工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法

1、工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法第一章 總 則第一條 為規(guī)范工業(yè)控制系統(tǒng)信息安全（以下簡(jiǎn)稱工控安全）防護(hù)能力評(píng)估工作，切實(shí)提升 工控安全防護(hù)水平，根據(jù)中華人民共和國(guó)網(wǎng)絡(luò)安全法 國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng) 融合發(fā)展的指導(dǎo)意見（國(guó)發(fā) 2016 28 號(hào)），制定本辦法。第二條 本辦法適用于規(guī)范針對(duì)工業(yè)企業(yè)開展的工控安全防護(hù)能力評(píng)估活動(dòng)。本辦法所指的防護(hù)能力評(píng)估，是對(duì)工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等 全生命周期各階段開展安全防護(hù)能力綜合評(píng)價(jià)。第三條 工業(yè)和信息化部負(fù)責(zé)指導(dǎo)和監(jiān)督全國(guó)工業(yè)企業(yè)工控安全防護(hù)能力評(píng)估工作。第二章 評(píng)估管理組織第四條 設(shè)立全國(guó)工控安全防護(hù)能力評(píng)估

2、專家委員會(huì)（以下簡(jiǎn)稱評(píng)估專家委員會(huì)） ，負(fù)責(zé)定期 抽查與復(fù)核工控安全防護(hù)能力評(píng)估報(bào)告，并對(duì)評(píng)估工作提供建議和咨詢。第五條 設(shè)立全國(guó)工控安全防護(hù)能力評(píng)估工作組（以下簡(jiǎn)稱評(píng)估工作組） ，負(fù)責(zé)具體管理工控 安全防護(hù)能力評(píng)估相關(guān)工作，制訂完善評(píng)估工作流程和方法，管理評(píng)估機(jī)構(gòu)及評(píng)估人員，并 審核評(píng)估過(guò)程中生成的文件和記錄。評(píng)估工作組下設(shè)秘書處，秘書處設(shè)在國(guó)家工業(yè)信息安全 發(fā)展研究中心。第三章 評(píng)估機(jī)構(gòu)和人員要求第六條 評(píng)估工作組委托符合條件的第三方評(píng)估機(jī)構(gòu)從事工控安全防護(hù)能力評(píng)估工作。第七條 評(píng)估機(jī)構(gòu)應(yīng)具備的基本條件：（一）具有獨(dú)立的事業(yè)單位法人資格。（二）具有不少于 25 名工控安全防護(hù)能力評(píng)估專職人

3、員。（三）具有工控安全防護(hù)能力評(píng)估所需的工具和設(shè)備。第八條 評(píng)估機(jī)構(gòu)應(yīng)建立并有效運(yùn)行評(píng)估工作體系，完善評(píng)估監(jiān)督和責(zé)任機(jī)制，以確保所從 事的工控安全評(píng)估活動(dòng)符合本辦法的規(guī)定。評(píng)估機(jī)構(gòu)應(yīng)對(duì)其出具的評(píng)估報(bào)告負(fù)責(zé)。第九條 對(duì)于違反本 辦法、 相關(guān)法律法規(guī)及不遵守評(píng)估工作組管理要求的評(píng)估機(jī)構(gòu)，評(píng)估工 作組有權(quán)暫?；虺蜂N其從事工控安全評(píng)估活動(dòng)的委托。被撤銷委托的機(jī)構(gòu)， 5 年內(nèi)不得重新 申請(qǐng)。第十條 評(píng)估人員須遵守相關(guān)的法 律、法 規(guī)和規(guī)章，按照所在評(píng)估機(jī)構(gòu)確定的工作程序和作 業(yè)指導(dǎo)從事評(píng)估活動(dòng)，對(duì)評(píng)估報(bào)告的真實(shí)性承擔(dān)相應(yīng)責(zé)任，并應(yīng)對(duì)評(píng)估活動(dòng)中接觸到的信息 履行保密義務(wù)。第四章 評(píng)估工具要求 第十一條 評(píng)

4、估過(guò)程中使用的相關(guān)評(píng)估專用軟硬件工具需符合相關(guān)可靠性和安全性要求。第十二條 評(píng)估工具需由評(píng)估工作組委托國(guó)家相關(guān)質(zhì)檢機(jī)構(gòu)進(jìn)行檢測(cè)和校驗(yàn)，未通過(guò)檢測(cè)和 校驗(yàn)的評(píng)估工具不得應(yīng)用于評(píng)估工作。第五章 評(píng)估工作程序第十三條 受理評(píng)估申 請(qǐng)。評(píng) 估工作組承擔(dān)工業(yè)和信息化主管部門的專項(xiàng)評(píng)估任務(wù)，各評(píng)估 機(jī)構(gòu)可自行受理市場(chǎng)化的評(píng)估工作委托，并在評(píng)估工作組備案。第十四條 組建評(píng)估技術(shù)隊(duì)伍。評(píng)估機(jī)構(gòu)組建評(píng)估項(xiàng)目組，原則上每個(gè)評(píng)估項(xiàng)目組由不少于 5 名專職評(píng)估人員（含 1 名組長(zhǎng)）組成。第十五條 制定評(píng)估工作計(jì)劃。 評(píng)估機(jī)構(gòu)在實(shí)施評(píng)估前，應(yīng)與被評(píng)估企業(yè)充分協(xié)調(diào)，梳理清 晰企業(yè)工業(yè)控制系統(tǒng)基本情況，并參照工業(yè)控制系統(tǒng)信

5、息安全防護(hù)能力評(píng)估方法 （見附 件）形成書面評(píng)估工作計(jì)劃。評(píng)估工作計(jì)劃的內(nèi)容至少應(yīng)包括：評(píng)估工作計(jì)劃名稱和編號(hào)、 評(píng)估范圍、評(píng)估具體任務(wù)與方案、評(píng)估工作日程安排、應(yīng)急預(yù)案等。第十六條 開展現(xiàn)場(chǎng)評(píng)估工作 。評(píng)估 項(xiàng)目組按照評(píng)估工作計(jì)劃，在現(xiàn)場(chǎng)對(duì)被評(píng)估企業(yè)實(shí)施工 控安全防護(hù)能力評(píng)估。第十七條 現(xiàn)場(chǎng)評(píng)估情況反饋 ?，F(xiàn)場(chǎng) 評(píng)估工作結(jié)束后，評(píng)估項(xiàng)目組應(yīng)對(duì)現(xiàn)場(chǎng)評(píng)估工作形成書 面的現(xiàn)場(chǎng)評(píng)估情況反饋表，描述存在的安全問(wèn)題并提出相應(yīng)的整改建議。第十八條 企業(yè)自行整改。企業(yè)應(yīng)在收到反饋表后 30 日內(nèi)自行開展整改工作，根據(jù)整改情 況申請(qǐng)復(fù)評(píng)估。第十九條 開展復(fù)評(píng)估 工作。 評(píng)估項(xiàng)目組在收到企業(yè)復(fù)評(píng)估的請(qǐng)求后，根據(jù)

6、需要對(duì)現(xiàn)場(chǎng)評(píng)估 反饋表中的問(wèn)題進(jìn)行確認(rèn)。需要時(shí)，開展現(xiàn)場(chǎng)復(fù)評(píng)估。第二十條 形成評(píng)估報(bào) 告。評(píng) 估項(xiàng)目組在總結(jié)現(xiàn)場(chǎng)評(píng)估和復(fù)評(píng)估工作后，出具企業(yè)工控安全 防護(hù)能力評(píng)估結(jié)論，經(jīng)由被評(píng)估企業(yè)確認(rèn)后，形成評(píng)估報(bào)告，報(bào)工業(yè)和信息化部備案。第六章 監(jiān)督管理 第二十一條 評(píng)估工作組建立國(guó)家工控安全防護(hù)能力評(píng)估工作管理平臺(tái)，通過(guò)平臺(tái)定期公示 評(píng)估機(jī)構(gòu)、評(píng)估人員、評(píng)估工具和評(píng)估報(bào)告。第二十二條 評(píng)估工作組不定期委托評(píng)估專家委員會(huì)對(duì)評(píng)估報(bào)告開展必要的抽查與復(fù)核，經(jīng) 抽查與復(fù)核發(fā)現(xiàn)評(píng)估報(bào)告不符合本辦法有關(guān)規(guī)定、標(biāo)準(zhǔn)的，應(yīng)當(dāng)要求企業(yè)限期改正或者重新 評(píng)估，并在 30 日內(nèi)提交評(píng)估材料。第二十三條 評(píng)估工作組受理針對(duì)違反

7、本辦法 、相關(guān) 法律法規(guī)及不遵守評(píng)估工作組管理要求 的評(píng)估機(jī)構(gòu)和人員的舉報(bào)和投訴。工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法解讀為進(jìn)一步貫徹落實(shí)國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見 ，督促工業(yè)企業(yè) 做好工業(yè)控制系統(tǒng)信息安全（以下簡(jiǎn)稱工控安全）防護(hù)工作，工業(yè)和信息化部于近日印發(fā)了 工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法 （以下簡(jiǎn)稱管理辦法），旨在規(guī)范 工控安全防護(hù)能力評(píng)估工作，切實(shí)提升工控安全防護(hù)水平。、編制說(shuō)明近年來(lái)，隨著兩化融合發(fā)展的不斷深入，安全威脅向工業(yè)控制系統(tǒng)加速滲透，工業(yè)領(lǐng)域面臨 嚴(yán)峻的信息安全挑戰(zhàn)。我部于去年發(fā)布了工業(yè)控制系統(tǒng)信息安全防護(hù)指南 （以下簡(jiǎn)稱防 護(hù)指南

8、），從配置和補(bǔ)丁管理、邊界安全防護(hù)、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練等方面，對(duì)工業(yè)企 業(yè)提出了 30 項(xiàng)工控安全防護(hù)要求。為檢驗(yàn)防護(hù)指南的實(shí)踐效果，綜合評(píng)價(jià)工業(yè)企業(yè)工 控安全防護(hù)能力，我部于年初組織編制了管理辦法（初稿） ，并選擇電力、化工、汽車、 有色、石化、煙草 6 個(gè)重點(diǎn)行業(yè)開展了工控安全預(yù)評(píng)估工作，對(duì)管理辦法（初稿） 的科 學(xué)性、合理性和可操作性進(jìn)行檢驗(yàn)，結(jié)合工控安全預(yù)評(píng)估工作，進(jìn)一步對(duì)管理辦法（初 稿）進(jìn)行修改完善，組織專家開展專題研討論證，最終形成管理辦法 。、總體考慮管理辦法的編制以我國(guó)兩化融合發(fā)展時(shí)期工控安全保障需求和工控安全防護(hù)工作推進(jìn)為 出發(fā)點(diǎn)和落腳點(diǎn)，密切結(jié)合工控安全防護(hù)能力評(píng)估工

9、作實(shí)際，以規(guī)范針對(duì)工業(yè)企業(yè)開展的工 控安全防護(hù)能力評(píng)估活動(dòng)為重點(diǎn)，加強(qiáng)工控安全防護(hù)能力評(píng)估機(jī)構(gòu)、人員和工具管理，明確 工控安全防護(hù)能力評(píng)估工作程序。具體來(lái)說(shuō)， 管理辦法編制的主要思路如下：一是突出體系化管理。工控安全防護(hù)能力評(píng)估工作管理涉及管理機(jī)構(gòu)、評(píng)估機(jī)構(gòu)、評(píng)估人員、 評(píng)估工具等各要素， 管理辦法從全局出發(fā)，面向各類主體，圍繞工作需求提出基線標(biāo)準(zhǔn)， 加強(qiáng)體系化管理。二是注重管理實(shí)效。 辦法細(xì)化各類基線標(biāo)準(zhǔn)，明確量化指標(biāo)，提出從受理評(píng)估申請(qǐng)、組 建評(píng)估技術(shù)隊(duì)伍到形成評(píng)估報(bào)告的一系列評(píng)估工作程序，提供具體且可操作的工控安全防護(hù) 能力評(píng)估方法。三是強(qiáng)調(diào)全生命周期評(píng)估。工控安全防護(hù)能力評(píng)估是落實(shí)防護(hù)

10、指南要求的一項(xiàng)具體工作，管理辦法指出防護(hù)能力評(píng)估是對(duì)工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù) 等全生命周期各階段開展的安全防護(hù)能力綜合評(píng)價(jià)。三、內(nèi)容詳解一）管理組織機(jī)構(gòu)設(shè)置管理組織機(jī)構(gòu)是工控安全防護(hù)能力評(píng)估工作的核心。 管理辦法指出設(shè)立全國(guó)工控安全防 護(hù)能力評(píng)估專家委員會(huì)，負(fù)責(zé)提供建議與咨詢；設(shè)立全國(guó)工控安全防護(hù)能力評(píng)估工作組，具 體負(fù)責(zé)管理工控安全防護(hù)能力評(píng)估相關(guān)工作，工作組下設(shè)秘書處，秘書處設(shè)在國(guó)家工業(yè)信息 安全發(fā)展研究中心。二）基本要求評(píng)估機(jī)構(gòu)應(yīng)符合具備獨(dú)立的事業(yè)單位法人資格，具有不少于 25 名工控安全防護(hù)能力評(píng)估專 職人員，擁有工控安全防護(hù)能力評(píng)估所需的工具和設(shè)備，同時(shí)，還應(yīng)建立并有效運(yùn)行評(píng)估工 作體系，完善評(píng)估監(jiān)督和責(zé)任機(jī)制，對(duì)于不符合要求的機(jī)構(gòu)，予以撤銷評(píng)估委托。評(píng)估人員須遵守相關(guān)的法律、法規(guī)和規(guī)章，按照所在評(píng)估機(jī)構(gòu)確定的工作程序和作業(yè)指導(dǎo)從 事評(píng)估活動(dòng)，并遵守保密規(guī)定。評(píng)估過(guò)程中使用的工具應(yīng)符合相關(guān)可靠性和安全性要求，需通過(guò)評(píng)估工作組委托的國(guó)家級(jí)質(zhì) 檢機(jī)構(gòu)的檢測(cè)和校驗(yàn)。三）工作程序管理辦法制定了工控安全防護(hù)能力評(píng)估工作程序，包括受理評(píng)估申請(qǐng)、組建評(píng)估技術(shù)隊(duì) 伍、制定評(píng)估工作計(jì)劃、開展現(xiàn)場(chǎng)評(píng)估工作、現(xiàn)場(chǎng)評(píng)估情況反饋、企業(yè)自行整改、開展復(fù)評(píng) 估工作、形成評(píng)估報(bào)告，細(xì)化了各階段