工业互联网作为第四次工业革命的重要基石和制造业数字化转型的关键支撑,开辟了科技创新、产业竞争和经济转型升级的新赛道,是重塑工业生产制造体系、实现工业经济高质量发展的重要引擎。
近年来,我国工业互联网安全保障体系建设取得积极成效,安全管理和技术支撑体系日益健全,安全技术创新和公共服务供给明显增强。近期,工业和信息化部启动工业互联网企业网络安全分类分级试点工作,在15个省份部署开展分类分级试点,探索构建以企业防护能力提升为核心的基础性安全管理制度,对于健全工业互联网安全保障体系具有重要意义。
一、分类分级管理对工业互联网安全保障体系建设意义重大
在工业互联网落地深耕的发展阶段,建立工业互联网企业网络安全分类分级管理制度,体现了分类施策、分级管理、防范风险、综合治理的管理思路,是工业互联网安全保障体系的重要基础性制度。
安全作为工业互联网三大体系之一,是工业互联网高质量发展的基础和前提。2019年发布的《加强工业互联网安全工作的指导意见》提出对工业互联网企业实施网络安全分类分级管理,近期印发的《工业互联网创新发展行动计划(2021-2023年)》再次将分类分级管理作为重点工作任务进行部署,明确到2023年在全国范围深入推广分类分级管理模式。开展分类分级管理,是深入推进工业互联网安全工作,强化安全保障体系建设的重要举措。
开展分类分级管理是构建工业互联网安全管理新模式的重要开端。我国工业企业涉及行业众多且数量庞大,根据国民经济行业分类,目前我国工业行业大类三十余个、中类一百七十余个、小类超过六百个。不同行业、不同规模、不同类型的工业互联网企业信息化发展程度不一,承载业务类型相异,所属行业安全保护规律差异化明显,网络安全风险程度和防护重点存在较大区别,不宜参照相同级别标准进行网络安全管理。建立分类分级管理制度,对广大工业互联网企业实施差异化管理,是构建针对性、精细化管理模式的重要一步,也为各级主管部门客观掌握属地工业互联网企业网络安全水平、建立长效管理机制提供有效支撑。
开展分类分级管理是实现工业互联网企业网络安全能力导向的重要手段。企业是落实网络安全主体责任、构建工业互联网安全保障体系的主力军,但目前工业互联网企业网络安全防护意识有待提升,防护能力仍显薄弱。分类分级制度体系面向联网工业企业、平台企业和标识解析企业三类工业互联网企业,科学划分其网络安全风险程度,精准匹配与之发展程度相适应的安全举措,为工业互联网企业落实网络安全主体责任提供标准规范指引,通过贯标达标激发企业更高水平的网络安全防护需求,推动工业互联网企业的网络安全建设从被动的合规驱动向主动的能力建设迈进。
二、多措并举推进工业互联网企业网络安全分类分级管理取得实效
工业互联网企业网络安全分类分级管理制度构建是一项长期性、系统性工程,需要主管部门、第三方专业机构、企业等多方主体形成合力,依托分类分级管理试点,协同推进实施落地。
一是深入开展分类分级管理制度宣贯。采取论坛、会议、培训、宣讲等多种形式,重点针对试点企业、网络安全企业、科研院所等多方主体,线上线下开展“1+4”分类分级制度体系的宣贯和解读,使各方充分认识分类分级管理制度对于工业互联网安全工作的重要意义,准确把握分类分级管理制度规则和工作要求,提升企业定级准确性和安全规范落地的可操作性。
二是探索构建分类分级支撑服务模式。把第三方专业机构作为分类分级管理制度构建的重要支撑力量,充分发挥在政策研究、检查评估、技术保障、监测应急、产业促进等方面的专业技术优势,探索形成针对工业互联网企业的自主定级辅导、安全咨询与建设、符合性评测、风险评估、整改方案制定、能力检测等全流程服务能力,支撑构建闭环工作机制。
三是全面提升网络安全产业支撑能力。面向不同类型、不同行业工业互联网企业网络安全防护能力提升需求,增强工业互联网安全技术供给和产业服务能力,遴选和推广高质量的工业互联网网络安全产品、服务及解决方案,探索工业互联网安全供需对接和产融合作新模式,推动形成工业互联网产品和服务供给资源池,优化工业互联网安全产业生态。
四是逐步形成分类分级示范带动效应。在分类分级管理试点中涌现出具有代表性、成效性的试点企业,加强经验总结和方法提炼,推广可参考、可借鉴的分类分级管理经验和优秀示范案例,形成示范带动效应,为分类分级管理工作的全面铺开和全国推广树立可参考的行业标杆。(作者系国家工业信息安全发展研究中心党委书记、副主任)
原标题:数·智观察|加快构建分类分级管理制度健全工业互联网安全保障体系
