湖南省工业和信息化厅关于印发《湖南省工业和信息化领域网络安全和数据安全管理支撑服务工作管理办法（试行）》的通知

湖南省工业和信息化厅关于印发

第一章  总  则

第一条  为加强全省工业和信息化领域网络安全和数据安全管理，规范工业和信息化领域网络安全和数据安全支撑服务工作，根据工信部《工业互联网安全分类分级管理办法》《工业和信息化领域数据安全管理办法（试行）》和《工业控制系统网络安全防护指南》等有关规定，制定本试行办法。

第二条  本试行办法适用于“湖南省工业和信息化领域网络安全和数据安全管理支撑机构”（以下简称支撑机构）为全省工业和信息化领域企业（以下简称企业）和各级工业和信息化主管部门（以下简称工信部门）提供工业互联网企业网络安全分类分级管理、工业和信息化领域数据安全管理和工业控制系统网络安全防护等支撑服务的相关工作（以下简称支撑工作）。

第三条  省工业和信息化厅负责统筹推进全省工业和信息化领域网络安全和数据安全管理工作，推进全省工业和信息化领域网络安全和数据安全技术支撑队伍建设，培育发展一批本地支撑机构，壮大支撑服务力量，构建支撑服务资源池。各市县工信部门负责推进本行政区域工业和信息化领域网络安全和数据安全管理工作和支撑工作。

第四条  支撑机构应是在网络安全和数据安全领域具有突出技术优势，认可度较高的企事业单位，或其技术特长为我省工业和信息化领域网络安全和数据安全工作所需，并在湖南省内具有稳定的网络安全和数据安全技术服务团队。

第五条  具备相关条件的企事业单位，可自愿向省工业和信息化厅提出申请进入湖南省工业和信息化领域网络安全和数据安全支撑机构资源池。

第六条  支撑机构根据企业需求，通过市场机制开展支撑工作。鼓励支撑机构为企业提供普惠性、公益性支撑服务。

第七条  支撑机构应根据工信部门工作部署和企业实际需求开展支撑工作，内容包括且不限于：宣贯培训、资产清查、分类分级、定级核查、目录备案、安全评估、安全整改、检查评估、应急演练、应急处置、总结示范等。

第八条  宣贯培训 支撑机构应积极参加省工业和信息化厅组织的相关业务培训，指派专业技术人员采取集中培训、线上培训、上门宣讲、帮扶释疑等方式，为企业提供工业互联网安全、数据安全、工业控制安全等方面的政策解读、业务指导和实操辅导，提升企业安全意识和能力。

第九条  资产清查 支撑机构应通过现场调研、资产扫描、远程摸排等方式，明确企业作为工业互联网企业、工业数据处理企业和使用工业控制系统企业的基本条件，协助企业全面梳理联网工业系统、工业控制系统、工业数据等信息资产现状，形成系统资产、设备资产和数据资产清单。

第十条  自主定级 支撑机构应协助企业按照相关标准规范对网络、数据、系统开展自主定级，编制网络安全自主定级报告，制订重要数据和核心数据目录，建立重要工业控制系统清单。

第十一条  安全评估 支撑机构应依据相关标准规范，采取现场或远程等方式，运用人工检测和专业检测工具，对企业重要信息系统、重要数据和核心数据、工业控制系统开展安全检测评估，指导企业进行安全指标评分，协助出具安全评估报告。

第十二条  安全整改 支撑机构应立足企业实际协助制定整改方案，指导企业依据整改方案开展风险隐患整改和落实相应技术防护要求，根据企业需求提供定制技术服务和安全设备等，指导企业报送整改落实情况。

第十三条  审核检查 支撑机构应按照省工业和信息化厅的统筹安排，加强与市县工信部门的协同配合，为工信部门提供定级报告审核、现场安全检查和整改项目验收等支撑服务。

第十四条  应急演练 工信部门或企业按照有关规定开展网络安全和数据安全应急演练活动，支撑机构应协助主办单位制定演练方案、演练报告、应急预案，指派技术人员参演和提供应急技术服务，保障演练安全顺利进行。

第十五条  应急处置 支撑机构应指导企业制定网络安全、数据安全和工控系统安全的应急预案，加强日常态势感知和监测预警能力建设。企业发生安全事件后，支撑机构应提供人员、技术和设备支持，指导企业根据事件等级开展分级响应、故障处置、系统恢复、分析研判、调查取证等应急处置工作。

第十六条  总结示范 支撑机构应协助工信部门和企业做好工作总结提炼，展示工作进展成效，宣传推广先进经验和典型案例，发挥示范引领作用。

第十七条  其他活动 支撑机构应积极参与省工业和信息化厅组织的业务交流、课题研究或其他专项工作。

第十八条  支撑机构应履行以下责任：

（一）接受省工业和信息化厅对支撑工作的指导协调，严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》等有关法律法规以及支撑工作的有关规定、规范和工作要求；

（二）发现重大网络或数据安全事件、风险隐患、高危漏洞和安全威胁时，应及时通报企业，并同步报告市州工信部门和省工业和信息化厅；

（三）每季度向省工业和信息化厅报告支撑工作情况；

（四）确保支撑工作中涉及的网络信息和数据安全；

（五）建立网络安全和数据安全应急处置机制和纠纷处理机制，防范支撑工作风险，妥善处理纠纷。

第十九条  省工业和信息化厅对支撑机构资源池实行动态管理，建立“有进有出”机制。每年度对支撑工作进行考核评定，不定期对支撑机构的服务资质、应急人员、技术能力、规章制度、工作开展情况等进行检查。

第二十条  支撑机构有下列情形之一的，省工业和信息化厅责令其限期整改；情节严重的，将其移出资源池。

（一）未按照有关标准规范、工作流程开展支撑工作，运行管理不规范、支撑服务工作质量不达标；

（二）支撑工作中弄虚作假，出具不实支撑服务报告，隐瞒支撑工作中发现的重大安全问题；

（三）非授权占有、使用或泄露企业相关资料及数据；

（四）因支撑工作不到位，导致被支撑服务单位多次发生网络安全和数据安全事件；

（五）限定被支撑服务单位购买、使用指定网络安全和数据安全产品；

（六）监督检查中发现存在其他突出问题或违反法律法规情形。

第二十一条  对在前款规定中负有直接责任的支撑工作人员，支撑机构应责令其限期改正。

第二十二条  支撑机构在支撑工作中如有违反国家法律法规的行为，由其依法承担相应法律责任。

第二十三条  本试行办法自公布之日起施行，有效期2年。