【管理辦法】關(guān)于印發(fā)《湖南省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理支撐服務(wù)工作管理辦法(試行)》的通知

　　關(guān)于印發(fā)《湖南省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理支撐服務(wù)工作管理辦法(試行)》的通知

　　各市州工信局，有關(guān)單位：

　　現(xiàn)將《湖南省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理支撐服務(wù)工作管理辦法(試行)》印發(fā)給你們，請結(jié)合實際，認真貫徹落實。

　　湖南省工業(yè)和信息化廳

　　2024年4月24日

　　湖南省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理支撐服務(wù)工作管理辦法(試行)

　　第一章 總則

　　第一條 為加強全省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理，規(guī)范工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全支撐服務(wù)工作，根據(jù)工信部《工業(yè)互聯(lián)網(wǎng)安全分類分級管理辦法》、《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》和《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南》等有關(guān)規(guī)定，制訂本試行辦法。

　　第二條 本試行辦法適用于“湖南省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理支撐機構(gòu)”(以下簡稱支撐機構(gòu))為全省工業(yè)和信息化領(lǐng)域企業(yè)(以下簡稱企業(yè))和各級工業(yè)和信息化主管部門(以下簡稱工信部門)提供工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理、工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護等支撐服務(wù)的相關(guān)工作(以下簡稱支撐工作)。

　　第二章 工作機制

　　第三條 省工業(yè)和信息化廳負責統(tǒng)籌推進全省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作，推進全省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全技術(shù)支撐隊伍建設(shè)，培育發(fā)展一批本地支撐機構(gòu)，壯大支撐服務(wù)力量，構(gòu)建支撐服務(wù)資源池。各市縣工信部門負責推進本行政區(qū)域工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作和支撐工作。

　　第四條 支撐機構(gòu)應(yīng)是在網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域具有突出技術(shù)優(yōu)勢，認可度較高的企事業(yè)單位，或其技術(shù)特長為我省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作所需，并在湖南省內(nèi)具有穩(wěn)定的網(wǎng)絡(luò)安全和數(shù)據(jù)安全技術(shù)服務(wù)團隊。

　　第五條 具備相關(guān)條件的企事業(yè)單位，可自愿向省工業(yè)和信息化廳提出申請進入湖南省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全支撐機構(gòu)資源池。

　　第六條 支撐機構(gòu)根據(jù)企業(yè)需求，通過市場機制開展支撐工作。鼓勵支撐機構(gòu)為企業(yè)提供普惠性、公益性支撐服務(wù)。

　　第三章 工作內(nèi)容

　　第七條 支撐機構(gòu)應(yīng)根據(jù)工信部門工作部署和企業(yè)實際需求開展支撐工作，內(nèi)容包括且不限于：宣貫培訓(xùn)、資產(chǎn)清查、分類分級、定級核查、目錄備案、安全評估、安全整改、檢查評估、應(yīng)急演練、應(yīng)急處置、總結(jié)示范等。

　　第八條 宣貫培訓(xùn) 支撐機構(gòu)應(yīng)積極參加省工業(yè)和信息化廳組織的的相關(guān)業(yè)務(wù)培訓(xùn)，指派專業(yè)技術(shù)人員采取集中培訓(xùn)、線上培訓(xùn)、上門宣講、幫扶釋疑等方式，為企業(yè)提供工業(yè)互聯(lián)網(wǎng)安全、數(shù)據(jù)安全、工業(yè)控制安全等方面的政策解讀、業(yè)務(wù)指導(dǎo)和實操輔導(dǎo)，提升企業(yè)安全意識和防護能力。

　　第九條 資產(chǎn)清查 支撐機構(gòu)應(yīng)通過現(xiàn)場調(diào)研、資產(chǎn)掃描、遠程摸排等方式，明確企業(yè)作為工業(yè)互聯(lián)網(wǎng)企業(yè)、工業(yè)數(shù)據(jù)處理企業(yè)和使用工業(yè)控制系統(tǒng)企業(yè)的基本條件，協(xié)助企業(yè)全面梳理聯(lián)網(wǎng)工業(yè)系統(tǒng)、工業(yè)控制系統(tǒng)、工業(yè)數(shù)據(jù)等信息資產(chǎn)現(xiàn)狀，形成系統(tǒng)資產(chǎn)、設(shè)備資產(chǎn)和數(shù)據(jù)資產(chǎn)清單。

　　第十條 自主定級 支撐機構(gòu)應(yīng)協(xié)助企業(yè)按照相關(guān)標準規(guī)范對網(wǎng)絡(luò)、數(shù)據(jù)、系統(tǒng)開展自主定級，編制網(wǎng)絡(luò)安全自主定級報告，制訂重要數(shù)據(jù)和核心數(shù)據(jù)目錄，建立重要工業(yè)控制系統(tǒng)清單。

　　第十一條 安全評估 支撐機構(gòu)應(yīng)依據(jù)相關(guān)標準規(guī)范，采取現(xiàn)場或遠程等方式，運用人工檢測和專業(yè)檢測工具，對企業(yè)重要信息系統(tǒng)、重要數(shù)據(jù)和核心數(shù)據(jù)、工業(yè)控制系統(tǒng)開展安全檢測評估，指導(dǎo)企業(yè)進行安全指標評分，協(xié)助出具安全評估報告。

　　第十二條 安全整改 支撐機構(gòu)應(yīng)立足企業(yè)實際，協(xié)助制定整改方案，指導(dǎo)企業(yè)依據(jù)整改方案開展風(fēng)險隱患整改和落實相應(yīng)技術(shù)防護要求，根據(jù)企業(yè)需求提供定制技術(shù)服務(wù)和安全設(shè)備等，指導(dǎo)企業(yè)報送整改落實情況。

　　第十三條 審核檢查 支撐機構(gòu)應(yīng)按照省工業(yè)和信息化廳的統(tǒng)籌安排，加強與市縣工信部門的協(xié)同配合，為工信部門提供定級報告審核、現(xiàn)場安全檢查和整改項目驗收等支撐服務(wù)。

　　第十四條 應(yīng)急演練 工信部門或企業(yè)按照有關(guān)規(guī)定開展網(wǎng)絡(luò)安全和數(shù)據(jù)安全應(yīng)急演練活動，支撐機構(gòu)應(yīng)協(xié)助主辦單位制定演練方案、演練報告、應(yīng)急預(yù)案，指派技術(shù)人員參演和提供應(yīng)急技術(shù)服務(wù)，保障演練安全順利進行。

　　第十五條 應(yīng)急處置 支撐機構(gòu)應(yīng)指導(dǎo)企業(yè)制定網(wǎng)絡(luò)安全、數(shù)據(jù)安全和工控系統(tǒng)安全的應(yīng)急預(yù)案，加強日常態(tài)勢感知和監(jiān)測預(yù)警能力建設(shè)。企業(yè)發(fā)生相關(guān)安全事件后，支撐機構(gòu)應(yīng)提供人員、技術(shù)和設(shè)備支持，指導(dǎo)企業(yè)根據(jù)事件等級開展分級響應(yīng)、故障處置、系統(tǒng)恢復(fù)、分析研判、調(diào)查取證等應(yīng)急處置工作。

　　第十六條 總結(jié)示范 支撐機構(gòu)應(yīng)協(xié)助工信部門和企業(yè)做好工作總結(jié)提煉，展示工作進展成效，宣傳推廣先進經(jīng)驗和典型案例，發(fā)揮示范引領(lǐng)作用。

　　第十七條 其他活動 支撐機構(gòu)應(yīng)積極參與省工業(yè)和信息化廳組織的業(yè)務(wù)交流、課題研究或其他專項工作。

　　第四章  管理考核

　　第十八條 支撐機構(gòu)應(yīng)履行以下責任：

　　(一)接受省工業(yè)和信息化廳對支撐工作的指導(dǎo)協(xié)調(diào)，嚴格遵守《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》等有關(guān)法律法規(guī)以及支撐工作的有關(guān)規(guī)定、規(guī)范和工作要求;

　　(二)發(fā)現(xiàn)重大網(wǎng)絡(luò)或數(shù)據(jù)安全事件、風(fēng)險隱患、高危漏洞和安全威脅時，應(yīng)及時通報企業(yè)，并同步報告市州工信部門和省工業(yè)和信息化廳;

　　(三)每季度向省工業(yè)和信息化廳報告支撐工作情況;

　　(四)確保支撐工作中涉及的網(wǎng)絡(luò)信息和數(shù)據(jù)安全;

　　(五)建立網(wǎng)絡(luò)安全和數(shù)據(jù)安全應(yīng)急處置機制和糾紛處理機制，防范支撐工作風(fēng)險，妥善處理糾紛。

　　第十九條 省工業(yè)和信息化廳對支撐機構(gòu)資源池實行動態(tài)管理，建立“有進有出”機制。每年度對支撐工作進行考核評定，不定期對支撐機構(gòu)的服務(wù)資質(zhì)、應(yīng)急人員、技術(shù)能力、規(guī)章制度、工作開展情況等進行檢查。

　　第二十條 支撐機構(gòu)有下列情形之一的，省工業(yè)和信息化廳責令其限期整改;情節(jié)嚴重的，將其移出資源池。

　　(一)未按照有關(guān)標準規(guī)范、工作流程開展支撐工作，運行管理不規(guī)范、支撐服務(wù)工作質(zhì)量不達標;

　　(二)支撐工作中弄虛作假，出具不實支撐服務(wù)報告，隱瞞支撐工作中發(fā)現(xiàn)的重大安全問題;

　　(三)非授權(quán)占有、使用或泄露企業(yè)相關(guān)資料及數(shù)據(jù);

　　(四)因支撐工作不到位，導(dǎo)致被支撐服務(wù)單位多次發(fā)生網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件;

　　(五)限定被支撐服務(wù)單位購買、使用指定網(wǎng)絡(luò)安全和數(shù)據(jù)安全產(chǎn)品;

　　(六)監(jiān)督檢查中發(fā)現(xiàn)存在其他突出問題或違反法律法規(guī)情形。

　　第二十一條 對在前款規(guī)定中負有直接責任的支撐工作人員，支撐機構(gòu)應(yīng)責令其限期改正。

　　第二十二條 支撐機構(gòu)在支撐工作中如有違反國家法律法規(guī)的行為，由其依法承擔相應(yīng)法律責任。

　　第五章 附則

　　第二十三條 本試行辦法自公布之日起施行，有效期2年。