《压实各方工业信息安全责任行动计划.docx》由会员分享,可在线阅读,更多相关《压实各方工业信息安全责任行动计划.docx(15页珍藏版)》请在课桌文档上搜索。
1、压实各方工业信息安全责任行动计划一、工业信息安全产业发展能力不断提升一是加快推进工业信息安全关键技术攻关,支持在电力、电子等重点行业领域开展态势感知、仿真平台等关键技术攻关。二是在省级工业和信息产业转型升级专项资金中将工业信息安全列为重点支持方向,支持重点企业围绕企业侧态势感知、应急演练、安全培训等方向,形成了一批重点平台、重点产品和优秀解决方案。三是建设长三角网络安全产业园等区域载体,推进建设长三角城市网络安全运营中心,为长三角地区工业信息安全产业聚集提供支持,促进安全产业在南京、苏州等地集聚发展。但我们也应清醒认识到,江苏工业信息安全保障还面临着一些短板和痛点:工业信息安全公共基础设施建设
2、滞后于发展速度,孤立的碎片化的安全系统建设模式已不能满足融合发展要求,工业信息安全保障底座不稳;工业信息安全产业散且不强,缺乏领军企业、龙头企业,产业尚未形成集聚效应;同时,传统网络安全产业对工业领域支撑能力不足;部分企业仍然存在重IT建设、轻信息安全的情况,信息安全意识欠缺、投入不足,网络与信息安全保障缺乏系统性设计,面临较为严峻的安全威胁;工业信息安全人才缺口严重。二、压实各方工业信息安全责任压紧企业工业信息安全主体责任,联合省通信管理局实施工业互联网企业网络安全分类分级管理制度,分领域、分场景指导企业落实安全防护工作,不断健全网络安全保障体系;省内工业企业和工业互联网平台企业依法建立工业
3、信息安全责任制,设立网络安全专门机构和专职管理人员,建立企业内部网络安全责任制实施办法或细则,建立安全事件报告和问责机制,持续加大安全投入,落实技术改造等专项经费,部署有效安全技术防护手段,保障企业工业信息安全。依据江苏省加强工业互联网安全工作的实施意见,省工业和信息化厅负责统筹推进省级工业信息安全保障体系建设,联合省应急管理厅强化工业互联网在安全生产监管中的作用。省通信管理局负责监管本省标识解析系统以及对社会提供公共服务的工业互联网平台的安全。省发展和改革委、生态环境厅、卫生健康委等部门根据各自职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。各设区市相关部门对照省级部门职责分工负
4、责本辖区内工业信息安全工作。三、强化规划实施的保障(一)强化组织协同,压实安全责任立足制造强国、网络强国战略要求,充分认识工业信息安全保障的重要意义,强化部门间的联络对接,加大监管和评估力度,建立覆盖重点工业企业和工业互联网平台企业的工业信息安全官队伍,贯彻落实中华人民共和国网络安全法中华人民共和国密码法中华人民共和国数据安全法等法律法规,压实工业信息安全保障各方责任,确保工业信息安全保障体系建设各项工作顺利实施。(二)拓展培养渠道,加大人才供给鼓励高校、科研院所与企业合作建立工业互联网安全人才培养机制与平台,鼓励企业技术专家到高校授课、在校学生入企业实习实训,以项目合作、科研成果转化活动为依
5、托,丰富人才培养形式。探索建立适合工业信息安全行业特点的人事制度和薪酬制度,汇聚更多优秀的工业信息安全人才。打造省级工业信息安全专家智库及团队,实施高端人才培养工程,大力引进一批高端复合型和急需紧缺工业信息安全人才。围绕网络空间安全、工业控制安全、新技术应用等领域,充分利用我省高校、科研院所资源优势,支持创建一流学院和一级学科,加快复合型工业信息安全人才培养,增大网络与信息安全人才供给。(三)集聚多方资源,营造良好环境充分发挥协会、联盟等第三方机构的作用,支持第三方机构运用自身优势,组织开展技术研发、技能竞赛、培训宣贯、标准推广、公共服务、国际合作等,加强各方沟通,促进技术交流,形成政产学研用
6、高效联动的发展环境。充分利用新媒体等手段,多种形式、多个渠道进行宣传引导,提高企业、科研机构、公众等各类群体的工业信息安全意识,为工业信息安全保障各项工作的顺利开展提供支持。四、工业信息安全建设重点任务提升工业信息安全基础设施建设效能,优化工业信息安全产业生态,健全工业信息安全管理体系,提升企业安全防护能力水平,完善工业信息安全服务体系。大力提升全省工业信息安全基础设施建设、技术保障能力及安全管理服务水平。(一)提升安全基础设施建设效能联合省通信管理局共同完善省级工业信息安全态势感知网络,建立工业信息安全服务资源池,建设省级工业安全信息共享与应急服务协同保障平台。打造江苏省工业信息安全一网一池
7、一平台公共服务基础设施,支持建设工业互联网安全基础共性技术平台和重点行业工业互联网安全平台,构建工业信息安全保障基础底座。1、建成省级工业信息安全态势感知网络建设完善省级工业信息安全保障总平台、国家工业互联网安全技术保障平台江苏分平台和重点行业安全技术服务平台,加强平台间数据互通与信息共享,构建省级工业信息安全态势感知网络。落实工业和信息化部省级工业互联网安全监测与态势感知平台建设指南相关技术要求,持续完善主动监测、威胁感知、被动诱捕、企业运行监测、数据融合分析等技术手段,实现对全省联网工业控制设备与系统、工业互联网平台、工业企业运行状态、风险隐患的实时感知、分析研判和精准决策。将我省态势感知
8、资源纳入国家工业信息安全保障网络,与国家平台实现系统对接、数据共享、业务协同,形成系统化态势感知能力。通过建立长三角工业信息安全协同管控机制,实现跨区域重大工业信息安全态势感知信息共享,推动长三角工业信息安全联动保障体系建设。2、建立工业信息安全服务资源池建立省级工业信息安全服务资源池,汇聚全省工业企业和工业互联网平台企业资产信息、工业协议、威胁信息、安全漏洞与恶意代码、信息安全等工业数据资源及各类服务商资源,支撑省级平台开展威胁情报关联分析、资产分析、漏洞分析、综合态势分析等多维度研判,为省、市主管部门及重点企业的信息共享和多级联动提供更高质、更有效服务支撑。组织省内企业加强技术攻关和产品研
9、发,围绕典型工业行业信息安全态势感知、监测预警、安全防护、应急处置、审计取证等,研制一批技术工具,丰富工业信息安全技术资源储备。3、建设省级工业安全信息共享与应急服务协同保障平台建设省市县三级,覆盖重点工业企业、重点工业互联网平台企业、重点工业信息安全支撑服务机构的省级工业互联网安全信息共享与应急服务协同保障平台,汇聚不同行业、不同地区、不同类型的安全信息,开展跨部门、跨地区、跨行业安全信息共享,建立漏洞风险、威胁信息、处置方案等安全信息的共享机制,完善省、市、县重点工业企业信息安全突发事件应急预案及演练制度,形成多方联动、快速响应的信息通报预警与应急处置体系。4、建设工业互联网安全基础共性技
10、术平台支持重点企业、科研院所、技术机构面向轨道交通、电力能源、石油化工、机械制造、电子信息、航空航天等行业领域,建设省级工业信息安全攻防演练、测试验证等共性技术平台,依托平台开展工业互联网安全攻防演练、安全风险及安全解决方案的测试验证,进一步提升识别安全隐患、防范安全威胁、化解安全风险的能力。支持重点城市加快5G+工业互联网安全大脑建设。5、建设重点行业工业互联网安全平台支持轨道交通、机械制造、电子信息、航空、电力、化工等重点行业企业搭建行业级、企业级安全平台,实现对重点行业和企业安全风险的实时监测和研判预警,加强行业级、企业级平台与省级平台的系统对接和数据共享和业务协同,形成上下贯通、政企协
11、同的整体安全监测网络,提升重点行业安全态势感知和应急处置能力。支持建设集在线监测、漏洞检测、入侵检测、多层防御、态势感知和大数据分析于一体的车联网安全监测平台,提升安全保障服务能力。(二)优化工业信息安全产业生态突破工业信息安全关键技术,提升新基建网络安全防护能力,创新工业信息安全服务模式,推广工业信息安全技术应用,加强网络安全供给创新突破,推进强链补链,培育龙头企业,孵化细分赛道特色企业,创建信息安全产业基地,鼓励产业全链、积聚、合作发展,构建需求对接、业务关联、市场融合、经营协同的工业信息安全产业发展生态。1、突破工业信息安全关键技术以构建先进完备的网络与信息安全产品体系和保障新基建网络安
12、全为目标,围绕安全防护、监测、处置、取证等环节,着力突破资产测绘、智能监测预警、威胁分析、入侵防御、漏洞发现、病毒查杀、边界防护、源码检测、数据保护等关键信息安全技术,加快提升隐患排查、态势感知、应急处置和追踪溯源能力。加强我省新基建的网络安全布局和顶层设计,做好与新基建的同步衔接工作,加速推进各融合领域安全技术研究,构建融合应用安全防护架构。积极探索云计算、大数据、人工智能、量子计算等新技术及拟态防御、可信计算、零信任安全等网络安全新理念、新架构在工业互联网场景下的应用,为安全赋能,建立自动化、智能化、自适应的安全防御体系,构建自主可控可靠的安全体系架构,提升核心技术和部件自主研发供给能力。
13、2、创新工业信息安全服务模式倡导安全即服务的理念,鼓励信息安全企业由提供安全产品向提供安全服务和解决方案转变。支持信息安全企业及技术服务机构开展网络与信息安全规划咨询、威胁情报、风险评估、检测认证、安全集成、应急响应等安全服务。大力发展基于云模式的网络与信息安全公共服务平台,提供远程实时的漏洞发现、网站防护、抗拒绝服务攻击、域名安全等服务。集中基础运营商、大型互联网企业、安全企业等优势基础资源,鼓励对外赋能,面向企业提供网络安全监测预警、攻击防护、应急保障等增值服务,为各行业、各应用场景的新型基础设施安全保驾护航。鼓励发展面向工业互联网领域的网络安全一体化运营外包服务。3、推广工业信息安全技术
14、应用推动工业领域信息技术应用创新,鼓励工业企业和工业互联网平台企业应用符合国家要求的信息技术产品和服务;推广工业领域国产商用密码技术应用,支持工业领域密码应用的技术攻关、产品研发、应用示范、检测认证,加快密码应用核心技术突破和标准研制,推进符合国家要求的密码技术产品在工业信息安全保障中的应用,支持智能网联与车路协同中的安全可靠密码研究与应用;推动工业信息安全技术成果转化应用,整合重点行业、重点地区资源,建设政产学研用资协同的工业信息安全创新成果转化平台;推广工业信息安全最佳实践,组织开展安全可靠网络信息安全产品和服务在工业企业、工业互联网领域的应用试点示范,创建一批工业信息安全应用示范基地。4
15、、提升网络安全产品服务供给能力强化协同创新,鼓励重点网络安全企业和工业企业围绕可编程逻辑控制器(PLC)、数据采集与监视控制系统(SCADA)、远程信息处理器(T-BOX)等重点领域关键核心技术进行联合攻关,打造具备内嵌安全功能的设备产品。优化服务供给,支持云服务企业、网络安全企业在重点城市联合建设安全运营服务中心,落实工业互联网创新发展行动计划(20212023年),实施中小企业安全上云工程。面向装备、电子信息等重点行业,支持工业龙头企业建设一批具有广泛影响力的安全公共服务平台。针对流程工业、离散工业差异化特点,加快形成重点行业优秀安全解决方案和供应商目录,实现供需精准对接。5、培育工业信息
16、安全产业生态推动产业集聚发展,优化产业园区布局,打造资源汇聚、要素共享的工业信息安全双创环境和孵化基地。充分发挥产业园区、企业、科研院所、金融机构等各类主体的积极性和主动性。培育建设一批工业信息安全技术、产品协同创新平台,供需对接平台和实验室,开展共性问题和市场亟需方向的联合研究,推动产业共性技术研发和推广应用,引导创新资源集聚。重点培育市场规模大、技术实力强、服务水平高的工业信息安全龙头骨干企业,在智能制造、车联网等细分赛道孵化一批高精尖特色安全企业,积极构建工业信息安全产业生态圈。着力打造一批主营业务突出、特色鲜明、竞争能力强、成长性好的工业信息安全中小企业,鼓励通过专业化分工、服务外包、
17、共享研发等方式与大企业合作,形成协同共赢格局。(三)健全工业信息安全管理体系完善工业信息安全管理制度,压实各方工业信息安全责任,强化工业信息安全应急处置,推进工业信息安全标准实施,构建制度健全、责任明确、督导有力的工业信息安全管理体系。1、完善工业信息安全管理制度联合省通信管理局共同完善工业信息安全保障体系,建立健全涵盖监督检查、态势感知、风险评估、信息共享和通报、应急处置、数据保护、安全服务等各环节的工业信息安全闭环管理机制,建立江苏省重点联网工业企业清单和重要数据保护目录,强化对工业企业、工业互联网平台企业及相关机构的安全指导,编制重点行业工业互联网防护指南,以评估测评为手段,引导督促企业
18、建立安全管理体系和内部管控制度,加强供应链安全管理。2、压实各方工业信息安全责任压紧企业工业信息安全主体责任,联合省通信管理局实施工业互联网企业网络安全分类分级管理制度,分领域、分场景指导企业落实安全防护工作,不断健全网络安全保障体系;省内工业企业和工业互联网平台企业依法建立工业信息安全责任制,设立网络安全专门机构和专职管理人员,建立企业内部网络安全责任制实施办法或细则,建立安全事件报告和问责机制,持续加大安全投入,落实技术改造等专项经费,部署有效安全技术防护手段,保障企业工业信息安全。依据江苏省加强工业互联网安全工作的实施意见,省工业和信息化厅负责统筹推进省级工业信息安全保障体系建设,联合省
19、应急管理厅强化工业互联网在安全生产监管中的作用。省通信管理局负责监管本省标识解析系统以及对社会提供公共服务的工业互联网平台的安全。省发展和改革委、生态环境厅、卫生健康委等部门根据各自职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。各设区市相关部门对照省级部门职责分工负责本辖区内工业信息安全工作。3、强化工业信息安全应急处置联合省通信管理局共同构建统一指挥、专常兼备、反应灵敏、上下联动的工业信息安全应急管理机制,确保对突发工业信息安全事件快速反应、有效处置。指导重点工业企业、工业互联网企业通过完成应急预案编制、开展应急演练、组织应急培训等专项任务,提升应急处置与恢复能力,确保在事件发
20、生时能尽快恢复现场工业控制设备、系统、网络、工业互联网平台,工业软件等正常运行,防止重要数据丢失,并基于对事件数据收集与分析,及时更新优化防护措施,形成持续改进的防御闭环。4、推进工业信息安全标准实施组织省内企业和技术机构积极参与标准制定和标准化活动,加强工业信息安全关键技术标准研究,支持省内企业及技术机构主导制定相关团体标准、行业标准、国家标准和国际标准,在工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域组织开展标准化验证,推动相关安全标准的先行先试。(四)提升企业安全防护能力水平重点打造工业企业和工业互联网平台企业四大能力:设备和系统安全防护能力、网络和应用安全防护能力、
21、工业数据安全保护保护能力、企业信息安全监测感知能力,提升企业网络与信息安全保障水平。1、夯实设备和系统安全防护能力建立定期巡查机制,对不符合信息安全要求的企业进行通报、督促整改。推动工业企业进一步落实工业控制系统安全防护指南相关要求,部署针对性防护措施,加强工业生产、主机、智能终端等设备安全接入和边界安全防护,强化控制网络、装置装备、工业软件等安全保障。鼓励安全企业与设备制造商、自动化系统集成商开展合作,加强工业控制系统信息安全解决方案的应用推广。2、强化平台和网络安全防护能力联合省通信管理局建立日常检测评估制度,明确省内工业互联网平台建设运营单位应落实的标准要求,定期对工业互联网平台和工业A
22、PP进行安全检测评估,将安全性作为评价工业互联网平台和工业APP的重要指标。明确省内工业企业、基础电信企业在数字化改造及部署IPv6,应用5G过程中的安全标准要求、安全测试评估要求及安全设施部署要求,保障5G+工业互联网安全,提升企业内外网的安全防护能力。明确标识解析系统建设运营单位的信息安全防护能力要求,确保标识解析系统安全运行。3、提升企业数据安全保护能力联合省通信管理局组织开展重要数据安全评估和监测,建立省级工业互联网数据重大泄露事件触发响应机制,推进工业数据分类分级试点工作。明确省内工业企业和工业互联网平台企业在数据收集、存储、处理、迁移等活动中应统一遵循的数据安全标准和数据保护要求,
23、强化企业研发设计、工业生产、运维管理和数字化模型等关键敏感数据保护,针对性部署防窃密、防篡改和数据备份等安全防护措施。4、提升企业信息安全监测感知能力鼓励支持重点企业建设集约化信息安全态势感知和综合防护系统,通过对工业现场网络及工业互联网平台中各类数据的采集,汇聚SCADA.MES、ERP等工业控制系统及应用系统的关键数据,基于对关键数据的提取、筛选、分类、排序等处理,开展横向大数据分析和多维分关联分析,及时发现网络与系统异常状态,实现对工业企业和工业互联网企业网络运行规律、异常情况、安全状况、重大风险等的整体感知。(五)完善工业信息安全服务体系提升工业信息安全服务水平,开展工业信息安全测试评
24、估,壮大工业信息安全服务人才队伍,加强工业信息安全宣传教育,打造服务规范、能力突出、响应及时的工业信息安全服务体系。1、提升工业信息安全服务水平持续推进工业信息安全服务支撑机构的年度遴选认定工作,支持支撑机构提升诊断评估、数据保护、代码检查、系统加固、云端防护、密码应用安全性评估及安全咨询等方面的服务质量。组织工业企业、工业互联网企业与安全企业、基础电信企业、互联网企业、系统解决方案提供商等进行需求对接。发挥网络安全公共服务平台作用,持续为企业提供漏洞发现、网站防护、抗拒绝服务攻击、域名安全等服务。2、开展工业信息安全测试评估加强工业信息安全测试评估,支持工业信息安全测评机构提升工业控制系统、
25、5G+工业互联网、新基建网络与信息安全测试评估能力,编制行业工业信息安全防护指南,围绕工业控制系统及工业互联网规划、设计、建设、运行、维护等全生命周期各阶段开展安全防护能力成熟度评估,指导督促省内企业做好工业信息安全防护工作。3、培育工业信息安全人才队伍加快实施工业信息安全人才工程,加快培养建立工业信息安全专家人才资源库。深入推进产教融合、校企合作,建立安全人才联合培养机制,加强工业互联网创新实践平台建设,大力培养复合型、创新型高技能人才。充分发挥企业在工业信息安全保障体系中的主力军作用,在重点工业企业和工业互联网平台企业推行工业信息安全官制度,形成直接定位到工业信息安全具体负责人的工业信息安全官队伍。4、加强工业信息安全宣传教育举办网络安全宣传周工业信息安全专题活动,鼓励相关联盟协会开展知识讲座、技能培训等宣传教育活动,面向企业全面普及工业信息安全知识与技能。通过组织开展攻防演练、技能竞赛等重大活动,拓宽工业信息安全专业人才发现、培养、选拔渠道。资料来源:江苏省十四五工业信息安全保障体系建设规划