《加强工业互联网安全工作的指导意见》（全文细则）

工业和信息化部 教育部 人力资源和社会保障部 生态环境部 国家卫生健康委员会 应急管理部国务院国有资产监督管理委员会 国家市场监督管理总局 国家能源局 国家国防科技工业局关于印发加强工业互联网安全工作的指导意见的通知工信部联网安〔2019〕168号各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业主管部门，各省、自治区、直辖市通信管理局：现将《加强工业互联网安全工作的指导意见》印发给你们，请结合工作实际，抓好贯彻落实。

工业和信息化部教育部人力资源和社会保障部生态环境部国家卫生健康委员会应急管理部国务院国有资产监督管理委员会国家市场监督管理总局国家能源局国家国防科技工业局2019年7月26日加强工业互联网安全工作的指导意见按照《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》（以下简称《指导意见》）部署，为加快构建工业互联网安全保障体系，提升工业互联网安全保障能力，促进工业互联网高质量发展，推动现代化经济体系建设，护航制造强国和网络强国战略实施，现就加强工业互联网安全工作提出如下意见。

一、总体要求（一）指导思想坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中全会精神，按照《指导意见》有关要求，围绕设备、控制、网络、平台、数据安全，落实企业主体责任、政府监管责任，健全制度机制、建设技术手段、促进产业发展、强化人才培育，构建责任清晰、制度健全、技术先进的工业互联网安全保障体系，覆盖工业互联网规划、建设、运行等全生命周期，形成事前防范、事中监测、事后应急能力，全面提升工业互联网创新发展安全保障能力和服务水平。

（二）基本原则筑牢安全，保障发展。

以安全保发展，以发展促安全。

严格落实《中华人民共和国网络安全法》等法律法规，按照谁运营谁负责、谁主管谁负责的原则，坚持发展与安全并重，安全和发展同步规划、同步建设、同步运行。

统筹指导，协同推进。

做好顶层设计和系统谋划，结合各地实际，突出重点，分步协同推进，加快构建工业互联网安全保障体系，确保安全工作落实到位。

分类施策，分级管理。

根据行业重要性、企业规模、安全风险程度等因素，对企业实施分类分级管理，集中力量指导、监管重要行业、重点企业提升工业互联网安全保障能力，夯实企业安全主体责任。

融合创新，重点突破。

基于工业互联网融合发展特性，创新安全管理机制和技术手段，鼓励推动重点领域技术突破，加快安全可靠产品的创新推广应用，有效应对新型安全挑战。

（三）总体目标到2020年底，工业互联网安全保障体系初步建立。

制度机制方面，建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度，构建企业安全主体责任制，制定设备、平台、数据等至少20项亟需的工业互联网安全标准，探索构建工业互联网安全评估体系。

技术手段方面，初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。

产业发展方面，在汽车、电子信息、航空航天、能源等重点领域，形成至少20个创新实用的安全产品、解决方案的试点示范，培育若干具有核心竞争力的工业互联网安全企业。

到2025年，制度机制健全完善，技术手段能力显著提升，安全产业形成规模，基本建立起较为完备可靠的工业互联网安全保障体系。

二、主要任务（一）推动工业互联网安全责任落实1.依法落实企业主体责任。

工业互联网企业明确工业互联网安全责任部门和责任人，建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度，建立安全事件报告和问责机制，加大安全投入，部署有效安全技术防护手段，保障工业互联网安全稳定运行。

由网络安全事件引发的安全生产事故，按照安全生产有关法规进行处置。

2.政府履行监督管理责任。

工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作，并对装备制造、电子信息及通信等主管行业领域的工业互联网安全开展行业指导管理。

地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作，同步推进安全产业发展，并联合应急管理部门推进工业互联网在安全生产监管中的作用:地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作，并在公共互联网上对联网设备、系统等进行安全监测。

生态环境、卫生健康、能源、国防科技工业等部门根据各自职责，开展本行业领域工业互联网推广应用的安全指导、监管工作。

（二）构建工业互联网安全管理体系3.健全安全管理制度。

围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制，强化对企业的安全监管。

4.建立分类分级管理机制。

建立工业互联网行业分类指导目录、企业分级指标体系，制定工业互联网行业企业分类分级指南，形成重点企业清单，强化逐级负责的政府监管模式，实施差异化管理。

5.建立工业互联网安全标准体系。

推动工业互联网设备、控制、网络（含标识解析系统）、平台、数据等重点领域安全标准的研究制定，建设安全技术与标准试验验证环境，支持专业机构、企业积极参与相关国际标准制定，加快标准落地实施。

（三）提升企业工业互联网安全防护水平6.夯实设备和控制安全。

督促工业企业部署针对性防护措施，加强工业生产、主机、智能终端等设备安全接入和防护，强化控制网络协议、装置装备、工业软件等安全保障，推动设备制造商、自动化集成商与安全企业加强合作，提升设备和控制系统的本质安全。

7.提升网络设施安全。

指导工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中，落实安全标准要求并开展安全评估，部署安全设施，提升企业内外网的安全防护能力。

要求标识解析系统的建设运营单位同步加强安全防护技术能力建设，确保标识解析系统的安全运行。

8.强化平台和工业应用程序（APP）安全。

要求工业互联网平台的建设、运营单位按照相关标准开展平台建设，在平台上线前进行安全评估，针对边缘层、IaaS层（云基础设施）、平台层（工业PaaS）、应用层（工业SaaS）分层部署安全防护措施。

建立健全工业APP应用前安全检测机制，强化应用过程中用户信息和数据安全保护。

（四）强化工业互联网数据安全保护能力9.强化企业数据安全防护能力。

明确数据收集、存储、处理、转移、删除等环节安全保护要求，指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施，鼓励商用密码在工业互联网数据保护工作中的应用。

10.建立工业互联网全产业链数据安全管理体系。

依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度，开展重要数据出境安全评估和监测，完善重大工业互联网数据泄露事件触发响应机制。

（五）建设国家工业互联网安全技术手段11.建设国家、省、企业三级协同的工业互联网安全技术保障平台。

工业和信息化部统筹建设国家工业互联网安全技术保障平台。