中國(guó)電信股份有限公司江蘇分公司、中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司江蘇省分公司、江蘇省廣電有線信息網(wǎng)絡(luò)股份有限公司，互聯(lián)網(wǎng)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)、車聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)，各相關(guān)單位：

　　為深入貫徹黨的二十大精神，落實(shí)工信部和省委、省政府有關(guān)部署要求，切實(shí)增強(qiáng)工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型融合領(lǐng)域安全保障能力，護(hù)航我省數(shù)字經(jīng)濟(jì)和新型工業(yè)化高質(zhì)量發(fā)展，現(xiàn)將《江蘇省“龍磐2024”網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)行動(dòng)方案》印發(fā)給你們，請(qǐng)結(jié)合實(shí)際抓好落實(shí)。

　　江蘇省通信管理局

　　2024年6月28日

　　江蘇省“龍磐2024”網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)行動(dòng)方案

　　當(dāng)前，隨著數(shù)字經(jīng)濟(jì)、新型工業(yè)化等戰(zhàn)略的提出及深入實(shí)施，工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域數(shù)實(shí)融合發(fā)展進(jìn)入快車道。同時(shí)，越來(lái)越多設(shè)備、平臺(tái)、數(shù)據(jù)被暴露在互聯(lián)網(wǎng)上，新興融合領(lǐng)域網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)日益加劇。按照工信部和省委、省政府有關(guān)工作部署，為提升新型融合領(lǐng)域安全保障能力，護(hù)航我省數(shù)字經(jīng)濟(jì)和新型工業(yè)化高質(zhì)量發(fā)展，制定本方案。

　　一、工作目標(biāo)

　　以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指導(dǎo)，全面貫徹黨的二十大和二十屆二中全會(huì)精神，順應(yīng)新一輪科技革命和產(chǎn)業(yè)變革趨勢(shì)、新質(zhì)生產(chǎn)力加快發(fā)展需要，統(tǒng)籌發(fā)展和安全，以《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)為遵循，落實(shí)工業(yè)和信息化部護(hù)航新型工業(yè)化、“數(shù)安護(hù)航”“鑄網(wǎng)”等相關(guān)工作要求，深化“四個(gè)賦能”重點(diǎn)任務(wù)落實(shí)，以高水平安全支撐我省現(xiàn)代化產(chǎn)業(yè)體系和戰(zhàn)略性新興產(chǎn)業(yè)高質(zhì)量發(fā)展，為江蘇“網(wǎng)絡(luò)強(qiáng)省”“數(shù)實(shí)融合強(qiáng)省” 建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。

　　二、重點(diǎn)任務(wù)

　?。ㄒ唬┲x能，固本強(qiáng)基構(gòu)筑安全管理基石

　　結(jié)合我省“1650” 現(xiàn)代化產(chǎn)業(yè)體系特點(diǎn)，夯實(shí)安全管理基礎(chǔ)，推進(jìn)定級(jí)備案和風(fēng)險(xiǎn)評(píng)估工作，以高水平安全支撐我省“筑峰強(qiáng)鏈”建設(shè)。

　　1. 做好通信網(wǎng)絡(luò)安全防護(hù)定級(jí)備案工作。各基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)要按照《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》規(guī)定，對(duì)已正式投入運(yùn)行的網(wǎng)絡(luò)和系統(tǒng)進(jìn)行網(wǎng)元?jiǎng)澐趾投?jí)，通過(guò)“工信部通信網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)”（https://mii-aqfh.cn），于2024年7月31日前提交定級(jí)備案信息。

　　2. 推進(jìn)工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理。各工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)和平臺(tái)企業(yè)要按照《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法》規(guī)定，通過(guò)“全國(guó)工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理平臺(tái)”（https://mii-ciiflfj.cn），于2024年7月31日前提交定級(jí)備案信息。此外，各企業(yè)應(yīng)對(duì)在用APP和小程序進(jìn)行梳理，根據(jù)《關(guān)于開(kāi)展移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案工作的通知》要求履行備案手續(xù)。

　　3. 加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全定級(jí)備案。各車聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)要按照《關(guān)于做好車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案工作的通知》要求，通過(guò)“全國(guó)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)”（https://www.iovsec.org.cn），于2024年7月31日前提交主流在用車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)的定級(jí)備案信息。

　　4. 強(qiáng)化重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別與目錄備案。各企業(yè)要嚴(yán)格落實(shí)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》，進(jìn)一步規(guī)范數(shù)據(jù)處理活動(dòng)，實(shí)施數(shù)據(jù)分類分級(jí)管理，開(kāi)展重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定，形成本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄，于2024年7月31日前報(bào)送我局。對(duì)數(shù)據(jù)目錄實(shí)施動(dòng)態(tài)管理，目錄發(fā)生變化的，應(yīng)及時(shí)上報(bào)更新。鼓勵(lì)各企業(yè)建立首席數(shù)據(jù)官制度，進(jìn)一步加強(qiáng)數(shù)據(jù)合規(guī)利用和安全管理水平。

　　5.開(kāi)展網(wǎng)絡(luò)安全評(píng)測(cè)評(píng)估。各企業(yè)要按照有關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)（標(biāo)準(zhǔn)目錄見(jiàn)附件），重點(diǎn)圍繞是否采取防攻擊、防病毒、防入侵等管理和技術(shù)措施，自行或委托第三方評(píng)估機(jī)構(gòu)開(kāi)展符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估，于2024年9月10日前通過(guò)“工信部通信網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)”上傳評(píng)測(cè)評(píng)估報(bào)告和自查整改情況。三級(jí)網(wǎng)絡(luò)、系統(tǒng)和定級(jí)為三級(jí)的工業(yè)互聯(lián)網(wǎng)企業(yè)每年至少開(kāi)展一次符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估，二級(jí)網(wǎng)絡(luò)、系統(tǒng)和定級(jí)為二級(jí)的工業(yè)互聯(lián)網(wǎng)企業(yè)每?jī)赡曛辽匍_(kāi)展一次符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估。

　　6. 開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。各企業(yè)要圍繞數(shù)據(jù)收集、使用、加工、提供、公開(kāi)、銷毀等環(huán)節(jié)是否合法合規(guī)，以及數(shù)據(jù)存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)是否采取技術(shù)保護(hù)措施，自行或委托第三方評(píng)估機(jī)構(gòu)，及時(shí)整改風(fēng)險(xiǎn)問(wèn)題，完善內(nèi)部制度機(jī)制和技術(shù)措施。處理重要數(shù)據(jù)和核心數(shù)據(jù)的企業(yè)每年至少開(kāi)展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，并于2024年9月10日前將風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)送我局。

　　（二）技術(shù)賦能，關(guān)口前移防范化解安全風(fēng)險(xiǎn)

　　強(qiáng)化提升風(fēng)險(xiǎn)監(jiān)測(cè)能力，加強(qiáng)安全風(fēng)險(xiǎn)預(yù)警與處置，打造安全流程閉環(huán)防控機(jī)制。

　　7.強(qiáng)化技術(shù)手段建設(shè)。各企業(yè)應(yīng)重視網(wǎng)絡(luò)安全技術(shù)手段建設(shè)和應(yīng)用，有效提升安全防護(hù)水平。我局將發(fā)揮以技管網(wǎng)、以技管數(shù)優(yōu)勢(shì)，加強(qiáng)與部屬院所、基礎(chǔ)企業(yè)協(xié)同聯(lián)動(dòng)，圍繞工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型融合領(lǐng)域安全防護(hù)，推進(jìn)網(wǎng)絡(luò)安全態(tài)勢(shì)和協(xié)同處置平臺(tái)、網(wǎng)絡(luò)安全漏洞管理平臺(tái)、互聯(lián)網(wǎng)信息安全管理系統(tǒng)等網(wǎng)絡(luò)安全技術(shù)手段建設(shè)，進(jìn)一步強(qiáng)化安全風(fēng)險(xiǎn)管理和響應(yīng)處置水平，提升勒索攻擊、供應(yīng)鏈攻擊等典型突出風(fēng)險(xiǎn)監(jiān)測(cè)發(fā)現(xiàn)能力。

　　8.加強(qiáng)安全監(jiān)測(cè)預(yù)警和通報(bào)處置。各企業(yè)要進(jìn)一步加強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置工作，健全相關(guān)工作機(jī)制，按照工信部《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)與處置辦法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等規(guī)定，在監(jiān)測(cè)發(fā)現(xiàn)各類安全威脅、風(fēng)險(xiǎn)隱患后，屬于自身問(wèn)題的，應(yīng)當(dāng)立即采取措施，及時(shí)完成整改；涉及其他單位的，應(yīng)當(dāng)及時(shí)報(bào)送我局，不得隨意對(duì)外發(fā)布漏洞細(xì)節(jié)情況，我局將通報(bào)督促相關(guān)單位及時(shí)防范整改。

　　9.配合安全風(fēng)險(xiǎn)排查診斷。各企業(yè)聚焦圍繞數(shù)據(jù)泄露、濫用、勒索攻擊等突出網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)，深入開(kāi)展風(fēng)險(xiǎn)排查處置；同時(shí)，相關(guān)企業(yè)應(yīng)積極配合我局組織的網(wǎng)絡(luò)數(shù)據(jù)安全遠(yuǎn)程檢測(cè)和現(xiàn)場(chǎng)診斷評(píng)估，做好臺(tái)賬資料梳理、現(xiàn)場(chǎng)診斷環(huán)境準(zhǔn)備等配合工作；對(duì)我局發(fā)現(xiàn)通報(bào)的漏洞，“舉一反三”進(jìn)行核查，并及時(shí)反饋核查處置結(jié)果。

　　（三）實(shí)戰(zhàn)賦能，靶向施策提升應(yīng)急處突水平

　　聚焦勒索病毒攻擊、跨境數(shù)據(jù)安全等焦點(diǎn)問(wèn)題，組織實(shí)網(wǎng)安全演練，提升安全防護(hù)水平和應(yīng)急響應(yīng)能力。

　　10. 健全突發(fā)事件應(yīng)急保障體系。各企業(yè)要認(rèn)真落實(shí)《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》，完善本單位網(wǎng)絡(luò)和數(shù)據(jù)安全突發(fā)事件應(yīng)急預(yù)案，健全應(yīng)急響應(yīng)機(jī)制，建立應(yīng)急隊(duì)伍，不斷提升本單位網(wǎng)絡(luò)和數(shù)據(jù)安全突發(fā)事件的綜合應(yīng)對(duì)能力。

　　11. 組織開(kāi)展實(shí)網(wǎng)演練。各企業(yè)要結(jié)合自身情況，聚焦典型突出風(fēng)險(xiǎn)，組織開(kāi)展網(wǎng)絡(luò)和數(shù)據(jù)安全實(shí)網(wǎng)攻防演練。我局將組織相關(guān)企業(yè)開(kāi)展網(wǎng)絡(luò)和數(shù)據(jù)安全攻防演練，以攻促防，檢驗(yàn)各企業(yè)應(yīng)急預(yù)案的科學(xué)性、實(shí)用性和可操作性，提升實(shí)戰(zhàn)化應(yīng)對(duì)能力。

　　（四）服務(wù)賦能，創(chuàng)新構(gòu)建安全共享共治生態(tài)

　　推進(jìn)產(chǎn)學(xué)研用結(jié)合，創(chuàng)新共享安全監(jiān)測(cè)成果，加強(qiáng)政策宣貫教育培訓(xùn)，強(qiáng)化網(wǎng)絡(luò)安全人才培養(yǎng)。

　　12.創(chuàng)新開(kāi)展安全服務(wù)。各基礎(chǔ)電信企業(yè)應(yīng)發(fā)揮網(wǎng)絡(luò)優(yōu)勢(shì)，積極開(kāi)展網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)試點(diǎn)，推進(jìn)安全能力共治共享；各企業(yè)可探索應(yīng)用網(wǎng)絡(luò)安全保險(xiǎn)等安全服務(wù)，提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)能力，形成可推廣可復(fù)制的優(yōu)秀做法，積極申報(bào)安全典型案例。我局將根據(jù)工信部相關(guān)要求，開(kāi)展案例遴選、推廣等工作。

　　13.加大人才教育培訓(xùn)。各企業(yè)要建立系統(tǒng)化人才培養(yǎng)機(jī)制，制定年度網(wǎng)絡(luò)和數(shù)據(jù)安全培訓(xùn)計(jì)劃，對(duì)管理層、網(wǎng)絡(luò)和數(shù)據(jù)安全專職人員、全體員工分別開(kāi)展針對(duì)性的教育和培訓(xùn)。我局將組織開(kāi)展政策法規(guī)宣貫和典型案例分析。

　　三、工作安排

　　（一）動(dòng)員部署階段（2024年6月）。我局組織開(kāi)展宣貫部署，統(tǒng)一思想，提高認(rèn)識(shí)，明確要求。各企業(yè)要研究制定本單位工作方案，健全工作機(jī)制，明確責(zé)任部門(mén)和工作任務(wù)，開(kāi)展動(dòng)員部署。

　?。ǘ┩七M(jìn)實(shí)施階段（2024年7月至8月）。各企業(yè)要按照方案要求，建立任務(wù)臺(tái)賬，細(xì)化工作措施，扎實(shí)推進(jìn)定級(jí)備案、風(fēng)險(xiǎn)排查、安全演練等工作，及時(shí)整改工作中存在的問(wèn)題。各相關(guān)企業(yè)應(yīng)于7月15日前將數(shù)據(jù)安全風(fēng)險(xiǎn)自查報(bào)告報(bào)送我局。

　?。ㄈz測(cè)診斷階段（2024年7月至8月）。我局開(kāi)展遠(yuǎn)程檢測(cè)和現(xiàn)場(chǎng)診斷，對(duì)企業(yè)定級(jí)備案、分類分級(jí)、安全防護(hù)等工作落實(shí)情況進(jìn)行檢查，督促指導(dǎo)企業(yè)及時(shí)處置風(fēng)險(xiǎn)隱患、強(qiáng)化安全防護(hù)。

　?。ㄋ模╈柟烫嵘A段（2024年9月-10月）。我局將組織開(kāi)展“龍磐2024”攻防演練，對(duì)前期檢查問(wèn)題進(jìn)行復(fù)盤(pán)。各企業(yè)要認(rèn)真總結(jié)專項(xiàng)行動(dòng)任務(wù)落實(shí)情況，查找工作中的不足，將專項(xiàng)行動(dòng)要求與日常工作相結(jié)合，鞏固經(jīng)驗(yàn)成效，形成長(zhǎng)效機(jī)制。各基礎(chǔ)電信企業(yè)于10月15日前將專項(xiàng)行動(dòng)開(kāi)展情況及數(shù)據(jù)安全風(fēng)險(xiǎn)排查防范整改情況書(shū)面報(bào)送我局。

　　四、工作要求

　?。ㄒ唬┨岣咚枷胝J(rèn)識(shí)。各企業(yè)要統(tǒng)籌發(fā)展和安全，樹(shù)立正確的網(wǎng)絡(luò)安全觀，進(jìn)一步增強(qiáng)風(fēng)險(xiǎn)意識(shí)，強(qiáng)化底線思維，充分認(rèn)識(shí)網(wǎng)絡(luò)和數(shù)據(jù)安全工作的重要性和緊迫性。各企業(yè)主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)和數(shù)據(jù)安全工作的第一責(zé)任人，要高度重視，切實(shí)加強(qiáng)本次專項(xiàng)行動(dòng)組織領(lǐng)導(dǎo)。

　?。ǘ訉訅簩?shí)責(zé)任。各企業(yè)要明確網(wǎng)絡(luò)和數(shù)據(jù)安全分管領(lǐng)導(dǎo)和牽頭部門(mén)、責(zé)任部門(mén)，明確各項(xiàng)任務(wù)職責(zé)分工，緊扣時(shí)間節(jié)點(diǎn)，完善工作機(jī)制，做好統(tǒng)籌協(xié)調(diào)、監(jiān)督檢查、責(zé)任考核，確保專項(xiàng)行動(dòng)任務(wù)落實(shí)到位。

　　（三）加強(qiáng)工作落實(shí)。各企業(yè)要對(duì)照任務(wù)清單，認(rèn)真落實(shí)各項(xiàng)工作要求。我局將圍繞重點(diǎn)任務(wù)完成情況，開(kāi)展督導(dǎo)抽查、遠(yuǎn)程檢測(cè)。對(duì)拒不配合檢查或者在檢查中發(fā)現(xiàn)存在違反法律法規(guī)行為、問(wèn)題逾期不改正或?qū)е挛：W(wǎng)絡(luò)安全等后果的，我局將依法依規(guī)進(jìn)行處罰。

　?。ㄋ模?qiáng)化風(fēng)險(xiǎn)防控。各企業(yè)要強(qiáng)化風(fēng)險(xiǎn)防控意識(shí)，嚴(yán)格規(guī)范組織實(shí)施，穩(wěn)妥有序推進(jìn)各項(xiàng)工作。演練過(guò)程中，參演紅方不得對(duì)授權(quán)以外的資產(chǎn)進(jìn)行滲透，不得進(jìn)行破壞性測(cè)試；參演藍(lán)方應(yīng)做好防護(hù)準(zhǔn)備，參照應(yīng)急預(yù)案科學(xué)有效地開(kāi)展應(yīng)急處置；未經(jīng)我局允許，不得將發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞、演練方案、檢查結(jié)果等信息進(jìn)行泄露；如發(fā)生重大事件，及時(shí)向我局報(bào)告。

　　附件：網(wǎng)絡(luò)和數(shù)據(jù)安全標(biāo)準(zhǔn)目錄