為進一步提升工業企業、 工業互聯 網平臺企 業的資訊保安防護能力和水平, 根 據《關於加強工業互聯 網安全工作的實施意見》 《2021 年工業資訊保安工作要點》等檔案要求,江蘇省工信廳於 2021 年 9 月至 11 月開展
工業資訊保安防護星級企業培育工作。
中新賽克
憑藉著在工業網際網路安全領域深厚的研發及創新能力,將負責本次培育計劃的評估工作。
同時,中新賽克在工業網際網路安全行業的解決方案——
企業安管中心saas服務將一鍵化滿足工控安全防護星級企業一星要求,
護航企業數字化轉型 。
有關通知要求及開展過程如下:
一、培育物件
本次培育工作優先服務 2021 年新申報省工信廳試點示範專案的工業企業和工業互聯 網平臺企業。積極鼓勵 2018 年以來由國家、省、市工信部門認定的各類資訊化基礎較好的工業企業和工業網際網路平臺企業參與。
二、評估與服務目標
三、培育方式
本次培育工作透過檢測評估、諮詢診斷和整改提升等方式,提升企業安全防護能力,幫助企業實現星級達標或星級提升。省工信廳負責工業資訊保安防護星級企業培育工作的總體協調推進,並組織對自評估諮詢機構的統一集中培訓。
各設區市工信局負責遴選推薦流程規範、服務高效、技術過硬的自評估諮詢機構,組織發動轄區內企業積極參與培育,並做好機構與參培企業間的對接服務工作。自評估諮詢機構負責為企業提供免費諮詢服務,針對企業在自評估過程中存在的實際困難提供一對一諮詢服務,幫助企業摸清自身資訊保安防護能力的實際情況。
省級工業資訊保安服務支撐機構負責為企業提供諮詢診斷、整改提升等服務,幫助企業診斷問題並認清與標準間的差距;同時針對存在的問題提出安全防護整改建議,幫助企業提升安全防護能力,滿足星級企業培育標準。
四、培育型別及要求
(一)工控安全防護星級企業
依據《資訊保安技術 工業控制系統資訊保安防護能力成熟度模型》(報批稿),工控系統資訊保安防護能力分為5個級別,具體內容如下:
基礎建設級(1星):
企業能夠依據工業控制系統資訊保安防護的技術基礎和條件開展基本保護工作,安全防護能力建設主要基於特定業務場景,尚未形成規範化、流程化的工作方式,相關工作多依賴資訊保安人員主觀經驗,建設過程未要求以文件形式記錄,無法形成可複製。
規範防護級(2星):
企業建立並記錄工業控制系統資訊保安防護能力建設工作,能夠針對工業控制裝置、工業主機、工業網路、工業資料等方面,制定規範化安全防護制度、規章,使得企業能夠以重複的方式執行,採用數字化裝備、資訊科技手段等,有針對性的開展安全防護,面向各方面形成獨立、可複製的安全防護能力。
整合管控級(3星):
企業能夠對工業控制系統裝置、主機、系統、網路、資料等方面,在規範防護已有工作基礎上,透過整合化工具、系統等,對相對獨立的單點防護裝置進行集中統一管控,同時整合相關防護規章制度檔案,形成體系化制度,實現企業內部工業控制系統資訊保安的集中管理、統一控制的安全防護能力。
綜合協同級(4星):
企業能夠面向不同產線、廠區、工廠及產業鏈上下游相關單位,統籌考慮資訊保安風險需求,開展安全防護建設,建立多級協同的安全管理體系,並透過態勢感知、統一管控等技術手段實現綜合決策、協同防護的安全能力。
智慧最佳化級(5星):
企業能夠採用人工智慧、主動防禦、內生安全等先進技術,與已有安全防護裝置、系統、制度體系深度融合,使得可透過知識學習、智慧建模分析等技術,構建可智慧化演進的安全防護系統,形成具有自決策、自進化能力的安全防護體系。
(二)工業網際網路平臺安全防護星級企業
依據《工業網際網路平臺安全防護要求》(AII/004-2018),工業網際網路平臺安全防護能力分為兩個級別,包括:基本級、增強級。
基本級:工業網際網路平臺在提供服務時應具備必要的安全控制措施,保護工業網際網路平臺能夠抵禦或應對常見的攻擊、威脅。
增強級:工業網際網路平臺在提供服務時在基本級的基礎上能提供更高級別的安全控制措施,保護工業網際網路平臺能夠抵禦或應對強度更高的攻擊、威脅。
五、整體工作實施過程
現階段企業已陸續完成第一階段的申報自評估填報,下一步省工信廳會組織省級工業資訊保安服務支撐機構對完成自評估的企業開展線上核查評估,並根據企業自評估安全防護狀況給出整改建議。各地工信部門組織相關企業根 據整改建議進行對標整改,企業整改後將整改情況從平臺提交。線上提交完成後,省工信廳指定專業服 務機構對重點企業開展現場評估,為企 業提供專業診斷服務並幫助提升。現場核查計劃如下:
最終的星級評定要求為總體達標,單向合格,如下圖所示:
