關于開展江蘇省2022年度工業(yè)信息安全防護星級企業(yè)培育工作的通知

各相關企業(yè)：

??為貫徹落實《關于加強工業(yè)互聯網安全工作的實施意見》《江蘇省“十四五”工業(yè)信息安全保障體系建設規(guī)劃》《江蘇省制造業(yè)智能化改造和數字化轉型三年行動計劃（2022－2024年）》等文件要求，進一步提升全省工業(yè)企業(yè)、工業(yè)互聯網平臺企業(yè)信息安全防護能力和水平，根據《2022年全省信息化和工業(yè)信息安全工作要點》，省工信廳定于6月至11月開展工業(yè)信息安全防護星級企業(yè)培育工作，現將有關內容通知如下：

一、培育對象

??未參加過培育內的省重點工業(yè)企業(yè)和工業(yè)互聯網平臺企業(yè)，以及2020年以來已達到工業(yè)信息安全防護星級并有意愿進一步參與培育提升星級的企業(yè)。積極鼓勵近年來由國家、省、市工信部門認定的各類信息化基礎較好的工業(yè)企業(yè)和工業(yè)互聯網平臺企業(yè)參與。

二、培育方式

??培育工作通過檢測評估、咨詢診斷和整改提升等流程，提升企業(yè)安全防護能力，幫助企業(yè)實現星級達標（工控安全防護基礎建設級或平臺安全防護基本級及以上等級）或星級提升。省工信廳負責工業(yè)信息安全防護星級企業(yè)培育工作的總體協(xié)調推進，制定培育工作技術標準和服務機構工作規(guī)范，組織對自評估咨詢服務機構、省級工業(yè)信息安全服務支撐機構進行統(tǒng)一培訓，指導各地按要求完成培育任務。蘇州市工信局負責遴選推薦流程規(guī)范、服務高效、技術過硬的自評估咨詢服務機構（具體要求詳見附件1），組織發(fā)動轄區(qū)內企業(yè)積極參與培育（具體要求詳見附件2），并做好機構與參培企業(yè)間的對接服務工作。自評估咨詢服務機構負責為企業(yè)提供免費咨詢服務，針對企業(yè)在自評估過程中存在的實際困難提供一對一咨詢服務，幫助企業(yè)摸清自身信息安全防護能力的實際情況，完成線上自評估。省級工業(yè)信息安全服務支撐機構負責為企業(yè)提供免費咨詢診斷、整改提升等服務，幫助企業(yè)診斷問題并提出安全防護整改建議、提升安全防護能力，實現星級達標或提升。參培企業(yè)應主動配合做好各項評估和整改提升工作，可按照自評估咨詢服務機構管理工作要求自行聯系并委托服務機構，也可由當地工信部門指定服務機構。

三、培育類型及要求

??（一）工控安全防護星級企業(yè)

???依據《江蘇省工業(yè)信息安全防護實施指南》，工控系統(tǒng)信息安全防護能力分為5個級別，包括：基礎建設級（1星）、規(guī)范防護級（2星）、集成管控級（3星）、綜合協(xié)同級（4星）、智能優(yōu)化級（5星）。

???基礎建設級（1星）：企業(yè)能夠依據工業(yè)控制系統(tǒng)信息安全防護的技術基礎和條件開展基本保護工作，安全防護能力建設主要基于特定業(yè)務場景，尚未形成規(guī)范化、流程化的工作方式，相關工作多依賴信息安全人員主觀經驗，建設過程未要求以文檔形式記錄，無法形成可復制。

???規(guī)范防護級（2星）：企業(yè)建立并記錄工業(yè)控制系統(tǒng)信息安全防護能力建設工作，能夠針對工業(yè)控制設備、工業(yè)主機、工業(yè)網絡、工業(yè)數據等方面，制定規(guī)范化安全防護制度、規(guī)章，使得企業(yè)能夠以重復的方式執(zhí)行，采用數字化裝備、信息技術手段等，有針對性地開展安全防護，面向各方面形成獨立、可復制的安全防護能力。

???集成管控級（3星）：企業(yè)能夠對工業(yè)控制系統(tǒng)設備、主機、系統(tǒng)、網絡、數據等方面，在規(guī)范防護已有工作基礎上，通過集成化工具、系統(tǒng)等，對相對獨立的單點防護設備進行集中統(tǒng)一管控，同時整合相關防護規(guī)章制度文件，形成體系化制度，實現企業(yè)內部工業(yè)控制系統(tǒng)信息安全的集中管理、統(tǒng)一控制的安全防護能力。

???綜合協(xié)同級（4星）：企業(yè)能夠面向不同產線、廠區(qū)、工廠及產業(yè)鏈上下游相關單位，統(tǒng)籌考慮信息安全風險需求，開展安全防護建設，建立多級協(xié)同的安全管理體系，并通過態(tài)勢感知、統(tǒng)一管控等技術手段實現綜合決策、協(xié)同防護的安全能力。

???智能優(yōu)化級（5星）：企業(yè)能夠采用人工智能、主動防御、內生安全等先進技術，與已有安全防護設備、系統(tǒng)、制度體系深度融合，使得可通過知識學習、智能建模分析等技術，構建可智能化演進的安全防護系統(tǒng)，形成具有自決策、自進化能力的安全防護體系。

??（二）工業(yè)互聯網平臺安全防護星級企業(yè)

???依據《江蘇省工業(yè)信息安全防護實施指南》，工業(yè)互聯網平臺安全防護能力分為兩個級別，包括：基本級、增強級。

???基本級：工業(yè)互聯網平臺在提供服務時應具備必要的安全控制措施，保護工業(yè)互聯網平臺能夠抵御或應對常見的攻擊、威脅。

???增強級：工業(yè)互聯網平臺在提供服務時在基本級的基礎上能提供更高級別的安全控制措施，保護工業(yè)互聯網平臺能夠抵御或應對強度更高的攻擊、威脅。

四、申請流程

??（一）企業(yè)自評估階段。

???官網線上提交(截止日期7月25日)

??市區(qū)已經遴選5家機構作為我市自評估咨詢服務機構（名單見附件3），指導企業(yè)開展自評估服務工作，咨詢服務不收取服務費用。請相關企業(yè)在“江蘇省工業(yè)信息安全公共服務平臺”（https://www.jsgyaq.com）注冊賬號并填報企業(yè)基礎信息，在7月25日前完成企業(yè)安全防護能力自評估和安全上云情況填報（操作方法詳見附件3）。蘇州市工信局組織本地區(qū)的自評估咨詢服務機構（附件1），指導企業(yè)開展自評估相關工作。

（平臺技術支持 梅亦，18952482367； 郭濤，17768065158）。

??園區(qū)系統(tǒng)線上備案(截止日期7月25日)

??參加培育的企業(yè)填寫“企業(yè)自評估咨詢對接表”（附件1）并蓋章將掃描件上傳至征集系統(tǒng)：

??蘇州工業(yè)園區(qū)企業(yè)發(fā)展服務中心官網（http://sme.sipac.gov.cn）——企業(yè)用戶登錄——業(yè)務征集平臺，選擇“關于開展江蘇省2022年度工業(yè)信息安全防護星級企業(yè)培育工作的通知”點擊報名進入填報上傳表格，下載并上傳相關附件。（附件3蓋章掃描件）

??（二）整改提升。省工信廳組織省級工業(yè)信息安全服務支撐機構對完成自評估的企業(yè)開展線上核查評估，并根據企業(yè)自評估安全防護狀況給出整改建議。各地工信部門組織相關企業(yè)根據整改建議進行對標整改，企業(yè)整改后將整改情況從平臺提交，整改工作于9月20日前完成。

??（三）現場核查。結合企業(yè)自評估和機構線上核查評估情況，省工信廳指定專業(yè)服務機構對重點企業(yè)開展現場評估，為企業(yè)提供專業(yè)診斷服務并幫助提升，相關工作于11月20日前完成。

??（四）工作總結。省工信廳將根據線上核查評估和現場抽查評估結果，確定安全防護星級企業(yè)名單，編制2022年度星級防護企業(yè)培育工作報告，并遴選推薦年度優(yōu)秀案例和工業(yè)信息安全優(yōu)秀服務商，相關工作于11月30日前完成。

??聯系方式：

??熱線：67068000

??企服二處：67068092

??經發(fā)委：66681044

五、相關政策支撐

??1、星級企業(yè)培育工作遵循企業(yè)自愿參加的原則，優(yōu)先在各類信息化基礎較好的工業(yè)企業(yè)和工業(yè)互聯網平臺企業(yè)中遴選。積極鼓勵近年以來獲得國家、省、市工信部門認定的各類信息化基礎較好的工業(yè)企業(yè)和工業(yè)互聯網平臺企業(yè)參加培育工作。主要包括：智能車間（工廠）企業(yè)、兩化融合貫標試點及培育企業(yè)、重點工業(yè)互聯網平臺企業(yè)、工業(yè)互聯網標桿工廠、工業(yè)互聯網發(fā)展示范企業(yè)、服務型制造示范及平臺企業(yè)、制造業(yè)單項冠軍企業(yè)、專精特新小巨人企業(yè)、通過工業(yè)互聯網標識解析二級節(jié)點建設能力專家評估企業(yè)等。

??2、培育工作優(yōu)先服務2022年新申報省工信廳試點示范項目的工業(yè)企業(yè)和工業(yè)互聯網平臺企業(yè)，主要是2022年兩化融合管理體系貫標升級版企業(yè)、重點工業(yè)互聯網平臺企業(yè)、工業(yè)互聯網標桿工廠，以及2022年省級智能制造示范車間企業(yè)。

??3、根據年度工業(yè)信息安全工作要點，全省計劃完成星級達標或星級提升企業(yè)數量不少于200家。其中蘇州工業(yè)園區(qū)自評估企業(yè)數量不少于20家，推薦參加星級企業(yè)培育數量不少于5家。