為貫徹落實習近平總書記關于堅持和完善人民代表大會制度的重要思想、關于加強和改進人民政協工作的重要思想,工業和信息化部積極做好十三屆全國人大四次會議代表建議、全國政協十三屆四次會議提案的辦理工作,特別是結合黨史學習教育,切實為民辦實事、解難題,強化組織指導,創新溝通機制,努力將代表委員提出的有價值、高質量建議轉化為破解難題的政策措施,推動工業和信息化事業高質量發展。為深入宣傳工業和信息化部2021年全國兩會建議提案辦理工作成果,工業和信息化部政務新媒體“工信微報”特開設“復文選編”欄目,陸續編發部分建議提案復文案例。
對十三屆全國人大四次會議第9992號建議的答復
田立坤代表:
您提出的關于加強工業互聯網平臺安全建設的建議收悉,現答復如下:
當前,工業互聯網快速發展,平臺數量顯著增長,融合應用日趨成熟。工業互聯網平臺作為工業互聯網的中樞,向上承載應用生態,向下接入海量設備,面臨的網絡安全風險挑戰與日俱增。我部贊同您提出的健全平臺安全管理體系、提升平臺安全技術防護能力、實施平臺數據安全分類分級管理、加強安全檢查評估等建議,將積極納入相關工作舉措。
一、已開展工作
(一)推動構建工業互聯網平臺安全政策體系。一是根據《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》《加強工業互聯網安全工作的指導意見》等文件要求,推動構建多部門協同推進、政府監管、企業主責的安全管理格局,明確由各地通信管理局加強工業互聯網平臺安全監管,并對聯網設備、系統進行安全監測。二是印發《關于開展工業互聯網企業網絡安全分類分級管理試點工作的通知》,部署啟動分類分級管理試點工作,分類施策、分級防護,進一步加強平臺企業網絡安全管理。三是推動《工業互聯網平臺企業網絡安全防護規范》《工業互聯網數據安全防護規范》等四項國家標準立項,加快研制工業互聯網平臺安全防護、安全評估、安全測試等30余項行業標準。
(二)強化工業互聯網平臺安全防護。一是依托工業互聯網創新發展工程,支持海爾、富士康等工業互聯網平臺企業建立安全接入、態勢感知、風險預警等技術手段,建成測試驗證、安全眾測等多個公共服務平臺,鼓勵威脅誘捕、工業APP安全檢測等安全技術產品加快突破。二是依托國家工業互聯網安全技術監測服務平臺,累計覆蓋重點工業互聯網平臺百余個,持續監測和處置惡意網絡行為。三是持續開展網絡安全技術應用試點示范,圍繞邊緣層、基礎設施層(云IaaS)、平臺層(工業PaaS)、應用層(工業SaaS)以及工業APP等安全防護需求,遴選平臺安全防護優秀解決方案,不斷加強平臺安全防護能力建設。
(三)扎實推進行業數據安全管理工作。一是堅持法律法規制度先行,積極參與《數據安全法》等法律制定工作,夯實數據安全工作法律基礎。二是印發《電信和互聯網行業數據安全標準體系建設指南》等文件,研究發布行業網絡數據分類分級、重要數據識別等40余項重點行業標準。三是部署開展行業網絡數據安全保護能力提升專項行動,印發《電信和互聯網企業網絡數據安全合規性評估要點(2020年)》,明確合規評估指引。組織基礎電信企業開展數據分類分級、重要數據識別、數據安全評估等標準貫標,指導重點互聯網企業開展數據安全治理能力評估。
(四)加快建設工業互聯網安全技術防護體系。一是基本建成國家、省、企業三級協同工業互聯網安全技術監測服務體系,國家平臺已覆蓋汽車、電子、鋼鐵等14個重要行業領域,涉及工業企業10萬余家。二是組織開展工業互聯網安全檢查,開發檢測工具箱和驗證平臺,及時發現、通報和整改安全風險隱患近2000個。三是依托工業互聯網企業網絡安全分類分級管理試點,面向平臺企業開展檢測評估,指導平臺企業有效落實網絡安全防護措施。
二、下一步工作考慮
做好平臺安全保障對提升工業互聯網高質量發展水平具有重要意義。下一步,我部將圍繞健全平臺安全管理體系、提升平臺安全防護能力、強化平臺數據安全保護等方面著力做好以下有關工作:
(一)健全完善工業互聯網平臺安全管理體系。一是推動出臺工業互聯網企業網絡安全分類分級管理指南,深入實施平臺企業網絡安全分類分級管理,強化重點平臺企業網絡安全管理。二是推動印發《工業互聯網綜合標準化體系建設指南》(2021版),加快工業互聯網平臺安全分類分級管理等系列國家標準研制發布,指導企業落實網絡安全主體責任。
(二)持續提升工業互聯網平臺安全防護水平。一是鼓勵重點平臺企業建設企業級安全態勢感知能力,將重點平臺納入安全監測體系,加強平臺安全監測預警、應急處置。二是出臺中小企業安全上云上平臺政策措施,實施中小企業安全上云專項行動,為中小企業上云全流程提供安全指引。三是依托工程項目、試點示范等,進一步加大平臺安全關鍵技術攻關和優秀項目遴選,促進網絡安全技術創新應用,提升平臺安全保障和服務能力。
(三)切實開展工業互聯網數據安全保護。一是落實《數據安全法》,研究制定工業互聯網數據安全管理政策文件,建立健全數據分類分級保護、重要數據保護等基礎制度。二是加快制定工業互聯網等重點領域數據安全標準規范,組織開展標準驗證和試點示范,指導企業做好數據安全保護工作。三是大力發展數據安全技術和產業,鼓勵相關企業、研究機構積極參與數據可信采集、數據安全態勢感知、數據溯源等數據安全關鍵技術研發創新和應用推廣。四是組織研究數據安全保護認證體系,制定行業數據安全保護能力評估規范,建立產學研共同參與的評估認證機制,開展認證工作。
(四)系統強化工業互聯網安全保障能力。一是完善安全技術監測服務體系,擴大監測范圍,豐富平臺功能,提升監測質量,提高支撐政府決策、保障企業安全的能力。二是充分發揮行業威脅信息共享平臺作用,推動建立跨地區、跨行業通報處置和應急聯動機制,增強工業互聯網重大安全風險、重大安全事件應對能力。三是健全安全檢查檢測機制,定期對重點平臺、工業企業、工業APP開展檢測評估,推動安全檢測評估工作規范化、常態化、體系化。
感謝您對工業互聯網安全工作的關心和支持。
工業和信息化部
2021年9月14日
