各設(shè)區(qū)市工信局：

為貫徹落實(shí)《關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的實(shí)施意見(jiàn)》《江蘇省“十四五”工業(yè)信息安全保障體系建設(shè)規(guī)劃》《江蘇省制造業(yè)智能化改造和數(shù)字化轉(zhuǎn)型三年行動(dòng)計(jì)劃（2022－2024年）》等文件要求，進(jìn)一步提升全省工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)信息安全防護(hù)能力和水平，根據(jù)《2022年全省信息化和工業(yè)信息安全工作要點(diǎn)》，省工信廳定于6月至11月開(kāi)展工業(yè)信息安全防護(hù)星級(jí)企業(yè)培育工作，現(xiàn)將有關(guān)內(nèi)容通知如下：

一、培育對(duì)象

未參加過(guò)培育內(nèi)的省重點(diǎn)工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)，以及2020年以來(lái)已達(dá)到工業(yè)信息安全防護(hù)星級(jí)并有意愿進(jìn)一步參與培育提升星級(jí)的企業(yè)。積極鼓勵(lì)近年來(lái)由國(guó)家、省、市工信部門(mén)認(rèn)定的各類(lèi)信息化基礎(chǔ)較好的工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)參與。

二、培育方式及任務(wù)分工

培育工作通過(guò)檢測(cè)評(píng)估、咨詢(xún)?cè)\斷和整改提升等流程，提升企業(yè)安全防護(hù)能力，幫助企業(yè)實(shí)現(xiàn)星級(jí)達(dá)標(biāo)（工控安全防護(hù)基礎(chǔ)建設(shè)級(jí)或平臺(tái)安全防護(hù)基本級(jí)及以上等級(jí)）或星級(jí)提升。省工信廳負(fù)責(zé)工業(yè)信息安全防護(hù)星級(jí)企業(yè)培育工作的總體協(xié)調(diào)推進(jìn)，制定培育工作技術(shù)標(biāo)準(zhǔn)和服務(wù)機(jī)構(gòu)工作規(guī)范，組織對(duì)自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)、省級(jí)工業(yè)信息安全服務(wù)支撐機(jī)構(gòu)進(jìn)行統(tǒng)一培訓(xùn)，指導(dǎo)各地按要求完成培育任務(wù)。各設(shè)區(qū)市工信局負(fù)責(zé)遴選推薦流程規(guī)范、服務(wù)高效、技術(shù)過(guò)硬的自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)（具體要求詳見(jiàn)附件1），組織發(fā)動(dòng)轄區(qū)內(nèi)企業(yè)積極參與培育（具體要求詳見(jiàn)附件2），并做好機(jī)構(gòu)與參培企業(yè)間的對(duì)接服務(wù)工作。自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)負(fù)責(zé)為企業(yè)提供免費(fèi)咨詢(xún)服務(wù)，針對(duì)企業(yè)在自評(píng)估過(guò)程中存在的實(shí)際困難提供一對(duì)一咨詢(xún)服務(wù)，幫助企業(yè)摸清自身信息安全防護(hù)能力的實(shí)際情況，完成線上自評(píng)估。省級(jí)工業(yè)信息安全服務(wù)支撐機(jī)構(gòu)負(fù)責(zé)為企業(yè)提供免費(fèi)咨詢(xún)?cè)\斷、整改提升等服務(wù)，幫助企業(yè)診斷問(wèn)題并提出安全防護(hù)整改建議、提升安全防護(hù)能力，實(shí)現(xiàn)星級(jí)達(dá)標(biāo)或提升。參培企業(yè)應(yīng)主動(dòng)配合做好各項(xiàng)評(píng)估和整改提升工作，可按照自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)管理工作要求自行聯(lián)系并委托服務(wù)機(jī)構(gòu)，也可由當(dāng)?shù)毓ば挪块T(mén)指定服務(wù)機(jī)構(gòu)。

三、培育類(lèi)型及要求

（一）工控安全防護(hù)星級(jí)企業(yè)

依據(jù)《江蘇省工業(yè)信息安全防護(hù)實(shí)施指南》，工控系統(tǒng)信息安全防護(hù)能力分為5個(gè)級(jí)別，包括：基礎(chǔ)建設(shè)級(jí)（1星）、規(guī)范防護(hù)級(jí)（2星）、集成管控級(jí)（3星）、綜合協(xié)同級(jí)（4星）、智能優(yōu)化級(jí)（5星）。

基礎(chǔ)建設(shè)級(jí)（1星）：企業(yè)能夠依據(jù)工業(yè)控制系統(tǒng)信息安全防護(hù)的技術(shù)基礎(chǔ)和條件開(kāi)展基本保護(hù)工作，安全防護(hù)能力建設(shè)主要基于特定業(yè)務(wù)場(chǎng)景，尚未形成規(guī)范化、流程化的工作方式，相關(guān)工作多依賴(lài)信息安全人員主觀經(jīng)驗(yàn)，建設(shè)過(guò)程未要求以文檔形式記錄，無(wú)法形成可復(fù)制。

規(guī)范防護(hù)級(jí)（2星）：企業(yè)建立并記錄工業(yè)控制系統(tǒng)信息安全防護(hù)能力建設(shè)工作，能夠針對(duì)工業(yè)控制設(shè)備、工業(yè)主機(jī)、工業(yè)網(wǎng)絡(luò)、工業(yè)數(shù)據(jù)等方面，制定規(guī)范化安全防護(hù)制度、規(guī)章，使得企業(yè)能夠以重復(fù)的方式執(zhí)行，采用數(shù)字化裝備、信息技術(shù)手段等，有針對(duì)性地開(kāi)展安全防護(hù)，面向各方面形成獨(dú)立、可復(fù)制的安全防護(hù)能力。

集成管控級(jí)（3星）：企業(yè)能夠?qū)I(yè)控制系統(tǒng)設(shè)備、主機(jī)、系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面，在規(guī)范防護(hù)已有工作基礎(chǔ)上，通過(guò)集成化工具、系統(tǒng)等，對(duì)相對(duì)獨(dú)立的單點(diǎn)防護(hù)設(shè)備進(jìn)行集中統(tǒng)一管控，同時(shí)整合相關(guān)防護(hù)規(guī)章制度文件，形成體系化制度，實(shí)現(xiàn)企業(yè)內(nèi)部工業(yè)控制系統(tǒng)信息安全的集中管理、統(tǒng)一控制的安全防護(hù)能力。

綜合協(xié)同級(jí)（4星）：企業(yè)能夠面向不同產(chǎn)線、廠區(qū)、工廠及產(chǎn)業(yè)鏈上下游相關(guān)單位，統(tǒng)籌考慮信息安全風(fēng)險(xiǎn)需求，開(kāi)展安全防護(hù)建設(shè)，建立多級(jí)協(xié)同的安全管理體系，并通過(guò)態(tài)勢(shì)感知、統(tǒng)一管控等技術(shù)手段實(shí)現(xiàn)綜合決策、協(xié)同防護(hù)的安全能力。

智能優(yōu)化級(jí)（5星）：企業(yè)能夠采用人工智能、主動(dòng)防御、內(nèi)生安全等先進(jìn)技術(shù)，與已有安全防護(hù)設(shè)備、系統(tǒng)、制度體系深度融合，使得可通過(guò)知識(shí)學(xué)習(xí)、智能建模分析等技術(shù)，構(gòu)建可智能化演進(jìn)的安全防護(hù)系統(tǒng)，形成具有自決策、自進(jìn)化能力的安全防護(hù)體系。

（二）工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)星級(jí)企業(yè)

依據(jù)《江蘇省工業(yè)信息安全防護(hù)實(shí)施指南》，工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)能力分為兩個(gè)級(jí)別，包括：基本級(jí)、增強(qiáng)級(jí)。

基本級(jí)：工業(yè)互聯(lián)網(wǎng)平臺(tái)在提供服務(wù)時(shí)應(yīng)具備必要的安全控制措施，保護(hù)工業(yè)互聯(lián)網(wǎng)平臺(tái)能夠抵御或應(yīng)對(duì)常見(jiàn)的攻擊、威脅。

增強(qiáng)級(jí)：工業(yè)互聯(lián)網(wǎng)平臺(tái)在提供服務(wù)時(shí)在基本級(jí)的基礎(chǔ)上能提供更高級(jí)別的安全控制措施，保護(hù)工業(yè)互聯(lián)網(wǎng)平臺(tái)能夠抵御或應(yīng)對(duì)強(qiáng)度更高的攻擊、威脅。

四、組織實(shí)施

工業(yè)信息安全防護(hù)星級(jí)企業(yè)培育工作主要分為組織動(dòng)員、企業(yè)自評(píng)估、整改提升、現(xiàn)場(chǎng)核查、工作總結(jié)等5個(gè)階段。

（一）組織動(dòng)員。各設(shè)區(qū)市工信局積極做好轄區(qū)企業(yè)的宣傳發(fā)動(dòng)工作，遴選推薦2-5家自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)（至少有1家省級(jí)工業(yè)信息安全服務(wù)支撐機(jī)構(gòu)）參加本地區(qū)自評(píng)估工作，相關(guān)工作于6月30日前完成。

（二）企業(yè)自評(píng)估。各設(shè)區(qū)市工信局組織企業(yè)在“江蘇省工業(yè)信息安全公共服務(wù)平臺(tái)”（https://www.jsgyaq.cmo）注冊(cè)賬號(hào)并填報(bào)企業(yè)基礎(chǔ)信息，在7月25日前完成企業(yè)安全防護(hù)能力自評(píng)估和安全上云情況填報(bào)（操作方法詳見(jiàn)附件3）。各設(shè)區(qū)市工信局組織本地區(qū)的自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)，指導(dǎo)企業(yè)開(kāi)展自評(píng)估相關(guān)工作。

（三）整改提升。省工信廳組織省級(jí)工業(yè)信息安全服務(wù)支撐機(jī)構(gòu)對(duì)完成自評(píng)估的企業(yè)開(kāi)展線上核查評(píng)估，并根據(jù)企業(yè)自評(píng)估安全防護(hù)狀況給出整改建議。各地工信部門(mén)組織相關(guān)企業(yè)根據(jù)整改建議進(jìn)行對(duì)標(biāo)整改，企業(yè)整改后將整改情況從平臺(tái)提交，整改工作于9月20日前完成。

（四）現(xiàn)場(chǎng)核查。結(jié)合企業(yè)自評(píng)估和機(jī)構(gòu)線上核查評(píng)估情況，省工信廳指定專(zhuān)業(yè)服務(wù)機(jī)構(gòu)對(duì)重點(diǎn)企業(yè)開(kāi)展現(xiàn)場(chǎng)評(píng)估，為企業(yè)提供專(zhuān)業(yè)診斷服務(wù)并幫助提升，相關(guān)工作于11月20日前完成。

（五）工作總結(jié)。省工信廳將根據(jù)線上核查評(píng)估和現(xiàn)場(chǎng)抽查評(píng)估結(jié)果，確定安全防護(hù)星級(jí)企業(yè)名單，編制2022年度星級(jí)防護(hù)企業(yè)培育工作報(bào)告，并遴選推薦年度優(yōu)秀案例和工業(yè)信息安全優(yōu)秀服務(wù)商，相關(guān)工作于11月30日前完成。

五、工作要求

1.各地應(yīng)將組織指導(dǎo)企業(yè)參與自評(píng)估作為推進(jìn)“智改數(shù)轉(zhuǎn)”重點(diǎn)任務(wù)和常態(tài)化工作，加強(qiáng)對(duì)企業(yè)的宣貫和指導(dǎo)，按照培育工作要求動(dòng)員企業(yè)參加，不斷擴(kuò)大區(qū)域內(nèi)重點(diǎn)企業(yè)的自評(píng)估覆蓋率，有效支撐本地工業(yè)信息安全態(tài)勢(shì)分析研判。

2.各設(shè)區(qū)市工信局要加強(qiáng)內(nèi)部處室工作協(xié)同，密切配合，將企業(yè)參加星級(jí)防護(hù)企業(yè)培育工作納入相關(guān)工作要求；按照時(shí)序進(jìn)度，組織企業(yè)開(kāi)展自評(píng)估和整改提升，配合做好現(xiàn)場(chǎng)核查評(píng)估等工作。

3.省工信廳將委托省信息安全測(cè)評(píng)中心等第三方評(píng)估服務(wù)機(jī)構(gòu)做好技術(shù)支撐和配合工作，同時(shí)組織服務(wù)支撐機(jī)構(gòu)、參培企業(yè)簽訂服務(wù)承諾書(shū)，承諾在服務(wù)過(guò)程中不對(duì)企業(yè)系統(tǒng)運(yùn)行造成影響，不泄露服務(wù)中獲取的企業(yè)敏感數(shù)據(jù)信息，所獲取數(shù)據(jù)信息僅用于支持政府主管部門(mén)相關(guān)工作。

4.請(qǐng)各設(shè)區(qū)市工信局根據(jù)自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)管理工作要求，于2022年7月1日前填寫(xiě)《各設(shè)區(qū)市自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)匯總表》（詳見(jiàn)附件4），并將匯總表蓋章掃描件和word電子檔報(bào)送至省工信廳。

聯(lián)系人及聯(lián)系方式：

省工信廳：張樹(shù)林，025-69652659，[email protected]；

省信息安全測(cè)評(píng)中心：程愷，0510-85100442，[email protected]；

平臺(tái)技術(shù)支持：梅亦、郭濤，0510-85100442。

附件：

1.服務(wù)支撐機(jī)構(gòu)管理工作要求

2.星級(jí)企業(yè)培育組織發(fā)動(dòng)工作要求

3.服務(wù)平臺(tái)操作手冊(cè)（企業(yè)版）

4.各設(shè)區(qū)市自評(píng)估咨詢(xún)服務(wù)機(jī)構(gòu)匯總表

江蘇省工業(yè)和信息化廳

2022年6月24日