数字新基建

证券金融

2021年1月13日,工业和信息化部发布了关于开展工业互联网企业网络安全分类分级管理试点工作的通知,内容明确了首批开展试点工作的15个省市地区(包括天津、吉林、上海、江苏、浙江、安徽、福建、山东、河南、湖南、广东、广西、重庆、四川、新疆),由省级工业和信息化主管部门联合通信管理局(以下简称“试点组织单位”)结合本地工作实际,选择重点行业、重点企业开展试点。

本篇文章将为工业互联网试点企业梳理2021年分类分级工作开展后,需要完成的网络安全方面的合规工作,以及结合目前其他行业已出台的网络安全等级保护标准,为试点企业迎接可能即将到来的等保测评做好准备。

2021年网络安全分类分级工作概览

根据通知的要求,被选中的试点企业应当在2021年陆续完成以下分类分级的工作:

2021年2月底前,开展自主定级,完成定级报告

试点企业需根据试点组织单位及《工业互联网企业网络安全分类分级管理指南(试行)》(以下简称“《管理指南》”)的要求,开展自主定级,完成定级报告;

2021年3月底前,完成定级核查

试点企业需接受试点组织单位及第三方专业机构对其自主定级情况进行核查,如果定级报告信息不真实、不完整,或定级情况不准确的,则需重新补正或重新定级;

2021年9月底前,落实与自身等级相适应的安全防护措施

试点企业需根据试点组织单位及第三方专业机构的指导,结合工业互联网企业网络安全分类分级防护系列规范,落实与自身等级相适应的安全防护措施。

定级工作流程及标准

试点企业在开始自主定级工作之前,首先要了解清楚自己的企业类型所适用的分类分级规范指引是什么?

根据《管理指南》的规定,工业互联网主要包括三类,只有应用工业互联网的工业企业(以下简称“联网工业企业”)才适用《管理指南》的网络安全分级规范。其余两种类型的工业互联网企业,即工业互联网平台企业和工业互联网基础设施运营企业,应当按照《通信网络安全防护管理办法》进行分级规范。如果试点企业同时具有两种以上属性的,应当按照其业务活动涉及的不同属性分别定级。

(一)

联网工业企业分级

1、先分类,再分级

在联网工业企业完成分级之前,首先要完成企业所属行业的分类。《管理指南》以《国民经济行业分类》(GB/T 4754-2017)为基准细化联网工业企业行业类别,试点企业需根据《联网工业企业所属行业网络安全分类指导目录》明确企业所属行业网络安全影响程度,所属行业网络安全影响程度由低到高分别划分为一类、二类和三类。试点企业在完成分类之后,需将该行业类别作为企业分级评定的关键参考因素。

2、分级标准

企业分级采用计分方式进行,满分为 100 分:

①三级企业:评分≥ 80 分

②二级企业:60≤评分< 80 分

③一级企业:评分< 60 分

属于三类行业规模以上联网工业企业原则上为三级。

联网工业企业分级主要考虑四大因素,分别是企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度,详细评定要素见下图:

打开网易新闻 查看更多图片

目前现有的《联网工业企业分级评定参考规则》也只是提供了一个评分框架,试点企业自主定级的自由裁量程度还比较大,具体的评定规则还需试点组织单位在此参考规则上进一步细化。

3、安全管理

试点企业根据自身的分级结果,应当落实与自身等级相适应的安全防护措施。三级企业对应的安全管理要求最高,二级企业次之,一级企业安全管理要求最低。三级和二级企业在安全管理层面上的差异如下:

除此之外,三级和二级企业都应当根据工业互联网网络安全管理和技术防护系列标准规范要求,采取相应的技术防护措施,积极建设完善企业级工业互联网安全监测平台,组织制定和实施网络安全防护和培训计划,制定切实可行的应急预案,建立应急响应机制,定期开展应急演练,采取必要措施消除安全隐患,发现重大网络安全风险和安全事件应当及时上报。

(二)

平台企业和基础设施运营企业分级

与联网工业企业三级分级不同,工业互联网平台企业和基础设施运营企业按照网络遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。具体的定级备案及安全管理流程如下图:

打开网易新闻 查看更多图片

即将到来的等保2.0下的行业标准

网络安全等级保护制度是我国网络安全的基本制度,为推动、规范行业等级保护工作的开展,各行业也陆续推动行业等级保护相关标准的制定工作。2019年5月网络安全等级保护三大核心标准(基本要求、测评要求、设计要求)正式发布,等级保护工作正式迈入等保 2.0 时代。

2020年11月11日

中国人民银行正式批准发布了金融行业标准《金融行业网络完全等级保护实施指引》(JR/T 0071-2020)和《金融行业网络安全等级保护测评指南》(JR/T 0072-2020),这是我国首个等保2.0国家标准下的行业等保指南;

2020年11月20日

中国新闻技术工作者联合会正式发布了《报业网络安全等级保护定级参考指南V2.0》;

2020年11月23日

广播电视总局批准发布了广播电视和网络视听推荐性行业标准《广播电视网络安全等级保护定级指南》(GY/T 337-2020)。

等保2.0实施一年多以来,直到2020年年底开始,各个行业才开始按照等保2.0国家标准陆续更新行业标准,行业指南的针对性更强,对等级保护的细节把握更准确,因此行业标准的出台是等保工作推进到新阶段的重要标志。

参考其他行业目前等级保护的发展趋势,本次针对工业互联网企业出台的分类分级管理指南,正是为今后可能到来的工业互联网网络安全等级保护政策作铺垫,分类分级是等级保护的第一步,落实与自身等级相适应的网络安全防护措施才是实施分级的真正意义。因此,工业互联网企业应当重视本次分类分级工作,知悉网络安全与等级保护的重要性,有助于企业更加安全、合规的长久运行。