工業(yè)和信息化部辦公廳關于印發(fā)《工業(yè)數據分類分級指南（試行）》的通知

工信廳信發(fā)〔2020〕6號

　　各省、自治區(qū)、直轄市及新疆生產建設兵團工業(yè)和信息化主管部門，有關中央企業(yè)：

　　現將《工業(yè)數據分類分級指南（試行）》印發(fā)給你們，請結合實際，認真貫徹執(zhí)行。

　　工業(yè)和信息化部辦公廳

　　2020年2月27日

工業(yè)數據分類分級指南（試行）

　　第一章 總則

　　第一條為貫徹《促進大數據發(fā)展行動綱要》《大數據產業(yè)發(fā)展規(guī)劃（2016-2020年）》有關要求，更好推動《數據管理能力成熟度評估模型》（GB/T 36073-2018）貫標和《工業(yè)控制系統(tǒng)信息安全防護指南》落實，指導企業(yè)提升工業(yè)數據管理能力，促進工業(yè)數據的使用、流動與共享，釋放數據潛在價值，賦能制造業(yè)高質量發(fā)展，制定本指南。

　　第二條本指南所指工業(yè)數據是工業(yè)領域產品和服務全生命周期產生和應用的數據，包括但不限于工業(yè)企業(yè)在研發(fā)設計、生產制造、經營管理、運維服務等環(huán)節(jié)中生成和使用的數據，以及工業(yè)互聯網平臺企業(yè)（以下簡稱平臺企業(yè)）在設備接入、平臺運行、工業(yè)APP應用等過程中生成和使用的數據。

　　第三條本指南適用于工業(yè)和信息化主管部門、工業(yè)企業(yè)、平臺企業(yè)等開展工業(yè)數據分類分級工作。涉及國家秘密信息的工業(yè)數據，應遵守保密法律法規(guī)的規(guī)定，不適用本指南。

　　第四條工業(yè)數據分類分級以提升企業(yè)數據管理能力為目標，堅持問題導向、目標導向和結果導向相結合，企業(yè)主體、行業(yè)指導和屬地監(jiān)管相結合，分類標識、逐類定級和分級管理相結合。

第二章? 數據分類

　　第五條工業(yè)企業(yè)結合生產制造模式、平臺企業(yè)結合服務運營模式，分析梳理業(yè)務流程和系統(tǒng)設備，考慮行業(yè)要求、業(yè)務規(guī)模、數據復雜程度等實際情況，對工業(yè)數據進行分類梳理和標識，形成企業(yè)工業(yè)數據分類清單。

　　第六條工業(yè)企業(yè)工業(yè)數據分類維度包括但不限于研發(fā)數據域（研發(fā)設計數據、開發(fā)測試數據等）、生產數據域（控制信息、工況狀態(tài)、工藝參數、系統(tǒng)日志等）、運維數據域（物流數據、產品售后服務數據等）、管理數據域（系統(tǒng)設備資產信息、客戶與產品信息、產品供應鏈數據、業(yè)務統(tǒng)計數據等）、外部數據域（與其他主體共享的數據等）。

　　第七條平臺企業(yè)工業(yè)數據分類維度包括但不限于平臺運營數據域（物聯采集數據、知識庫模型庫數據、研發(fā)數據等）和企業(yè)管理數據域（客戶數據、業(yè)務合作數據、人事財務數據等）。

第三章 數據分級

　　第八條根據不同類別工業(yè)數據遭篡改、破壞、泄露或非法利用后，可能對工業(yè)生產、經濟效益等帶來的潛在影響，將工業(yè)數據分為一級、二級、三級等3個級別。

　　第九條潛在影響符合下列條件之一的數據為三級數據：

　　（一）易引發(fā)特別重大生產安全事故或突發(fā)環(huán)境事件，或造成直接經濟損失特別巨大；

　　（二）對國民經濟、行業(yè)發(fā)展、公眾利益、社會秩序乃至國家安全造成嚴重影響。

　　第十條潛在影響符合下列條件之一的數據為二級數據：

　　（一）易引發(fā)較大或重大生產安全事故或突發(fā)環(huán)境事件，給企業(yè)造成較大負面影響，或直接經濟損失較大；

　　（二）引發(fā)的級聯效應明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內多個企業(yè)，或影響持續(xù)時間長，或可導致大量供應商、客戶資源被非法獲取或大量個人信息泄露；

　　（三）恢復工業(yè)數據或消除負面影響所需付出的代價較大。

　　第十一條潛在影響符合下列條件之一的數據為一級數據：

　　（一）對工業(yè)控制系統(tǒng)及設備、工業(yè)互聯網平臺等的正常生產運行影響較小；

　　（二）給企業(yè)造成負面影響較小，或直接經濟損失較小；

　　（三）受影響的用戶和企業(yè)數量較少、生產生活區(qū)域范圍較小、持續(xù)時間較短；

　　（四）恢復工業(yè)數據或消除負面影響所需付出的代價較小。

第四章? 分級管理

　　第十二條工業(yè)和信息化部負責制定工業(yè)數據分類分級制度規(guī)范，指導、協(xié)調開展工業(yè)數據分類分級工作。各地工業(yè)和信息化主管部門負責指導和推動轄區(qū)內工業(yè)數據分類分級工作。有關行業(yè)、領域主管部門可參考本指南，指導和推動本行業(yè)、本領域工業(yè)數據分類分級工作。

　　第十三條工業(yè)企業(yè)、平臺企業(yè)等企業(yè)承擔工業(yè)數據管理的主體責任，要建立健全相關管理制度，實施工業(yè)數據分類分級管理并開展年度復查，并在企業(yè)系統(tǒng)、業(yè)務等發(fā)生重大變更時應及時更新分類分級結果。有條件的企業(yè)可結合實際設立數據管理機構，配備專職人員。

　　第十四條企業(yè)應按照《工業(yè)控制系統(tǒng)信息安全防護指南》等要求，結合工業(yè)數據分級情況，做好防護工作。

　　企業(yè)針對三級數據采取的防護措施，應能抵御來自國家級敵對組織的大規(guī)模惡意攻擊；針對二級數據采取的防護措施，應能抵御大規(guī)模、較強惡意攻擊；針對一級數據采取的防護措施，應能抵御一般惡意攻擊。

　　第十五條鼓勵企業(yè)在做好數據管理的前提下適當共享一、二級數據，充分釋放工業(yè)數據的潛在價值。二級數據只對確需獲取該級數據的授權機構及相關人員開放。三級數據原則上不共享，確需共享的應嚴格控制知悉范圍。

　　第十六條工業(yè)數據遭篡改、破壞、泄露或非法利用時，企業(yè)應根據事先制定的應急預案立即進行應急處置。涉及三級數據時，還應將事件及時上報數據所在地的省級工業(yè)和信息化主管部門，并于應急工作結束后30日內補充上報事件處置情況。