中國電信股份有限公司江蘇分公司、中國移動通信集團江蘇有限公司、中國聯(lián)合網(wǎng)絡(luò)通信有限公司江蘇省分公司、江蘇省廣電有線信息網(wǎng)絡(luò)股份有限公司，互聯(lián)網(wǎng)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)互聯(lián)網(wǎng)標(biāo)識解析企業(yè)、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)，各相關(guān)單位：

　　為深入貫徹黨的二十大精神，落實工信部和省委、省政府有關(guān)部署要求，切實增強工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型融合領(lǐng)域安全保障能力，護(hù)航我省數(shù)字經(jīng)濟和新型工業(yè)化高質(zhì)量發(fā)展，現(xiàn)將《江蘇省“龍磐2024”網(wǎng)絡(luò)和數(shù)據(jù)安全專項行動方案》印發(fā)給你們，請結(jié)合實際抓好落實。

　　江蘇省通信管理局

　　2024年6月28日

　　江蘇省“龍磐2024”網(wǎng)絡(luò)和數(shù)據(jù)安全專項行動方案

　　當(dāng)前，隨著數(shù)字經(jīng)濟、新型工業(yè)化等戰(zhàn)略的提出及深入實施，工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域數(shù)實融合發(fā)展進(jìn)入快車道。同時，越來越多設(shè)備、平臺、數(shù)據(jù)被暴露在互聯(lián)網(wǎng)上，新興融合領(lǐng)域網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險日益加劇。按照工信部和省委、省政府有關(guān)工作部署，為提升新型融合領(lǐng)域安全保障能力，護(hù)航我省數(shù)字經(jīng)濟和新型工業(yè)化高質(zhì)量發(fā)展，制定本方案。

　　一、工作目標(biāo)

　　以習(xí)近平新時代中國特色社會主義思想為指導(dǎo)，全面貫徹黨的二十大和二十屆二中全會精神，順應(yīng)新一輪科技革命和產(chǎn)業(yè)變革趨勢、新質(zhì)生產(chǎn)力加快發(fā)展需要，統(tǒng)籌發(fā)展和安全，以《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》等法律法規(guī)為遵循，落實工業(yè)和信息化部護(hù)航新型工業(yè)化、“數(shù)安護(hù)航”“鑄網(wǎng)”等相關(guān)工作要求，深化“四個賦能”重點任務(wù)落實，以高水平安全支撐我省現(xiàn)代化產(chǎn)業(yè)體系和戰(zhàn)略性新興產(chǎn)業(yè)高質(zhì)量發(fā)展，為江蘇“網(wǎng)絡(luò)強省”“數(shù)實融合強省” 建設(shè)奠定堅實基礎(chǔ)。

　　二、重點任務(wù)

　?。ㄒ唬┲x能，固本強基構(gòu)筑安全管理基石

　　結(jié)合我省“1650” 現(xiàn)代化產(chǎn)業(yè)體系特點，夯實安全管理基礎(chǔ)，推進(jìn)定級備案和風(fēng)險評估工作，以高水平安全支撐我省“筑峰強鏈”建設(shè)。

　　1. 做好通信網(wǎng)絡(luò)安全防護(hù)定級備案工作。各基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)要按照《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》規(guī)定，對已正式投入運行的網(wǎng)絡(luò)和系統(tǒng)進(jìn)行網(wǎng)元劃分和定級，通過“工信部通信網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)”（https://mii-aqfh.cn），于2024年7月31日前提交定級備案信息。

　　2. 推進(jìn)工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理。各工業(yè)互聯(lián)網(wǎng)標(biāo)識解析企業(yè)和平臺企業(yè)要按照《工業(yè)互聯(lián)網(wǎng)安全分類分級管理辦法》規(guī)定，通過“全國工業(yè)互聯(lián)網(wǎng)安全分類分級管理平臺”（https://mii-ciiflfj.cn），于2024年7月31日前提交定級備案信息。此外，各企業(yè)應(yīng)對在用APP和小程序進(jìn)行梳理，根據(jù)《關(guān)于開展移動互聯(lián)網(wǎng)應(yīng)用程序備案工作的通知》要求履行備案手續(xù)。

　　3. 加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全定級備案。各車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)要按照《關(guān)于做好車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級備案工作的通知》要求，通過“全國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)”（https://www.iovsec.org.cn），于2024年7月31日前提交主流在用車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)的定級備案信息。

　　4. 強化重要數(shù)據(jù)和核心數(shù)據(jù)識別與目錄備案。各企業(yè)要嚴(yán)格落實《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》，進(jìn)一步規(guī)范數(shù)據(jù)處理活動，實施數(shù)據(jù)分類分級管理，開展重要數(shù)據(jù)和核心數(shù)據(jù)識別認(rèn)定，形成本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄，于2024年7月31日前報送我局。對數(shù)據(jù)目錄實施動態(tài)管理，目錄發(fā)生變化的，應(yīng)及時上報更新。鼓勵各企業(yè)建立首席數(shù)據(jù)官制度，進(jìn)一步加強數(shù)據(jù)合規(guī)利用和安全管理水平。

　　5.開展網(wǎng)絡(luò)安全評測評估。各企業(yè)要按照有關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)（標(biāo)準(zhǔn)目錄見附件），重點圍繞是否采取防攻擊、防病毒、防入侵等管理和技術(shù)措施，自行或委托第三方評估機構(gòu)開展符合性評測和風(fēng)險評估，于2024年9月10日前通過“工信部通信網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)”上傳評測評估報告和自查整改情況。三級網(wǎng)絡(luò)、系統(tǒng)和定級為三級的工業(yè)互聯(lián)網(wǎng)企業(yè)每年至少開展一次符合性評測和風(fēng)險評估，二級網(wǎng)絡(luò)、系統(tǒng)和定級為二級的工業(yè)互聯(lián)網(wǎng)企業(yè)每兩年至少開展一次符合性評測和風(fēng)險評估。

　　6. 開展數(shù)據(jù)安全風(fēng)險評估。各企業(yè)要圍繞數(shù)據(jù)收集、使用、加工、提供、公開、銷毀等環(huán)節(jié)是否合法合規(guī)，以及數(shù)據(jù)存儲、傳輸?shù)拳h(huán)節(jié)是否采取技術(shù)保護(hù)措施，自行或委托第三方評估機構(gòu)，及時整改風(fēng)險問題，完善內(nèi)部制度機制和技術(shù)措施。處理重要數(shù)據(jù)和核心數(shù)據(jù)的企業(yè)每年至少開展一次數(shù)據(jù)安全風(fēng)險評估，并于2024年9月10日前將風(fēng)險評估報告報送我局。

　　（二）技術(shù)賦能，關(guān)口前移防范化解安全風(fēng)險

　　強化提升風(fēng)險監(jiān)測能力，加強安全風(fēng)險預(yù)警與處置，打造安全流程閉環(huán)防控機制。

　　7.強化技術(shù)手段建設(shè)。各企業(yè)應(yīng)重視網(wǎng)絡(luò)安全技術(shù)手段建設(shè)和應(yīng)用，有效提升安全防護(hù)水平。我局將發(fā)揮以技管網(wǎng)、以技管數(shù)優(yōu)勢，加強與部屬院所、基礎(chǔ)企業(yè)協(xié)同聯(lián)動，圍繞工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型融合領(lǐng)域安全防護(hù)，推進(jìn)網(wǎng)絡(luò)安全態(tài)勢和協(xié)同處置平臺、網(wǎng)絡(luò)安全漏洞管理平臺、互聯(lián)網(wǎng)信息安全管理系統(tǒng)等網(wǎng)絡(luò)安全技術(shù)手段建設(shè)，進(jìn)一步強化安全風(fēng)險管理和響應(yīng)處置水平，提升勒索攻擊、供應(yīng)鏈攻擊等典型突出風(fēng)險監(jiān)測發(fā)現(xiàn)能力。

　　8.加強安全監(jiān)測預(yù)警和通報處置。各企業(yè)要進(jìn)一步加強網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險監(jiān)測與處置工作，健全相關(guān)工作機制，按照工信部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等規(guī)定，在監(jiān)測發(fā)現(xiàn)各類安全威脅、風(fēng)險隱患后，屬于自身問題的，應(yīng)當(dāng)立即采取措施，及時完成整改；涉及其他單位的，應(yīng)當(dāng)及時報送我局，不得隨意對外發(fā)布漏洞細(xì)節(jié)情況，我局將通報督促相關(guān)單位及時防范整改。

　　9.配合安全風(fēng)險排查診斷。各企業(yè)聚焦圍繞數(shù)據(jù)泄露、濫用、勒索攻擊等突出網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險，深入開展風(fēng)險排查處置；同時，相關(guān)企業(yè)應(yīng)積極配合我局組織的網(wǎng)絡(luò)數(shù)據(jù)安全遠(yuǎn)程檢測和現(xiàn)場診斷評估，做好臺賬資料梳理、現(xiàn)場診斷環(huán)境準(zhǔn)備等配合工作；對我局發(fā)現(xiàn)通報的漏洞，“舉一反三”進(jìn)行核查，并及時反饋核查處置結(jié)果。

　　（三）實戰(zhàn)賦能，靶向施策提升應(yīng)急處突水平

　　聚焦勒索病毒攻擊、跨境數(shù)據(jù)安全等焦點問題，組織實網(wǎng)安全演練，提升安全防護(hù)水平和應(yīng)急響應(yīng)能力。

　　10. 健全突發(fā)事件應(yīng)急保障體系。各企業(yè)要認(rèn)真落實《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》，完善本單位網(wǎng)絡(luò)和數(shù)據(jù)安全突發(fā)事件應(yīng)急預(yù)案，健全應(yīng)急響應(yīng)機制，建立應(yīng)急隊伍，不斷提升本單位網(wǎng)絡(luò)和數(shù)據(jù)安全突發(fā)事件的綜合應(yīng)對能力。

　　11. 組織開展實網(wǎng)演練。各企業(yè)要結(jié)合自身情況，聚焦典型突出風(fēng)險，組織開展網(wǎng)絡(luò)和數(shù)據(jù)安全實網(wǎng)攻防演練。我局將組織相關(guān)企業(yè)開展網(wǎng)絡(luò)和數(shù)據(jù)安全攻防演練，以攻促防，檢驗各企業(yè)應(yīng)急預(yù)案的科學(xué)性、實用性和可操作性，提升實戰(zhàn)化應(yīng)對能力。

　　（四）服務(wù)賦能，創(chuàng)新構(gòu)建安全共享共治生態(tài)

　　推進(jìn)產(chǎn)學(xué)研用結(jié)合，創(chuàng)新共享安全監(jiān)測成果，加強政策宣貫教育培訓(xùn)，強化網(wǎng)絡(luò)安全人才培養(yǎng)。

　　12.創(chuàng)新開展安全服務(wù)。各基礎(chǔ)電信企業(yè)應(yīng)發(fā)揮網(wǎng)絡(luò)優(yōu)勢，積極開展網(wǎng)絡(luò)安全監(jiān)測服務(wù)試點，推進(jìn)安全能力共治共享；各企業(yè)可探索應(yīng)用網(wǎng)絡(luò)安全保險等安全服務(wù)，提升網(wǎng)絡(luò)安全風(fēng)險應(yīng)對能力，形成可推廣可復(fù)制的優(yōu)秀做法，積極申報安全典型案例。我局將根據(jù)工信部相關(guān)要求，開展案例遴選、推廣等工作。

　　13.加大人才教育培訓(xùn)。各企業(yè)要建立系統(tǒng)化人才培養(yǎng)機制，制定年度網(wǎng)絡(luò)和數(shù)據(jù)安全培訓(xùn)計劃，對管理層、網(wǎng)絡(luò)和數(shù)據(jù)安全專職人員、全體員工分別開展針對性的教育和培訓(xùn)。我局將組織開展政策法規(guī)宣貫和典型案例分析。

　　三、工作安排

　?。ㄒ唬﹦訂T部署階段（2024年6月）。我局組織開展宣貫部署，統(tǒng)一思想，提高認(rèn)識，明確要求。各企業(yè)要研究制定本單位工作方案，健全工作機制，明確責(zé)任部門和工作任務(wù)，開展動員部署。

　　（二）推進(jìn)實施階段（2024年7月至8月）。各企業(yè)要按照方案要求，建立任務(wù)臺賬，細(xì)化工作措施，扎實推進(jìn)定級備案、風(fēng)險排查、安全演練等工作，及時整改工作中存在的問題。各相關(guān)企業(yè)應(yīng)于7月15日前將數(shù)據(jù)安全風(fēng)險自查報告報送我局。

　?。ㄈz測診斷階段（2024年7月至8月）。我局開展遠(yuǎn)程檢測和現(xiàn)場診斷，對企業(yè)定級備案、分類分級、安全防護(hù)等工作落實情況進(jìn)行檢查，督促指導(dǎo)企業(yè)及時處置風(fēng)險隱患、強化安全防護(hù)。

　　（四）鞏固提升階段（2024年9月-10月）。我局將組織開展“龍磐2024”攻防演練，對前期檢查問題進(jìn)行復(fù)盤。各企業(yè)要認(rèn)真總結(jié)專項行動任務(wù)落實情況，查找工作中的不足，將專項行動要求與日常工作相結(jié)合，鞏固經(jīng)驗成效，形成長效機制。各基礎(chǔ)電信企業(yè)于10月15日前將專項行動開展情況及數(shù)據(jù)安全風(fēng)險排查防范整改情況書面報送我局。

　　四、工作要求

　?。ㄒ唬┨岣咚枷胝J(rèn)識。各企業(yè)要統(tǒng)籌發(fā)展和安全，樹立正確的網(wǎng)絡(luò)安全觀，進(jìn)一步增強風(fēng)險意識，強化底線思維，充分認(rèn)識網(wǎng)絡(luò)和數(shù)據(jù)安全工作的重要性和緊迫性。各企業(yè)主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)和數(shù)據(jù)安全工作的第一責(zé)任人，要高度重視，切實加強本次專項行動組織領(lǐng)導(dǎo)。

　?。ǘ訉訅簩嵷?zé)任。各企業(yè)要明確網(wǎng)絡(luò)和數(shù)據(jù)安全分管領(lǐng)導(dǎo)和牽頭部門、責(zé)任部門，明確各項任務(wù)職責(zé)分工，緊扣時間節(jié)點，完善工作機制，做好統(tǒng)籌協(xié)調(diào)、監(jiān)督檢查、責(zé)任考核，確保專項行動任務(wù)落實到位。

　?。ㄈ┘訌姽ぷ髀鋵崱８髌髽I(yè)要對照任務(wù)清單，認(rèn)真落實各項工作要求。我局將圍繞重點任務(wù)完成情況，開展督導(dǎo)抽查、遠(yuǎn)程檢測。對拒不配合檢查或者在檢查中發(fā)現(xiàn)存在違反法律法規(guī)行為、問題逾期不改正或?qū)е挛：W(wǎng)絡(luò)安全等后果的，我局將依法依規(guī)進(jìn)行處罰。

　?。ㄋ模娀L(fēng)險防控。各企業(yè)要強化風(fēng)險防控意識，嚴(yán)格規(guī)范組織實施，穩(wěn)妥有序推進(jìn)各項工作。演練過程中，參演紅方不得對授權(quán)以外的資產(chǎn)進(jìn)行滲透，不得進(jìn)行破壞性測試；參演藍(lán)方應(yīng)做好防護(hù)準(zhǔn)備，參照應(yīng)急預(yù)案科學(xué)有效地開展應(yīng)急處置；未經(jīng)我局允許，不得將發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞、演練方案、檢查結(jié)果等信息進(jìn)行泄露；如發(fā)生重大事件，及時向我局報告。

　　附件：網(wǎng)絡(luò)和數(shù)據(jù)安全標(biāo)準(zhǔn)目錄