2021年1月13日，工业与信息化部发布了关于开展工业互联网公司网络安全分类分级管理试点工作的通知，内容明确了首批开展试点工作的15个省市地区（包括天津、吉林、上海、江苏、浙江、安徽、福建、山东、河南、湖南、广东、广西、重庆、四川、新疆），由省级工业和信息化主管部门联合通信管理局（以下简称“试点组织单位”）结合本地工作实际，选择重点行业、重点企业组织试点。

  本篇文章将为工业互联网试点企业梳理2021年分类分级工作开展后，需要完成的网络安全方面的合规工作，以及结合目前别的行业已出台的网络安全等级保护标准，为试点企业迎接可能马上就要来临的等保测评做好准备。

  根据通知的要求，被选中的试点企业应当在2021年陆续完成以下分类分级的工作：

  试点企业需根据试点组织单位及《工业互联网公司网络安全分类分级管理指南（试行）》（以下简称“《管理指南》”）的要求，开展自主定级，完成定级报告；

  试点企业需接受试点组织单位及第三方专业机构对其自主定级情况做核查，如果定级报告信息不真实、不完整，或定级情况不准确的，则需重新补正或重新定级；

  试点企业需根据试点组织单位及第三方专业机构的指导，结合工业互联网公司网络安全分类分级防护系列规范，落实与自身等级相适应的安全防护措施。

  试点企业在开始自主定级工作之前，首先要了解地清清楚楚自己的企业类型所适用的分类分级规范指引是什么？

  根据《管理指南》的规定，工业互联网最重要的包含三类，只有应用工业互联网的工业公司（以下简称“联网工业公司”）才适用《管理指南》的网络安全分级规范。其余两种类型的工业互联网公司，即工业网络站点平台企业和工业互联网基础设施运营企业，应当按照《通信网络安全防护管理办法》进行分级规范。如果试点企业同时具有两种以上属性的，应当按照其业务活动涉及的不一样的属性分别定级。

  在联网工业公司完成分级之前，首先要完成企业所属行业的分类。《管理指南》以《国民经济行业分类》(GB/T 4754-2017)为基准细化联网工业公司行业类别，试点企业需根据《联网工业公司所属行业网络安全分类指导目录》明确企业所属行业网络安全影响程度，所属行业网络安全影响程度由低到高分别划分为一类、二类和三类。试点企业在完成分类之后，需将该行业类别作为企业分级评定的关键参考因素。

  联网工业公司分级主要考虑四大因素，分别是企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度，详细评定要素见下图：

  目前现有的《联网工业公司分级评定参考规则》也只是提供了一个评分框架，试点企业自主定级的自由裁量程度还比较大，具体的评定规则还需试点组织单位在此参考规则上进一步细化。

  试点企业依据自己的分级结果，应当落实与自身等级相适应的安全保护措施。三级企业对应的安全管理要求最高，二级企业次之，一级企业安全管理要求最低。三级和二级企业在安全管理层面上的差异如下：

  除此之外，三级和二级企业都应该依据工业互联网网络安全管理和技术防护系列标准规范要求，采取对应的技术保护措施，积极建设完善企业级工业互联网安全监测平台，组织制定和实施网络安全防护和培训计划，制定切实可行的应急预案，建立应急响应机制，定期开展应急演练，采取必要措施消除安全隐患，发现重大网络安全风险和安全事件应当及时上报。

  与联网工业公司三级分级不同，工业网络站点平台企业和基础设施运营企业按照网络遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。具体的定级备案及安全管理流程如下图：

  网络安全等级保护制度是我国网络安全的基本制度，为推动、规范行业等级保护工作的开展，各行业也陆续推动行业等级保护有关标准的制定工作。2019年5月网络安全等级保护三大核心标准（基本要求、测评要求、设计的基本要求）正式对外发布，等级保护工作正式迈入等保 2.0 时代。

  中国人民银行正式批准发布了金融行业标准《金融行业网络完全等级保护实施指引》（JR/T 0071-2020）和《金融行业网络安全等级保护测评指南》（JR/T 0072-2020），这是我国首个等保2.0国家标准下的行业等保指南；

  中国新闻技术工作者联合会正式对外发布了《报业网络安全等级保护定级参考指南V2.0》；

  广播电视总局批准发布了广播电视和网络视听推荐性行业标准《广播电视网络安全等级保护定级指南》（GY/T 337-2020）。

  等保2.0实施一年多以来，直到2020年年底开始，各个行业才开始按照等保2.0国家标准陆续更新行业标准，行业指南的针对性更强，对等级保护的细节把握更准确，因此行业标准的出台是等保工作推进到新阶段的重要标志。

  参考别的行业目前等级保护的发展的新趋势，本次针对工业互联网公司出台的分类分级管理指南，正是为今后可能到来的工业互联网网络安全等级保护政策作铺垫，分类分级是等级保护的第一步，落实与自身等级相适应的网络安全保护措施才是实施分级的真正意义。因此，工业互联网公司应当重视本次分类分级工作，知悉网络安全与等级保护的重要性，有助于企业更安全、合规的长久运行。