各設區市工(gōng)信局：

爲進一(yī)步提升我(wǒ)省工(gōng)業企業、工(gōng)業互聯網平台企業的信息安全防護能力和水平，根據《關于加強工(gōng)業互聯網安全工(gōng)作的實施意見》、《2021年工(gōng)業信息安全工(gōng)作要點》等文件要求，省工(gōng)信廳定于2021年8月至11月開(kāi)展工(gōng)業信息安全防護星級企業培育工(gōng)作，現将有關要求通知(zhī)如下(xià)：

一(yī)、培育對象

本次培育工(gōng)作優先服務2021年新申報省工(gōng)信廳試點示範項目的工(gōng)業企業和工(gōng)業互聯網平台企業。積極鼓勵2018年以來由國家、省、市工(gōng)信部門認定的各類信息化基礎較好的工(gōng)業企業和工(gōng)業互聯網平台企業參與。

二、培育方式

本次培育工(gōng)作通過檢測評估、咨詢診斷和整改提升等方式，提升企業安全防護能力，幫助企業實現星級達标（工(gōng)控安全防護基礎建設級或平台安全防護基本級及以上等級）或星級提升。省工(gōng)信廳負責工(gōng)業信息安全防護星級企業培育工(gōng)作的總體(tǐ)協調推進，并組織對自評估咨詢機構的統一(yī)集中(zhōng)培訓。各設區市工(gōng)信局負責遴選推薦流程規範、服務高效、技術過硬的自評估咨詢機構，組織發動轄區内企業積極參與培育，并做好機構與參培企業間的對接服務工(gōng)作。自評估咨詢機構負責爲企業提供免費(fèi)咨詢服務，針對企業在自評估過程中(zhōng)存在的實際困難提供一(yī)對一(yī)咨詢服務，幫助企業摸清自身信息安全防護能力的實際情況。省級工(gōng)業信息安全服務支撐機構負責爲企業提供咨詢診斷、整改提升等服務，幫助企業診斷問題并認清與标準間的差距；同時針對存在的問題提出安全防護整改建議，幫助企業提升安全防護能力，滿足星級企業培育标準。參培企業可按照自評估咨詢服務機構管理工(gōng)作要求自行聯系并委托服務機構，也可由當地工(gōng)信部門指定服務機構。

三、培育類型及要求

（一(yī)）工(gōng)控安全防護星級企業

依據《信息安全技術 工(gōng)業控制系統信息安全防護能力成熟度模型》（報批稿），工(gōng)控系統信息安全防護能力分(fēn)爲5個級别，包括：基礎建設級（1星）、規範防護級（2星）、集成管控級（3星）、綜合協同級（4星）、智能優化級（5星）。

基礎建設級（1星）：企業能夠依據工(gōng)業控制系統信息安全防護的技術基礎和條件開(kāi)展基本保護工(gōng)作，安全防護能力建設主要基于特定業務場景，尚未形成規範化、流程化的工(gōng)作方式，相關工(gōng)作多依賴信息安全人員(yuán)主觀經驗，建設過程未要求以文檔形式記錄，無法形成可複制。

規範防護級（2星）：企業建立并記錄工(gōng)業控制系統信息安全防護能力建設工(gōng)作，能夠針對工(gōng)業控制設備、工(gōng)業主機、工(gōng)業網絡、工(gōng)業數據等方面，制定規範化安全防護制度、規章，使得企業能夠以重複的方式執行，采用數字化裝備、信息技術手段等，有針對性的開(kāi)展安全防護，面向各方面形成獨立、可複制的安全防護能力。

集成管控級（3星）：企業能夠對工(gōng)業控制系統設備、主機、系統、網絡、數據等方面，在規範防護已有工(gōng)作基礎上，通過集成化工(gōng)具、系統等，對相對獨立的單點防護設備進行集中(zhōng)統一(yī)管控，同時整合相關防護規章制度文件，形成體(tǐ)系化制度，實現企業内部工(gōng)業控制系統信息安全的集中(zhōng)管理、統一(yī)控制的安全防護能力。

綜合協同級（4星）：企業能夠面向不同産線、廠區、工(gōng)廠及産業鏈上下(xià)遊相關單位，統籌考慮信息安全風險需求，開(kāi)展安全防護建設，建立多級協同的安全管理體(tǐ)系，并通過态勢感知(zhī)、統一(yī)管控等技術手段實現綜合決策、協同防護的安全能力。

智能優化級（5星）：企業能夠采用人工(gōng)智能、主動防禦、内生(shēng)安全等先進技術，與已有安全防護設備、系統、制度體(tǐ)系深度融合，使得可通過知(zhī)識學習、智能建模分(fēn)析等技術，構建可智能化演進的安全防護系統，形成具有自決策、自進化能力的安全防護體(tǐ)系。

（二）工(gōng)業互聯網平台安全防護星級企業

依據《工(gōng)業互聯網平台安全防護要求》（AII/004-2018）,工(gōng)業互聯網平台安全防護能力分(fēn)爲兩個級别，包括：基本級、增強級。

基本級：工(gōng)業互聯網平台在提供服務時應具備必要的安全控制措施，保護工(gōng)業互聯網平台能夠抵禦或應對常見的攻擊、威脅。

增強級：工(gōng)業互聯網平台在提供服務時在基本級的基礎上能提供更高級别的安全控制措施，保護工(gōng)業互聯網平台能夠抵禦或應對強度更高的攻擊、威脅。

四、組織實施

工(gōng)業信息安全防護星級企業培育工(gōng)作主要分(fēn)爲組織動員(yuán)、企業自評估、整改提升、現場核查、工(gōng)作總結等5個階段。

（一(yī)）組織動員(yuán)階段。各設區市工(gōng)信局收到通知(zhī)後，積極做好轄區企業的宣傳發動工(gōng)作，遴選推薦2-5家自評估咨詢服務機構（至少有1家省級工(gōng)業信息安全服務支撐機構）參加自評估工(gōng)作，相關工(gōng)作于9月10日前完成。

（二）企業自評估階段。各設區市工(gōng)信局組織企業在“江蘇省工(gōng)業信息安全公共服務平台”注冊賬号并填報企業基礎信息，在9月25日前完成企業安全防護能力自評估并提交。各設區市工(gōng)信局組織本地區的自評估咨詢機構，指導企業開(kāi)展自評估相關工(gōng)作。

（三）整改提升階段。省工(gōng)信廳組織省級工(gōng)業信息安全服務支撐機構對完成自評估的企業開(kāi)展線上核查評估，并根據企業自評估安全防護狀況給出整改建議。各地工(gōng)信部門組織相關企業根據整改建議進行對标整改，企業整改後将整改情況從平台提交，整改工(gōng)作于10月20日前完成。

（四）現場核查階段。結合企業線上自評估和機構線上核查評估情況，省工(gōng)信廳指定專業服務機構對重點企業開(kāi)展現場評估，爲企業提供專業診斷服務并幫助提升，相關工(gōng)作于11月10日前完成。

（五）工(gōng)作總結階段。省工(gōng)信廳将根據線上核查評估和現場抽查評估結果，确定并公布安全防護星級企業名單，編制2021年度星級防護企業培育工(gōng)作報告，并遴選推薦年度優秀案例和工(gōng)業信息安全優秀服務商(shāng)，相關工(gōng)作于11月30前完成。

五、工(gōng)作要求

1、各設區市工(gōng)信局要高度重視培育工(gōng)作，加強内部處室工(gōng)作協同，密切配合，組織動員(yuán)企業積極參加星級防護企業培育工(gōng)作。

2、各設區市工(gōng)信局要按照時序進度，組織發動企業開(kāi)展自評估和整改提升，配合做好現場核查評估等工(gōng)作。

3、企業自評估工(gōng)作是一(yī)項常态化工(gōng)作，各設區市工(gōng)信局要加強對企業的宣貫和指導，按照培育工(gōng)作要求動員(yuán)企業根據自身情況适時參加，不斷擴大(dà)區域内重點企業的自評估覆蓋率，有效支撐本地工(gōng)業信息安全态勢分(fēn)析研判。

4、省工(gōng)信廳将組織服務支撐機構、參培企業簽訂服務承諾書(shū)，承諾在服務過程中(zhōng)不對企業系統運行造成影響，不洩露服務中(zhōng)獲取的企業敏感數據信息，所獲取數據信息僅用于支持政府主管部門相關工(gōng)作。

5、省工(gōng)信廳将委托省電(diàn)子質檢院（省信息安全測評中(zhōng)心）等第三方專業服務機構做好技術支撐和配合工(gōng)作。

6、請各設區市工(gōng)信局根據自評估咨詢服務機構管理工(gōng)作要求，于2021年9月10日前填寫《各設區市自評估咨詢服務機構彙總表》，并将彙總表蓋章掃描件和word電(diàn)子檔報送至省工(gōng)信廳。