必要性：工信部高度重视工业互联网发展，多措并举推动工业互联网网络、平台、安全三大体系建设工作，持续贯彻落实党中央、国务院工作部署，推动出台系列政策文件，加快工业互联网安全体系化布局，从国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》，到《工信部、市场监督管理总局等十部门关于印发加强工业互联网安全工作的指导意见的通知》、《工业互联网创新发展三年行动计划（2021-2023年）》，再到《工业和信息化部办公厅关于开展工业互联网企业网络安全分类分级管理试点工作的通知》，均提出工业互联网安全相关工作要求，不断强化工业互联网企业网络安全分类分级管理。

轻工行业属于工业互联网中重点行业领域，规上企业数量11.12万家（截止2021年7月统计数据），涉及家电、家居、食品、照明等行业，随工业互联网发展进入落地深耕阶段，企业设备联网、企业上云数量明显增加，控制系统联网、边界隔离不到位等大量安全隐患日益突出，工业互联网安全事件频发，暴露出轻工企业安全防护存在严重缺陷，破坏生产和营销，造成难以弥补的经济损失。

目前，针对轻工行业工业互联网企业网络安全防护的研究尚处起步阶段，尚未形成完整的分级安全防护机制和要求，因此，为推动轻工行业工业互联网业务的进一步发展和应用，急需针对轻工行业的网络安全防护需求建立一套安全规范，指导企业加强网络安全能力建设，支撑网络安全分类分级工作开展。

目的：轻工行业工业互联网企业网络安全分类分级防护要求标准针对轻工行业特点及安全需求，制定轻工行业工业互联网企业网络安全防护要求，切实提高轻工企业网络安全防护水平，保障其稳定生产和安全运营，同时，填补轻工行业网络安全标准的空白，支撑轻工行业企业在工业互联网领域广泛开展网络安全分类分级工作。

可行性：本标准牵头及起草单位具有轻工行业领域及网络安全领域的代表性及影响力，在工业互联网安全方面具有丰富的标准制定经验；轻工行业领域已有20余家企业参与此次工业互联网企业网络安全分类分级管理试点工作，此次申报的标准草案中相关技术内容已面向标准实施对象进行试点应用。

1.适用范围

本标准规定了轻工行业工业互联网企业在安全防护方面的技术要求，包括企业应用工业互联网服务的各类信息系统安全及上述信息系统的安全管理。其中，企业应用工业互联网服务的各类信息系统的防护范围包括与应用互联网服务相关的各类软硬件基础设施、网络、数据、物理环境、工业APP等。

2.主要技术内容

（1）设备安全防护：包括终端计算机安全、控制设备安全、存储介质安全等。

（2）控制安全防护：包括联网控制系统安全、组态软件安全、工业数据库安全、配置安全、运维安全等。其中，联网控制系统是指应用工业互联网服务的工业控制系统。

（3）网络安全防护：包括组网安全、架构安全、连接安全、网络设备安全、安全设备安全等。

（4）数据安全防护：包括数据采集、传输、存储、处理、交换等全生命周期分级安全防护要求。

（5）工业APP安全防护：包括安装、卸载、身份认证、口令安全机制、访问控制、实现安全、升级安全、容错性、资源占用安全等。

（6）安全管理要求:包括安全管理制度、安全管理机构和人员、安全建设管理、安全运维管理等。

（7）物理和环境安全防护：包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

1. 国内外对该技术研究情况简要说明： 

美国工业互联网联盟（IIC）为代表，对工业互联网安全架构及安全测试床进行了相关研究，提出了安全框架和安全检查清单，但并未制定关于工业互联网安全相关标准；IEC TC65制定了IEC62443系列标准，从自动化角度提出了工业控制系统信息安全要求及检测规范，但并未涉及轻工行业工业互联网其他要素的安全需求。

我国已组织开展30余项工业互联网安全标准研制，包括《工业互联网数据安全保护要求》《工业互联网平台安全防护要求》《工业互联网标识解析系统安全防护要求》等。

国际及国内对工业互联网安全技术的研究有较多积累，技术相对成熟稳定，可为本标准的制定提供有力支撑。

2. 项目与国际标准（国外先进标准）采用程度的考虑： 

本标准无对应的国际标准，标准中工业控制系统安全相关标准将借鉴IEC62443系列标准。

3. 与国内相关标准间的关系： 

本标准作为联网工业企业安全总体性标准，将涵盖联网工业企业中工业互联网各个要素的安全需求，其中工控系统安全部分将借鉴GBT 30976工业控制系统信息安全。

本标准属于轻工业管理标准范畴，编制完成后将填补我国轻工行业网络安全标准体系的空白。

4. 指出是否发现有专利的问题。

无专利问题。