|
工業和信息化部辦公廳關于印發《工業數據分類分級指南(試行)》的通知
工信廳信發〔2020〕6號
各省、自治區、直轄市及新疆生產建設兵團工業和信息化主管部門,有關中央企業:
現將《工業數據分類分級指南(試行)》印發給你們,請結合實際,認真貫徹執行。
工業和信息化部辦公廳
2020年2月27日
工業數據分類分級指南(試行)
第一章 總則
第一條為貫徹《促進大數據發展行動綱要》《大數據產業發展規劃(2016-2020年)》有關要求,更好推動《數據管理能力成熟度評估模型》(GB/T 36073-2018)貫標和《工業控制系統信息安全防護指南》落實,指導企業提升工業數據管理能力,促進工業數據的使用、流動與共享,釋放數據潛在價值,賦能制造業高質量發展,制定本指南。
第二條本指南所指工業數據是工業領域產品和服務全生命周期產生和應用的數據,包括但不限于工業企業在研發設計、生產制造、經營管理、運維服務等環節中生成和使用的數據,以及工業互聯網平臺企業(以下簡稱平臺企業)在設備接入、平臺運行、工業APP應用等過程中生成和使用的數據。
第三條本指南適用于工業和信息化主管部門、工業企業、平臺企業等開展工業數據分類分級工作。涉及國家秘密信息的工業數據,應遵守保密法律法規的規定,不適用本指南。
第四條工業數據分類分級以提升企業數據管理能力為目標,堅持問題導向、目標導向和結果導向相結合,企業主體、行業指導和屬地監管相結合,分類標識、逐類定級和分級管理相結合。
第二章 數據分類
第五條工業企業結合生產制造模式、平臺企業結合服務運營模式,分析梳理業務流程和系統設備,考慮行業要求、業務規模、數據復雜程度等實際情況,對工業數據進行分類梳理和標識,形成企業工業數據分類清單。
第六條工業企業工業數據分類維度包括但不限于研發數據域(研發設計數據、開發測試數據等)、生產數據域(控制信息、工況狀態、工藝參數、系統日志等)、運維數據域(物流數據、產品售后服務數據等)、管理數據域(系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據等)、外部數據域(與其他主體共享的數據等)。
第七條平臺企業工業數據分類維度包括但不限于平臺運營數據域(物聯采集數據、知識庫模型庫數據、研發數據等)和企業管理數據域(客戶數據、業務合作數據、人事財務數據等)。
第三章 數據分級
第八條根據不同類別工業數據遭篡改、破壞、泄露或非法利用后,可能對工業生產、經濟效益等帶來的潛在影響,將工業數據分為一級、二級、三級等3個級別。
第九條潛在影響符合下列條件之一的數據為三級數據:
(一)易引發特別重大生產安全事故或突發環境事件,或造成直接經濟損失特別巨大;
(二)對國民經濟、行業發展、公眾利益、社會秩序乃至國家安全造成嚴重影響。
第十條潛在影響符合下列條件之一的數據為二級數據:
(一)易引發較大或重大生產安全事故或突發環境事件,給企業造成較大負面影響,或直接經濟損失較大;
(二)引發的級聯效應明顯,影響范圍涉及多個行業、區域或者行業內多個企業,或影響持續時間長,或可導致大量供應商、客戶資源被非法獲取或大量個人信息泄露;
(三)恢復工業數據或消除負面影響所需付出的代價較大。
第十一條潛在影響符合下列條件之一的數據為一級數據:
(一)對工業控制系統及設備、工業互聯網平臺等的正常生產運行影響較小;
(二)給企業造成負面影響較小,或直接經濟損失較小;
(三)受影響的用戶和企業數量較少、生產生活區域范圍較小、持續時間較短;
(四)恢復工業數據或消除負面影響所需付出的代價較小。
第四章 分級管理
第十二條工業和信息化部負責制定工業數據分類分級制度規范,指導、協調開展工業數據分類分級工作。各地工業和信息化主管部門負責指導和推動轄區內工業數據分類分級工作。有關行業、領域主管部門可參考本指南,指導和推動本行業、本領域工業數據分類分級工作。
第十三條工業企業、平臺企業等企業承擔工業數據管理的主體責任,要建立健全相關管理制度,實施工業數據分類分級管理并開展年度復查,并在企業系統、業務等發生重大變更時應及時更新分類分級結果。有條件的企業可結合實際設立數據管理機構,配備專職人員。
第十四條企業應按照《工業控制系統信息安全防護指南》等要求,結合工業數據分級情況,做好防護工作。
企業針對三級數據采取的防護措施,應能抵御來自國家級敵對組織的大規模惡意攻擊;針對二級數據采取的防護措施,應能抵御大規模、較強惡意攻擊;針對一級數據采取的防護措施,應能抵御一般惡意攻擊。
第十五條鼓勵企業在做好數據管理的前提下適當共享一、二級數據,充分釋放工業數據的潛在價值。二級數據只對確需獲取該級數據的授權機構及相關人員開放。三級數據原則上不共享,確需共享的應嚴格控制知悉范圍。
第十六條工業數據遭篡改、破壞、泄露或非法利用時,企業應根據事先制定的應急預案立即進行應急處置。涉及三級數據時,還應將事件及時上報數據所在地的省級工業和信息化主管部門,并于應急工作結束后30日內補充上報事件處置情況。
|
