《河南省工业控制系统信息安全管理工作指南.docx》由会员分享,可在线阅读,更多相关《河南省工业控制系统信息安全管理工作指南.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、河南省工业控制系统信息安全管理工作指南第一章总则第一条 为加强全省工业控制系统信息安全(以下简称工控 安全)管理,提升工控安全防护水平,促进经济发展和社会稳定, 根据中华人民共和国网络安全法和工业控制系统信息安全 防护指南工业控制系统信息安全事件应急管理工作指南工 业控制系统信息安全行动计划(20182020年)等有关规定, 结合我省实际,制定本指南。第二条工业控制系统是指对工业生产过程安全、信息安全 和可靠运行产生作用和影响的人员、硬件、策略和软件的集合。 包括但不限于:可编程逻辑控制器(PLC)、分布式控制系统(DCS)、 数据采集与监控系统(SCADA)等工业生产控制系统;紧急停车系 统
2、(ESD)、安全仪表系统(SIS)等工业控制过程安全保护系统; 制造执行系统(MES)、企业资源计划系统(ERP)等工业生产调 度与信息管理系统;工业云平台、工业大数据平台等工业服务应 用系统。第三条 工控安全事件是指由于人为、软硬件缺陷或故障、 自然灾害等原因,对工业控制系统、工业控制系统数据造成或者 可能造成严重危害,影响正常工业生产的事件。第四条 工控安全管理应坚持“谁主管谁负责,谁运营谁负 责,谁使用谁负责”的原则,注重技术与管理并重,着力构建全 系统工控安全管理工作体系。第五条本指南用于指导河南省各级工业和信息化主管部 门,以及企业和相关行业服务机构开展工控安全管理有关工作。第二章组
3、织管理第六条各级工业和信息化主管部门是工控安全的监督管理 部门,企业是工控安全的责任主体,科研院所、行业协会和联盟 等机构是工控安全的技术支撑和服务单位。第七条省工业和信息化委员会负责指导全省工控安全管理 工作,检查和监督全省各级各单位工控安全管理工作落实情况。 具体如下:(一)落实国家关于工控安全的法律法规和工作要求,研究 制定全省关于工控安全的地方性法规、政策、规定和标准体系, 指导各级各单位完善工控安全管理制度,健全工作机制;(二)组织开展全省工控安全宣传教育,强化全社会加强工 控安全管理的意识,加强工控安全管理和技术队伍建设;(三)统筹安排全省工控安全应急管理工作,指导、协调和 处理全
4、省工控安全应急事件;(四)定期组织全省工控安全检查评估,指导各级各单位开 展工控安全自查和抽查;(五)组织开展工控安全工作交流、技术研究,鼓励和扶持 工控安全相关服务产业发展;(六)其他有关工作。第八条 地方各级工业和信息化主管部门在上级主管部门的 指导下,开展本行政区域内工控安全管理工作。具体如下:(一)指导本行政区域内各企业单位建立和完善工控安全管 理制度,健全工作机制;(二)组织本行政区域内企业和有关单位,接受上级主管部 门的工控安全检查,定期组织所属企业开展工控安全检查评估;(三)统筹安排本行政区域工控安全应急管理工作,指导、 协调和处理所属工控安全应急事件;(四)在本行政区域组织开展
5、工控安全宣传教育,加强工控 安全管理和技术队伍建设,指导开展工按安全技术研究和相关产 业发展;(五)其他有关工作。第九条企业应依据工业控制系统信息安全行动计划(2018 2020年),建立工控安全责任制,建立健全工控安全管理制 度和工作机制。贯彻落实工业控制系统信息安全防护指南的 要求,持续加大工控安全投入,落实防护技术改造和隐患治理专 项经费,积极开展防护能力评估。第十条 相关科研院所、行业协会、联盟和安全测评服务等 机构,在主管部门的领导下,或接受主管部门和企业单位委托, 开展工控安全技术研究和安全测评,指导行业企业开展工控安全 技术保障和服务工作。第三章企业管理第十一条 工业企业是工业控
6、制系统的拥有者和使用者,是 工控安全的责任主体,应严格实施工业控制系统全生命周期安全 防护,把工控安全作为工业生产安全的重要组成部分,纳入企业 生产、经营、管理各环节。企业建设工业控制系统时,应结合工业控制系统的具体特点, 同步规划建设和运行相应的安全防护系统,选择并确定行之有效 的工控安全技术措施和策略,确保所建工控系统安全可靠运行。第十二条企业应建立健全工控安全管理制度,成立信息安 全协调小组,明确工控安全管理责任人,落实工控安全责任制。企业应依据工控系统分类,严格实行备案管理,建立工控系 统管理台帐。企业应完善各类工控安全技术规范和制度,及时部署和升级 工控安全防护措施。第十三条企业应定
7、期开展工控安全自查,可委托第三方测 评服务机构开展工控安全测评和风险评估工作。组织自查时,应突出安全软件管理、安全配置策略、边界安 全防护措施、物理和环境安全防护、身份认证应用与管理、远程 访问控制、安全监测、资产管理、供应链管理等环节,具体内容 参照工业控制系统信息安全防护指南工业控制系统信息安 全事件应急管理工作指南等有关规定。企业应针对发现的问题及时制定整改措施,尽快堵塞安全漏 洞,重大问题应及时向主管部门报告,根据需要提请主管部门给 予技术支持。第十四条 企业应主动接受并积极配合工控安全主管部门组 织的工控安全监督检查,如实填写检查内容、报告有关情况。第四章监督检查第十五条各级工业和信
8、息化主管部门应加强工控安全指导 和监督,督促下一级主管部门和所属企业做好工控安全有关工作。第十六条各级工业和信息化主管部门应认真落实上级主管 部门关于工控安全的工作部署,定期开展工控安全检查,制定检 查计划,通报发现的问题,督促并验收整改情况。检查完成后撰 写检查总结并报上级主管部门。第十七条各级工业和信息化主管部门结合辖区工控安全形 势和具体情况,可灵活采取全面检查和抽样检查的方式开展安全 检查,检查时应突出管理和技术并重,确保检查全面、彻底、到 位。管理类检查应突出组织建设、制度建设、工业控制系统人员 安全管理、开发管理、运维管理、应急管理和风险评估等方面。技术类检查应突出网络安全、设备安
9、全、工业控制主机安全、 工业控制应用软件安全、数据与通信安全、物理安全和控制设备 安全等方面。第十八条各级工业和信息化主管部门应加强对本地区工控 安全的日常监管,建立健全符合国家规定的信息通报员、日常信 息通报、应急信息通报、风险预警等制度,及时收集整理和通报 工控安全信息,形成快速高效、各方联动的信息通报预警体系。各级工业和信息化主管部门应组织开展本地区工控安全风险 监测工作,及时收集、研判工控安全风险信息,反馈并指导企业 检查处置工控安全风险隐患。对可能超出本地区应对能力范围的安全风险和事件信息应及 时上报,必要时可向上级主管部门申请技术支持。第十九条各级工业和信息化主管部门应主动接受上级
10、主管 部门的工控安全指导和监督检查,积极协调安排相关工作。第五章应急管理第二十条各级工业和信息化主管部门应加强工控安全应急 管理,按照政府指导、企业主体、预防为主、平战结合的原则, 建立健全工控安全应急管理体系,制定应急预案,组织应急演练, 做好工控安全事件的预防和应急处置工作。第二十一条省工业和信息化委员会指导全省各级工业和信 息化主管部门、应急技术机构、企业等单位落实国家工控安全联 络员机制。第二十二条 省工业和信息化委员会指导应急技术机构、企 业等单位落实国家工控安全应急值守机制,做好工控安全风险、 威胁、事件信息日常监测和报告工作。应急响应状态下,实行“7 X24”小时值守,加强信息监
11、测、收集与研判,做好信息跟踪报 告。第二十三条省工业和信息化委员会指导地方各级工业和信 息化主管部门、工控安全技术机构、企业等单位组织做好工控安 全应急处置工作。(一)对于可能发生或已经发生的工控安全事件,企业应立 即开展应急处置,尽快恢复受损工业控制系统的正常运行。事发 企业应急处置力量不足时,可请求上级主管部门协调应急技术机 构提供支援;(二)各级工业和信息化主管部门和企业应及时报告事态发 展变化情况和事件处置进展情况。报告信息一般包括以下要素: 事件涉及的工业控制系统名称及运营管理单位、时间、地点、原 因、来源、类型、性质、危害、影响范围、发展趋势、处置措施 等;(三)各级工业和信息化主
12、管部门协调应急技术机构,指导、 协助事发企业开展应急处置工作;(四)应急处置结束、系统恢复运行后,相关企业应做好事 件分析总结工作,尽快消除不良影响,按要求上报总结报告。工 业和信息化主管部门和相关人员应做好工控安全事件的舆论宣传 和引导工作。第二十四条工控安全应急的保障措施(一)各级工业和信息化主管部门、所属企业应制定本部门 本单位工控安全事件应急预案,定期组织应急演练,工控安全服 务机构应积极参与各项工作;(二)各级工业和信息化主管部门应组建省工控安全应急专 家组,加强对应急管理工作的技术支持;(三)各级各单位应建立健全应急技术保障队伍,加强技术 培训,保证应急管理有充足的资源和技术储备。
13、第六章服务与支持第二十五条 各科研院所、信息安全企业、行业协会和联盟、 信息安全测评等服务机构应积极参与工控安全管理、技术研发、 推广应用和技术服务等工作,接受主管部门和企业单位委托,开 展各类工控安全技术检测、专题研究和安全服务等工作。第二十六条 工控安全服务机构受主管部门和企业单位委 托,应重点做好以下工作:(一)协助制定内部安全管理制度和操作规程,确定网络安 全负责人,落实工控安全保护责任;(二)检测防范计算机病毒和网络攻击、网络侵入等危害工 控安全行为的漏洞,并协助完善技术措施;(三)监测、记录网络运行状态、工控安全事件的技术策略, 并按照规定留存相关的网络日志不少于六个月;(四)采取
14、分析数据分类保存、重要数据备份和加密等措施 应用情况;(五)法律、行政法规规定的其他义务。第二十七条企业应参照工业和信息化部会同国家有关部门 发布的工业控制系统关键设备和网络安全专用产品目录,选购符 合国家相关要求和行业标准的工业控制系统与安全专用产品。第二十八条 鼓励企业、科研院所加大工控安全投入,建设 工控安全靶场、仿真测试等共性技术平台,加强关键技术攻关, 探索新兴应用的安全架构设计,开展工业互联网安全防护技术研 究和创新,推广安全可信的工控安全产品和服务。第二十九条各级工业和信息化主管部门应加快推动工控安 全社会化服务体系建设,鼓励有关企业、机构开展工控安全认证、 检测和风险评估等安全服务,做大做强工控安全服务产业。第三十条积极推进国家工控安全在线监测网络河南省级分 中心建设。河南省级分中心建成后,具备监控全省重要工业控制 系统运行状态、风险隐患实时感知、精准研判和科学决策等功能。第三十一条 本指南自发布之日起施行。