各區(qū)工信局，江北新區(qū)、各國家級開發(fā)區(qū)經(jīng)發(fā)局：

　　根據(jù)省工信廳《關于開展江蘇省2023年度工業(yè)信息安全防護星級企業(yè)培育工作的通知》要求，為進一步提升全市工業(yè)互聯(lián)網(wǎng)企業(yè)信息安全防護能力水平，現(xiàn)定于6月至11月開展我市工業(yè)信息安全防護星級企業(yè)培育工作，有關事項通知如下：

　　一、培育對象及目標

　　培育工作面向全市重點行業(yè)重點領域工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、2020年以來已達到工業(yè)信息安全防護相應星級并有意愿進一步提升的企業(yè)展開。通過幫助企業(yè)開展工業(yè)信息安全評估診斷及整改服務，進一步提升企業(yè)網(wǎng)絡安全防護能力，為完善全市工業(yè)信息安全保障體系提供支撐。

　　二、培育方式及任務分工

　　(一)培育方式。通過檢測評估、咨詢診斷和整改提升等流程，幫助企業(yè)進一步提升企業(yè)安全防護能力，實現(xiàn)星級達標(工控安全防護基礎建設級或平臺安全防護基本級及以上等級)或星級提升。

　　(二)任務分工。市工業(yè)和信息化局負責全市培育工作的總體協(xié)調推進，指導各板塊按要求完成培育任務。各區(qū)(開發(fā)區(qū))工信部門負責組織發(fā)動企業(yè)積極參與培育(具體要求見附件1)，遴選推薦符合要求的自評估咨詢機構(具體要求見附件2)，并做好機構與參培企業(yè)間的對接服務工作。自評估咨詢服務機構負責為企業(yè)提供一對一免費咨詢服務，幫助企業(yè)摸清信息安全防護能力實際情況，指導企業(yè)完成線上自評估。省級工業(yè)信息安全服務支撐機構負責為企業(yè)提供免費咨詢診斷、整改提升等服務，幫助企業(yè)診斷問題并提出安全防護整改建議。參培企業(yè)應主動配合做好各項評估和整改提升工作，可按照自評估咨詢服務機構管理工作要求自行聯(lián)系并委托服務機構，也可由當?shù)毓ば挪块T指定服務機構。

　　三、培育類型及對應要求

　　(一)工控安全防護星級企業(yè)

　　依據(jù)《江蘇省工業(yè)信息安全防護實施指南》，工控系統(tǒng)信息安全防護能力分為5個級別，包括：基礎建設級(1星)、規(guī)范防護級(2星)、集成管控級(3星)、綜合協(xié)同級(4星)、智能優(yōu)化級(5星)。

　　基礎建設級(1星)：企業(yè)能夠依據(jù)工業(yè)控制系統(tǒng)信息安全防護的技術基礎和條件開展基本保護工作，安全防護能力建設主要基于特定業(yè)務場景，尚未形成規(guī)范化、流程化的工作方式。

　　規(guī)范防護級(2星)：企業(yè)建立并記錄工業(yè)控制系統(tǒng)信息安全防護能力建設工作，能夠針對工控設備、工業(yè)主機、網(wǎng)絡、數(shù)據(jù)等方面制定規(guī)范化的安全防護規(guī)章制度，采用數(shù)字化裝備、信息技術手段等有針對性地開展安全防護，面向各方面形成獨立、可復制的安全防護能力。

　　集成管控級(3星)：企業(yè)能夠針對工控設備、主機、系統(tǒng)、網(wǎng)絡、數(shù)據(jù)等，在規(guī)范防護的基礎上，通過集成化工具(系統(tǒng))對相對獨立的單點防護設備進行集中統(tǒng)一管控，同時形成體系化的防護規(guī)章制度，實現(xiàn)企業(yè)內(nèi)部工控系統(tǒng)信息安全防護的集中管理和統(tǒng)一控制。

　　綜合協(xié)同級(4星)：企業(yè)能夠面向不同產(chǎn)線、廠區(qū)、工廠及產(chǎn)業(yè)鏈上下游相關單位，統(tǒng)籌考慮信息安全風險需求，開展安全防護建設，建立多級協(xié)同的安全管理體系，并通過態(tài)勢感知、統(tǒng)一管控等技術手段實現(xiàn)綜合決策、協(xié)同防護的安全能力。

　　智能優(yōu)化級(5星)：企業(yè)能夠采用人工智能、主動防御、內(nèi)生安全等先進技術，與已有安全防護設備、系統(tǒng)、制度體系深度融合，使得可通過知識學習、智能建模分析等技術，構建可智能化演進的安全防護系統(tǒng)，形成具有自決策、自進化能力的安全防護體系。

　　(二)工業(yè)互聯(lián)網(wǎng)平臺安全防護星級企業(yè)

　　依據(jù)《江蘇省工業(yè)信息安全防護實施指南》，工業(yè)互聯(lián)網(wǎng)平臺安全防護能力分為兩個級別，包括：基本級、增強級。

　　基本級：工業(yè)互聯(lián)網(wǎng)平臺在提供服務時應具備必要的安全控制措施，保護工業(yè)互聯(lián)網(wǎng)平臺能夠抵御或應對常見的攻擊、威脅。

　　增強級：工業(yè)互聯(lián)網(wǎng)平臺在提供服務時在基本級的基礎上能提供更高級別的安全控制措施，保護工業(yè)互聯(lián)網(wǎng)平臺能夠抵御或應對強度更高的攻擊、威脅。

　　四、組織實施

　　工業(yè)信息安全防護星級企業(yè)培育工作主要分為組織動員、企業(yè)自評估、整改提升、現(xiàn)場核查、工作總結等5個階段。

　　(一)組織動員。4月份，市工業(yè)和信息化局組織開展了2023年度全市工業(yè)信息安全防護星級企業(yè)摸底并形成了擬培育名單。各區(qū)(開發(fā)區(qū))工信部門要在此基礎上進一步發(fā)動信息化基礎較好企業(yè)參與培育工作，新增培育企業(yè)信息及時報送市工業(yè)和信息化局，相關工作于6月26日前完成。

　　(二)企業(yè)自評估。參培企業(yè)在“江蘇省工業(yè)信息安全公共服務平臺”(https://www.jsgyaq.com)注冊并填報相關信息，于7月30日前完成企業(yè)安全防護能力自評估和安全上云情況填報，相關操作手冊可登錄平臺下載。市工業(yè)和信息化局組織自評估咨詢機構指導企業(yè)開展自評估相關工作，各區(qū)(開發(fā)區(qū))工信部門督促參培企業(yè)與自評估咨詢機構有序開展工作，并好做相關協(xié)調工作。

　　(三)整改提升。省工信廳組織省級工業(yè)信息安全服務支撐機構對完成自評估的企業(yè)開展線上核查評估，并根據(jù)企業(yè)自評估安全防護狀況給出整改建議。市、區(qū)(開發(fā)區(qū))工信部門組織企業(yè)根據(jù)整改建議進行對標整改，企業(yè)于9月30日前完成整改，并在平臺提交有關整改情況。

　　(四)現(xiàn)場核查。結合企業(yè)自評估和機構線上核查評估情況，省工信廳指定專業(yè)服務機構對重點企業(yè)開展現(xiàn)場評估，為企業(yè)提供專業(yè)診斷服務并幫助提升，相關工作于11月20日前完成。

　　(五)工作總結。省工信廳根據(jù)線上核查評估和現(xiàn)場抽查評估結果，綜合確定本年度安全防護星級企業(yè)名單，編制星級防護企業(yè)培育工作報告，并遴選推薦年度優(yōu)秀案例和工業(yè)信息安全優(yōu)秀服務商，相關工作于11月30日前完成。

　　五、工作要求

　　(一)加強工作組織動員。各區(qū)(開發(fā)區(qū))工信部門要加強對企業(yè)的宣貫指導和組織發(fā)動，擴大區(qū)域內(nèi)重點企業(yè)的自評估覆蓋率，為分析研判本地工業(yè)信息安全態(tài)勢提供有效支撐。上年度參加但未完成全部流程的企業(yè)，本次可繼續(xù)參加培育。江寧經(jīng)濟技術開發(fā)區(qū)要充分發(fā)揮省級工業(yè)互聯(lián)網(wǎng)安全應用先導區(qū)優(yōu)勢，持續(xù)提升轄區(qū)工業(yè)信息安全防護星級達標企業(yè)數(shù)量。

　　(二)加強工作協(xié)調配合。各區(qū)(開發(fā)區(qū))工信部門要加強內(nèi)部工作協(xié)同配合，將星級防護企業(yè)培育工作納入智能化改造數(shù)字化轉型工作統(tǒng)籌推進，按照時序進度組織企業(yè)開展自評估和整改提升，配合做好現(xiàn)場核查評估等工作。

　　(三)加強第三方機構管理。各區(qū)(開發(fā)區(qū))工信部門要組織服務支撐機構、參培企業(yè)間簽訂服務承諾書，承諾在服務過程中不對企業(yè)系統(tǒng)運行造成影響，不泄露服務中獲取的企業(yè)信息，所獲取數(shù)據(jù)信息僅用于支持政府主管部門相關工作;服務支撐機構服務質量和指標完成情況將作為下一年度服務支撐機構遴選重要依據(jù)。

　　各區(qū)(開發(fā)區(qū))工信部門根據(jù)《南京市自評估咨詢服務機構名單》(附件3)，結合實際遴選1-2家自評估咨詢服務機構，于6月26日前將《XX區(qū)(開發(fā)區(qū))自評估咨詢服務機構匯總表》(見附件4)蓋章掃描件和word版報市工業(yè)和信息化局。

　　聯(lián)系人及聯(lián)系方式：

　　信息化建設與發(fā)展處：何賢晶，025-68788787，xkckhxj@163.com;

　　省信息安全測評中心：程愷，18961815839;

　　平臺技術支持：梅亦，18952482367  朱工，13813003187。

　　南京市工業(yè)和信息化局

　　2023年6月19日