關于印發《湖南省工業和信息化領域網絡安全和數據安全管理支撐服務工作管理辦法(試行)》的通知

　　各市州工信局，有關單位：

　　現將《湖南省工業和信息化領域網絡安全和數據安全管理支撐服務工作管理辦法(試行)》印發給你們，請結合實際，認真貫徹落實。

　　湖南省工業和信息化廳

　　2024年4月24日

　　湖南省工業和信息化領域網絡安全和數據安全管理支撐服務工作管理辦法(試行)

　　第一章 總則

　　第一條 為加強全省工業和信息化領域網絡安全和數據安全管理，規范工業和信息化領域網絡安全和數據安全支撐服務工作，根據工信部《工業互聯網安全分類分級管理辦法》、《工業和信息化領域數據安全管理辦法(試行)》和《工業控制系統網絡安全防護指南》等有關規定，制訂本試行辦法。

　　第二條 本試行辦法適用于“湖南省工業和信息化領域網絡安全和數據安全管理支撐機構”(以下簡稱支撐機構)為全省工業和信息化領域企業(以下簡稱企業)和各級工業和信息化主管部門(以下簡稱工信部門)提供工業互聯網企業網絡安全分類分級管理、工業和信息化領域數據安全管理和工業控制系統網絡安全防護等支撐服務的相關工作(以下簡稱支撐工作)。

　　第二章 工作機制

　　第三條 省工業和信息化廳負責統籌推進全省工業和信息化領域網絡安全和數據安全管理工作，推進全省工業和信息化領域網絡安全和數據安全技術支撐隊伍建設，培育發展一批本地支撐機構，壯大支撐服務力量，構建支撐服務資源池。各市縣工信部門負責推進本行政區域工業和信息化領域網絡安全和數據安全管理工作和支撐工作。

　　第四條 支撐機構應是在網絡安全和數據安全領域具有突出技術優勢，認可度較高的企事業單位，或其技術特長為我省工業和信息化領域網絡安全和數據安全工作所需，并在湖南省內具有穩定的網絡安全和數據安全技術服務團隊。

　　第五條 具備相關條件的企事業單位，可自愿向省工業和信息化廳提出申請進入湖南省工業和信息化領域網絡安全和數據安全支撐機構資源池。

　　第六條 支撐機構根據企業需求，通過市場機制開展支撐工作。鼓勵支撐機構為企業提供普惠性、公益性支撐服務。

　　第三章 工作內容

　　第七條 支撐機構應根據工信部門工作部署和企業實際需求開展支撐工作，內容包括且不限于：宣貫培訓、資產清查、分類分級、定級核查、目錄備案、安全評估、安全整改、檢查評估、應急演練、應急處置、總結示范等。

　　第八條 宣貫培訓 支撐機構應積極參加省工業和信息化廳組織的的相關業務培訓，指派專業技術人員采取集中培訓、線上培訓、上門宣講、幫扶釋疑等方式，為企業提供工業互聯網安全、數據安全、工業控制安全等方面的政策解讀、業務指導和實操輔導，提升企業安全意識和防護能力。

　　第九條 資產清查 支撐機構應通過現場調研、資產掃描、遠程摸排等方式，明確企業作為工業互聯網企業、工業數據處理企業和使用工業控制系統企業的基本條件，協助企業全面梳理聯網工業系統、工業控制系統、工業數據等信息資產現狀，形成系統資產、設備資產和數據資產清單。

　　第十條 自主定級 支撐機構應協助企業按照相關標準規范對網絡、數據、系統開展自主定級，編制網絡安全自主定級報告，制訂重要數據和核心數據目錄，建立重要工業控制系統清單。

　　第十一條 安全評估 支撐機構應依據相關標準規范，采取現場或遠程等方式，運用人工檢測和專業檢測工具，對企業重要信息系統、重要數據和核心數據、工業控制系統開展安全檢測評估，指導企業進行安全指標評分，協助出具安全評估報告。

　　第十二條 安全整改 支撐機構應立足企業實際，協助制定整改方案，指導企業依據整改方案開展風險隱患整改和落實相應技術防護要求，根據企業需求提供定制技術服務和安全設備等，指導企業報送整改落實情況。

　　第十三條 審核檢查 支撐機構應按照省工業和信息化廳的統籌安排，加強與市縣工信部門的協同配合，為工信部門提供定級報告審核、現場安全檢查和整改項目驗收等支撐服務。

　　第十四條 應急演練 工信部門或企業按照有關規定開展網絡安全和數據安全應急演練活動，支撐機構應協助主辦單位制定演練方案、演練報告、應急預案，指派技術人員參演和提供應急技術服務，保障演練安全順利進行。

　　第十五條 應急處置 支撐機構應指導企業制定網絡安全、數據安全和工控系統安全的應急預案，加強日常態勢感知和監測預警能力建設。企業發生相關安全事件后，支撐機構應提供人員、技術和設備支持，指導企業根據事件等級開展分級響應、故障處置、系統恢復、分析研判、調查取證等應急處置工作。

　　第十六條 總結示范 支撐機構應協助工信部門和企業做好工作總結提煉，展示工作進展成效，宣傳推廣先進經驗和典型案例，發揮示范引領作用。

　　第十七條 其他活動 支撐機構應積極參與省工業和信息化廳組織的業務交流、課題研究或其他專項工作。

　　第四章  管理考核

　　第十八條 支撐機構應履行以下責任：

　　(一)接受省工業和信息化廳對支撐工作的指導協調，嚴格遵守《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》等有關法律法規以及支撐工作的有關規定、規范和工作要求;

　　(二)發現重大網絡或數據安全事件、風險隱患、高危漏洞和安全威脅時，應及時通報企業，并同步報告市州工信部門和省工業和信息化廳;

　　(三)每季度向省工業和信息化廳報告支撐工作情況;

　　(四)確保支撐工作中涉及的網絡信息和數據安全;

　　(五)建立網絡安全和數據安全應急處置機制和糾紛處理機制，防范支撐工作風險，妥善處理糾紛。

　　第十九條 省工業和信息化廳對支撐機構資源池實行動態管理，建立“有進有出”機制。每年度對支撐工作進行考核評定，不定期對支撐機構的服務資質、應急人員、技術能力、規章制度、工作開展情況等進行檢查。

　　第二十條 支撐機構有下列情形之一的，省工業和信息化廳責令其限期整改;情節嚴重的，將其移出資源池。

　　(一)未按照有關標準規范、工作流程開展支撐工作，運行管理不規范、支撐服務工作質量不達標;

　　(二)支撐工作中弄虛作假，出具不實支撐服務報告，隱瞞支撐工作中發現的重大安全問題;

　　(三)非授權占有、使用或泄露企業相關資料及數據;

　　(四)因支撐工作不到位，導致被支撐服務單位多次發生網絡安全和數據安全事件;

　　(五)限定被支撐服務單位購買、使用指定網絡安全和數據安全產品;

　　(六)監督檢查中發現存在其他突出問題或違反法律法規情形。

　　第二十一條 對在前款規定中負有直接責任的支撐工作人員，支撐機構應責令其限期改正。

　　第二十二條 支撐機構在支撐工作中如有違反國家法律法規的行為，由其依法承擔相應法律責任。

　　第五章 附則

　　第二十三條 本試行辦法自公布之日起施行，有效期2年。