北京市通信管理局 北京市经济和信息化局
关于印发北京市2024年工业互联网安全深度行活动实施方案的通知
京信网安发〔2024〕61号
各相关单位:
现将《北京市2024年工业互联网安全深度行活动实施方案》印发,请各单位结合实际,抓好贯彻落实。
北京市通信管理局
北京市经济和信息化局
2024年7月15日
(联系人:北京市通信管理局 贾媛媛 010-63396626;北京市经济和信息化局 赵方宇 010-55520821)
北京市2024年工业互联网安全深度行活动实施方案
为深入贯彻习近平总书记关于推进新型工业化的重要指示精神,全面落实全国新型工业化推进大会、全国工业和信息化工作会议等重要会议精神,按照工信部《工业互联网安全分类分级管理办法》和护航新型工业化网络安全专项行动等政策文件部署要求,立足首都城市战略定位,围绕发展新质生产力,做好新型工业化网络安全管理工作,加快提升北京市工业互联网安全综合保障能力,助推北京市制造业数字化转型,北京市通信管理局会同北京市经济和信息化局组织开展北京市2024年工业互联网安全深度行活动,制定本方案。
一、工作目标
深入宣传贯彻工业互联网安全相关政策标准,推动在全市范围内深入实施工业互联网安全分类分级管理,督促企业落实网络安全主体责任,增强企业工业互联网安全意识和防护能力,强化北京地区工业互联网安全监测数据对接,完善工业互联网安全通报预警体系,提高应急处置水平,推动北京市工业互联网安全人才队伍建设,加快提升工业互联网安全保障能力和服务水平,护航新型工业化高质量发展。
二、活动内容
(一)分类分级管理
健全北京市工业互联网安全分类分级管理制度机制,组织不少于100家工业互联网企业按照《工业互联网安全分类分级管理办法》要求,依托全国工业互联网安全分类分级管理平台(以下简称分类分级管理平台,平台地址为https://mii-ciiflfj.cn/),全面推进自主定级、定级核查、分级防护、符合性评测、安全整改等全环节工作,并建立三级企业清单。
1.自主定级。指导工业互联网企业按照《工业互联网企业网络安全定级方法 第1部分:应用工业互联网的工业企业》(T/CCSA 483-2024)《工业互联网企业网络安全定级方法 第2部分:平台企业》(T/CCSA 484-2024)《工业互联网企业网络安全定级方法 第3部分:标识解析企业》(T/CCSA 485-2024)标准要求开展自主定级,通过分类分级管理平台填报企业自主定级信息(包括企业基本信息、评分依据及证明材料)。对于同时分属多个类别的企业按照不同类型分别定级。
2.定级核查。通过分类分级管理平台对工业互联网企业提交登记的材料进行核查,给予核查结果。对于自主定级不准确、材料内容不齐全的,指导企业科学、准确定级。
3.分级防护。指导企业按照工业互联网企业网络安全防护系列标准规范,落实符合自身网络安全等级的安全防护要求(包括建立安全管理制度、完善安全防护技术手段等)。
4.符合性评测。督促工业互联网企业按照《工业互联网企业网络安全分类分级评估方法》(T/CCSA 527-2024)标准规范,自行或委托第三方专业机构按要求完成标准符合性评测。三级工业互联网企业每年至少开展一次评测,二级和一级工业互联网企业每两年至少开展一次评测。
5.安全整改。督促工业互联网企业对照分类分级防护相关标准规范要求,根据企业符合性评测结果制定整改方案,落实安全防护要求和整改措施。
(二)政策标准宣贯
面向重点工业互联网企业进行政策标准宣贯,解读《工业互联网安全分类分级管理办法》等政策文件,介绍工业互联网企业网络安全防护要求、工业控制系统网络安全防护指南等标准,促进企业对分类分级和工业控制设备安全的深入理解。组织工业互联网安全宣贯“进企业”,邀请主管部门、行业专家、重点企业代表开展现场交流,分享优秀实践经验、技术路径及典型解决方案,持续提升企业安全意识和能力。
(三)威胁监测预警
完善工业互联网安全风险监测预警体系,加强与国家平台的对接和协同联动,做好定向监测、精准预警、溯源处置等服务。充分利用基础电信企业网络优势,组织重点基础电信企业提供网络安全监测服务,针对重点工业互联网企业实现安全风险在线监测、暴露面监测等,向企业推送漏洞信息、威胁情报、安全态势等监测预警信息,助推重点企业提升网络安全风险主动防范水平。
(四)安全检查评估
围绕“双跨”平台等重点工业互联网企业,抽取3-5家开展工业互联网安全专项检查评估工作,通过远程检测、现场评估等方式对重点工业互联网平台企业和标识解析企业开展全方位、深入式网络安全评估,提升工业互联网企业安全防护水平。
(五)风险联合通报
进一步完善工业互联网安全通报机制,对安全监测、检查评估和远程检测发现的漏洞隐患、安全威胁等风险及时向企业通报,指导督促工业互联网企业做好风险隐患处置、结果反馈等工作。
(六)安全攻防演练
积极动员北京市“双跨”平台等重点工业互联网企业参与工信部组织的工业互联网安全演练,检验提升工业互联网安全突发事件综合应对能力。督促指导工业互联网企业制定网络安全事件应急预案,定期开展安全演练,提升工业互联网企业安全防护和应急保障水平。
(七)安全人才培养
积极动员全市基础电信企业、工业企业、安全企业、互联网企业、高等院校、行业协会、产业联盟等参加工业互联网安全赛事,培育选拔一批实战型工业互联网安全技术技能人才。依托有关联盟协会,面向全市重点工业互联网企业、科研单位、高职院校等,组织开展工业互联网安全技术技能培训和安全人员岗位能力评价,面向工业互联网安全评估、运维、实施等岗位,围绕工业互联网安全政策标准、岗位技能等内容进行培训,推动相关人员能力提升并通过评价工作获取工业和信息化人才岗位能力评价证书,加强复合型、技能型人才储备。
(八)应用示范推广
面向完成工业互联网安全分类分级管理全环节工作的企业,围绕监测赋能、服务创新、技术应用、人才培育等方面,遴选一批安全防护举措有效、安全能力提升显著、具备可复制可推广价值的分类分级管理和工业控制安全典型案例,重点推荐参加工信部试点示范,加大优秀做法实践的示范推广力度。
(九)工业互联网企业安全水平评价
对标工业互联网企业安全水平评价规范,根据企业工业互联网分类分级情况,围绕设备、控制、网络、平台、数据、标识等对象,开展工业互联网企业安全水平评价,分析自身面临的工业互联网安全风险,明确工业互联网安全目标、应具备的综合管理及技术安全保障能力,输出评价结果。
三、工作计划
(一)筹备阶段
2024年6月,依据年度工业互联网安全工作要点,做好活动筹划,结合实际编制北京市工业互联网安全深度行活动实施方案,对全年活动进行安排。
(二)活动实施阶段
1.宣贯部署。2024年7月对相关工作进行安排部署,组织宣贯活动,对分类分级和工业控制安全相关政策标准进行解读,推动政策标准进企业。
2.开展分类分级管理。2024年7-10月,组织开展分类分级管理全环节工作。
3.开展专项检查评估。2024年9月前,面向重点工业互联网企业开展检查评估,指导企业进行安全整改。
4.开展专项技能培训。2024年10月前,组织工业互联网安全技术技能培训班,推动培育50名以上工业互联网安全评估工程师、运维工程师、测试工程师等专业人才。
(三)活动总结
对深度行活动实施情况、经验成效、存在问题等进行梳理,总结工作成效,于2024年10月底前报工业和信息化部。
四、工作保障
(一)加强组织保障
各相关单位要加强对深度行活动的组织领导,建立沟通协调机制,形成工作合力,提高工作实效,细化工作举措和时间节点,保障深度行活动高质量推进并取得预期成效。
(二)强化责任落实
各相关单位加强实施督导,要明确主管部门和企业责任人,层层压实责任,确保深度行活动按计划安排有效开展。第三方专业机构要积极配合主管部门做好专业支撑和技术保障,遵守相关法律法规和保密制度。
(三)注重总结推广
在深度行活动的推进过程中注重工作总结,培育典型案例,推广优秀经验做法,促进实践成果交流共享,推动全市工业互联网企业网络安全管理水平和防护能力全面提升。