中國電信股份有限公司江蘇分公司、中國移動通信集團江蘇有限公司、中國聯(lián)合網(wǎng)絡通信有限公司江蘇省分公司、江蘇省廣電有線信息網(wǎng)絡股份有限公司，互聯(lián)網(wǎng)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)互聯(lián)網(wǎng)標識解析企業(yè)、車聯(lián)網(wǎng)服務平臺運營企業(yè)，各相關單位：

　　為深入貫徹黨的二十大精神，落實工信部和省委、省政府有關部署要求，切實增強工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型融合領域安全保障能力，護航我省數(shù)字經(jīng)濟和新型工業(yè)化高質量發(fā)展，現(xiàn)將《江蘇省“龍磐2024”網(wǎng)絡和數(shù)據(jù)安全專項行動方案》印發(fā)給你們，請結合實際抓好落實。

　　江蘇省通信管理局

　　2024年6月28日

　　江蘇省“龍磐2024”網(wǎng)絡和數(shù)據(jù)安全專項行動方案

　　當前，隨著數(shù)字經(jīng)濟、新型工業(yè)化等戰(zhàn)略的提出及深入實施，工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領域數(shù)實融合發(fā)展進入快車道。同時，越來越多設備、平臺、數(shù)據(jù)被暴露在互聯(lián)網(wǎng)上，新興融合領域網(wǎng)絡和數(shù)據(jù)安全風險日益加劇。按照工信部和省委、省政府有關工作部署，為提升新型融合領域安全保障能力，護航我省數(shù)字經(jīng)濟和新型工業(yè)化高質量發(fā)展，制定本方案。

　　一、工作目標

　　以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的二十大和二十屆二中全會精神，順應新一輪科技革命和產(chǎn)業(yè)變革趨勢、新質生產(chǎn)力加快發(fā)展需要，統(tǒng)籌發(fā)展和安全，以《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)為遵循，落實工業(yè)和信息化部護航新型工業(yè)化、“數(shù)安護航”“鑄網(wǎng)”等相關工作要求，深化“四個賦能”重點任務落實，以高水平安全支撐我省現(xiàn)代化產(chǎn)業(yè)體系和戰(zhàn)略性新興產(chǎn)業(yè)高質量發(fā)展，為江蘇“網(wǎng)絡強省”“數(shù)實融合強省” 建設奠定堅實基礎。

　　二、重點任務

　?。ㄒ唬┲x能，固本強基構筑安全管理基石

　　結合我省“1650” 現(xiàn)代化產(chǎn)業(yè)體系特點，夯實安全管理基礎，推進定級備案和風險評估工作，以高水平安全支撐我省“筑峰強鏈”建設。

　　1. 做好通信網(wǎng)絡安全防護定級備案工作。各基礎電信企業(yè)、互聯(lián)網(wǎng)企業(yè)要按照《通信網(wǎng)絡安全防護管理辦法》規(guī)定，對已正式投入運行的網(wǎng)絡和系統(tǒng)進行網(wǎng)元劃分和定級，通過“工信部通信網(wǎng)絡安全防護管理系統(tǒng)”（https://mii-aqfh.cn），于2024年7月31日前提交定級備案信息。

　　2. 推進工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理。各工業(yè)互聯(lián)網(wǎng)標識解析企業(yè)和平臺企業(yè)要按照《工業(yè)互聯(lián)網(wǎng)安全分類分級管理辦法》規(guī)定，通過“全國工業(yè)互聯(lián)網(wǎng)安全分類分級管理平臺”（https://mii-ciiflfj.cn），于2024年7月31日前提交定級備案信息。此外，各企業(yè)應對在用APP和小程序進行梳理，根據(jù)《關于開展移動互聯(lián)網(wǎng)應用程序備案工作的通知》要求履行備案手續(xù)。

　　3. 加強車聯(lián)網(wǎng)網(wǎng)絡安全定級備案。各車聯(lián)網(wǎng)服務平臺運營企業(yè)要按照《關于做好車聯(lián)網(wǎng)網(wǎng)絡安全防護定級備案工作的通知》要求，通過“全國車聯(lián)網(wǎng)網(wǎng)絡安全防護管理系統(tǒng)”（https://www.iovsec.org.cn），于2024年7月31日前提交主流在用車聯(lián)網(wǎng)網(wǎng)絡設施和系統(tǒng)的定級備案信息。

　　4. 強化重要數(shù)據(jù)和核心數(shù)據(jù)識別與目錄備案。各企業(yè)要嚴格落實《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》，進一步規(guī)范數(shù)據(jù)處理活動，實施數(shù)據(jù)分類分級管理，開展重要數(shù)據(jù)和核心數(shù)據(jù)識別認定，形成本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄，于2024年7月31日前報送我局。對數(shù)據(jù)目錄實施動態(tài)管理，目錄發(fā)生變化的，應及時上報更新。鼓勵各企業(yè)建立首席數(shù)據(jù)官制度，進一步加強數(shù)據(jù)合規(guī)利用和安全管理水平。

　　5.開展網(wǎng)絡安全評測評估。各企業(yè)要按照有關國家標準和行業(yè)標準（標準目錄見附件），重點圍繞是否采取防攻擊、防病毒、防入侵等管理和技術措施，自行或委托第三方評估機構開展符合性評測和風險評估，于2024年9月10日前通過“工信部通信網(wǎng)絡安全防護管理系統(tǒng)”上傳評測評估報告和自查整改情況。三級網(wǎng)絡、系統(tǒng)和定級為三級的工業(yè)互聯(lián)網(wǎng)企業(yè)每年至少開展一次符合性評測和風險評估，二級網(wǎng)絡、系統(tǒng)和定級為二級的工業(yè)互聯(lián)網(wǎng)企業(yè)每兩年至少開展一次符合性評測和風險評估。

　　6. 開展數(shù)據(jù)安全風險評估。各企業(yè)要圍繞數(shù)據(jù)收集、使用、加工、提供、公開、銷毀等環(huán)節(jié)是否合法合規(guī)，以及數(shù)據(jù)存儲、傳輸?shù)拳h(huán)節(jié)是否采取技術保護措施，自行或委托第三方評估機構，及時整改風險問題，完善內(nèi)部制度機制和技術措施。處理重要數(shù)據(jù)和核心數(shù)據(jù)的企業(yè)每年至少開展一次數(shù)據(jù)安全風險評估，并于2024年9月10日前將風險評估報告報送我局。

　　（二）技術賦能，關口前移防范化解安全風險

　　強化提升風險監(jiān)測能力，加強安全風險預警與處置，打造安全流程閉環(huán)防控機制。

　　7.強化技術手段建設。各企業(yè)應重視網(wǎng)絡安全技術手段建設和應用，有效提升安全防護水平。我局將發(fā)揮以技管網(wǎng)、以技管數(shù)優(yōu)勢，加強與部屬院所、基礎企業(yè)協(xié)同聯(lián)動，圍繞工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型融合領域安全防護，推進網(wǎng)絡安全態(tài)勢和協(xié)同處置平臺、網(wǎng)絡安全漏洞管理平臺、互聯(lián)網(wǎng)信息安全管理系統(tǒng)等網(wǎng)絡安全技術手段建設，進一步強化安全風險管理和響應處置水平，提升勒索攻擊、供應鏈攻擊等典型突出風險監(jiān)測發(fā)現(xiàn)能力。

　　8.加強安全監(jiān)測預警和通報處置。各企業(yè)要進一步加強網(wǎng)絡和數(shù)據(jù)安全風險監(jiān)測與處置工作，健全相關工作機制，按照工信部《公共互聯(lián)網(wǎng)網(wǎng)絡安全威脅監(jiān)測與處置辦法》《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》等規(guī)定，在監(jiān)測發(fā)現(xiàn)各類安全威脅、風險隱患后，屬于自身問題的，應當立即采取措施，及時完成整改；涉及其他單位的，應當及時報送我局，不得隨意對外發(fā)布漏洞細節(jié)情況，我局將通報督促相關單位及時防范整改。

　　9.配合安全風險排查診斷。各企業(yè)聚焦圍繞數(shù)據(jù)泄露、濫用、勒索攻擊等突出網(wǎng)絡數(shù)據(jù)安全風險，深入開展風險排查處置；同時，相關企業(yè)應積極配合我局組織的網(wǎng)絡數(shù)據(jù)安全遠程檢測和現(xiàn)場診斷評估，做好臺賬資料梳理、現(xiàn)場診斷環(huán)境準備等配合工作；對我局發(fā)現(xiàn)通報的漏洞，“舉一反三”進行核查，并及時反饋核查處置結果。

　　（三）實戰(zhàn)賦能，靶向施策提升應急處突水平

　　聚焦勒索病毒攻擊、跨境數(shù)據(jù)安全等焦點問題，組織實網(wǎng)安全演練，提升安全防護水平和應急響應能力。

　　10. 健全突發(fā)事件應急保障體系。各企業(yè)要認真落實《公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案》，完善本單位網(wǎng)絡和數(shù)據(jù)安全突發(fā)事件應急預案，健全應急響應機制，建立應急隊伍，不斷提升本單位網(wǎng)絡和數(shù)據(jù)安全突發(fā)事件的綜合應對能力。

　　11. 組織開展實網(wǎng)演練。各企業(yè)要結合自身情況，聚焦典型突出風險，組織開展網(wǎng)絡和數(shù)據(jù)安全實網(wǎng)攻防演練。我局將組織相關企業(yè)開展網(wǎng)絡和數(shù)據(jù)安全攻防演練，以攻促防，檢驗各企業(yè)應急預案的科學性、實用性和可操作性，提升實戰(zhàn)化應對能力。

　　（四）服務賦能，創(chuàng)新構建安全共享共治生態(tài)

　　推進產(chǎn)學研用結合，創(chuàng)新共享安全監(jiān)測成果，加強政策宣貫教育培訓，強化網(wǎng)絡安全人才培養(yǎng)。

　　12.創(chuàng)新開展安全服務。各基礎電信企業(yè)應發(fā)揮網(wǎng)絡優(yōu)勢，積極開展網(wǎng)絡安全監(jiān)測服務試點，推進安全能力共治共享；各企業(yè)可探索應用網(wǎng)絡安全保險等安全服務，提升網(wǎng)絡安全風險應對能力，形成可推廣可復制的優(yōu)秀做法，積極申報安全典型案例。我局將根據(jù)工信部相關要求，開展案例遴選、推廣等工作。

　　13.加大人才教育培訓。各企業(yè)要建立系統(tǒng)化人才培養(yǎng)機制，制定年度網(wǎng)絡和數(shù)據(jù)安全培訓計劃，對管理層、網(wǎng)絡和數(shù)據(jù)安全專職人員、全體員工分別開展針對性的教育和培訓。我局將組織開展政策法規(guī)宣貫和典型案例分析。

　　三、工作安排

　　（一）動員部署階段（2024年6月）。我局組織開展宣貫部署，統(tǒng)一思想，提高認識，明確要求。各企業(yè)要研究制定本單位工作方案，健全工作機制，明確責任部門和工作任務，開展動員部署。

　?。ǘ┩七M實施階段（2024年7月至8月）。各企業(yè)要按照方案要求，建立任務臺賬，細化工作措施，扎實推進定級備案、風險排查、安全演練等工作，及時整改工作中存在的問題。各相關企業(yè)應于7月15日前將數(shù)據(jù)安全風險自查報告報送我局。

　?。ㄈz測診斷階段（2024年7月至8月）。我局開展遠程檢測和現(xiàn)場診斷，對企業(yè)定級備案、分類分級、安全防護等工作落實情況進行檢查，督促指導企業(yè)及時處置風險隱患、強化安全防護。

　?。ㄋ模╈柟烫嵘A段（2024年9月-10月）。我局將組織開展“龍磐2024”攻防演練，對前期檢查問題進行復盤。各企業(yè)要認真總結專項行動任務落實情況，查找工作中的不足，將專項行動要求與日常工作相結合，鞏固經(jīng)驗成效，形成長效機制。各基礎電信企業(yè)于10月15日前將專項行動開展情況及數(shù)據(jù)安全風險排查防范整改情況書面報送我局。

　　四、工作要求

　?。ㄒ唬┨岣咚枷胝J識。各企業(yè)要統(tǒng)籌發(fā)展和安全，樹立正確的網(wǎng)絡安全觀，進一步增強風險意識，強化底線思維，充分認識網(wǎng)絡和數(shù)據(jù)安全工作的重要性和緊迫性。各企業(yè)主要負責人是本單位網(wǎng)絡和數(shù)據(jù)安全工作的第一責任人，要高度重視，切實加強本次專項行動組織領導。

　?。ǘ訉訅簩嵷熑?。各企業(yè)要明確網(wǎng)絡和數(shù)據(jù)安全分管領導和牽頭部門、責任部門，明確各項任務職責分工，緊扣時間節(jié)點，完善工作機制，做好統(tǒng)籌協(xié)調(diào)、監(jiān)督檢查、責任考核，確保專項行動任務落實到位。

　?。ㄈ┘訌姽ぷ髀鋵?。各企業(yè)要對照任務清單，認真落實各項工作要求。我局將圍繞重點任務完成情況，開展督導抽查、遠程檢測。對拒不配合檢查或者在檢查中發(fā)現(xiàn)存在違反法律法規(guī)行為、問題逾期不改正或導致危害網(wǎng)絡安全等后果的，我局將依法依規(guī)進行處罰。

　　（四）強化風險防控。各企業(yè)要強化風險防控意識，嚴格規(guī)范組織實施，穩(wěn)妥有序推進各項工作。演練過程中，參演紅方不得對授權以外的資產(chǎn)進行滲透，不得進行破壞性測試；參演藍方應做好防護準備，參照應急預案科學有效地開展應急處置；未經(jīng)我局允許，不得將發(fā)現(xiàn)的網(wǎng)絡安全漏洞、演練方案、檢查結果等信息進行泄露；如發(fā)生重大事件，及時向我局報告。

　　附件：網(wǎng)絡和數(shù)據(jù)安全標準目錄