江蘇省“十四五”工業(yè)信息安全保障體系建設規(guī)劃-江蘇省鋼鐵行業(yè)協(xié)會

工業(yè)信息安全作為網絡安全的重要組成部分，是實施制造強國和網絡強國戰(zhàn)略的重要前提，關系到國家安全、經濟發(fā)展和社會穩(wěn)定。當前，5G、人工智能、大數據、云計算、區(qū)塊鏈等新一代信息技術與制造業(yè)加速融合，為經濟社會發(fā)展注入強勁動力的同時，也帶來了日趨嚴峻的工業(yè)信息安全挑戰(zhàn)，對我省工業(yè)信息安全保障體系提出了更新更高要求?！笆奈濉睍r期，為加快推進我省工業(yè)信息安全保障體系發(fā)展，指導未來五年工業(yè)信息安全保障體系建設工作，依據《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國國民經濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標綱要》《“十四五”國家網絡安全規(guī)劃》《江蘇省國民經濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標綱要》《江蘇省“十四五”網絡安全規(guī)劃》等，制定本規(guī)劃。

一、“十四五”江蘇工業(yè)信息安全發(fā)展背景

（一）發(fā)展基礎

“十三五”期間，我省積極貫徹落實國務院《關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的指導意見》、工業(yè)和信息化部等十部門《加強工業(yè)互聯(lián)網安全工作的指導意見》、工業(yè)和信息化部《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》等重要文件要求，以提升工業(yè)信息安全保障能力為目標，以保障設備、控制、網絡、平臺、數據等關鍵要素安全為重點，建機制、建制度、建標準、建平臺、建隊伍，推動落實企業(yè)主體責任和政府監(jiān)管責任，增強企業(yè)安全防護能力，著力提高工業(yè)信息安全態(tài)勢感知、信息共享、應急處置等公共服務能力，持續(xù)促進工業(yè)信息安全產業(yè)創(chuàng)新發(fā)展，工業(yè)信息安全保障體系建設初具成效。

——工業(yè)信息安全制度建設穩(wěn)步推進。一是會同省通信管理局、發(fā)改委等十部門制定并在全國范圍內率先發(fā)布《關于加強工業(yè)互聯(lián)網安全工作的實施意見》，為我省加強工業(yè)互聯(lián)網安全保障提供實施依據。二是印發(fā)《全省信息化和工業(yè)信息安全工作要點》《江蘇省工業(yè)信息安全事件應急管理指南》《江蘇省工業(yè)信息安全信息共享與報送通報指南》等政策文件，為我省開展工業(yè)信息安全工作提供指導。三是推進政府間、政企間以及企業(yè)內部的制度建設。加強與省委網信辦、公安廳及通管局的協(xié)同聯(lián)動，與省通管局建立聯(lián)合推進工業(yè)互聯(lián)網安全工作的合作機制，同時，通過工業(yè)信息安全星級防護企業(yè)培育工作，積極指導557家企業(yè)建立了內部工業(yè)信息安全管理機制。

——工業(yè)信息安全技術支撐能力持續(xù)增強。一是重點推進省級“一網一池一平臺”（省級工業(yè)信息安全態(tài)勢感知網絡、工業(yè)互聯(lián)網安全服務資源池、工業(yè)安全信息共享與應急服務協(xié)同保障平臺）建設，基本建成省級工業(yè)安全信息共享與應急服務協(xié)同保障平臺、省級工業(yè)互聯(lián)網安全態(tài)勢感知平臺（Ⅰ期工程），初步具備對全省低防護聯(lián)網工業(yè)控制系統(tǒng)與工業(yè)互聯(lián)網平臺的安全監(jiān)測能力。二是持續(xù)完善工業(yè)互聯(lián)網安全服務資源池，初步匯聚全省工業(yè)互聯(lián)網資產信息、工業(yè)協(xié)議、威脅信息、安全漏洞與惡意代碼、應急處置措施等數據資源，為省市工業(yè)和信息化部門及企業(yè)提供基礎支撐服務。三是支持建設行業(yè)平臺和基礎共性技術平臺，組織企業(yè)、安全機構建立軌道交通和電力行業(yè)工業(yè)控制系統(tǒng)安全實驗平臺、工業(yè)互聯(lián)網安全基礎共性技術平臺，提升工業(yè)信息安全保障技術能力。

——工業(yè)信息安全服務基礎進一步夯實。一是遴選19家省級工業(yè)信息安全服務支撐隊伍，服務能力涵蓋信息安全風險評估、檢測評估和應急處置，同時聯(lián)合國家電子標準化院建立起一支由2家核驗機構和4家咨詢機構組成的，全國最大的國家級工控安全貫標服務隊伍，工業(yè)信息安全服務支撐力量持續(xù)壯大。二是成立省網絡與信息安全產業(yè)聯(lián)盟，為工業(yè)信息安全服務支撐機構和工業(yè)企業(yè)、工業(yè)互聯(lián)網平臺企業(yè)搭建橋梁，聯(lián)盟首批吸納了64家重點企業(yè)。三是積極舉辦工業(yè)信息安全技術技能大賽、攻防對抗賽、工控安全深度行、工業(yè)信息安全高峰論壇等活動，提升工業(yè)信息安全技術服務水平。四是舉辦工業(yè)信息安全專題培訓，在重點工業(yè)企業(yè)開展工業(yè)信息安全應急演練，提升企業(yè)安全服務保障人員應急響應能力，全省各級工業(yè)和信息化部門及重點企業(yè)負責人年度參訓超500人次。

——工業(yè)信息安全產業(yè)發(fā)展能力不斷提升。一是加快推進工業(yè)信息安全關鍵技術攻關，支持在電力、電子等重點行業(yè)領域開展態(tài)勢感知、仿真平臺等關鍵技術攻關。二是在省級工業(yè)和信息產業(yè)轉型升級專項資金中將工業(yè)信息安全列為重點支持方向，支持重點企業(yè)圍繞企業(yè)側態(tài)勢感知、應急演練、安全培訓等方向，形成了一批重點平臺、重點產品和優(yōu)秀解決方案。三是建設長三角網絡安全產業(yè)園等區(qū)域載體，推進建設長三角城市網絡安全運營中心，為長三角地區(qū)工業(yè)信息安全產業(yè)聚集提供支持，促進安全產業(yè)在南京、蘇州等地集聚發(fā)展。

但我們也應清醒認識到，江蘇工業(yè)信息安全保障還面臨著一些短板和痛點：工業(yè)信息安全公共基礎設施建設滯后于兩化融合發(fā)展速度，孤立的碎片化的安全系統(tǒng)建設模式已不能滿足融合發(fā)展要求，工業(yè)信息安全保障“底座不穩(wěn)”；工業(yè)信息安全產業(yè)散且不強，缺乏領軍企業(yè)、龍頭企業(yè)，產業(yè)尚未形成集聚效應；同時，傳統(tǒng)網絡安全產業(yè)對工業(yè)領域支撐能力不足；部分企業(yè)仍然存在“重IT建設、輕信息安全”的情況，信息安全意識欠缺、投入不足，網絡與信息安全保障缺乏系統(tǒng)性設計，面臨較為嚴峻的安全威脅；工業(yè)信息安全人才缺口嚴重。

（二）發(fā)展趨勢

當前，工業(yè)信息安全形勢嚴峻，工業(yè)控制系統(tǒng)和平臺安全隱患日趨突出，工業(yè)信息安全保障工作面臨著巨大的挑戰(zhàn)與機遇。

——工業(yè)領域的網絡攻擊呈高發(fā)態(tài)勢。制造、能源、交通等行業(yè)領域成為重要攻擊目標，勒索病毒、高級持續(xù)性威脅（APT）攻擊等嚴重影響工業(yè)企業(yè)的正常生產運營。以重要工業(yè)控制系統(tǒng)和設備為目標的國家間網絡對抗博弈越發(fā)復雜多變，嚴重威脅國家安全。

——工業(yè)信息安全風險暴露面快速擴大。工業(yè)數字化轉型推動工業(yè)企業(yè)生產服務模式轉變，“上云”“上平臺”的工業(yè)設備規(guī)模大幅增長，在推動制造業(yè)高質量發(fā)展的同時，打破了傳統(tǒng)工業(yè)相對封閉的制造環(huán)境，使傳統(tǒng)網絡安全威脅滲透至工業(yè)領域。同時，由于部分工業(yè)企業(yè)安全防護措施不到位，暴露在互聯(lián)網上的工業(yè)控制系統(tǒng)數量顯著增多，安全風險增加，保障難度陡增。

——工業(yè)領域供應鏈安全風險突出。當前，我國重點行業(yè)關鍵工業(yè)控制設備和系統(tǒng)對外依存度高，關鍵技術產品面臨“斷供”風險，同時安全漏洞、開源風險、后門、暗功能等安全隱患突出。如近年來，工業(yè)控制系統(tǒng)安全漏洞數量高速增長，高危漏洞占比居高不下，漏洞類型多樣，分布范圍廣泛，基本涵蓋主流設備廠商。

——政策驅動工業(yè)信息安全保障能力提升。為應對日益嚴峻的工業(yè)信息安全態(tài)勢，黨中央、國務院高度重視工業(yè)信息安全工作，圍繞工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網安全、工業(yè)大數據安全防護等密集出臺相關政策文件，關鍵領域的標準研制和應用推廣步伐加快，引導各地區(qū)、各行業(yè)落實相關防護要求，全面加強工業(yè)信息安全保障。

——工業(yè)數字化轉型推動安全防護技術創(chuàng)新。工業(yè)數字化轉型伴隨著一系列亟待解決的安全問題，使安全需求激增，推動安全投入不斷增加，安全防護技術持續(xù)創(chuàng)新優(yōu)化，安全防護產品和服務逐步豐富。同時，隨著大數據、人工智能等新技術與工業(yè)信息安全防護技術的融合應用，將有助于提高未知威脅檢測、智能化防御、安全態(tài)勢預測等安全防護能力。

——自主可控戰(zhàn)略促進安全產品供給能力提升。國家將關鍵技術的自主可控作為重大戰(zhàn)略方向，明確提出要堅持自主可控、安全高效，加速制造、能源等關鍵信息基礎設施領域國產化替代進程，促進關鍵工業(yè)控制設備和系統(tǒng)的安全性能提升，推動具備內嵌安全功能的設備產品研發(fā)與應用，從根本上降低安全漏洞、后門等帶來的風險。

隨著江蘇企業(yè)數字化轉型進程不斷提速，工業(yè)互聯(lián)網安全和工控系統(tǒng)安全已成為全面實施制造強省、網絡強省戰(zhàn)略的重要基礎支撐，全省工業(yè)領域信息安全保障體系建設亟待加強。江蘇是制造業(yè)大省、軟件與信息服務業(yè)大省，網絡與信息安全人才較為豐富，信息安全產業(yè)基礎支撐能力較強，為江蘇工業(yè)信息安全創(chuàng)新發(fā)展奠定了較好基礎。

二、江蘇“十四五”工業(yè)信息安全建設的總體要求

（一）指導思想

以習近平新時代中國特色社會主義思想特別是習近平總書記關于網絡強國的重要思想為指導，全面貫徹黨的十九大和十九屆二中、三中、四中、五中全會精神以及習近平總書記關于網絡安全和信息化系列重要講話精神，深入落實習近平總書記視察江蘇重要講話指示精神，緊緊圍繞“五位一體”總體布局和“四個全面”戰(zhàn)略布局，按照制造強國、網絡強國以及網絡空間安全戰(zhàn)略部署要求，全面落實《關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的指導意見》、《加強工業(yè)互聯(lián)網安全工作的指導意見》和《工業(yè)互聯(lián)網創(chuàng)新發(fā)展行動計劃（2021-2023年）》等重要文件要求，以提升江蘇省工業(yè)信息安全保障水平為目標，強化工業(yè)信息安全基礎設施效能，做強工業(yè)信息安全產業(yè)，健全工業(yè)信息安全管理體系，提升工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)安全防護水平，完善工業(yè)信息安全服務體系，在工業(yè)信息安全保障上“爭當表率、爭做示范、走在前列”，為制造強省、網絡強省建設提供有力支撐。

（二）基本原則

加強統(tǒng)籌，夯實責任。形成統(tǒng)一部署、共享信息、協(xié)同處置的工業(yè)信息安全管理局面，落實企業(yè)主體責任和政府部門監(jiān)督管理責任，確保安全工作落實到位。

均衡協(xié)調，精準施策。準確把握不同行業(yè)特征和地區(qū)發(fā)展基礎，結合企業(yè)規(guī)模、安全風險等因素，對企業(yè)實施分類分級管理，協(xié)同推進企業(yè)信息安全保障能力和水平提升。

積極防御，綜合防范。加強工業(yè)信息安全態(tài)勢感知網絡與服務體系建設。強化部門、區(qū)域和行業(yè)間合作，加快形成政企協(xié)同、多方聯(lián)動的技術支撐能力，協(xié)同推進工業(yè)信息安全保障體系建設。

創(chuàng)新驅動，重點突破。實施創(chuàng)新驅動戰(zhàn)略，鼓勵開發(fā)新技術、新產品，培育新業(yè)態(tài)、新模式。以科技重大專項及重大工程為抓手，加大研發(fā)投入，著力攻克一批重點領域核心技術。

（三）目標定位

到2025年，全省工業(yè)信息安全保障體系基本建成，重要工控系統(tǒng)、重點工業(yè)互聯(lián)網平臺信息安全防護能力明顯增強，全省工業(yè)信息安全管理、技術保障及公共服務能力水平顯著增強。

具體表現為：

建立健全政策規(guī)劃和標準制度。完善工業(yè)信息安全風險評估、信息共享和通報、應急處置等制度規(guī)范，建立工業(yè)信息安全檢查評估、數據保護、分類分級等工作機制，強化政策、制度和機制落實。

全面建成工業(yè)信息安全基礎平臺。建成“一網一池一平臺”，大幅提升工業(yè)信息安全監(jiān)測能力，實現平臺間數據有序共享，建成軌道交通、電力能源、石油化工等重點行業(yè)平臺和基礎共性技術平臺，重點行業(yè)企業(yè)側風險監(jiān)測與安全管理平臺覆蓋率超過50%。

大幅提升網絡安全服務能力。工業(yè)信息安全服務支撐隊伍規(guī)模達50家，加入網絡與信息安全產業(yè)聯(lián)盟的重點企業(yè)達到300家，檢測評估、安全咨詢、技術服務等服務能力不斷增強。每年常態(tài)化開展多層次、多元化安全培訓、應急演練和技能大賽，參加應急演練和工業(yè)信息安全培訓規(guī)模累計達到10000人次。

推動企業(yè)網絡安全防護走在全國前列。培育工業(yè)信息安全防護星級企業(yè)超過500家。重點工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)基本建立實施安全管理體系和內部管控制度，工業(yè)互聯(lián)網企業(yè)網絡安全分類分級試點工作全面完成，實施網絡安全分類分級管理的重點工業(yè)互聯(lián)網企業(yè)達到200家。

建設工業(yè)信息安全產業(yè)發(fā)展高地。培育形成5家營收超過10億元的網絡與信息安全行業(yè)領軍企業(yè)、20家行業(yè)細分領域標桿企業(yè)，全省網絡安全相關產業(yè)規(guī)模力爭翻一番。打造一批在國內具有一定影響力的工業(yè)信息安全企業(yè)、信息安全產業(yè)基地和工業(yè)信息安全應用示范基地，建設一批重點實驗室、企業(yè)研發(fā)中心，吸引一批工業(yè)信息安全人才，成為全國網絡安全產業(yè)發(fā)展新高地。工業(yè)信息安全核心技術取得重大突破，工業(yè)控制系統(tǒng)、實時數據庫等核心軟硬件國產化率持續(xù)上升。

三、工業(yè)信息安全建設重點任務

提升工業(yè)信息安全基礎設施建設效能，優(yōu)化工業(yè)信息安全產業(yè)生態(tài)，健全工業(yè)信息安全管理體系，提升企業(yè)安全防護能力水平，完善工業(yè)信息安全服務體系。大力提升全省工業(yè)信息安全基礎設施建設、技術保障能力及安全管理服務水平。

（一）提升安全基礎設施建設效能

聯(lián)合省通信管理局共同完善省級工業(yè)信息安全態(tài)勢感知網絡，建立工業(yè)信息安全服務資源池，建設省級工業(yè)安全信息共享與應急服務協(xié)同保障平臺，打造江蘇省工業(yè)信息安全“一網一池一平臺”公共服務基礎設施，支持建設工業(yè)互聯(lián)網安全基礎共性技術平臺和重點行業(yè)工業(yè)互聯(lián)網安全平臺，構建工業(yè)信息安全保障基礎底座。

建成省級工業(yè)信息安全態(tài)勢感知網絡。建設完善省級工業(yè)信息安全保障總平臺、國家工業(yè)互聯(lián)網安全技術保障平臺江蘇分平臺和重點行業(yè)安全技術服務平臺，加強平臺間數據互通與信息共享，構建省級工業(yè)信息安全態(tài)勢感知網絡。落實工業(yè)和信息化部《省級工業(yè)互聯(lián)網安全監(jiān)測與態(tài)勢感知平臺建設指南》相關技術要求，持續(xù)完善主動監(jiān)測、威脅感知、被動誘捕、企業(yè)運行監(jiān)測、數據融合分析等技術手段，實現對全省聯(lián)網工業(yè)控制設備與系統(tǒng)、工業(yè)互聯(lián)網平臺、工業(yè)企業(yè)運行狀態(tài)、風險隱患的實時感知、分析研判和精準決策。將我省態(tài)勢感知資源納入國家工業(yè)信息安全保障網絡，與國家平臺實現系統(tǒng)對接、數據共享、業(yè)務協(xié)同，形成系統(tǒng)化態(tài)勢感知能力。通過建立長三角工業(yè)信息安全協(xié)同管控機制，實現跨區(qū)域重大工業(yè)信息安全態(tài)勢感知信息共享，推動長三角工業(yè)信息安全聯(lián)動保障體系建設。

建立工業(yè)信息安全服務資源池。建立省級工業(yè)信息安全服務資源池，匯聚全省工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)資產信息、工業(yè)協(xié)議、威脅信息、安全漏洞與惡意代碼、信息安全等工業(yè)數據資源及各類服務商資源，支撐省級平臺開展威脅情報關聯(lián)分析、資產分析、漏洞分析、綜合態(tài)勢分析等多維度研判，為省、市主管部門及重點企業(yè)的信息共享和多級聯(lián)動提供更高質、更有效服務支撐。組織省內企業(yè)加強技術攻關和產品研發(fā)，圍繞典型工業(yè)行業(yè)信息安全態(tài)勢感知、監(jiān)測預警、安全防護、應急處置、審計取證等，研制一批技術工具，豐富工業(yè)信息安全技術資源儲備。

建設省級工業(yè)安全信息共享與應急服務協(xié)同保障平臺。建設省市縣三級，覆蓋重點工業(yè)企業(yè)、重點工業(yè)互聯(lián)網平臺企業(yè)、重點工業(yè)信息安全支撐服務機構的省級工業(yè)互聯(lián)網安全信息共享與應急服務協(xié)同保障平臺，匯聚不同行業(yè)、不同地區(qū)、不同類型的安全信息，開展跨部門、跨地區(qū)、跨行業(yè)安全信息共享，建立漏洞風險、威脅信息、處置方案等安全信息的共享機制，完善省、市、縣重點工業(yè)企業(yè)信息安全突發(fā)事件應急預案及演練制度，形成多方聯(lián)動、快速響應的信息通報預警與應急處置體系。

建設工業(yè)互聯(lián)網安全基礎共性技術平臺。支持重點企業(yè)、科研院所、技術機構面向軌道交通、電力能源、石油化工、機械制造、電子信息、航空航天等行業(yè)領域，建設省級工業(yè)信息安全攻防演練、測試驗證等共性技術平臺，依托平臺開展工業(yè)互聯(lián)網安全攻防演練、安全風險及安全解決方案的測試驗證，進一步提升識別安全隱患、防范安全威脅、化解安全風險的能力。支持重點城市加快“5G+工業(yè)互聯(lián)網”安全大腦建設。

建設重點行業(yè)工業(yè)互聯(lián)網安全平臺。支持軌道交通、機械制造、電子信息、航空、電力、化工等重點行業(yè)企業(yè)搭建行業(yè)級、企業(yè)級安全平臺，實現對重點行業(yè)和企業(yè)安全風險的實時監(jiān)測和研判預警，加強行業(yè)級、企業(yè)級平臺與省級平臺的系統(tǒng)對接和數據共享和業(yè)務協(xié)同，形成上下貫通、政企協(xié)同的整體安全監(jiān)測網絡，提升重點行業(yè)安全態(tài)勢感知和應急處置能力。支持建設集在線監(jiān)測、漏洞檢測、入侵檢測、多層防御、態(tài)勢感知和大數據分析于一體的車聯(lián)網安全監(jiān)測平臺，提升安全保障服務能力。

（二）優(yōu)化工業(yè)信息安全產業(yè)生態(tài)

突破工業(yè)信息安全關鍵技術，提升新基建網絡安全防護能力，創(chuàng)新工業(yè)信息安全服務模式，推廣工業(yè)信息安全技術應用，加強網絡安全供給創(chuàng)新突破，推進“強鏈”“補鏈”，培育龍頭企業(yè)，孵化細分賽道特色企業(yè)，創(chuàng)建信息安全產業(yè)基地，鼓勵產業(yè)全鏈、積聚、合作發(fā)展，構建“需求對接、業(yè)務關聯(lián)、市場融合、經營協(xié)同”的工業(yè)信息安全產業(yè)發(fā)展生態(tài)。

突破工業(yè)信息安全關鍵技術。以構建先進完備的網絡與信息安全產品體系和保障新基建網絡安全為目標，圍繞安全防護、監(jiān)測、處置、取證等環(huán)節(jié)，著力突破資產測繪、智能監(jiān)測預警、威脅分析、入侵防御、漏洞發(fā)現、病毒查殺、邊界防護、源碼檢測、數據保護等關鍵信息安全技術，加快提升隱患排查、態(tài)勢感知、應急處置和追蹤溯源能力。加強我省新基建的網絡安全布局和頂層設計，做好與新基建的同步銜接工作，加速推進各融合領域安全技術研究，構建融合應用安全防護架構。積極探索云計算、大數據、人工智能、量子計算等新技術及擬態(tài)防御、可信計算、零信任安全等網絡安全新理念、新架構在工業(yè)互聯(lián)網場景下的應用，為安全賦能，建立自動化、智能化、自適應的安全防御體系，構建自主可控可靠的安全體系架構，提升核心技術和部件自主研發(fā)供給能力。

創(chuàng)新工業(yè)信息安全服務模式。倡導“安全即服務”的理念，鼓勵信息安全企業(yè)由提供安全產品向提供安全服務和解決方案轉變。支持信息安全企業(yè)及技術服務機構開展網絡與信息安全規(guī)劃咨詢、威脅情報、風險評估、檢測認證、安全集成、應急響應等安全服務。大力發(fā)展基于云模式的網絡與信息安全公共服務平臺，提供遠程實時的漏洞發(fā)現、網站防護、抗拒絕服務攻擊、域名安全等服務。集中基礎運營商、大型互聯(lián)網企業(yè)、安全企業(yè)等優(yōu)勢基礎資源，鼓勵對外賦能，面向企業(yè)提供網絡安全監(jiān)測預警、攻擊防護、應急保障等增值服務，為各行業(yè)、各應用場景的新型基礎設施安全保駕護航。鼓勵發(fā)展面向工業(yè)互聯(lián)網領域的網絡安全一體化運營外包服務。

推廣工業(yè)信息安全技術應用。推動工業(yè)領域信息技術應用創(chuàng)新，鼓勵工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)應用符合國家要求的信息技術產品和服務；推廣工業(yè)領域國產商用密碼技術應用，支持工業(yè)領域密碼應用的技術攻關、產品研發(fā)、應用示范、檢測認證，加快密碼應用核心技術突破和標準研制，推進符合國家要求的密碼技術產品在工業(yè)信息安全保障中的應用，支持智能網聯(lián)與車路協(xié)同中的安全可靠密碼研究與應用；推動工業(yè)信息安全技術成果轉化應用，整合重點行業(yè)、重點地區(qū)資源，建設政產學研用資協(xié)同的工業(yè)信息安全創(chuàng)新成果轉化平臺；推廣工業(yè)信息安全最佳實踐，組織開展安全可靠網絡信息安全產品和服務在工業(yè)企業(yè)、工業(yè)互聯(lián)網領域的應用試點示范，創(chuàng)建一批工業(yè)信息安全應用示范基地。

提升網絡安全產品服務供給能力。強化協(xié)同創(chuàng)新，鼓勵重點網絡安全企業(yè)和工業(yè)企業(yè)圍繞可編程邏輯控制器（PLC）、數據采集與監(jiān)視控制系統(tǒng)（SCADA）、遠程信息處理器（T-BOX）等重點領域關鍵核心技術進行聯(lián)合攻關，打造具備內嵌安全功能的設備產品。優(yōu)化服務供給，支持云服務企業(yè)、網絡安全企業(yè)在重點城市聯(lián)合建設安全運營服務中心，落實《工業(yè)互聯(lián)網創(chuàng)新發(fā)展行動計劃（2021-2023年）》，實施中小企業(yè)“安全上云”工程。面向裝備、電子信息等重點行業(yè)，支持工業(yè)龍頭企業(yè)建設一批具有廣泛影響力的安全公共服務平臺。針對流程工業(yè)、離散工業(yè)差異化特點，加快形成重點行業(yè)優(yōu)秀安全解決方案和供應商目錄，實現供需精準對接。

培育工業(yè)信息安全產業(yè)生態(tài)。推動產業(yè)集聚發(fā)展，優(yōu)化產業(yè)園區(qū)布局，打造資源匯聚、要素共享的工業(yè)信息安全“雙創(chuàng)”環(huán)境和孵化基地。充分發(fā)揮產業(yè)園區(qū)、企業(yè)、科研院所、金融機構等各類主體的積極性和主動性。培育建設一批工業(yè)信息安全技術、產品協(xié)同創(chuàng)新平臺，供需對接平臺和實驗室，開展共性問題和市場亟需方向的聯(lián)合研究，推動產業(yè)共性技術研發(fā)和推廣應用，引導創(chuàng)新資源集聚。重點培育市場規(guī)模大、技術實力強、服務水平高的工業(yè)信息安全龍頭骨干企業(yè)，在智能制造、車聯(lián)網等細分賽道孵化一批“高精尖”特色安全企業(yè)，積極構建工業(yè)信息安全產業(yè)生態(tài)圈。著力打造一批主營業(yè)務突出、特色鮮明、競爭能力強、成長性好的工業(yè)信息安全中小企業(yè)，鼓勵通過專業(yè)化分工、服務外包、共享研發(fā)等方式與大企業(yè)合作，形成協(xié)同共贏格局。

（三）健全工業(yè)信息安全管理體系

完善工業(yè)信息安全管理制度，壓實各方工業(yè)信息安全責任，強化工業(yè)信息安全應急處置，推進工業(yè)信息安全標準實施，構建“制度健全、責任明確、督導有力”的工業(yè)信息安全管理體系。

完善工業(yè)信息安全管理制度。聯(lián)合省通信管理局共同完善工業(yè)信息安全保障體系，建立健全涵蓋監(jiān)督檢查、態(tài)勢感知、風險評估、信息共享和通報、應急處置、數據保護、安全服務等各環(huán)節(jié)的工業(yè)信息安全閉環(huán)管理機制，建立江蘇省重點聯(lián)網工業(yè)企業(yè)清單和重要數據保護目錄，強化對工業(yè)企業(yè)、工業(yè)互聯(lián)網平臺企業(yè)及相關機構的安全指導，編制重點行業(yè)工業(yè)互聯(lián)網防護指南，以評估測評為手段，引導督促企業(yè)建立安全管理體系和內部管控制度，加強供應鏈安全管理。

壓實各方工業(yè)信息安全責任。壓緊企業(yè)工業(yè)信息安全主體責任，聯(lián)合省通信管理局實施工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理制度，分領域、分場景指導企業(yè)落實安全防護工作，不斷健全網絡安全保障體系；省內工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)依法建立工業(yè)信息安全責任制，設立網絡安全專門機構和專職管理人員，建立企業(yè)內部網絡安全責任制實施辦法或細則，建立安全事件報告和問責機制，持續(xù)加大安全投入，落實技術改造等專項經費，部署有效安全技術防護手段，保障企業(yè)工業(yè)信息安全。政府履行指導監(jiān)督管理責任，依據《江蘇省加強工業(yè)互聯(lián)網安全工作的實施意見》，省工業(yè)和信息化廳負責統(tǒng)籌推進省級工業(yè)信息安全保障體系建設，聯(lián)合省應急管理廳強化工業(yè)互聯(lián)網在安全生產監(jiān)管中的作用。省通信管理局負責監(jiān)管本省標識解析系統(tǒng)以及對社會提供公共服務的工業(yè)互聯(lián)網平臺的安全。省發(fā)展和改革委、生態(tài)環(huán)境廳、衛(wèi)生健康委等部門根據各自職責，開展本行業(yè)領域工業(yè)互聯(lián)網推廣應用的安全指導、監(jiān)管工作。各設區(qū)市相關部門對照省級部門職責分工負責本轄區(qū)內工業(yè)信息安全工作。

強化工業(yè)信息安全應急處置。聯(lián)合省通信管理局共同構建統(tǒng)一指揮、專常兼?zhèn)?、反應靈敏、上下聯(lián)動的工業(yè)信息安全應急管理機制，確保對突發(fā)工業(yè)信息安全事件快速反應、有效處置。指導重點工業(yè)企業(yè)、工業(yè)互聯(lián)網企業(yè)通過完成應急預案編制、開展應急演練、組織應急培訓等專項任務，提升應急處置與恢復能力，確保在事件發(fā)生時能盡快恢復現場工業(yè)控制設備、系統(tǒng)、網絡、工業(yè)互聯(lián)網平臺，工業(yè)軟件等正常運行，防止重要數據丟失，并基于對事件數據收集與分析，及時更新優(yōu)化防護措施，形成持續(xù)改進的防御閉環(huán)。

推進工業(yè)信息安全標準實施。組織省內企業(yè)和技術機構積極參與標準制定和標準化活動，加強工業(yè)信息安全關鍵技術標準研究，支持省內企業(yè)及技術機構主導制定相關團體標準、行業(yè)標準、國家標準和國際標準，在工業(yè)互聯(lián)網設備、控制、網絡（含標識解析系統(tǒng)）、平臺、數據等重點領域組織開展標準化驗證，推動相關安全標準的先行先試。

（四）提升企業(yè)安全防護能力水平

重點打造工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)四大能力：設備和系統(tǒng)安全防護能力、網絡和應用安全防護能力、工業(yè)數據安全保護保護能力、企業(yè)信息安全監(jiān)測感知能力，提升企業(yè)網絡與信息安全保障水平。

夯實設備和系統(tǒng)安全防護能力。建立定期巡查機制，對不符合信息安全要求的企業(yè)進行通報、督促整改。推動工業(yè)企業(yè)進一步落實《工業(yè)控制系統(tǒng)安全防護指南》相關要求，部署針對性防護措施，加強工業(yè)生產、主機、智能終端等設備安全接入和邊界安全防護，強化控制網絡、裝置裝備、工業(yè)軟件等安全保障。鼓勵安全企業(yè)與設備制造商、自動化系統(tǒng)集成商開展合作，加強工業(yè)控制系統(tǒng)信息安全解決方案的應用推廣。

強化平臺和網絡安全防護能力。聯(lián)合省通信管理局建立日常檢測評估制度，明確省內工業(yè)互聯(lián)網平臺建設運營單位應落實的標準要求，定期對工業(yè)互聯(lián)網平臺和工業(yè)APP進行安全檢測評估，將安全性作為評價工業(yè)互聯(lián)網平臺和工業(yè)APP的重要指標。明確省內工業(yè)企業(yè)、基礎電信企業(yè)在數字化改造及部署IPv6、應用5G過程中的安全標準要求、安全測試評估要求及安全設施部署要求，保障“5G+工業(yè)互聯(lián)網”安全，提升企業(yè)內外網的安全防護能力。明確標識解析系統(tǒng)建設運營單位的信息安全防護能力要求，確保標識解析系統(tǒng)安全運行。

提升企業(yè)數據安全保護能力。聯(lián)合省通信管理局組織開展重要數據安全評估和監(jiān)測，建立省級工業(yè)互聯(lián)網數據重大泄露事件觸發(fā)響應機制，推進工業(yè)數據分類分級試點工作。明確省內工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)在數據收集、存儲、處理、遷移等活動中應統(tǒng)一遵循的數據安全標準和數據保護要求，強化企業(yè)研發(fā)設計、工業(yè)生產、運維管理和數字化模型等關鍵敏感數據保護，針對性部署防竊密、防篡改和數據備份等安全防護措施。

提升企業(yè)信息安全監(jiān)測感知能力。鼓勵支持重點企業(yè)建設集約化信息安全態(tài)勢感知和綜合防護系統(tǒng)，通過對工業(yè)現場網絡及工業(yè)互聯(lián)網平臺中各類數據的采集，匯聚SCADA、MES、ERP等工業(yè)控制系統(tǒng)及應用系統(tǒng)的關鍵數據，基于對關鍵數據的提取、篩選、分類、排序等處理，開展橫向大數據分析和多維分關聯(lián)分析，及時發(fā)現網絡與系統(tǒng)異常狀態(tài)，實現對工業(yè)企業(yè)和工業(yè)互聯(lián)網企業(yè)網絡運行規(guī)律、異常情況、安全狀況、重大風險等的整體感知。

（五）完善工業(yè)信息安全服務體系

提升工業(yè)信息安全服務水平，開展工業(yè)信息安全測試評估，壯大工業(yè)信息安全服務人才隊伍，加強工業(yè)信息安全宣傳教育，打造“服務規(guī)范、能力突出、響應及時”的工業(yè)信息安全服務體系。

提升工業(yè)信息安全服務水平。持續(xù)推進工業(yè)信息安全服務支撐機構的年度遴選認定工作，支持支撐機構提升診斷評估、數據保護、代碼檢查、系統(tǒng)加固、云端防護、密碼應用安全性評估及安全咨詢等方面的服務質量。組織工業(yè)企業(yè)、工業(yè)互聯(lián)網企業(yè)與安全企業(yè)、基礎電信企業(yè)、互聯(lián)網企業(yè)、系統(tǒng)解決方案提供商等進行需求對接。發(fā)揮網絡安全公共服務平臺作用，持續(xù)為企業(yè)提供漏洞發(fā)現、網站防護、抗拒絕服務攻擊、域名安全等服務。

開展工業(yè)信息安全測試評估。加強工業(yè)信息安全測試評估，支持工業(yè)信息安全測評機構提升工業(yè)控制系統(tǒng)、5G+工業(yè)互聯(lián)網、新基建網絡與信息安全測試評估能力，編制行業(yè)工業(yè)信息安全防護指南，圍繞工業(yè)控制系統(tǒng)及工業(yè)互聯(lián)網規(guī)劃、設計、建設、運行、維護等全生命周期各階段開展安全防護能力成熟度評估，指導督促省內企業(yè)做好工業(yè)信息安全防護工作。

培育工業(yè)信息安全人才隊伍。加快實施工業(yè)信息安全人才工程，加快培養(yǎng)、引進一批工業(yè)信息安全領軍人才。建立工業(yè)信息安全專家人才資源庫。深入推進產教融合、校企合作，建立安全人才聯(lián)合培養(yǎng)機制，加強工業(yè)互聯(lián)網創(chuàng)新實踐平臺建設，大力培養(yǎng)復合型、創(chuàng)新型高技能人才。充分發(fā)揮企業(yè)在工業(yè)信息安全保障體系中的主力軍作用，在重點工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)推行工業(yè)信息安全官制度，形成直接定位到工業(yè)信息安全具體負責人的工業(yè)信息安全官隊伍。

加強工業(yè)信息安全宣傳教育。舉辦網絡安全宣傳周工業(yè)信息安全專題活動，鼓勵相關聯(lián)盟協(xié)會開展知識講座、技能培訓等宣傳教育活動，面向企業(yè)全面普及工業(yè)信息安全知識與技能。通過組織開展攻防演練、技能競賽等重大活動，拓寬工業(yè)信息安全專業(yè)人才發(fā)現、培養(yǎng)、選拔渠道。

四、強化規(guī)劃實施的保障

（一）強化組織協(xié)同，壓實安全責任

立足制造強國、網絡強國戰(zhàn)略要求，充分認識工業(yè)信息安全保障的重要意義，加強組織領導和統(tǒng)籌謀劃，突出“省-市-縣（區(qū)）”三級聯(lián)動、“部門間”支撐互動、“政府部門-重點企業(yè)-服務機構”三方協(xié)同，強化部門間的聯(lián)絡對接，加大監(jiān)管和評估力度，建立覆蓋重點工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)的工業(yè)信息安全官隊伍，貫徹落實《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》等法律法規(guī)，壓實工業(yè)信息安全保障各方責任，確保工業(yè)信息安全保障體系建設各項工作順利實施。

（二）完善政策配套，加大資金支持

發(fā)揮政府資金引導作用，在省工業(yè)和信息產業(yè)轉型升級專項資金中，重點支持工業(yè)信息安全關鍵核心技術（裝備）攻關、工業(yè)信息安全基礎設施建設、產業(yè)鏈構建、重大應用示范、優(yōu)秀解決方案、標準規(guī)范制定和公共服務平臺建設、工業(yè)信息安全龍頭骨干企業(yè)培育等項目。加大政府購買服務力度，創(chuàng)新工業(yè)信息安全投融資機制，實施有利于商業(yè)運作、持續(xù)運營的政策。綜合運用財政、稅收、金融等手段和渠道，推動有條件的產業(yè)園區(qū)建設示范基地、創(chuàng)新基地，促進網絡安全產業(yè)集聚發(fā)展。

（三）拓展培養(yǎng)渠道，加大人才供給

鼓勵高校、科研院所與企業(yè)合作建立工業(yè)互聯(lián)網安全人才培養(yǎng)機制與平臺，鼓勵企業(yè)技術專家到高校授課、在校學生入企業(yè)實習實訓，以項目合作、科研成果轉化活動為依托，豐富人才培養(yǎng)形式。探索建立適合工業(yè)信息安全行業(yè)特點的人事制度和薪酬制度，匯聚更多優(yōu)秀的工業(yè)信息安全人才。打造省級工業(yè)信息安全專家智庫及團隊，實施高端人才培養(yǎng)工程，大力引進一批高端復合型和急需緊缺工業(yè)信息安全人才。圍繞網絡空間安全、工業(yè)控制安全、新技術應用等領域，充分利用我省高校、科研院所資源優(yōu)勢，支持創(chuàng)建一流學院和一級學科，加快復合型工業(yè)信息安全人才培養(yǎng)，增大網絡與信息安全人才供給。

（四）集聚多方資源，營造良好環(huán)境

充分發(fā)揮協(xié)會、聯(lián)盟等第三方機構的作用，支持第三方機構運用自身優(yōu)勢，組織開展技術研發(fā)、技能競賽、培訓宣貫、標準推廣、公共服務、國際合作等，加強各方溝通，促進技術交流，形成政產學研用高效聯(lián)動的發(fā)展環(huán)境。充分利用新媒體等手段，多種形式、多個渠道進行宣傳引導，提高企業(yè)、科研機構、公眾等各類群體的工業(yè)信息安全意識，為工業(yè)信息安全保障各項工作的順利開展提供支持。