关于开展江苏省2023年度工业信息安全防护星级企业培育工作的通知

　　各区工信局，江北新区、各国家级开发区经发局：

　　根据省工信厅《关于开展江苏省2023年度工业信息安全防护星级企业培育工作的通知》要求，为进一步提升全市工业互联网企业信息安全防护能力水平，现定于6月至11月开展我市工业信息安全防护星级企业培育工作，有关事项通知如下：

　　一、培育对象及目标

　　培育工作面向全市重点行业重点领域工业企业和工业互联网平台企业、2020年以来已达到工业信息安全防护相应星级并有意愿进一步提升的企业展开。通过帮助企业开展工业信息安全评估诊断及整改服务，进一步提升企业网络安全防护能力，为完善全市工业信息安全保障体系提供支撑。

　　二、培育方式及任务分工

　　(一)培育方式。通过检测评估、咨询诊断和整改提升等流程，帮助企业进一步提升企业安全防护能力，实现星级达标(工控安全防护基础建设级或平台安全防护基本级及以上等级)或星级提升。

　　(二)任务分工。市工业和信息化局负责全市培育工作的总体协调推进，指导各板块按要求完成培育任务。各区(开发区)工信部门负责组织发动企业积极参与培育(具体要求见附件1)，遴选推荐符合要求的自评估咨询机构(具体要求见附件2)，并做好机构与参培企业间的对接服务工作。自评估咨询服务机构负责为企业提供一对一免费咨询服务，帮助企业摸清信息安全防护能力实际情况，指导企业完成线上自评估。省级工业信息安全服务支撑机构负责为企业提供免费咨询诊断、整改提升等服务，帮助企业诊断问题并提出安全防护整改建议。参培企业应主动配合做好各项评估和整改提升工作，可按照自评估咨询服务机构管理工作要求自行联系并委托服务机构，也可由当地工信部门指定服务机构。

　　三、培育类型及对应要求

　　(一)工控安全防护星级企业

　　依据《江苏省工业信息安全防护实施指南》，工控系统信息安全防护能力分为5个级别，包括：基础建设级(1星)、规范防护级(2星)、集成管控级(3星)、综合协同级(4星)、智能优化级(5星)。

　　基础建设级(1星)：企业能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作，安全防护能力建设主要基于特定业务场景，尚未形成规范化、流程化的工作方式。

　　规范防护级(2星)：企业建立并记录工业控制系统信息安全防护能力建设工作，能够针对工控设备、工业主机、网络、数据等方面制定规范化的安全防护规章制度，采用数字化装备、信息技术手段等有针对性地开展安全防护，面向各方面形成独立、可复制的安全防护能力。

　　集成管控级(3星)：企业能够针对工控设备、主机、系统、网络、数据等，在规范防护的基础上，通过集成化工具(系统)对相对独立的单点防护设备进行集中统一管控，同时形成体系化的防护规章制度，实现企业内部工控系统信息安全防护的集中管理和统一控制。

　　综合协同级(4星)：企业能够面向不同产线、厂区、工厂及产业链上下游相关单位，统筹考虑信息安全风险需求，开展安全防护建设，建立多级协同的安全管理体系，并通过态势感知、统一管控等技术手段实现综合决策、协同防护的安全能力。

　　智能优化级(5星)：企业能够采用人工智能、主动防御、内生安全等先进技术，与已有安全防护设备、系统、制度体系深度融合，使得可通过知识学习、智能建模分析等技术，构建可智能化演进的安全防护系统，形成具有自决策、自进化能力的安全防护体系。

　　(二)工业互联网平台安全防护星级企业

　　依据《江苏省工业信息安全防护实施指南》，工业互联网平台安全防护能力分为两个级别，包括：基本级、增强级。

　　基本级：工业互联网平台在提供服务时应具备必要的安全控制措施，保护工业互联网平台能够抵御或应对常见的攻击、威胁。

　　增强级：工业互联网平台在提供服务时在基本级的基础上能提供更高级别的安全控制措施，保护工业互联网平台能够抵御或应对强度更高的攻击、威胁。

　　四、组织实施

　　工业信息安全防护星级企业培育工作主要分为组织动员、企业自评估、整改提升、现场核查、工作总结等5个阶段。

　　(一)组织动员。4月份，市工业和信息化局组织开展了2023年度全市工业信息安全防护星级企业摸底并形成了拟培育名单。各区(开发区)工信部门要在此基础上进一步发动信息化基础较好企业参与培育工作，新增培育企业信息及时报送市工业和信息化局，相关工作于6月26日前完成。

　　(二)企业自评估。参培企业在“江苏省工业信息安全公共服务平台”(https://www.jsgyaq.com)注册并填报相关信息，于7月30日前完成企业安全防护能力自评估和安全上云情况填报，相关操作手册可登录平台下载。市工业和信息化局组织自评估咨询机构指导企业开展自评估相关工作，各区(开发区)工信部门督促参培企业与自评估咨询机构有序开展工作，并好做相关协调工作。

　　(三)整改提升。省工信厅组织省级工业信息安全服务支撑机构对完成自评估的企业开展线上核查评估，并根据企业自评估安全防护状况给出整改建议。市、区(开发区)工信部门组织企业根据整改建议进行对标整改，企业于9月30日前完成整改，并在平台提交有关整改情况。

　　(四)现场核查。结合企业自评估和机构线上核查评估情况，省工信厅指定专业服务机构对重点企业开展现场评估，为企业提供专业诊断服务并帮助提升，相关工作于11月20日前完成。

　　(五)工作总结。省工信厅根据线上核查评估和现场抽查评估结果，综合确定本年度安全防护星级企业名单，编制星级防护企业培育工作报告，并遴选推荐年度优秀案例和工业信息安全优秀服务商，相关工作于11月30日前完成。

　　五、工作要求

　　(一)加强工作组织动员。各区(开发区)工信部门要加强对企业的宣贯指导和组织发动，扩大区域内重点企业的自评估覆盖率，为分析研判本地工业信息安全态势提供有效支撑。上年度参加但未完成全部流程的企业，本次可继续参加培育。江宁经济技术开发区要充分发挥省级工业互联网安全应用先导区优势，持续提升辖区工业信息安全防护星级达标企业数量。

　　(二)加强工作协调配合。各区(开发区)工信部门要加强内部工作协同配合，将星级防护企业培育工作纳入智能化改造数字化转型工作统筹推进，按照时序进度组织企业开展自评估和整改提升，配合做好现场核查评估等工作。

　　(三)加强第三方机构管理。各区(开发区)工信部门要组织服务支撑机构、参培企业间签订服务承诺书，承诺在服务过程中不对企业系统运行造成影响，不泄露服务中获取的企业信息，所获取数据信息仅用于支持政府主管部门相关工作;服务支撑机构服务质量和指标完成情况将作为下一年度服务支撑机构遴选重要依据。

　　各区(开发区)工信部门根据《南京市自评估咨询服务机构名单》(附件3)，结合实际遴选1-2家自评估咨询服务机构，于6月26日前将《XX区(开发区)自评估咨询服务机构汇总表》(见附件4)盖章扫描件和word版报市工业和信息化局。

　　联系人及联系方式：

　　信息化建设与发展处：何贤晶，025-68788787，xkckhxj@163.com;

　　省信息安全测评中心：程恺，18961815839;

　　平台技术支持：梅亦，18952482367  朱工，13813003187。

　　南京市工业和信息化局

　　2023年6月19日