工業(yè)和信息化部辦公廳關于印發(fā)《工業(yè)數(shù)據(jù)分類分級指南(試行)》的通知
工信廳信發(fā)〔2020〕6號
各省�����、自治區(qū)����、直轄市及新疆生產建設兵團工業(yè)和信息化主管部門,有關中央企業(yè):
現(xiàn)將《工業(yè)數(shù)據(jù)分類分級指南(試行)》印發(fā)給你們,請結合實際,認真貫徹執(zhí)行����。
工業(yè)和信息化部辦公廳
2020年2月27日
工業(yè)數(shù)據(jù)分類分級指南(試行)
第一章 總則
第一條為貫徹《促進大數(shù)據(jù)發(fā)展行動綱要》《大數(shù)據(jù)產業(yè)發(fā)展規(guī)劃(2016-2020年)》有關要求,更好推動《數(shù)據(jù)管理能力成熟度評估模型》(GB/T 36073-2018)貫標和《工業(yè)控制系統(tǒng)信息安全防護指南》落實,指導企業(yè)提升工業(yè)數(shù)據(jù)管理能力,促進工業(yè)數(shù)據(jù)的使用、流動與共享,釋放數(shù)據(jù)潛在價值,賦能制造業(yè)高質量發(fā)展,制定本指南��。
第二條本指南所指工業(yè)數(shù)據(jù)是工業(yè)領域產品和服務全生命周期產生和應用的數(shù)據(jù),包括但不限于工業(yè)企業(yè)在研發(fā)設計�、生產制造、經營管理�、運維服務等環(huán)節(jié)中生成和使用的數(shù)據(jù),以及工業(yè)互聯(lián)網平臺企業(yè)(以下簡稱平臺企業(yè))在設備接入、平臺運行�、工業(yè)APP應用等過程中生成和使用的數(shù)據(jù)。
第三條本指南適用于工業(yè)和信息化主管部門��、工業(yè)企業(yè)�、平臺企業(yè)等開展工業(yè)數(shù)據(jù)分類分級工作。涉及國家秘密信息的工業(yè)數(shù)據(jù),應遵守保密法律法規(guī)的規(guī)定,不適用本指南����。
第四條工業(yè)數(shù)據(jù)分類分級以提升企業(yè)數(shù)據(jù)管理能力為目標,堅持問題導向�、目標導向和結果導向相結合,企業(yè)主體����、行業(yè)指導和屬地監(jiān)管相結合,分類標識、逐類定級和分級管理相結合���。
第二章? 數(shù)據(jù)分類
第五條工業(yè)企業(yè)結合生產制造模式�����、平臺企業(yè)結合服務運營模式,分析梳理業(yè)務流程和系統(tǒng)設備,考慮行業(yè)要求�、業(yè)務規(guī)模��、數(shù)據(jù)復雜程度等實際情況,對工業(yè)數(shù)據(jù)進行分類梳理和標識,形成企業(yè)工業(yè)數(shù)據(jù)分類清單��。
第六條工業(yè)企業(yè)工業(yè)數(shù)據(jù)分類維度包括但不限于研發(fā)數(shù)據(jù)域(研發(fā)設計數(shù)據(jù)�����、開發(fā)測試數(shù)據(jù)等)���、生產數(shù)據(jù)域(控制信息�、工況狀態(tài)、工藝參數(shù)�����、系統(tǒng)日志等)�����、運維數(shù)據(jù)域(物流數(shù)據(jù)�����、產品售后服務數(shù)據(jù)等)���、管理數(shù)據(jù)域(系統(tǒng)設備資產信息、客戶與產品信息���、產品供應鏈數(shù)據(jù)�����、業(yè)務統(tǒng)計數(shù)據(jù)等)�����、外部數(shù)據(jù)域(與其他主體共享的數(shù)據(jù)等)��。
第七條平臺企業(yè)工業(yè)數(shù)據(jù)分類維度包括但不限于平臺運營數(shù)據(jù)域(物聯(lián)采集數(shù)據(jù)�����、知識庫模型庫數(shù)據(jù)����、研發(fā)數(shù)據(jù)等)和企業(yè)管理數(shù)據(jù)域(客戶數(shù)據(jù)、業(yè)務合作數(shù)據(jù)���、人事財務數(shù)據(jù)等)�����。
第三章 數(shù)據(jù)分級
第八條根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改���、破壞、泄露或非法利用后,可能對工業(yè)生產��、經濟效益等帶來的潛在影響,將工業(yè)數(shù)據(jù)分為一級��、二級�、三級等3個級別����。
第九條潛在影響符合下列條件之一的數(shù)據(jù)為三級數(shù)據(jù):
(一)易引發(fā)特別重大生產安全事故或突發(fā)環(huán)境事件,或造成直接經濟損失特別巨大;
(二)對國民經濟�、行業(yè)發(fā)展、公眾利益�����、社會秩序乃至國家安全造成嚴重影響�����。
第十條潛在影響符合下列條件之一的數(shù)據(jù)為二級數(shù)據(jù):
(一)易引發(fā)較大或重大生產安全事故或突發(fā)環(huán)境事件,給企業(yè)造成較大負面影響,或直接經濟損失較大;
(二)引發(fā)的級聯(lián)效應明顯,影響范圍涉及多個行業(yè)����、區(qū)域或者行業(yè)內多個企業(yè),或影響持續(xù)時間長,或可導致大量供應商���、客戶資源被非法獲取或大量個人信息泄露;
(三)恢復工業(yè)數(shù)據(jù)或消除負面影響所需付出的代價較大���。
第十一條潛在影響符合下列條件之一的數(shù)據(jù)為一級數(shù)據(jù):
(一)對工業(yè)控制系統(tǒng)及設備、工業(yè)互聯(lián)網平臺等的正常生產運行影響較小;
(二)給企業(yè)造成負面影響較小,或直接經濟損失較小;
(三)受影響的用戶和企業(yè)數(shù)量較少����、生產生活區(qū)域范圍較小�����、持續(xù)時間較短;
(四)恢復工業(yè)數(shù)據(jù)或消除負面影響所需付出的代價較小��。
第四章? 分級管理
第十二條工業(yè)和信息化部負責制定工業(yè)數(shù)據(jù)分類分級制度規(guī)范,指導����、協(xié)調開展工業(yè)數(shù)據(jù)分類分級工作���。各地工業(yè)和信息化主管部門負責指導和推動轄區(qū)內工業(yè)數(shù)據(jù)分類分級工作�����。有關行業(yè)����、領域主管部門可參考本指南,指導和推動本行業(yè)��、本領域工業(yè)數(shù)據(jù)分類分級工作����。
第十三條工業(yè)企業(yè)、平臺企業(yè)等企業(yè)承擔工業(yè)數(shù)據(jù)管理的主體責任,要建立健全相關管理制度,實施工業(yè)數(shù)據(jù)分類分級管理并開展年度復查,并在企業(yè)系統(tǒng)、業(yè)務等發(fā)生重大變更時應及時更新分類分級結果�����。有條件的企業(yè)可結合實際設立數(shù)據(jù)管理機構,配備專職人員���。
第十四條企業(yè)應按照《工業(yè)控制系統(tǒng)信息安全防護指南》等要求,結合工業(yè)數(shù)據(jù)分級情況,做好防護工作����。
企業(yè)針對三級數(shù)據(jù)采取的防護措施,應能抵御來自國家級敵對組織的大規(guī)模惡意攻擊;針對二級數(shù)據(jù)采取的防護措施,應能抵御大規(guī)模���、較強惡意攻擊;針對一級數(shù)據(jù)采取的防護措施,應能抵御一般惡意攻擊���。
第十五條鼓勵企業(yè)在做好數(shù)據(jù)管理的前提下適當共享一、二級數(shù)據(jù),充分釋放工業(yè)數(shù)據(jù)的潛在價值���。二級數(shù)據(jù)只對確需獲取該級數(shù)據(jù)的授權機構及相關人員開放。三級數(shù)據(jù)原則上不共享,確需共享的應嚴格控制知悉范圍�����。
第十六條工業(yè)數(shù)據(jù)遭篡改���、破壞��、泄露或非法利用時,企業(yè)應根據(jù)事先制定的應急預案立即進行應急處置���。涉及三級數(shù)據(jù)時,還應將事件及時上報數(shù)據(jù)所在地的省級工業(yè)和信息化主管部門,并于應急工作結束后30日內補充上報事件處置情況�。
中企網微博
中企網微信