控制、网络、平台、数据

等的安全防护能力。

第九条工业互联网企业应当按照法律法规和相关标准，自行或

委托第三方评测机构，定期开展符合性评测，三级工业互联网企业每

年至少开展一次评测，二级工业互联网企业每两年至少开展一次评测。

一级工业互联网企业可参照二级企业相关要求开展评测。

第十条工业互联网企业针对发现存在的网络安全风险，应当积

极采取措施消除隐患。

第三章网络安全管理

第十一条工业和信息化部建立健全工业互联网安全分类分级管

理制度体系，组织制定评估评测、信息通报、应急预案等相关制度，

以及分类分级、安全管理、安全服务等相关标准，建立完善安全检查、

监测预警、