附件3 业互联网企业网络安全分类分级管理指南 （试行） 第一章总则 第一条为贯彻落实《中华人民共和国网络安全法》《关 于深化“互联网+先进制造业”发展工业互联网的指导意见》： 根据《加强工业互联网安全工作的指导意见》有关要求，开 展工业互联网企业网络安全分类分级，加强工业互联网企业 差异化、精细化管理，落实企业网络安全主体责任，提高网 络安全防护能力和水平，促进工业互联网高质量发展，制定 本指南。 第二条工业和信息化部以及地方工业和信息化主管部 门、通信管理局开展工业互联网企业网络安全分类分级工 作，适用本指南。 第三条工业互联网企业网络安全分类分级工作遵循统 筹指导、分类施策、分级负责、突出重点的方针，建立健全 工业互联网企业网络安全保障体系，提升工业互联网企业网 络安全防护能力。 第四条工业互联网企业应当依照法律、行政法规的规 定和相关标准的要求，采取技术、管理等综合措施，保障工 业互联网相关设备、控制、网络、平台、应用、数据等网络 安全，有效防范应对网络安全事件。 第二章企业网络安全分类分级 第五条工业互联网企业主要包括以下三类： （一）应用工业互联网的工业企业（简称联网工业企 业），主要是指将新一代信息通信技术与工业系统深度融合， 推动企业模型化研发、智能化制造、网络化协同、个性化定 制、数字化管理、服务化延伸，实现智能控制、运营优化和 生产组织方式的变革，主要涉及原材料工业、装备工业、消 费品工业和电子信息制造业等行业； （二）工业互联网平台企业（简称平台企业），主要指 面向工业企业提供云服务等资源协作、信息服务及应用（工 业App）服务等的企业; （三）标识解析企业，主要指从事工业互联网标识注册 服务、解析服务及其运行维护的机构。 第六条根据工业互联网企业网络安全分类分级评定规 则，参照行业重要性、企业规模、安全风险程度等因素，将 企业网络安全等级由高到低划分为三级、二级、一级。 第七条综合工业互联网企业网络安全分类分级评定规 则，结合实际情况，开展企业网络安全自主定级，落实与自 身等级相适应的安全防护措施，形成定级报告。 当企业业务规模、服务范围、服务对象等发生重大变化 时，应当自变化之日起三十个工作日内重新定级。 第八条工业互联网企业应在自主定级后十个工作日内 将定级结果报地方主管部门。 联网工业企业应将定级报告报属地工业和信息化主管 2 部门，平台企业、标识解析企业应将定级报告报属地通信管 理局，分属多个类别的工业互联网企业，按照其业务活动涉 及的不同属性分别定级并上报。 第九条省级工业和信息化主管部门、通信管理局形成 属地工业互联网企业清单，其中，定级为三级的工业互联网 企业清单定期报工业和信息化部。清单发生变化时，于个工 作日内将变化情况报工业和信息化部。鼓励省级工业和信息 化主管部门、通信管理局建立工作机制，加强工业互联网企 业定级情况通报，形成工作合力 第十条地方工业和信息化主管部门、通信管理局每年 对工业互联网企业开展抽查，指导企业准确定级，落实安全 防护措施。 第三章企业网络安全防护 第十一条工业互联网企业承担本企业网络安全主体责 任，主动开展自主定级、安全建设、风险评估、安全整改和 应急保障等工作，落实安全防护标准，有效应对网络安全风 险，保障本企业工业互联网安全， 第十二条工业互联网企业主要负责人为本企业网络安 全第一责任人，负责建立健全网络安全责任制并组织落实， 建设完善企业网络安全管理制度，建立网络安全事件应急处 置机制，加强网络安全投入和考核，将网络安全防护作为企 业经营管理的重要部分。 第十三条工业互联网企业应当制定并落实网络安全总 体规划，制定合理的安全建设方案，划分生产业务区域和管