回顾 | 2022年工控安全事件、政策、法规、标准汇总

1月12日，国务院印发《“十四五”数字经济发展规划》。《规划》提出建立健全数据安全治理体系，研究完善行业数据安全管理政策。推动提升重要设施设备的安全可靠水平，增强重点行业数据安全保障能力。支持开展常态化安全风险评估，加强网络安全等级保护和密码应用安全性评估。

1月13日，全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别指南（征求意见稿）》。《指南》要求从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据，应通过对数据分级，明确安全保护重点，使一般数据充分流动，重要数据在满足安全保护要求前提下有序流动，释放数据价值。

2月10日，工业和信息化部印发《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》。《办法》此次主要做了如下调整：目的依据中添加了《个人信息保护法》和《国家安全法》。适用数据范围扩大至工业数据、电信数据和无线电数据。对一般数据、重要数据和核心数据的定义做了调整，对备案申请时间等具体数字做出明确规定。补充了主体责任，在数据全生命周期管理方面，围绕数据出境和数据跨主体处理进行了条款补充。

2月15日，国家互联网信息办公室、工信部、公安部、国家安全部等十三部门联合发布修订后的《网络安全审查办法》正式施行。《办法》旨在保障网络安全和数据安全，维护国家安全。将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。   

3月5日，第十三届全国人民代表大会第五次会议通过《2022年政府工作报告》。《报告》提到，要加快发展工业互联网，培育壮大集成电路、人工智能等数字产业，提升关键软硬件技术创新和供给能力。

3月6日，全国信息安全标准化技术委员会发布《2022年网络安全国家标准需求清单》。《清单》共包含34项标准，其中制定标准20项，修订标准14项。涉及重要数据处理、关键信息基础设施安全评测、网络安全保险、网络安全服务能力等方面。

3月9日，国家标准化管理委员会发布《信息安全技术 重要工业控制系统网络安全防护导则》（下文简称“防护导则”），本标准规定了重要工业控制网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理要求。自2022年10月1日正式实施。

4月13日，工业和信息化部印发《工业互联网专项工作组2022年工作计划》。从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面，提出了网络体系强基、标识解析增强、平台体系壮大、数据汇聚赋能、新型模式培育、融通赋能“牵手”等15大类任务83项具体举措。

5月1日，全国信息安全标准化技术委员会发布《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》，《方法》规定了工业控制系统安全防护技术要求、保障要求和测试评价方法。适用于工业控制系统建设、运营、维护等。   

6月6日，国务院印发《关于加强数字政府建设的指导意见》。《意见》指出加强关键信息基础设施安全保护和网络安全等级保护，建立健全网络安全、保密监测预警和密码应用安全性评估的机制，定期开展网络安全、保密和密码应用检查，提升数字政府领域关键信息基础设施保护水平。

9月14日，全国信息安全标准化技术委员会发布《信息安全技术 网络数据分类分级要求（征求意见稿）》。《标准》主要包含了术语与定义、基本原则、数据分类框架和方法、数据分级框架、数据分级确定方法、数据分类分级实施流程共六项重要部分。提出数据按照先行业领域分类、再业务属性分类的思路进行分类，明确本行业本领域数据分级规则，并对行业领域数据进行定级。

10月12日，国家标准化管理委员会批准发布GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》，规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。自2023年5月1日起施行。

10月25日，国家标准化管理委员会批准发布《工业互联网总体网络架构》。《架构》是我国工业互联网网络领域首个国家标准，围绕工业互联网网络规划、设计、建设和升级改造，规范了工业互联网工厂内、工厂外网络架构的目标架构和功能要求，提出了工业互联网网络实施框架和安全要求。

10月28日，工业和信息化部印发《网络产品安全漏洞收集平台备案管理办法》。《办法》规定，漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展，采用网上备案方式进行。办法明确，拟设立漏洞收集平台的组织或个人，应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。自2023年1月1日起施行。

11月7日，工业和信息化部印发《关于促进网络安全保险规范健康发展的意见（征求意见稿）》。《意见稿》提到，建立健全网络安全保险政策标准体系，加强网络安全保险产品服务创新，强化网络安全技术赋能保险发展，促进网络安全产业需求释放，培育网络安全保险发展生态。

11月7日，国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书。白皮书系统阐述了习近平总书记构建全球网络空间命运共同体的中国智慧，全面介绍了新时代推进网络空间发展和治理体系变革的中国方案，重点指明了数字化时代网络空间安全建设的发展方向。

11月9日，全国信息安全标准化技术委员会发布《信息安全技术 网络安全服务能力要求（征求意见稿）》。文件提出网络安全服务机构开展网络安全服务，应满足第5章通用要求，以及第6章中与其服务类型相对应的专项要求。面向对网络安全服务有更高要求的服务需求方，如政务部门、关键信息基础设施运营者等，网络安全服务机构开展网络安全服务时，还应满足第7章的增强要求。

11月17日，全国信息安全标准化技术委员会发布《信息安全技术 关键信息基础设施网络安全应急体系框架（征求意见稿）》。文件给出了关键信息基础设施网络安全应急体系框架，包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动，也可供关键信息基础设施安全保护的其他相关方参考。

1月1日，湖南省人民代表大会常务委员会通过《湖南省网络安全和信息化条例》。《条例》是我国第一部同时规范网络安全和信息化工作的省级地方性法规。规定了县级以上人民政府及有关部门应当按照谁主管谁负责、属地管理原则，落实网络安全责任制，建立健全网络安全保障体系，提升网络安全保护能力，实现网络、关键信息基础设施、重要信息系统和数据的安全可控。

2月9日，河南省人民政府印发《河南省“十四五”新型基础设施建设规划》。《规划》强化数据安全保护。加强个人信息保护，强化个人信息收集、使用、共享等环节安全管理，严格规范运用个人信息开展大数据分析的行为。

3月25日，新疆维吾尔自治区第十三届人民代表大会常务委员会第三十二次会议通过《新疆维吾尔自治区关键信息基础设施安全保护条例》，自2022年6月15日起施行。《条例》规定了安全保护原则、组织体系和工作体系，突出了网络安全等级保护制度，明确保护关键信息基础设施免受攻击、侵入、干扰和破坏的工作重点，强化监督管理和刚性约束，增强法律法规权威。

5月7日，北京经济和信息化局印发《北京市数字经济促进条例（征求意见稿）》。《条例》要求采取措施监测、防御、处置网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。 

5月24日，深圳市政务服务数据管理局和深圳市发展改革委通过《深圳市数字政府和智慧城市“十四五”发展规划》。《规划》要求建立健全数据资产、数据共享协调机制、 数据资源开发利用、数据安全保护与市场监管执法等方面的法律法规、标准规范和管理制度，创新社会治理模式，激活数据要素价值。

5月25日，江西省人民政府印发《江西省“十四五”数字经济发展规划》。《规划》要求，强化协同治理和监管机制、增强政府数字化治理能力、完善多元共治新格局、健全网络安全保障体系、强化数据安全保护。

5月27日，河北省十三届人大常委会第三十次会议审议通过《河北省数字经济促进条例》，自7月1日起施行。《条例》共九章八十一条，围绕数字经济发展的各个方面，全面发力、强化规范，加强数字基础设施建设，完善工业互联网标识解析体系，构建工业互联网平台体系，建立健全工业互联网安全保障体系，为数字经济健康发展提供强有力的法治保障。

6月1日，广州市第十五届人大常委会第六十二次会议表决通过《广州市数字经济促进条例》。《条例》要求依法保护国家秘密、商业秘密、个人信息和隐私，网信部门应当协调公安机关、政务服务数据管理等部门完善网络安全基础设施，建设网络安全综合监管平台，开展网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。 

11月25日，北京市第十五届人民代表大会常务委员会第四十五次会议通过《北京市数字经济促进条例》。《条例》提出要建立健全数据安全治理体系，完善数据分类分级保护制度，规范数据全生命周期管理，加强数据跨境流动安全管理，推动数据安全产业发展，加强个人信息保护，提升数据安全保障水平，提升防诈反诈技防水平，完善长效治理机制。

1月6日，水利部印发《关于大力推进智慧水利建设的指导意见》(以下简称《指导意见》)。《指导意见》指出，推进智慧水利建设是推动新阶段水利高质量发展的六条实施路径之一，需要按照“需求牵引、应用至上、数字赋能、提升能力”要求，以数字化、网络化、智能化为主线，以数字化场景、智慧化模拟、精准化决策为路径，以构建数字孪生流域为核心,全面推进算据、算法、算力建设，加快构建具有预报、预警、预演、预案（以下简称“四预”）功能的智慧水利体系。

2月25日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》。《指南》提出到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

3月17日，国家能源局印发《2022年能源工作指导意见》。《意见》要求，加大能源技术装备和核心部件攻关力度，积极推进能源系统数字化智能化升级，提升能源产业链现代化水平。加强北斗系统、5G、国密算法等新技术和“互联网+安全监管”智能技术在能源领域的推广应用。推进电力应急指挥中心、态势感知平台和网络安全靶场建设，组织开展关键信息基础设施安全保护监督检查，推进大面积停电事件应急演练。

3月29日，工信部、公安部、交通运输部、应急管理部与国家市场监督管理总局联合发布《关于进一步加强新能源汽车企业安全体系建设的指导意见》。《意见》指导新能源汽车企业加快构建系统、科学、规范的安全体系，全面增强企业在安全管理机制、产品质量、运行监测、售后服务、事故响应处置、网络安全等方面的安全保障能力，提升新能源汽车安全水平，推动新能源汽车产业高质量发展。

4月16日，国家能源局印发《电力行业网络安全管理办法（修订征求意见稿）》。《办法》规定监督管理职责、电力企业职责等内容，电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责，明确一名领导班子成员作为首席网络安全官，专职管理或分管关键信息基础设施安全保护工作。

4月16日，国家能源局印发《电力行业网络安全等级保护管理办法（修订征求意见稿）》。《办法》包括等级划分与保护、等级保护的实施与管理等内容，第二级网络每两年应进行一次等级保护测评，第三级及以上网络每年应进行一次等级保护测评。

4月16日，国家能源局印发《电力可靠性管理办法（暂行）》。《办法》规定电力企业应当落实网络安全保护责任，健全网络安全组织体系，设立专门的网络安全管理及监督机构，加快各级网络安全专业人员配备；落实网络安全等级保护、关键信息基础设施安全保护和数据安全制度，加强网络安全审查、容灾备份、监测审计、态势感知、纵深防御、信任体系建设、供应链管理等工作；开展网络安全监测、风险评估和隐患排查治理，提高网络安全监测分析与应急处置能力。

6月23日，广东省深圳市七届人大常委会第十次会议表决通过《深圳经济特区智能网联汽车管理条例》。《条例》是深圳市在新兴产业领域的重要立法，也是中国首部规范智能网联汽车管理的法规，对智能网联汽车的道路测试和示范应用、准入和登记、使用管理等作了全面规定，推动产业高质量可持续发展。

8月12日，科技部、教育部等六部门联合印发《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》。《指导意见》提出，着力打造人工智能重大场景。围绕高端高效智能经济培育打造重大场景，围绕安全便捷智能社会建设打造重大场景，围绕高水平科研活动打造重大场景，围绕国家重大活动和重大工程打造重大场景。提升人工智能场景创新能力。强化企业场景创新主体作用，鼓励高校院所参与场景创新，培育壮大场景创新专业机构，构筑人工智能场景创新高地。

8月23日，交通运输部印发《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》。进一步规范公路水路关键信息基础设施安全保护管理，落实关于关键信息基础设施安全保护工作责任，较好地划分各级部门监管责任，运营者责任及奖惩机制，有利于推动公路水路关键信息基础设施安全保护工作法制化、规范化，推动构建交通运输主管部门依法管理、运营者实施主动防护、社会力量共同参与的综合治理体系。

9月28日，中国煤炭工业协会信息化分会四届理事会三次会议发布了煤炭行业首部网络安全领域工具书《煤炭企业网络安全工作指南》（以下简称“工作指南”）。《工作指南》针对国家网络安全政策法规、战略规划、标准规范的要求，及煤炭行业网络安全面临的形势与挑战，提出了系统化的对策、建议和具体建设方法，包含网络安全治理和管理对策、技术要求、运营要求、方案建议及煤炭企业网络安全领域典型案例。一经出版受到众多煤矿企业、科研单位和安全厂商的重点关注，为煤炭行业网络安全建设提供了重要的参考和指引。

10月17日，国家能源局印发《电力二次系统安全管理若干规定》。在本次修订中，进一步明确了调度机构的技术监督职责，建立了二次系统安全管理情况书面报告制度，将新能源（含间歇式电源）发电控制系统、直流控制保护系统等纳入电力二次系统范畴，扩展了《规定》的适用范围，对电力二次系统网络安全防护增加了新的要求，新增了加强网络安全监视与事件信息报送等要求，与国家新出台的网络安全相关法律法规进行了衔接。归并了有关发电企业的发电机励磁调速、新能源等参数管理内容，细化了电力通信设备数据配置、运行方式管理要求，增加了调度数据网参数配置管理和备案内容。

11月16日，国家能源局印发《电力行业网络安全管理办法》。《办法》提到，电力企业是本单位网络安全的责任主体，负责本单位的网络安全工作；电力调度机构负责直接调度范围内的下一级电力调度机构、集控中心、变电站（换流站）、发电厂（站）等各类机构涉网部分的电力监控系统安全防护的技术监督；行业部门在各自职责范围内依法依规对电力企业网络安全工作进行监督检查，定期组织开展电力行业关键信息基础设施网络安全检查检测。

11月16日，国家能源局印发《电力行业网络安全等级保护管理办法》。《办法》根据电力行业网络在国家安全、经济建设、社会生活中的重要程度，将电力行业网络划分为五个安全保护等级；针对网络安全检查发现的问题，电力企业应当按照网络安全等级保护管理规范和技术标准组织整改。规范电力行业网络安全等级保护管理，提高电力行业网络安全保障能力和水平。