石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度

石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度1基本要求本辦法所稱工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)）是指石化生產(chǎn)裝置中所使用的自控系統(tǒng)及輔助單元，自控系統(tǒng)包括分散控制系統(tǒng)（DCS）、數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、可編程控制器系統(tǒng)（PLC）、機組控制系統(tǒng)（CCS）、安全儀表系統(tǒng)（SIS）、氣體檢測系統(tǒng)（GDS）等。工控系統(tǒng)按其對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高級劃分為五級。1.3等級保護定級管理對象適用于擬建、在建以及運行的工控系統(tǒng)。2部門職責(zé)2.1機動部2.1.1機動部是工控系統(tǒng)管理的主管部門。2.1.2負責(zé)檢查、監(jiān)督、變更審批、維護管理和考核。2.1.3負責(zé)新增項目技術(shù)方案的交流及選擇，技術(shù)方案的審批、投資預(yù)算的申報、項目的實施、驗收等。2.1.4負責(zé)備品備件的審批工作。2.1.5對工控系統(tǒng)等級保護對象定級、備案、測評工作和整改工作總體負責(zé)，有組織、管理和協(xié)調(diào)的責(zé)任。負責(zé)組織并建立工控網(wǎng)絡(luò)安全和信息化工作辦公室。2.2管理信息部負責(zé)工控系統(tǒng)的安全防護工作；負責(zé)工控系統(tǒng)的運行維護工作；配合機動部完成新增項目的技術(shù)方案的交流、選擇及實施和驗收等。配合機動部完成工控系統(tǒng)等級保護對象定級、備案、測評工作和整改工作。2.3各運行部室作為工控系統(tǒng)的使用單位，負責(zé)保護好工控系統(tǒng)的資產(chǎn)安全。管理內(nèi)容和方法工控系統(tǒng)操作室及機柜間管理3.1.1運行部應(yīng)每周對操作室進行清掃，保持操作室內(nèi)清潔衛(wèi)生。3.1.2運行部負責(zé)操作臺面、顯示器、打印機和操作臺抽屜內(nèi)日常清潔衛(wèi)生，嚴禁存放一切與系統(tǒng)無關(guān)的工具、雜物。3.1.3操作室內(nèi)物品應(yīng)擺放整齊，記錄紙、安全帽、工具、手套等物品要在指定地方擺放。操作人員不得在操作室內(nèi)吃飯和吃零食。3.1.5操作人員必須愛護工控系統(tǒng)設(shè)備，不許在控制系統(tǒng)操作站和操作臺涂寫和做記號，操作站和操作臺不得有油漬、字跡等，不得隨意損壞操作臺油漆，不得破壞控制系統(tǒng)機柜間門鎖和機柜門鎖。3.1.6操作人員要正確操作控制系統(tǒng)，避免人為損害控制系統(tǒng)，不得在控制系統(tǒng)上做與工藝生產(chǎn)無關(guān)的操作。3.1.7操作站、操作臺電源嚴禁接入其他電器、移動設(shè)備等。3.1.8未經(jīng)允許不準在操作電腦上插U盤或移動硬盤。3.1.9管理信息部負責(zé)保持操作站和操作臺內(nèi)工控系統(tǒng)設(shè)備的清潔衛(wèi)生。3.1.10非管理信息部人員在操作站、操作臺和機柜間內(nèi)施工作業(yè)，應(yīng)由管理信息部維護人員監(jiān)護，并告知運行部做好應(yīng)急預(yù)案。3.1.11管理信息部是控制系統(tǒng)機柜間管理的責(zé)任單位，對控制系統(tǒng)的安全運行負責(zé)，應(yīng)采取有效措施確保設(shè)備正常運行。機柜間的設(shè)計應(yīng)符合《SH/T3006-2012石油化工控制室設(shè)計規(guī)范》標準，機柜間溫度、濕度、衛(wèi)生、通風(fēng)等必須滿足控制系統(tǒng)設(shè)計規(guī)定的要求。3.1.12控制系統(tǒng)機柜間門平時應(yīng)上鎖，無關(guān)人員未經(jīng)批準嚴禁進入機柜間，進入機柜間作業(yè)人員要按規(guī)定進行著裝，在進入機柜間前，必須采取靜電釋放措施，消除靜電。3.1.13管理信息部要保持機柜間環(huán)境必須符合控制系統(tǒng)要求，機柜間內(nèi)設(shè)置溫濕度計，確保機柜間內(nèi)溫度：20-25°C、濕度：40-60%，不允許結(jié)露，干凈整潔，無明顯灰塵。3.1.14機柜間墻面布置控制室管理制度、機柜布置圖及巡檢牌等設(shè)置，設(shè)置資料柜放置儀表資料和軟件備份，設(shè)置備件柜放置控制系統(tǒng)備件。3.1.15機柜間儀表電纜進線口、接地島要有明顯標示，機柜要有統(tǒng)一標識，機柜內(nèi)的儀表設(shè)備、端子和接線要有標識、且清晰正確和齊全，機柜要有接線圖，配電柜要有配電圖。3.1.16管理信息部要保持控制系統(tǒng)機柜內(nèi)部工控設(shè)備的清潔衛(wèi)生，每季度做好清潔衛(wèi)生。3.1.17根據(jù)工廠的發(fā)展，需在控制系統(tǒng)機柜間安裝非工控系統(tǒng)設(shè)備時，項目主管單位應(yīng)組織設(shè)計審查，綜合考慮控制系統(tǒng)機柜間設(shè)備安裝位置，不得影響機柜間設(shè)備平面和豎向布置。3.1.18在控制系統(tǒng)機柜間施工，要有施工方案，得到管理信息部書面認可，機動部批準后，施工單位方可施工。施工單位施工時要服從管理信息部管理，嚴格按照設(shè)計圖紙和施工規(guī)范施工，保證施工質(zhì)量，不能影響機柜間控制系統(tǒng)的正常運行，管理信息部及運行部做好應(yīng)急預(yù)案。3.1.19管理信息部負責(zé)機柜間內(nèi)控制系統(tǒng)日常巡檢、專檢和故障處理，相關(guān)單位負責(zé)非管理信息部所負責(zé)設(shè)備的巡檢和故障處理，在巡檢和故障處理時，管理信息部人員要全程監(jiān)護，并做好記錄。3.1.20管理信息部要切實做好防小動物措施，進入機柜間電纜通道要采用填沙等方法進行封堵、機柜門要關(guān)嚴，機柜內(nèi)電纜進線口設(shè)置蓋板，電纜地溝放置滅鼠器，機柜間入口設(shè)置防鼠板等。每月對防小動物措施進行檢查并做好記錄。3.1.21機柜間內(nèi)嚴禁帶入食物、液體、易燃易爆和有毒有害物品，不得在機柜間內(nèi)堆放雜物，機柜上嚴禁放任何物品，嚴禁在機柜間內(nèi)吸煙。3.1.22機柜間內(nèi)消防設(shè)施要配備齊全，并保證在有效期限內(nèi)。3.1.23機柜間內(nèi)嚴禁使用對講機等易帶來干擾的設(shè)備。3.1.24機柜間關(guān)鍵設(shè)備應(yīng)有備品備件，并定期檢查和測試做好記錄。3.1.25控制柜門應(yīng)處于封閉狀態(tài)，減少灰塵堿塵進入。3.1.26臨時用電一律不得接入DCS系統(tǒng)電源。3.1.27嚴禁在機柜間內(nèi)做與工作無關(guān)的事情。3.1.28嚴禁在機柜間內(nèi)使用電焊機、沖擊鉆等強電磁干擾設(shè)備。3.1.29機柜間內(nèi)進線必須按照規(guī)范施工，嚴禁私拉亂接嚴禁各類線纜互相纏繞交叉。3.1.30對機柜間孔洞及時封堵，防止灰塵、堿塵、水汽進入。3.1.31機柜間屋頂和窗戶做好防水，防止DCS設(shè)備損壞。3.1.32機動部負責(zé)定期對機柜間接地極阻值測量。3.2工控系統(tǒng)資產(chǎn)管理3.2.1工控系統(tǒng)資產(chǎn)包括硬件類、軟件類、信息類。各項資產(chǎn)內(nèi)容如下：硬件類：指物理上存在的資產(chǎn)，包括控制器、卡件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、供電設(shè)施、操作站、機柜間環(huán)境設(shè)備、外設(shè)等；軟件類：指為購買或自主開發(fā)的所有軟件產(chǎn)品，包括應(yīng)用軟件、系統(tǒng)軟件等；信息類：指所有電子數(shù)據(jù)信息，主要包括應(yīng)用數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、安全數(shù)據(jù)等數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓(xùn)資料、操作和支持程序、存檔信息等；3.2.2管理信息部設(shè)立資產(chǎn)管理崗位，由資產(chǎn)管理員負責(zé)所有工控系統(tǒng)資產(chǎn)的全面統(tǒng)一管理，建立工控系統(tǒng)資產(chǎn)清單，并維護其準確性與完整性。3.2.3管理信息部資產(chǎn)管理員應(yīng)對所有工控系統(tǒng)資產(chǎn)進行實物盤點、核對工作，并每年將資產(chǎn)清單上報機動部備案。3.2.4所有工控系統(tǒng)產(chǎn)品保修證書統(tǒng)一由機動部編號保管。3.2.5工控系統(tǒng)資產(chǎn)大修、更新、報廢，按照相應(yīng)的固定資產(chǎn)管理規(guī)定執(zhí)行。3.3工控系統(tǒng)設(shè)備安全管理3.3.1管理信息部負責(zé)工控系統(tǒng)設(shè)備的安全管理和運行維護工作。3.3.2工控系統(tǒng)的各種軟硬件設(shè)備的選型、采購、驗收均遵照儀表設(shè)備管理制度》執(zhí)行。3.3.3設(shè)備如需外委維修，由管理信息部按制度辦理相關(guān)手續(xù)，并做好記錄（參照附件）。3.3.4設(shè)備維修人員在維修過程中，如需更換配件，應(yīng)由管理信息部技術(shù)員對故障確認和型號核對，填寫《設(shè)備維修記錄表》（格式見附件1）和控制系統(tǒng)維修風(fēng)險作業(yè)申請單（格式見附件2），確定后再進行更換。3.3.5設(shè)備如需外單位維修人員進行現(xiàn)場維修，應(yīng)由管理信息部技術(shù)人員提出申請，填寫《設(shè)備維修記錄表》（格式見附件）和控制系統(tǒng)維修風(fēng)險作業(yè)申請單（格式見附件），由技術(shù)人員監(jiān)護開展維修工作。嚴禁外單位維修人員擅自讀取和拷貝設(shè)備的存儲信息。3.3.6管理信息部負責(zé)制定控制系統(tǒng)配套設(shè)施、軟硬件設(shè)備的巡檢表格（請見附件）和維護規(guī)程并定期更新。3.3.7重要通訊線纜埋放和架空地點應(yīng)有明顯警示標識，防止因施工等原因?qū)е乱馔馄茐摹?.3.8管理信息部應(yīng)指定專人對工控系統(tǒng)控制器、操作站、工程師站、卡件等硬件及配套設(shè)施，每周巡檢二次，發(fā)現(xiàn)問題及時處理。巡檢應(yīng)對照巡檢記錄表逐項檢查，巡檢記錄表保存一年。3.3.9機動部每周對巡檢情況和結(jié)果進行抽查，發(fā)現(xiàn)問題追查原因，如屬人為應(yīng)追究當事人責(zé)任。3.3.10管理信息部指定專人負責(zé)工程師站密碼管理，不得泄漏，并半年更換一次。工控系統(tǒng)網(wǎng)絡(luò)安全管理3.4.1管理信息部指定專人對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作。3.4.2嚴格限制企業(yè)管理網(wǎng)絡(luò)與工控系統(tǒng)網(wǎng)絡(luò)連接，禁止沒有防護的工控系統(tǒng)網(wǎng)絡(luò)與其它網(wǎng)絡(luò)連接。3.4.3管理信息部應(yīng)每月檢查一次違反網(wǎng)絡(luò)安全策略的行為。3.4.4管理信息部利用大檢修時對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，并做好掃描和處置記錄。3.4.5網(wǎng)絡(luò)設(shè)備中的運行配置文件和啟動配置文件應(yīng)隨時保持一致。3.4.6所有網(wǎng)絡(luò)設(shè)備的拓撲結(jié)構(gòu)、IP地址和網(wǎng)絡(luò)配置文件應(yīng)有文檔記錄。如對網(wǎng)絡(luò)配置信息進行修改，應(yīng)獲得機動部的批準后方可進行。3.4.7管理信息部負責(zé)網(wǎng)絡(luò)設(shè)備的日常檢查，每季度對網(wǎng)絡(luò)配置信息的安全狀況進行檢查和分析，檢查工作應(yīng)保留日志記錄，發(fā)現(xiàn)異常情況及時處理，并報告上級主管。3.4.8應(yīng)對網(wǎng)絡(luò)設(shè)備實行每天24小時監(jiān)控，確保網(wǎng)絡(luò)設(shè)備的安全運轉(zhuǎn)，如需進行斷電維護等操作，應(yīng)報機動部備案審批。3.4.9管理信息部指定專人定期對網(wǎng)絡(luò)系統(tǒng)的日志文件進行備份，日志文件保存時間應(yīng)在6個月以上。3.4.10指定專人負責(zé)網(wǎng)絡(luò)設(shè)備密碼管理，不得泄漏，并定期更換，應(yīng)按最小授權(quán)原則對網(wǎng)絡(luò)設(shè)備的登錄帳號設(shè)置權(quán)限級別。3.4.11管理信息部維護人員不得私開用戶權(quán)限給其它人員，應(yīng)在網(wǎng)絡(luò)設(shè)備上進行相應(yīng)設(shè)置，禁止遠程登錄，保證網(wǎng)絡(luò)安全。3.4.12應(yīng)保證網(wǎng)絡(luò)設(shè)備用戶身份標志的唯一性。不同用戶的登錄操作在設(shè)備日志文件上均應(yīng)有記錄。3.4.13訪問控制禁止工控系統(tǒng)向其他網(wǎng)絡(luò)開通HTTP、FTP、TELNET等網(wǎng)絡(luò)服務(wù)。禁止從企業(yè)外部遠程訪問、維護各套工控系統(tǒng)。嚴禁限制企業(yè)內(nèi)部工程師站和操作站安裝遠程桌面控制軟件。保留并定期備份訪問日志，對登錄賬戶、訪問時間、操作內(nèi)容等日志信息進行安全審計。禁止第三方未經(jīng)國家授權(quán)對運行中的工控系統(tǒng)進行滲透測試和攻擊測試。工控第三方供應(yīng)商現(xiàn)場服務(wù)需要訪問工控系統(tǒng)時，應(yīng)提交工作內(nèi)容、工作計劃和安全措施，經(jīng)企業(yè)審核批準后方可進行。工控系統(tǒng)系統(tǒng)安全管理3.5.1工控系統(tǒng)的用戶管理、權(quán)限管理應(yīng)充分利用操作系統(tǒng)和權(quán)限鑰匙安全性能，提高系統(tǒng)的安全性。登錄、訪問工控系統(tǒng)計算機應(yīng)采用口令密碼、密鑰、指紋、IC卡等手段進行身份認證管理，采用口令密碼時，設(shè)置強口令密碼，并定期更新。合理分類設(shè)置用戶權(quán)限，按量小特權(quán)原則分配賬戶權(quán)限。每半年審計用戶和權(quán)限，并做審計記錄。應(yīng)加強身份認證信息保護，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。3.5.2應(yīng)根據(jù)裝置崗位操作需求和系統(tǒng)安全分析，制定系統(tǒng)的訪問控制策略，分配系統(tǒng)操作區(qū)域、操作及修改參數(shù)的權(quán)限，并進行嚴格的審計，保存審計記錄。3.5.3指定專人負責(zé)工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機、工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計，其余任何人不得隨意更改配置。3.5.4應(yīng)在大檢修期間由原廠家對系統(tǒng)進行漏洞掃描、打補丁、軟件測試等安全防范工作，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。3.5.5應(yīng)根據(jù)廠家提供的軟件升級版本對系統(tǒng)軟件或操作系統(tǒng)升級，升級安裝前，應(yīng)對重要文件進行備份后，并建立應(yīng)急恢復(fù)機制，方可實施系統(tǒng)升級程序的安裝。3.5.6對系統(tǒng)軟件嚴禁修改，組態(tài)工程軟件修改須履行變更手續(xù)，且必須有安全防范措施。3.5.7系統(tǒng)應(yīng)提供完善的審計功能，對工控系統(tǒng)硬件配置的增加、修改和刪除都能記錄相應(yīng)的修改時間、操作人和修改前的數(shù)據(jù)記錄。3.5.8應(yīng)定期對運行日志和審計結(jié)果進行分析，形成分析報告，報告內(nèi)容應(yīng)包括但不限于：帳戶的連續(xù)多次登錄失敗、訪問受限系統(tǒng)或文件的失敗嘗試、系統(tǒng)錯誤等非正常事件等。3.5.9制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應(yīng)立即采取緊急防護措施，防止事態(tài)擴大，并逐級上報各級主管部門，同時注意保護現(xiàn)場，以便進行調(diào)查取證；每年對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進行演練，并做好記錄。必要時對應(yīng)急響應(yīng)預(yù)案進行修訂。機動部對演練和修訂情況要定期檢查。工控系統(tǒng)惡意代碼防范管理3.6.1管理信息部安全管理員的職責(zé)如下：（一）對工控系統(tǒng)出現(xiàn)的病毒追蹤其根源，查找病毒傳播者。（二）對于不能立即解決的病毒問題，應(yīng)及時組織協(xié)同相關(guān)的技術(shù)和業(yè)務(wù)人員進行跟蹤解決，在問題解決前盡快采取相應(yīng)措施阻止事件進一步擴大。（三）對病毒的發(fā)作時間、發(fā)作現(xiàn)象、清除等信息進行維護、備案、并制作案例。相關(guān)工作日志的保存和歸檔。禁止任何部門或員工以任何名義制造、傳播、復(fù)制、收集惡意代碼。3.6.3大檢修期間由原廠家對網(wǎng)絡(luò)和主機進行惡意代碼檢測，并保存檢測記錄。3.6.4工控系統(tǒng)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)自身授權(quán)和安全評估的軟件運行。3.6.5拆除或封閉工控系統(tǒng)主機上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機外設(shè)安全管理技術(shù)手段實施嚴格訪問機制。3.6.6嚴禁使用任何未經(jīng)防病毒軟件檢測過的存儲介質(zhì)。光盤以及其它移動存儲介質(zhì)在使用前應(yīng)進行病毒檢測。3.6.7嚴禁安裝或使用未經(jīng)檢測過的軟件或帶毒軟件。工控系統(tǒng)賬戶與口令安全管理3.7.1管理信息部指定專人負責(zé)工控系統(tǒng)的賬戶、應(yīng)用特權(quán)賬戶的安全使用與管理；新增與變更上報機動部審批，每半年開展審核工作。工控系統(tǒng)原則上設(shè)立三級賬戶，管理員級、班長級、操作員級，分別由業(yè)務(wù)部門技術(shù)員、工藝班長、工藝操作人員使用。3.7.2如發(fā)生以下情況，應(yīng)立即禁用賬戶或更改口令：賬戶使用者已經(jīng)離職；賬戶使用者由于工作的變動不再需要訪問權(quán)限；上級主管人員認為不應(yīng)再具有訪問權(quán)限。3.7.3應(yīng)設(shè)置口令管理策略，確保口令設(shè)置符合下列要求：（一）密碼設(shè)置不得使用最近3次以內(nèi)重復(fù)的口令；（二）密碼重復(fù)嘗試5次以后應(yīng)暫停該賬戶登錄。（三）密碼應(yīng)由不少于8位的大小寫字母、數(shù)字以及特殊字符三種或三種以上組合組成。3.7.4賬戶口令持有人須妥善保存口令，口令不得以明文方式存放于可公共訪問的設(shè)備中。3.7.5如發(fā)生以下情況，相關(guān)口令必須立即更改并做好記錄：掌握口令的員工轉(zhuǎn)崗或離崗；廠商完成維護工作；相關(guān)廠商或第三方公司使用了賬戶及口令；有跡象表明口令可能被泄露。3.8工控系統(tǒng)變更管理3.8.1變更是指對工控系統(tǒng)有影響的任何增加、修改或刪除的操作，變更的對象包括組態(tài)修改、硬件增減及相關(guān)參數(shù)變動等。3.8.2組態(tài)工程軟件變更由管理信息部填寫《控制系統(tǒng)維修風(fēng)險作業(yè)申請單》，報機動部及主管領(lǐng)導(dǎo)審批后，由管理信息部實施。3.8.3硬件增減變更由管理信息部填寫《控制系統(tǒng)維修風(fēng)險作業(yè)申請單》，報機動部及主管領(lǐng)導(dǎo)審批后，由管理信息部實施。3.8.4確定發(fā)生變更，應(yīng)制定變更計劃和變更方案，報機動部及主管領(lǐng)導(dǎo)審批。管理信息部及運行部做好風(fēng)險評價和應(yīng)急預(yù)案。3.8.5變更的申報和審批流程，依照相應(yīng)的變更管理規(guī)定實施。并記錄變更實施過程。工控系統(tǒng)介質(zhì)和備份恢復(fù)管理3.9.1管理信息部負責(zé)工控系統(tǒng)系統(tǒng)軟件、應(yīng)用軟件和信息載體的原始存儲介質(zhì)及備份管理。3.9.2管理信息部應(yīng)對原始存儲介質(zhì)及定期備份的重要應(yīng)用軟件、系統(tǒng)數(shù)據(jù)及軟件建立備份清單。3.9.3原始存儲介質(zhì)及備份介質(zhì)應(yīng)存放于專用介質(zhì)柜中，并由專人進行管理。介質(zhì)存放時，應(yīng)用標簽標明介質(zhì)類型（包括原件及拷貝件）。3.9.4每三個月對介質(zhì)及備份清單和存儲庫盤點一次。對所有介質(zhì)的出庫和入庫情況，以及介質(zhì)的轉(zhuǎn)移和使用情況進行記錄。3.9.5工控系統(tǒng)應(yīng)用軟件修改申請經(jīng)審批后，修改執(zhí)行前應(yīng)做好備份，下裝后重新備份，并做好記錄。3.9.6為保證工控系統(tǒng)故障時能及時恢復(fù)，須在系統(tǒng)修改、大修前做好系統(tǒng)軟件和應(yīng)用軟件備份工作，系統(tǒng)軟件和應(yīng)用軟件必須雙備份，并異地妥善保管。軟件備份要注明軟件名稱、修改日期、修改人，版本號并將有關(guān)修改設(shè)計資料存檔。備份工作采用專用設(shè)備、專人備份、專人保管，確保保管環(huán)境。3.9.7管理信息部每半年檢查和測試備份介質(zhì)的有效性，避免程序損壞。3.9.8管理信息部應(yīng)指定專人對所有備份恢復(fù)活動進行文檔記錄，記錄內(nèi)容包括備份時間、備份內(nèi)容、備份操作、備份介質(zhì)存放等。3.9.9機動部應(yīng)定期對所有備份恢復(fù)工作及備份恢復(fù)文檔進行監(jiān)督檢查。3.10等級保護對象定級管理3.10.1機動部負責(zé)對擬建、在建以及運行的工控系統(tǒng)等級保護對象根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》相關(guān)方法進行業(yè)務(wù)信息和系統(tǒng)服務(wù)定級，確定系統(tǒng)服務(wù)安全保護等級，起草等級保護對象定級報告。3.10.2等級保護對象使用部門應(yīng)全力配合機動部的等級保護對象定級工作。3.10.3機動部主導(dǎo)對擬建、在建以及運行的等級保護對象，應(yīng)按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》要求和《信息安全技術(shù)網(wǎng)絡(luò)安全保護等級定級指南》的方案，進行等級保護對象定級工作。3.10.4機動部聘請專家對等級保護對象保護等級預(yù)定級結(jié)果進行評審，參照評審意見最后確定等級保護對象保護等級并形成定級報告以及書面材料。3.10.5專家評審意見與預(yù)定級不一致時，由機動部確定等級保護對象保護等級，并報主管領(lǐng)導(dǎo)審批同意。3.10.6對于包含多個子系統(tǒng)的等級保護對象，在保障等級保護對象安全互聯(lián)和有效信息共享的前提下，機動部應(yīng)當根據(jù)等級保護的管理規(guī)定、技術(shù)標準和等級保護對象內(nèi)各子系統(tǒng)的重要程度，分別確定安全保護等級。3.10.7等級保護對象定級應(yīng)遵循以下流程：機動部負責(zé)填寫《網(wǎng)絡(luò)安全等級保護定級報告》，完成定級。報告中應(yīng)明確等級保護對象保護等級，詳細說明定級的方法和理由，定級方法詳見《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》。完成定級后，將《網(wǎng)絡(luò)安全等級保護定級報告》提交工控網(wǎng)絡(luò)安全和信息化工作辦公室進行存檔，并將定級結(jié)果報網(wǎng)絡(luò)安全和信息化工作管理委員會審核。定級過程須組織安全技術(shù)專家對等級保護對象定級結(jié)果的合理性和正確性進行論證和評審，并對專家論證文檔進行保存，記錄專家對定級結(jié)果的評審意見。3.10.8等級保護對象發(fā)生重大變更導(dǎo)致安全保護等級變化時，機動部應(yīng)組織重新確定等級保護對象的安全保護等級，按相應(yīng)程序報備，并按新的等級要求調(diào)整保護措施。3.11等級保護對象備案管理3.11.1安全保護等級為第二級（含第二級）以上的等級保護對象在等級保護對象保護等級確定后10個工作日內(nèi)，應(yīng)到公安機關(guān)辦理備案手續(xù)。3.11.2等級保護對象保護等級確定后，由網(wǎng)絡(luò)安全和信息化工作辦公室填寫《等級保護對象安全等級保護備案表》（以下簡稱“《備案表》”)，并進行備案工作。3.11.3等級保護對象備案應(yīng)遵循以下流程：向公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提交《備案表》（一式兩份）及其電子文檔。第二級及以上等級保護對象備案時需要提交《備案表》中的表一、二、三；第三級等級保護對象還應(yīng)當在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》表四以及其相關(guān)材料。備案資料經(jīng)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核通過后，會收到由公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門出具的《網(wǎng)絡(luò)安全等級保護備案材料接收回執(zhí)》。公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核后認定備案資料不齊全的，會在當場或者在五日內(nèi)一次性告知定級管理負責(zé)人其補正內(nèi)容，定級管理負責(zé)人應(yīng)根據(jù)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門告知的補正內(nèi)容補齊相關(guān)資料，并提交公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。備案材料經(jīng)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核通過后，會在遞交材料的十個工作日內(nèi)收到加蓋公安機關(guān)印章（或等級保護專用章）的《備案表》一份。備案材料經(jīng)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核未通過，認為其不符合等級保護要求的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門會在十個工作日內(nèi)通知進行相應(yīng)整改，并出具《網(wǎng)絡(luò)安全等級保護備案審核結(jié)果通知》。收到公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門出具的由公安部統(tǒng)一監(jiān)制《網(wǎng)絡(luò)安全等級保護備案證明》后，等級保護對象備案工作結(jié)束。3.11.4等級保護對象發(fā)生重大變更導(dǎo)致安全保護等級變化時，機動部應(yīng)組織重新確定等級保護對象的安全保護等級，并按相應(yīng)程序重新備案。3.12等級保護對象安全建設(shè)規(guī)劃管理3.12.1機動部組織制定等級保護對象安全建設(shè)規(guī)劃，指導(dǎo)公司逐步實現(xiàn)網(wǎng)絡(luò)安全策略、方針和原則的要求。安全建設(shè)規(guī)劃中需要明確系統(tǒng)的近期安全建設(shè)計劃和遠期安全建設(shè)計劃。3.12.2等級保護對象安全建設(shè)規(guī)劃要求：確定安全建設(shè)目標。依據(jù)集團公司等級保護對象總體安全方案、信息化建設(shè)的中長期發(fā)展規(guī)劃和網(wǎng)絡(luò)安全建設(shè)資金狀況確定各個時期的安全建設(shè)目標。安全建設(shè)內(nèi)容規(guī)劃。根據(jù)安全建設(shè)目標和等級保護對象總體安全方案的要求，設(shè)計分期分批的主要建設(shè)內(nèi)容，并將建設(shè)內(nèi)容組合成不同的項目，闡明項目之間的依賴或促進關(guān)系等。形成安全建設(shè)項目計劃。根據(jù)安全建設(shè)目標和安全建設(shè)內(nèi)容，在時間和經(jīng)費上對安全建設(shè)項目列表進行總體考慮，將安全建設(shè)項目劃分到不同的時期和階段，設(shè)計建設(shè)順序，進行投資估算，形成安全建設(shè)項目計劃。3.12.3安全建設(shè)項目計劃應(yīng)包含以下內(nèi)容：(一)規(guī)劃建設(shè)的依據(jù)和原則；(二)規(guī)劃建設(shè)的目標和范圍；(三)等級保護對象安全現(xiàn)狀；(四)信息化的中長期發(fā)展規(guī)劃；(五)等級保護對象安全建設(shè)的總體框架；(六)安全技術(shù)體系建設(shè)規(guī)劃；(七)安全管理與安全保障體系建設(shè)規(guī)劃；(八)安全建設(shè)投資估算；(九)等級保護對象安全建設(shè)的實施保障等內(nèi)容。3.12.4等級保護對象建設(shè)管理部門按照相關(guān)流程提交項目立項報告和規(guī)劃方案，由工控網(wǎng)絡(luò)安全和信息化工作辦公室審核批準后方可采用。3.13方案設(shè)計階段3.13.1機動部根據(jù)等級保護對象的等級劃分情況，以及等級保護對象的保護等級與其他級別等級保護對象的關(guān)系統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案，設(shè)計內(nèi)容應(yīng)包含密碼相關(guān)內(nèi)容，并形成配套文件。3.13.2等級保護對象安全建設(shè)項目立項后，等級保護對象建設(shè)管理部門組織制定詳細的安全建設(shè)方案，方案內(nèi)容應(yīng)包括技術(shù)措施實現(xiàn)內(nèi)容設(shè)計和管理措施實現(xiàn)內(nèi)容設(shè)計兩部分。3.13.3技術(shù)措施實現(xiàn)內(nèi)容設(shè)計。根據(jù)建設(shè)目標和建設(shè)內(nèi)容將等級保護對象總體安全方案中要求實現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔，使得在網(wǎng)絡(luò)安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)。3.13.4管理措施實現(xiàn)內(nèi)容設(shè)計。結(jié)合系統(tǒng)實際安全管理需要和本次技術(shù)建設(shè)內(nèi)容，確定本次安全管理建設(shè)的范圍和內(nèi)容，同時注意與等級保護對象總體安全方案的一致性。安全管理設(shè)計的內(nèi)容主要考慮：安全管理機構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。3.13.5安全詳細設(shè)計方案包含以下內(nèi)容：(一)本期建設(shè)目標和建設(shè)內(nèi)容；(二)技術(shù)實現(xiàn)框架；(三)網(wǎng)絡(luò)安全產(chǎn)品或組件功能及性能；(四)網(wǎng)絡(luò)安全產(chǎn)品或組件部署；(五)安全策略和配置；(六)配套的安全管理建設(shè)內(nèi)容；(七)工程實施計劃；(八)項目投資概算。3.13.6工控網(wǎng)絡(luò)安全和信息化工作辦公室組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定。3.13.7工控網(wǎng)絡(luò)安全和信息化工作辦公室對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件審批后，針對等級保護三級及以上的等級保護對象，還應(yīng)邀請有關(guān)安全專家對配套文件的合理性和論證性進行論證和審定，才能正式實施。3.13.8機動部根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件。3.14項目實施階段管理要求3.14.1在項目實施之前，由項目實施單位制定詳細的項目實施方案，項目實施方案需要經(jīng)過機動部的審批方可采用。3.14.2項目實施方案是項目建設(shè)的具體指導(dǎo)文件，要求可操作性強，具體落實到產(chǎn)品的安裝、部署和配置中。3.14.3項目實施方案應(yīng)包括但不限于：進度管理、質(zhì)量管理、問題管理、風(fēng)險管理等。3.14.4項目實施單位在實際項目實施中應(yīng)按照項目實施方案對實施過程進行進度控制、質(zhì)量控制、問題控制和風(fēng)險控制，并定期向等級保護對象建設(shè)管理部門提交階段性工作報告等文檔。3.14.5應(yīng)通過第三方工程監(jiān)理控制項目的實施過程。3.14.6項目實施單位和監(jiān)理單位（如有）共同制定項目實施方面的管理制度，明確說明實施過程的控制方法和參與人員的行為準則，實施管理制度需要得到機動部的審核和批準。3.14.7項目實施單位在項目實施過程中，應(yīng)使用主動控制的方法：（一）預(yù)測和估計潛在的風(fēng)險，在問題發(fā)生之前采取有效的防范措施；（二）評價項目的現(xiàn)狀和進展趨勢，分析其影響并提出建設(shè)性意見；（三）對項目狀態(tài)持續(xù)不斷的跟蹤、監(jiān)測，有效而經(jīng)濟地預(yù)防意外事故。3.14.8在項目實施過程中，機動部相關(guān)負責(zé)人應(yīng)與項目實施單位負責(zé)人從組織措施、經(jīng)濟措施和信息管理等方面，對項目的進度、質(zhì)量、成本和存在的風(fēng)險進行控制。3.14.9項目執(zhí)行過程中為了保障項目在預(yù)期的目標（進度、質(zhì)量/范圍、成本）范圍內(nèi)完成，必須嚴格執(zhí)行項目計劃，盡量避免項目需求變更和人員變更。如果出現(xiàn)不可預(yù)知的因素導(dǎo)致項目變更，必須及時調(diào)整項目目標、項目計劃，并通知機動部主管該項目的管理人員，由其簽字確認。3.14.10項目負責(zé)人應(yīng)根據(jù)項目計劃的關(guān)鍵里程碑，在項目執(zhí)行過程中關(guān)注關(guān)鍵里程碑的執(zhí)行情況，針對項目中出現(xiàn)的變更采用補救、更新計劃等方式進行處理。3.14.11項目實施人員在公司開展實施工作時，需遵守昌邑石化相關(guān)管理規(guī)定。3.15等級保護對象測試驗收與交付管理要求3.15.1等級保護對象建設(shè)管理部門負責(zé)等級保護對象測試驗收與交付管理工作；負責(zé)委托第三方測試機構(gòu)對系統(tǒng)進行安全性測試。3.15.2在測試驗收前，第三方測試機構(gòu)應(yīng)根據(jù)設(shè)計方案或合同要求等組織制定安全性測試方案?！栋踩詼y試方案》的內(nèi)容應(yīng)包括但不限于：測試目標、測試描述、測試準備、測試內(nèi)容（包括惡意代碼檢測等安全測試內(nèi)容）、交付材料。3.15.3等級保護對象建設(shè)管理部門應(yīng)對第三方測試機構(gòu)提交的《安全性測試方案》進行審核，審核通過后按照《安全性測試方案》開展測試活動。第三方測試機構(gòu)在測試過程中應(yīng)詳細記錄測試結(jié)果，并形成《安全性測試報告》。3.15.4第三方測試機構(gòu)應(yīng)負責(zé)編制《安全性測試報告》，包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容，并提交等級保護對象建設(shè)管理部門審核。3.15.5項目結(jié)束后，項目實施單位提出最終驗收申請，提交各個階段的交付物，等級保護對象建設(shè)管理部門將組織驗收小組負責(zé)項目驗收工作。3.15.6驗收小組應(yīng)根據(jù)設(shè)計方案和合同相關(guān)要求，檢查項目實施單位的完成度和符合度，對未完成的工作或不符合要求的工作提出整改意見，并由項目實施單位進行整改直到符合要求為止。3.15.7項目實施單位應(yīng)提交《最終驗收申請表》、《后續(xù)問題解決方案》、《交付物清單》、《總結(jié)報告》、《安全性測試報告》，并經(jīng)等級保護對象建設(shè)管理部門審核后方