工信部網(wǎng)安〔2024〕68號

各省、自治區(qū)、直轄市、計劃單列市及新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門，各省、自治區(qū)、直轄市及計劃單列市通信管理局，有關(guān)企事業(yè)單位：

現(xiàn)將《工業(yè)互聯(lián)網(wǎng)安全分類分級管理辦法》印發(fā)給你們，請認真抓好落實。

工業(yè)和信息化部

2024年4月11日 

工業(yè)互聯(lián)網(wǎng)安全分類分級管理辦法

第一章  總  則

第一條 為加強工業(yè)互聯(lián)網(wǎng)安全分類分級管理，落實企業(yè)網(wǎng)絡(luò)安全主體責任，提升工業(yè)互聯(lián)網(wǎng)安全防護水平，促進工業(yè)互聯(lián)網(wǎng)深度融合應(yīng)用，護航新型工業(yè)化高質(zhì)量發(fā)展，維護國家安全和發(fā)展利益，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)及國家有關(guān)規(guī)定，制定本辦法。

第二條 在中華人民共和國境內(nèi)開展工業(yè)互聯(lián)網(wǎng)安全分類分級管理工作的，應(yīng)當遵守相關(guān)法律、行政法規(guī)和本辦法的要求。

第三條 工業(yè)和信息化部統(tǒng)籌指導(dǎo)開展工業(yè)互聯(lián)網(wǎng)安全分類分級管理工作，主要涉及原材料工業(yè)、裝備工業(yè)、消費品工業(yè)和電子信息制造業(yè)等主管行業(yè)領(lǐng)域。

各省、自治區(qū)、直轄市及計劃單列市、新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門（以下稱地方工業(yè)和信息化主管部門），各省、自治區(qū)、直轄市及計劃單列市通信管理局（以下稱地方通信管理局）開展本行政區(qū)域內(nèi)工業(yè)互聯(lián)網(wǎng)安全分類分級管理。地方工業(yè)和信息化主管部門主要負責指導(dǎo)本行政區(qū)域內(nèi)聯(lián)網(wǎng)工業(yè)企業(yè)的安全分類分級管理，同步加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護。地方通信管理局主要負責開展本行政區(qū)域內(nèi)平臺企業(yè)、標識解析企業(yè)的安全分類分級管理，并在公共互聯(lián)網(wǎng)上對聯(lián)網(wǎng)設(shè)備、系統(tǒng)等進行安全監(jiān)測。

地方工業(yè)和信息化主管部門、地方通信管理局統(tǒng)稱地方主管部門。

第四條 工業(yè)互聯(lián)網(wǎng)安全分類分級管理工作遵循統(tǒng)籌指導(dǎo)、分類施策、分級防護、突出重點的原則，指導(dǎo)企業(yè)提升安全防護能力。

第二章  企業(yè)分類分級

第五條 工業(yè)互聯(lián)網(wǎng)安全分類分級管理以工業(yè)互聯(lián)網(wǎng)企業(yè)為對象，企業(yè)類型主要包括以下三類：

（一）應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)（以下稱聯(lián)網(wǎng)工業(yè)企業(yè)），主要是指將新一代信息通信技術(shù)與工業(yè)系統(tǒng)深度融合，推動開展數(shù)字化研發(fā)、智能化制造、網(wǎng)絡(luò)化協(xié)同、個性化定制、服務(wù)化延伸等的工業(yè)企業(yè)；

（二）工業(yè)互聯(lián)網(wǎng)平臺企業(yè)（以下稱平臺企業(yè)），主要是指面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求，基于云平臺等方式對外提供工業(yè)大數(shù)據(jù)、工業(yè)APP等資源和公共服務(wù)的企業(yè)；

（三）工業(yè)互聯(lián)網(wǎng)標識解析企業(yè)（以下稱標識解析企業(yè)），主要是指工業(yè)互聯(lián)網(wǎng)標識解析根節(jié)點運行機構(gòu)、國家頂級節(jié)點運行機構(gòu)、標識注冊服務(wù)機構(gòu)、遞歸節(jié)點運行機構(gòu)等提供工業(yè)互聯(lián)網(wǎng)標識服務(wù)的機構(gòu)。

第六條 工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當按照工業(yè)互聯(lián)網(wǎng)安全定級相關(guān)標準規(guī)范，結(jié)合企業(yè)規(guī)模、業(yè)務(wù)范圍、應(yīng)用工業(yè)互聯(lián)網(wǎng)的程度、運營重要系統(tǒng)的程度、掌握重要數(shù)據(jù)的程度、對行業(yè)發(fā)展和產(chǎn)業(yè)鏈供應(yīng)鏈安全的重要程度以及發(fā)生網(wǎng)絡(luò)安全事件的影響后果等要素，開展自主定級。工業(yè)互聯(lián)網(wǎng)企業(yè)級別由高到低分為三級、二級、一級。

當企業(yè)定級要素發(fā)生較大變化，可能影響企業(yè)定級結(jié)果時，企業(yè)應(yīng)當在發(fā)生變化的三個月內(nèi)重新定級。同時具有聯(lián)網(wǎng)工業(yè)企業(yè)、平臺企業(yè)、標識解析企業(yè)中兩種及以上屬性的企業(yè)，應(yīng)當按照不同類型分別定級。

第七條 完成自主定級的工業(yè)互聯(lián)網(wǎng)企業(yè)通過全國工業(yè)互聯(lián)網(wǎng)安全分類分級管理平臺（以下稱分類分級管理平臺）開展信息登記，登記內(nèi)容包括但不限于企業(yè)名稱、企業(yè)類型、企業(yè)級別、聯(lián)系方式、網(wǎng)絡(luò)安全負責人等相關(guān)情況。地方主管部門通過分類分級管理平臺對企業(yè)提交登記的材料，在三十個工作日內(nèi)開展核查，對材料內(nèi)容不齊全、定級不準確的，應(yīng)當通知企業(yè)在二十個工作日內(nèi)予以補正。

第八條 工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當按照聯(lián)網(wǎng)工業(yè)企業(yè)、平臺企業(yè)、標識解析企業(yè)、數(shù)據(jù)等相關(guān)安全防護標準規(guī)范，根據(jù)企業(yè)類型、自身級別落實相適應(yīng)的安全要求，提升相關(guān)設(shè)備、控制、網(wǎng)絡(luò)、平臺、數(shù)據(jù)等的安全防護能力。

第九條 工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當按照法律法規(guī)和相關(guān)標準，自行或委托第三方評測機構(gòu)，定期開展符合性評測，三級工業(yè)互聯(lián)網(wǎng)企業(yè)每年至少開展一次評測，二級工業(yè)互聯(lián)網(wǎng)企業(yè)每兩年至少開展一次評測。一級工業(yè)互聯(lián)網(wǎng)企業(yè)可參照二級企業(yè)相關(guān)要求開展評測。

第十條 工業(yè)互聯(lián)網(wǎng)企業(yè)針對發(fā)現(xiàn)存在的網(wǎng)絡(luò)安全風險，應(yīng)當積極采取措施消除隱患。

第三章  網(wǎng)絡(luò)安全管理

第十一條 工業(yè)和信息化部建立健全工業(yè)互聯(lián)網(wǎng)安全分類分級管理制度體系，組織制定評估評測、信息通報、應(yīng)急預(yù)案等相關(guān)制度，以及分類分級、安全管理、安全服務(wù)等相關(guān)標準，建立完善安全檢查、監(jiān)測預(yù)警、應(yīng)急處置、成效評價等工作機制。

地方主管部門應(yīng)當建立健全屬地工業(yè)互聯(lián)網(wǎng)安全分類分級管理制度機制，將工業(yè)互聯(lián)網(wǎng)安全納入重點工作任務(wù)，督促企業(yè)落實網(wǎng)絡(luò)安全主體責任，強化重點企業(yè)指導(dǎo)管理，定期向工業(yè)和信息化部報送工業(yè)互聯(lián)網(wǎng)安全管理工作情況。地方工業(yè)和信息化主管部門、通信管理局加強工作協(xié)同，共同做好工業(yè)互聯(lián)網(wǎng)安全工作。

工業(yè)互聯(lián)網(wǎng)企業(yè)承擔本企業(yè)網(wǎng)絡(luò)安全主體責任，企業(yè)主要負責人為本企業(yè)網(wǎng)絡(luò)安全第一責任人，要建立健全企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理制度，積極將網(wǎng)絡(luò)安全納入企業(yè)發(fā)展規(guī)劃和工作考核，加大網(wǎng)絡(luò)安全投入，加強網(wǎng)絡(luò)安全防護能力建設(shè)，有效防范化解網(wǎng)絡(luò)安全風險。企業(yè)應(yīng)當配合工業(yè)和信息化部、地方主管部門的監(jiān)督管理。

第十二條 工業(yè)和信息化部建立健全工業(yè)互聯(lián)網(wǎng)安全監(jiān)測預(yù)警和信息通報機制，建設(shè)國家級安全態(tài)勢感知與風險預(yù)警手段，組織開展安全風險監(jiān)測、預(yù)警和通報，加強威脅信息共享。

地方主管部門建立屬地工業(yè)互聯(lián)網(wǎng)安全監(jiān)測預(yù)警機制，建設(shè)地方工業(yè)互聯(lián)網(wǎng)安全技術(shù)平臺，組織開展本行政區(qū)域內(nèi)安全風險監(jiān)測，及時向相關(guān)企業(yè)通報安全風險隱患，指導(dǎo)企業(yè)及時整改。

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當根據(jù)自身級別，建設(shè)監(jiān)測網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)手段，留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月，采取防范網(wǎng)絡(luò)攻擊、病毒入侵等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，有效發(fā)現(xiàn)網(wǎng)絡(luò)安全風險隱患并及時處置。三級工業(yè)互聯(lián)網(wǎng)企業(yè)按照有關(guān)標準，加強企業(yè)平臺與國家、地方平臺之間的協(xié)同聯(lián)動。

第十三條 工業(yè)和信息化部建立健全工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置制度機制，組織協(xié)調(diào)工業(yè)互聯(lián)網(wǎng)重大及以上網(wǎng)絡(luò)安全事件應(yīng)急處置，開展工業(yè)互聯(lián)網(wǎng)安全演練。

地方主管部門建立屬地工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置制度，組織開展工業(yè)互聯(lián)網(wǎng)安全演練，做好本行政區(qū)域內(nèi)工業(yè)互聯(lián)網(wǎng)安全事件應(yīng)急處置工作，發(fā)現(xiàn)重大及以上安全事件，及時上報工業(yè)和信息化部。

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期開展安全演練，檢驗安全防護和應(yīng)急處置能力。企業(yè)在網(wǎng)絡(luò)安全事件發(fā)生后，立即啟動應(yīng)急預(yù)案，采取相應(yīng)補救措施。發(fā)生一般及以上安全事件的，應(yīng)當立即向地方主管部門報告。

第十四條 工業(yè)和信息化部建立健全工業(yè)互聯(lián)網(wǎng)安全檢查評估機制，定期組織開展對工業(yè)互聯(lián)網(wǎng)企業(yè)的安全檢查評估。

地方工業(yè)和信息化主管部門開展本行政區(qū)域內(nèi)聯(lián)網(wǎng)工業(yè)企業(yè)的安全評估，地方通信管理局開展本行政區(qū)域內(nèi)平臺企業(yè)、標識解析企業(yè)的安全檢查，對發(fā)現(xiàn)的網(wǎng)絡(luò)安全風險隱患，指導(dǎo)企業(yè)加強安全整改。地方主管部門每年面向三級工業(yè)互聯(lián)網(wǎng)企業(yè)開展安全檢查評估，定期面向二級、一級工業(yè)互聯(lián)網(wǎng)企業(yè)開展安全檢查評估。

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當配合工業(yè)和信息化部、地方主管部門的網(wǎng)絡(luò)安全檢查評估。

第四章 支持與保障

第十五條 地方主管部門要加大人員投入和經(jīng)費支持力度，加強工業(yè)互聯(lián)網(wǎng)安全工作相關(guān)考核激勵，建設(shè)工業(yè)互聯(lián)網(wǎng)安全資源池，壯大屬地安全支撐服務(wù)力量。

第十六條 地方主管部門要加強工業(yè)互聯(lián)網(wǎng)安全政策標準宣貫，充分利用大會、論壇等方式，提升工業(yè)互聯(lián)網(wǎng)安全意識和能力。加強工業(yè)互聯(lián)網(wǎng)安全人才培養(yǎng)力度，鼓勵行業(yè)企業(yè)、聯(lián)盟協(xié)會、研究機構(gòu)等開展工業(yè)互聯(lián)網(wǎng)安全人才培訓和崗位能力評價，支持舉辦工業(yè)互聯(lián)網(wǎng)安全相關(guān)賽事活動。

第十七條 工業(yè)和信息化部鼓勵、支持具備相關(guān)專業(yè)能力的第三方機構(gòu)、網(wǎng)絡(luò)安全企業(yè)等依據(jù)相關(guān)標準，開展工業(yè)互聯(lián)網(wǎng)安全檢測評估、安全咨詢、安全運維、人員培訓等安全服務(wù)，推動工業(yè)互聯(lián)網(wǎng)安全服務(wù)認證，規(guī)范安全服務(wù)要求，提高安全服務(wù)質(zhì)量。

第十八條 工業(yè)和信息化部指導(dǎo)聯(lián)網(wǎng)工業(yè)企業(yè)識別重要工業(yè)控制系統(tǒng)，推動將分布式控制系統(tǒng)（DCS）等納入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄，支持開展工業(yè)控制系統(tǒng)和設(shè)備安全檢測。

第十九條 工業(yè)和信息化部支持地方主管部門以及行業(yè)企業(yè)、研究機構(gòu)、高等學校等，通過專項項目、試點示范等方式，加大工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)和成果轉(zhuǎn)化應(yīng)用，選樹分類分級防護典型案例，推廣工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)。

第五章 附則

第二十條 工業(yè)互聯(lián)網(wǎng)企業(yè)違反本辦法規(guī)定，不履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護義務(wù)的，工業(yè)和信息化部、地方主管部門按照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等相關(guān)法律法規(guī)予以處理。

第二十一條 涉及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的，按照有關(guān)規(guī)定執(zhí)行。

第二十二條 本辦法自印發(fā)之日起施行。