石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度

石化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度1基本要求本辦法所稱工業(yè)控制系統(tǒng)（以下簡(jiǎn)稱工控系統(tǒng)）是指石化生產(chǎn)裝置中所使用的自控系統(tǒng)及輔助單元，自控系統(tǒng)包括分散控制系統(tǒng)（DCS）、數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、可編程控制器系統(tǒng)（PLC）、機(jī)組控制系統(tǒng)（CCS）、安全儀表系統(tǒng)（SIS）、氣體檢測(cè)系統(tǒng)（GDS）等。工控系統(tǒng)按其對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高級(jí)劃分為五級(jí)。1.3等級(jí)保護(hù)定級(jí)管理對(duì)象適用于擬建、在建以及運(yùn)行的工控系統(tǒng)。2部門職責(zé)2.1機(jī)動(dòng)部2.1.1機(jī)動(dòng)部是工控系統(tǒng)管理的主管部門。2.1.2負(fù)責(zé)檢查、監(jiān)督、變更審批、維護(hù)管理和考核。2.1.3負(fù)責(zé)新增項(xiàng)目技術(shù)方案的交流及選擇，技術(shù)方案的審批、投資預(yù)算的申報(bào)、項(xiàng)目的實(shí)施、驗(yàn)收等。2.1.4負(fù)責(zé)備品備件的審批工作。2.1.5對(duì)工控系統(tǒng)等級(jí)保護(hù)對(duì)象定級(jí)、備案、測(cè)評(píng)工作和整改工作總體負(fù)責(zé)，有組織、管理和協(xié)調(diào)的責(zé)任。負(fù)責(zé)組織并建立工控網(wǎng)絡(luò)安全和信息化工作辦公室。2.2管理信息部負(fù)責(zé)工控系統(tǒng)的安全防護(hù)工作；負(fù)責(zé)工控系統(tǒng)的運(yùn)行維護(hù)工作；配合機(jī)動(dòng)部完成新增項(xiàng)目的技術(shù)方案的交流、選擇及實(shí)施和驗(yàn)收等。配合機(jī)動(dòng)部完成工控系統(tǒng)等級(jí)保護(hù)對(duì)象定級(jí)、備案、測(cè)評(píng)工作和整改工作。2.3各運(yùn)行部室作為工控系統(tǒng)的使用單位，負(fù)責(zé)保護(hù)好工控系統(tǒng)的資產(chǎn)安全。管理內(nèi)容和方法工控系統(tǒng)操作室及機(jī)柜間管理3.1.1運(yùn)行部應(yīng)每周對(duì)操作室進(jìn)行清掃，保持操作室內(nèi)清潔衛(wèi)生。3.1.2運(yùn)行部負(fù)責(zé)操作臺(tái)面、顯示器、打印機(jī)和操作臺(tái)抽屜內(nèi)日常清潔衛(wèi)生，嚴(yán)禁存放一切與系統(tǒng)無關(guān)的工具、雜物。3.1.3操作室內(nèi)物品應(yīng)擺放整齊，記錄紙、安全帽、工具、手套等物品要在指定地方擺放。操作人員不得在操作室內(nèi)吃飯和吃零食。3.1.5操作人員必須愛護(hù)工控系統(tǒng)設(shè)備，不許在控制系統(tǒng)操作站和操作臺(tái)涂寫和做記號(hào)，操作站和操作臺(tái)不得有油漬、字跡等，不得隨意損壞操作臺(tái)油漆，不得破壞控制系統(tǒng)機(jī)柜間門鎖和機(jī)柜門鎖。3.1.6操作人員要正確操作控制系統(tǒng)，避免人為損害控制系統(tǒng)，不得在控制系統(tǒng)上做與工藝生產(chǎn)無關(guān)的操作。3.1.7操作站、操作臺(tái)電源嚴(yán)禁接入其他電器、移動(dòng)設(shè)備等。3.1.8未經(jīng)允許不準(zhǔn)在操作電腦上插U盤或移動(dòng)硬盤。3.1.9管理信息部負(fù)責(zé)保持操作站和操作臺(tái)內(nèi)工控系統(tǒng)設(shè)備的清潔衛(wèi)生。3.1.10非管理信息部人員在操作站、操作臺(tái)和機(jī)柜間內(nèi)施工作業(yè)，應(yīng)由管理信息部維護(hù)人員監(jiān)護(hù)，并告知運(yùn)行部做好應(yīng)急預(yù)案。3.1.11管理信息部是控制系統(tǒng)機(jī)柜間管理的責(zé)任單位，對(duì)控制系統(tǒng)的安全運(yùn)行負(fù)責(zé)，應(yīng)采取有效措施確保設(shè)備正常運(yùn)行。機(jī)柜間的設(shè)計(jì)應(yīng)符合《SH/T3006-2012石油化工控制室設(shè)計(jì)規(guī)范》標(biāo)準(zhǔn)，機(jī)柜間溫度、濕度、衛(wèi)生、通風(fēng)等必須滿足控制系統(tǒng)設(shè)計(jì)規(guī)定的要求。3.1.12控制系統(tǒng)機(jī)柜間門平時(shí)應(yīng)上鎖，無關(guān)人員未經(jīng)批準(zhǔn)嚴(yán)禁進(jìn)入機(jī)柜間，進(jìn)入機(jī)柜間作業(yè)人員要按規(guī)定進(jìn)行著裝，在進(jìn)入機(jī)柜間前，必須采取靜電釋放措施，消除靜電。3.1.13管理信息部要保持機(jī)柜間環(huán)境必須符合控制系統(tǒng)要求，機(jī)柜間內(nèi)設(shè)置溫濕度計(jì)，確保機(jī)柜間內(nèi)溫度：20-25°C、濕度：40-60%，不允許結(jié)露，干凈整潔，無明顯灰塵。3.1.14機(jī)柜間墻面布置控制室管理制度、機(jī)柜布置圖及巡檢牌等設(shè)置，設(shè)置資料柜放置儀表資料和軟件備份，設(shè)置備件柜放置控制系統(tǒng)備件。3.1.15機(jī)柜間儀表電纜進(jìn)線口、接地島要有明顯標(biāo)示，機(jī)柜要有統(tǒng)一標(biāo)識(shí)，機(jī)柜內(nèi)的儀表設(shè)備、端子和接線要有標(biāo)識(shí)、且清晰正確和齊全，機(jī)柜要有接線圖，配電柜要有配電圖。3.1.16管理信息部要保持控制系統(tǒng)機(jī)柜內(nèi)部工控設(shè)備的清潔衛(wèi)生，每季度做好清潔衛(wèi)生。3.1.17根據(jù)工廠的發(fā)展，需在控制系統(tǒng)機(jī)柜間安裝非工控系統(tǒng)設(shè)備時(shí)，項(xiàng)目主管單位應(yīng)組織設(shè)計(jì)審查，綜合考慮控制系統(tǒng)機(jī)柜間設(shè)備安裝位置，不得影響機(jī)柜間設(shè)備平面和豎向布置。3.1.18在控制系統(tǒng)機(jī)柜間施工，要有施工方案，得到管理信息部書面認(rèn)可，機(jī)動(dòng)部批準(zhǔn)后，施工單位方可施工。施工單位施工時(shí)要服從管理信息部管理，嚴(yán)格按照設(shè)計(jì)圖紙和施工規(guī)范施工，保證施工質(zhì)量，不能影響機(jī)柜間控制系統(tǒng)的正常運(yùn)行，管理信息部及運(yùn)行部做好應(yīng)急預(yù)案。3.1.19管理信息部負(fù)責(zé)機(jī)柜間內(nèi)控制系統(tǒng)日常巡檢、專檢和故障處理，相關(guān)單位負(fù)責(zé)非管理信息部所負(fù)責(zé)設(shè)備的巡檢和故障處理，在巡檢和故障處理時(shí)，管理信息部人員要全程監(jiān)護(hù)，并做好記錄。3.1.20管理信息部要切實(shí)做好防小動(dòng)物措施，進(jìn)入機(jī)柜間電纜通道要采用填沙等方法進(jìn)行封堵、機(jī)柜門要關(guān)嚴(yán)，機(jī)柜內(nèi)電纜進(jìn)線口設(shè)置蓋板，電纜地溝放置滅鼠器，機(jī)柜間入口設(shè)置防鼠板等。每月對(duì)防小動(dòng)物措施進(jìn)行檢查并做好記錄。3.1.21機(jī)柜間內(nèi)嚴(yán)禁帶入食物、液體、易燃易爆和有毒有害物品，不得在機(jī)柜間內(nèi)堆放雜物，機(jī)柜上嚴(yán)禁放任何物品，嚴(yán)禁在機(jī)柜間內(nèi)吸煙。3.1.22機(jī)柜間內(nèi)消防設(shè)施要配備齊全，并保證在有效期限內(nèi)。3.1.23機(jī)柜間內(nèi)嚴(yán)禁使用對(duì)講機(jī)等易帶來干擾的設(shè)備。3.1.24機(jī)柜間關(guān)鍵設(shè)備應(yīng)有備品備件，并定期檢查和測(cè)試做好記錄。3.1.25控制柜門應(yīng)處于封閉狀態(tài)，減少灰塵堿塵進(jìn)入。3.1.26臨時(shí)用電一律不得接入DCS系統(tǒng)電源。3.1.27嚴(yán)禁在機(jī)柜間內(nèi)做與工作無關(guān)的事情。3.1.28嚴(yán)禁在機(jī)柜間內(nèi)使用電焊機(jī)、沖擊鉆等強(qiáng)電磁干擾設(shè)備。3.1.29機(jī)柜間內(nèi)進(jìn)線必須按照規(guī)范施工，嚴(yán)禁私拉亂接嚴(yán)禁各類線纜互相纏繞交叉。3.1.30對(duì)機(jī)柜間孔洞及時(shí)封堵，防止灰塵、堿塵、水汽進(jìn)入。3.1.31機(jī)柜間屋頂和窗戶做好防水，防止DCS設(shè)備損壞。3.1.32機(jī)動(dòng)部負(fù)責(zé)定期對(duì)機(jī)柜間接地極阻值測(cè)量。3.2工控系統(tǒng)資產(chǎn)管理3.2.1工控系統(tǒng)資產(chǎn)包括硬件類、軟件類、信息類。各項(xiàng)資產(chǎn)內(nèi)容如下：硬件類：指物理上存在的資產(chǎn)，包括控制器、卡件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、供電設(shè)施、操作站、機(jī)柜間環(huán)境設(shè)備、外設(shè)等；軟件類：指為購(gòu)買或自主開發(fā)的所有軟件產(chǎn)品，包括應(yīng)用軟件、系統(tǒng)軟件等；信息類：指所有電子數(shù)據(jù)信息，主要包括應(yīng)用數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、安全數(shù)據(jù)等數(shù)據(jù)庫(kù)和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作和支持程序、存檔信息等；3.2.2管理信息部設(shè)立資產(chǎn)管理崗位，由資產(chǎn)管理員負(fù)責(zé)所有工控系統(tǒng)資產(chǎn)的全面統(tǒng)一管理，建立工控系統(tǒng)資產(chǎn)清單，并維護(hù)其準(zhǔn)確性與完整性。3.2.3管理信息部資產(chǎn)管理員應(yīng)對(duì)所有工控系統(tǒng)資產(chǎn)進(jìn)行實(shí)物盤點(diǎn)、核對(duì)工作，并每年將資產(chǎn)清單上報(bào)機(jī)動(dòng)部備案。3.2.4所有工控系統(tǒng)產(chǎn)品保修證書統(tǒng)一由機(jī)動(dòng)部編號(hào)保管。3.2.5工控系統(tǒng)資產(chǎn)大修、更新、報(bào)廢，按照相應(yīng)的固定資產(chǎn)管理規(guī)定執(zhí)行。3.3工控系統(tǒng)設(shè)備安全管理3.3.1管理信息部負(fù)責(zé)工控系統(tǒng)設(shè)備的安全管理和運(yùn)行維護(hù)工作。3.3.2工控系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、驗(yàn)收均遵照儀表設(shè)備管理制度》執(zhí)行。3.3.3設(shè)備如需外委維修，由管理信息部按制度辦理相關(guān)手續(xù)，并做好記錄（參照附件）。3.3.4設(shè)備維修人員在維修過程中，如需更換配件，應(yīng)由管理信息部技術(shù)員對(duì)故障確認(rèn)和型號(hào)核對(duì)，填寫《設(shè)備維修記錄表》（格式見附件1）和控制系統(tǒng)維修風(fēng)險(xiǎn)作業(yè)申請(qǐng)單（格式見附件2），確定后再進(jìn)行更換。3.3.5設(shè)備如需外單位維修人員進(jìn)行現(xiàn)場(chǎng)維修，應(yīng)由管理信息部技術(shù)人員提出申請(qǐng)，填寫《設(shè)備維修記錄表》（格式見附件）和控制系統(tǒng)維修風(fēng)險(xiǎn)作業(yè)申請(qǐng)單（格式見附件），由技術(shù)人員監(jiān)護(hù)開展維修工作。嚴(yán)禁外單位維修人員擅自讀取和拷貝設(shè)備的存儲(chǔ)信息。3.3.6管理信息部負(fù)責(zé)制定控制系統(tǒng)配套設(shè)施、軟硬件設(shè)備的巡檢表格（請(qǐng)見附件）和維護(hù)規(guī)程并定期更新。3.3.7重要通訊線纜埋放和架空地點(diǎn)應(yīng)有明顯警示標(biāo)識(shí)，防止因施工等原因?qū)е乱馔馄茐摹?.3.8管理信息部應(yīng)指定專人對(duì)工控系統(tǒng)控制器、操作站、工程師站、卡件等硬件及配套設(shè)施，每周巡檢二次，發(fā)現(xiàn)問題及時(shí)處理。巡檢應(yīng)對(duì)照巡檢記錄表逐項(xiàng)檢查，巡檢記錄表保存一年。3.3.9機(jī)動(dòng)部每周對(duì)巡檢情況和結(jié)果進(jìn)行抽查，發(fā)現(xiàn)問題追查原因，如屬人為應(yīng)追究當(dāng)事人責(zé)任。3.3.10管理信息部指定專人負(fù)責(zé)工程師站密碼管理，不得泄漏，并半年更換一次。工控系統(tǒng)網(wǎng)絡(luò)安全管理3.4.1管理信息部指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作。3.4.2嚴(yán)格限制企業(yè)管理網(wǎng)絡(luò)與工控系統(tǒng)網(wǎng)絡(luò)連接，禁止沒有防護(hù)的工控系統(tǒng)網(wǎng)絡(luò)與其它網(wǎng)絡(luò)連接。3.4.3管理信息部應(yīng)每月檢查一次違反網(wǎng)絡(luò)安全策略的行為。3.4.4管理信息部利用大檢修時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，并做好掃描和處置記錄。3.4.5網(wǎng)絡(luò)設(shè)備中的運(yùn)行配置文件和啟動(dòng)配置文件應(yīng)隨時(shí)保持一致。3.4.6所有網(wǎng)絡(luò)設(shè)備的拓?fù)浣Y(jié)構(gòu)、IP地址和網(wǎng)絡(luò)配置文件應(yīng)有文檔記錄。如對(duì)網(wǎng)絡(luò)配置信息進(jìn)行修改，應(yīng)獲得機(jī)動(dòng)部的批準(zhǔn)后方可進(jìn)行。3.4.7管理信息部負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的日常檢查，每季度對(duì)網(wǎng)絡(luò)配置信息的安全狀況進(jìn)行檢查和分析，檢查工作應(yīng)保留日志記錄，發(fā)現(xiàn)異常情況及時(shí)處理，并報(bào)告上級(jí)主管。3.4.8應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備實(shí)行每天24小時(shí)監(jiān)控，確保網(wǎng)絡(luò)設(shè)備的安全運(yùn)轉(zhuǎn)，如需進(jìn)行斷電維護(hù)等操作，應(yīng)報(bào)機(jī)動(dòng)部備案審批。3.4.9管理信息部指定專人定期對(duì)網(wǎng)絡(luò)系統(tǒng)的日志文件進(jìn)行備份，日志文件保存時(shí)間應(yīng)在6個(gè)月以上。3.4.10指定專人負(fù)責(zé)網(wǎng)絡(luò)設(shè)備密碼管理，不得泄漏，并定期更換，應(yīng)按最小授權(quán)原則對(duì)網(wǎng)絡(luò)設(shè)備的登錄帳號(hào)設(shè)置權(quán)限級(jí)別。3.4.11管理信息部維護(hù)人員不得私開用戶權(quán)限給其它人員，應(yīng)在網(wǎng)絡(luò)設(shè)備上進(jìn)行相應(yīng)設(shè)置，禁止遠(yuǎn)程登錄，保證網(wǎng)絡(luò)安全。3.4.12應(yīng)保證網(wǎng)絡(luò)設(shè)備用戶身份標(biāo)志的唯一性。不同用戶的登錄操作在設(shè)備日志文件上均應(yīng)有記錄。3.4.13訪問控制禁止工控系統(tǒng)向其他網(wǎng)絡(luò)開通HTTP、FTP、TELNET等網(wǎng)絡(luò)服務(wù)。禁止從企業(yè)外部遠(yuǎn)程訪問、維護(hù)各套工控系統(tǒng)。嚴(yán)禁限制企業(yè)內(nèi)部工程師站和操作站安裝遠(yuǎn)程桌面控制軟件。保留并定期備份訪問日志，對(duì)登錄賬戶、訪問時(shí)間、操作內(nèi)容等日志信息進(jìn)行安全審計(jì)。禁止第三方未經(jīng)國(guó)家授權(quán)對(duì)運(yùn)行中的工控系統(tǒng)進(jìn)行滲透測(cè)試和攻擊測(cè)試。工控第三方供應(yīng)商現(xiàn)場(chǎng)服務(wù)需要訪問工控系統(tǒng)時(shí)，應(yīng)提交工作內(nèi)容、工作計(jì)劃和安全措施，經(jīng)企業(yè)審核批準(zhǔn)后方可進(jìn)行。工控系統(tǒng)系統(tǒng)安全管理3.5.1工控系統(tǒng)的用戶管理、權(quán)限管理應(yīng)充分利用操作系統(tǒng)和權(quán)限鑰匙安全性能，提高系統(tǒng)的安全性。登錄、訪問工控系統(tǒng)計(jì)算機(jī)應(yīng)采用口令密碼、密鑰、指紋、IC卡等手段進(jìn)行身份認(rèn)證管理，采用口令密碼時(shí)，設(shè)置強(qiáng)口令密碼，并定期更新。合理分類設(shè)置用戶權(quán)限，按量小特權(quán)原則分配賬戶權(quán)限。每半年審計(jì)用戶和權(quán)限，并做審計(jì)記錄。應(yīng)加強(qiáng)身份認(rèn)證信息保護(hù)，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。3.5.2應(yīng)根據(jù)裝置崗位操作需求和系統(tǒng)安全分析，制定系統(tǒng)的訪問控制策略，分配系統(tǒng)操作區(qū)域、操作及修改參數(shù)的權(quán)限，并進(jìn)行嚴(yán)格的審計(jì)，保存審計(jì)記錄。3.5.3指定專人負(fù)責(zé)工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)、工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)，其余任何人不得隨意更改配置。3.5.4應(yīng)在大檢修期間由原廠家對(duì)系統(tǒng)進(jìn)行漏洞掃描、打補(bǔ)丁、軟件測(cè)試等安全防范工作，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)。3.5.5應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)系統(tǒng)軟件或操作系統(tǒng)升級(jí)，升級(jí)安裝前，應(yīng)對(duì)重要文件進(jìn)行備份后，并建立應(yīng)急恢復(fù)機(jī)制，方可實(shí)施系統(tǒng)升級(jí)程序的安裝。3.5.6對(duì)系統(tǒng)軟件嚴(yán)禁修改，組態(tài)工程軟件修改須履行變更手續(xù)，且必須有安全防范措施。3.5.7系統(tǒng)應(yīng)提供完善的審計(jì)功能，對(duì)工控系統(tǒng)硬件配置的增加、修改和刪除都能記錄相應(yīng)的修改時(shí)間、操作人和修改前的數(shù)據(jù)記錄。3.5.8應(yīng)定期對(duì)運(yùn)行日志和審計(jì)結(jié)果進(jìn)行分析，形成分析報(bào)告，報(bào)告內(nèi)容應(yīng)包括但不限于：帳戶的連續(xù)多次登錄失敗、訪問受限系統(tǒng)或文件的失敗嘗試、系統(tǒng)錯(cuò)誤等非正常事件等。3.5.9制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異常或故障時(shí)，應(yīng)立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，并逐級(jí)上報(bào)各級(jí)主管部門，同時(shí)注意保護(hù)現(xiàn)場(chǎng)，以便進(jìn)行調(diào)查取證；每年對(duì)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，并做好記錄。必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。機(jī)動(dòng)部對(duì)演練和修訂情況要定期檢查。工控系統(tǒng)惡意代碼防范管理3.6.1管理信息部安全管理員的職責(zé)如下：（一）對(duì)工控系統(tǒng)出現(xiàn)的病毒追蹤其根源，查找病毒傳播者。（二）對(duì)于不能立即解決的病毒問題，應(yīng)及時(shí)組織協(xié)同相關(guān)的技術(shù)和業(yè)務(wù)人員進(jìn)行跟蹤解決，在問題解決前盡快采取相應(yīng)措施阻止事件進(jìn)一步擴(kuò)大。（三）對(duì)病毒的發(fā)作時(shí)間、發(fā)作現(xiàn)象、清除等信息進(jìn)行維護(hù)、備案、并制作案例。相關(guān)工作日志的保存和歸檔。禁止任何部門或員工以任何名義制造、傳播、復(fù)制、收集惡意代碼。3.6.3大檢修期間由原廠家對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)，并保存檢測(cè)記錄。3.6.4工控系統(tǒng)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗(yàn)證測(cè)試的應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。3.6.5拆除或封閉工控系統(tǒng)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問機(jī)制。3.6.6嚴(yán)禁使用任何未經(jīng)防病毒軟件檢測(cè)過的存儲(chǔ)介質(zhì)。光盤以及其它移動(dòng)存儲(chǔ)介質(zhì)在使用前應(yīng)進(jìn)行病毒檢測(cè)。3.6.7嚴(yán)禁安裝或使用未經(jīng)檢測(cè)過的軟件或帶毒軟件。工控系統(tǒng)賬戶與口令安全管理3.7.1管理信息部指定專人負(fù)責(zé)工控系統(tǒng)的賬戶、應(yīng)用特權(quán)賬戶的安全使用與管理；新增與變更上報(bào)機(jī)動(dòng)部審批，每半年開展審核工作。工控系統(tǒng)原則上設(shè)立三級(jí)賬戶，管理員級(jí)、班長(zhǎng)級(jí)、操作員級(jí)，分別由業(yè)務(wù)部門技術(shù)員、工藝班長(zhǎng)、工藝操作人員使用。3.7.2如發(fā)生以下情況，應(yīng)立即禁用賬戶或更改口令：賬戶使用者已經(jīng)離職；賬戶使用者由于工作的變動(dòng)不再需要訪問權(quán)限；上級(jí)主管人員認(rèn)為不應(yīng)再具有訪問權(quán)限。3.7.3應(yīng)設(shè)置口令管理策略，確保口令設(shè)置符合下列要求：（一）密碼設(shè)置不得使用最近3次以內(nèi)重復(fù)的口令；（二）密碼重復(fù)嘗試5次以后應(yīng)暫停該賬戶登錄。（三）密碼應(yīng)由不少于8位的大小寫字母、數(shù)字以及特殊字符三種或三種以上組合組成。3.7.4賬戶口令持有人須妥善保存口令，口令不得以明文方式存放于可公共訪問的設(shè)備中。3.7.5如發(fā)生以下情況，相關(guān)口令必須立即更改并做好記錄：掌握口令的員工轉(zhuǎn)崗或離崗；廠商完成維護(hù)工作；相關(guān)廠商或第三方公司使用了賬戶及口令；有跡象表明口令可能被泄露。3.8工控系統(tǒng)變更管理3.8.1變更是指對(duì)工控系統(tǒng)有影響的任何增加、修改或刪除的操作，變更的對(duì)象包括組態(tài)修改、硬件增減及相關(guān)參數(shù)變動(dòng)等。3.8.2組態(tài)工程軟件變更由管理信息部填寫《控制系統(tǒng)維修風(fēng)險(xiǎn)作業(yè)申請(qǐng)單》，報(bào)機(jī)動(dòng)部及主管領(lǐng)導(dǎo)審批后，由管理信息部實(shí)施。3.8.3硬件增減變更由管理信息部填寫《控制系統(tǒng)維修風(fēng)險(xiǎn)作業(yè)申請(qǐng)單》，報(bào)機(jī)動(dòng)部及主管領(lǐng)導(dǎo)審批后，由管理信息部實(shí)施。3.8.4確定發(fā)生變更，應(yīng)制定變更計(jì)劃和變更方案，報(bào)機(jī)動(dòng)部及主管領(lǐng)導(dǎo)審批。管理信息部及運(yùn)行部做好風(fēng)險(xiǎn)評(píng)價(jià)和應(yīng)急預(yù)案。3.8.5變更的申報(bào)和審批流程，依照相應(yīng)的變更管理規(guī)定實(shí)施。并記錄變更實(shí)施過程。工控系統(tǒng)介質(zhì)和備份恢復(fù)管理3.9.1管理信息部負(fù)責(zé)工控系統(tǒng)系統(tǒng)軟件、應(yīng)用軟件和信息載體的原始存儲(chǔ)介質(zhì)及備份管理。3.9.2管理信息部應(yīng)對(duì)原始存儲(chǔ)介質(zhì)及定期備份的重要應(yīng)用軟件、系統(tǒng)數(shù)據(jù)及軟件建立備份清單。3.9.3原始存儲(chǔ)介質(zhì)及備份介質(zhì)應(yīng)存放于專用介質(zhì)柜中，并由專人進(jìn)行管理。介質(zhì)存放時(shí)，應(yīng)用標(biāo)簽標(biāo)明介質(zhì)類型（包括原件及拷貝件）。3.9.4每三個(gè)月對(duì)介質(zhì)及備份清單和存儲(chǔ)庫(kù)盤點(diǎn)一次。對(duì)所有介質(zhì)的出庫(kù)和入庫(kù)情況，以及介質(zhì)的轉(zhuǎn)移和使用情況進(jìn)行記錄。3.9.5工控系統(tǒng)應(yīng)用軟件修改申請(qǐng)經(jīng)審批后，修改執(zhí)行前應(yīng)做好備份，下裝后重新備份，并做好記錄。3.9.6為保證工控系統(tǒng)故障時(shí)能及時(shí)恢復(fù)，須在系統(tǒng)修改、大修前做好系統(tǒng)軟件和應(yīng)用軟件備份工作，系統(tǒng)軟件和應(yīng)用軟件必須雙備份，并異地妥善保管。軟件備份要注明軟件名稱、修改日期、修改人，版本號(hào)并將有關(guān)修改設(shè)計(jì)資料存檔。備份工作采用專用設(shè)備、專人備份、專人保管，確保保管環(huán)境。3.9.7管理信息部每半年檢查和測(cè)試備份介質(zhì)的有效性，避免程序損壞。3.9.8管理信息部應(yīng)指定專人對(duì)所有備份恢復(fù)活動(dòng)進(jìn)行文檔記錄，記錄內(nèi)容包括備份時(shí)間、備份內(nèi)容、備份操作、備份介質(zhì)存放等。3.9.9機(jī)動(dòng)部應(yīng)定期對(duì)所有備份恢復(fù)工作及備份恢復(fù)文檔進(jìn)行監(jiān)督檢查。3.10等級(jí)保護(hù)對(duì)象定級(jí)管理3.10.1機(jī)動(dòng)部負(fù)責(zé)對(duì)擬建、在建以及運(yùn)行的工控系統(tǒng)等級(jí)保護(hù)對(duì)象根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》相關(guān)方法進(jìn)行業(yè)務(wù)信息和系統(tǒng)服務(wù)定級(jí)，確定系統(tǒng)服務(wù)安全保護(hù)等級(jí)，起草等級(jí)保護(hù)對(duì)象定級(jí)報(bào)告。3.10.2等級(jí)保護(hù)對(duì)象使用部門應(yīng)全力配合機(jī)動(dòng)部的等級(jí)保護(hù)對(duì)象定級(jí)工作。3.10.3機(jī)動(dòng)部主導(dǎo)對(duì)擬建、在建以及運(yùn)行的等級(jí)保護(hù)對(duì)象，應(yīng)按照《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》要求和《信息安全技術(shù)網(wǎng)絡(luò)安全保護(hù)等級(jí)定級(jí)指南》的方案，進(jìn)行等級(jí)保護(hù)對(duì)象定級(jí)工作。3.10.4機(jī)動(dòng)部聘請(qǐng)專家對(duì)等級(jí)保護(hù)對(duì)象保護(hù)等級(jí)預(yù)定級(jí)結(jié)果進(jìn)行評(píng)審，參照評(píng)審意見最后確定等級(jí)保護(hù)對(duì)象保護(hù)等級(jí)并形成定級(jí)報(bào)告以及書面材料。3.10.5專家評(píng)審意見與預(yù)定級(jí)不一致時(shí)，由機(jī)動(dòng)部確定等級(jí)保護(hù)對(duì)象保護(hù)等級(jí)，并報(bào)主管領(lǐng)導(dǎo)審批同意。3.10.6對(duì)于包含多個(gè)子系統(tǒng)的等級(jí)保護(hù)對(duì)象，在保障等級(jí)保護(hù)對(duì)象安全互聯(lián)和有效信息共享的前提下，機(jī)動(dòng)部應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)定、技術(shù)標(biāo)準(zhǔn)和等級(jí)保護(hù)對(duì)象內(nèi)各子系統(tǒng)的重要程度，分別確定安全保護(hù)等級(jí)。3.10.7等級(jí)保護(hù)對(duì)象定級(jí)應(yīng)遵循以下流程：機(jī)動(dòng)部負(fù)責(zé)填寫《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告》，完成定級(jí)。報(bào)告中應(yīng)明確等級(jí)保護(hù)對(duì)象保護(hù)等級(jí)，詳細(xì)說明定級(jí)的方法和理由，定級(jí)方法詳見《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》。完成定級(jí)后，將《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告》提交工控網(wǎng)絡(luò)安全和信息化工作辦公室進(jìn)行存檔，并將定級(jí)結(jié)果報(bào)網(wǎng)絡(luò)安全和信息化工作管理委員會(huì)審核。定級(jí)過程須組織安全技術(shù)專家對(duì)等級(jí)保護(hù)對(duì)象定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和評(píng)審，并對(duì)專家論證文檔進(jìn)行保存，記錄專家對(duì)定級(jí)結(jié)果的評(píng)審意見。3.10.8等級(jí)保護(hù)對(duì)象發(fā)生重大變更導(dǎo)致安全保護(hù)等級(jí)變化時(shí)，機(jī)動(dòng)部應(yīng)組織重新確定等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)，按相應(yīng)程序報(bào)備，并按新的等級(jí)要求調(diào)整保護(hù)措施。3.11等級(jí)保護(hù)對(duì)象備案管理3.11.1安全保護(hù)等級(jí)為第二級(jí)（含第二級(jí)）以上的等級(jí)保護(hù)對(duì)象在等級(jí)保護(hù)對(duì)象保護(hù)等級(jí)確定后10個(gè)工作日內(nèi)，應(yīng)到公安機(jī)關(guān)辦理備案手續(xù)。3.11.2等級(jí)保護(hù)對(duì)象保護(hù)等級(jí)確定后，由網(wǎng)絡(luò)安全和信息化工作辦公室填寫《等級(jí)保護(hù)對(duì)象安全等級(jí)保護(hù)備案表》（以下簡(jiǎn)稱“《備案表》”)，并進(jìn)行備案工作。3.11.3等級(jí)保護(hù)對(duì)象備案應(yīng)遵循以下流程：向公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提交《備案表》（一式兩份）及其電子文檔。第二級(jí)及以上等級(jí)保護(hù)對(duì)象備案時(shí)需要提交《備案表》中的表一、二、三；第三級(jí)等級(jí)保護(hù)對(duì)象還應(yīng)當(dāng)在系統(tǒng)整改、測(cè)評(píng)完成后30日內(nèi)提交《備案表》表四以及其相關(guān)材料。備案資料經(jīng)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核通過后，會(huì)收到由公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門出具的《網(wǎng)絡(luò)安全等級(jí)保護(hù)備案材料接收回執(zhí)》。公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核后認(rèn)定備案資料不齊全的，會(huì)在當(dāng)場(chǎng)或者在五日內(nèi)一次性告知定級(jí)管理負(fù)責(zé)人其補(bǔ)正內(nèi)容，定級(jí)管理負(fù)責(zé)人應(yīng)根據(jù)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門告知的補(bǔ)正內(nèi)容補(bǔ)齊相關(guān)資料，并提交公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。備案材料經(jīng)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核通過后，會(huì)在遞交材料的十個(gè)工作日內(nèi)收到加蓋公安機(jī)關(guān)印章（或等級(jí)保護(hù)專用章）的《備案表》一份。備案材料經(jīng)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核未通過，認(rèn)為其不符合等級(jí)保護(hù)要求的，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門會(huì)在十個(gè)工作日內(nèi)通知進(jìn)行相應(yīng)整改，并出具《網(wǎng)絡(luò)安全等級(jí)保護(hù)備案審核結(jié)果通知》。收到公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門出具的由公安部統(tǒng)一監(jiān)制《網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明》后，等級(jí)保護(hù)對(duì)象備案工作結(jié)束。3.11.4等級(jí)保護(hù)對(duì)象發(fā)生重大變更導(dǎo)致安全保護(hù)等級(jí)變化時(shí)，機(jī)動(dòng)部應(yīng)組織重新確定等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)，并按相應(yīng)程序重新備案。3.12等級(jí)保護(hù)對(duì)象安全建設(shè)規(guī)劃管理3.12.1機(jī)動(dòng)部組織制定等級(jí)保護(hù)對(duì)象安全建設(shè)規(guī)劃，指導(dǎo)公司逐步實(shí)現(xiàn)網(wǎng)絡(luò)安全策略、方針和原則的要求。安全建設(shè)規(guī)劃中需要明確系統(tǒng)的近期安全建設(shè)計(jì)劃和遠(yuǎn)期安全建設(shè)計(jì)劃。3.12.2等級(jí)保護(hù)對(duì)象安全建設(shè)規(guī)劃要求：確定安全建設(shè)目標(biāo)。依據(jù)集團(tuán)公司等級(jí)保護(hù)對(duì)象總體安全方案、信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃和網(wǎng)絡(luò)安全建設(shè)資金狀況確定各個(gè)時(shí)期的安全建設(shè)目標(biāo)。安全建設(shè)內(nèi)容規(guī)劃。根據(jù)安全建設(shè)目標(biāo)和等級(jí)保護(hù)對(duì)象總體安全方案的要求，設(shè)計(jì)分期分批的主要建設(shè)內(nèi)容，并將建設(shè)內(nèi)容組合成不同的項(xiàng)目，闡明項(xiàng)目之間的依賴或促進(jìn)關(guān)系等。形成安全建設(shè)項(xiàng)目計(jì)劃。根據(jù)安全建設(shè)目標(biāo)和安全建設(shè)內(nèi)容，在時(shí)間和經(jīng)費(fèi)上對(duì)安全建設(shè)項(xiàng)目列表進(jìn)行總體考慮，將安全建設(shè)項(xiàng)目劃分到不同的時(shí)期和階段，設(shè)計(jì)建設(shè)順序，進(jìn)行投資估算，形成安全建設(shè)項(xiàng)目計(jì)劃。3.12.3安全建設(shè)項(xiàng)目計(jì)劃應(yīng)包含以下內(nèi)容：(一)規(guī)劃建設(shè)的依據(jù)和原則；(二)規(guī)劃建設(shè)的目標(biāo)和范圍；(三)等級(jí)保護(hù)對(duì)象安全現(xiàn)狀；(四)信息化的中長(zhǎng)期發(fā)展規(guī)劃；(五)等級(jí)保護(hù)對(duì)象安全建設(shè)的總體框架；(六)安全技術(shù)體系建設(shè)規(guī)劃；(七)安全管理與安全保障體系建設(shè)規(guī)劃；(八)安全建設(shè)投資估算；(九)等級(jí)保護(hù)對(duì)象安全建設(shè)的實(shí)施保障等內(nèi)容。3.12.4等級(jí)保護(hù)對(duì)象建設(shè)管理部門按照相關(guān)流程提交項(xiàng)目立項(xiàng)報(bào)告和規(guī)劃方案，由工控網(wǎng)絡(luò)安全和信息化工作辦公室審核批準(zhǔn)后方可采用。3.13方案設(shè)計(jì)階段3.13.1機(jī)動(dòng)部根據(jù)等級(jí)保護(hù)對(duì)象的等級(jí)劃分情況，以及等級(jí)保護(hù)對(duì)象的保護(hù)等級(jí)與其他級(jí)別等級(jí)保護(hù)對(duì)象的關(guān)系統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，設(shè)計(jì)內(nèi)容應(yīng)包含密碼相關(guān)內(nèi)容，并形成配套文件。3.13.2等級(jí)保護(hù)對(duì)象安全建設(shè)項(xiàng)目立項(xiàng)后，等級(jí)保護(hù)對(duì)象建設(shè)管理部門組織制定詳細(xì)的安全建設(shè)方案，方案內(nèi)容應(yīng)包括技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)和管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)兩部分。3.13.3技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)。根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將等級(jí)保護(hù)對(duì)象總體安全方案中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔，使得在網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和安全控制開發(fā)階段具有依據(jù)。3.13.4管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)。結(jié)合系統(tǒng)實(shí)際安全管理需要和本次技術(shù)建設(shè)內(nèi)容，確定本次安全管理建設(shè)的范圍和內(nèi)容，同時(shí)注意與等級(jí)保護(hù)對(duì)象總體安全方案的一致性。安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。3.13.5安全詳細(xì)設(shè)計(jì)方案包含以下內(nèi)容：(一)本期建設(shè)目標(biāo)和建設(shè)內(nèi)容；(二)技術(shù)實(shí)現(xiàn)框架；(三)網(wǎng)絡(luò)安全產(chǎn)品或組件功能及性能；(四)網(wǎng)絡(luò)安全產(chǎn)品或組件部署；(五)安全策略和配置；(六)配套的安全管理建設(shè)內(nèi)容；(七)工程實(shí)施計(jì)劃；(八)項(xiàng)目投資概算。3.13.6工控網(wǎng)絡(luò)安全和信息化工作辦公室組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定。3.13.7工控網(wǎng)絡(luò)安全和信息化工作辦公室對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件審批后，針對(duì)等級(jí)保護(hù)三級(jí)及以上的等級(jí)保護(hù)對(duì)象，還應(yīng)邀請(qǐng)有關(guān)安全專家對(duì)配套文件的合理性和論證性進(jìn)行論證和審定，才能正式實(shí)施。3.13.8機(jī)動(dòng)部根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。3.14項(xiàng)目實(shí)施階段管理要求3.14.1在項(xiàng)目實(shí)施之前，由項(xiàng)目實(shí)施單位制定詳細(xì)的項(xiàng)目實(shí)施方案，項(xiàng)目實(shí)施方案需要經(jīng)過機(jī)動(dòng)部的審批方可采用。3.14.2項(xiàng)目實(shí)施方案是項(xiàng)目建設(shè)的具體指導(dǎo)文件，要求可操作性強(qiáng)，具體落實(shí)到產(chǎn)品的安裝、部署和配置中。3.14.3項(xiàng)目實(shí)施方案應(yīng)包括但不限于：進(jìn)度管理、質(zhì)量管理、問題管理、風(fēng)險(xiǎn)管理等。3.14.4項(xiàng)目實(shí)施單位在實(shí)際項(xiàng)目實(shí)施中應(yīng)按照項(xiàng)目實(shí)施方案對(duì)實(shí)施過程進(jìn)行進(jìn)度控制、質(zhì)量控制、問題控制和風(fēng)險(xiǎn)控制，并定期向等級(jí)保護(hù)對(duì)象建設(shè)管理部門提交階段性工作報(bào)告等文檔。3.14.5應(yīng)通過第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過程。3.14.6項(xiàng)目實(shí)施單位和監(jiān)理單位（如有）共同制定項(xiàng)目實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和參與人員的行為準(zhǔn)則，實(shí)施管理制度需要得到機(jī)動(dòng)部的審核和批準(zhǔn)。3.14.7項(xiàng)目實(shí)施單位在項(xiàng)目實(shí)施過程中，應(yīng)使用主動(dòng)控制的方法：（一）預(yù)測(cè)和估計(jì)潛在的風(fēng)險(xiǎn)，在問題發(fā)生之前采取有效的防范措施；（二）評(píng)價(jià)項(xiàng)目的現(xiàn)狀和進(jìn)展趨勢(shì)，分析其影響并提出建設(shè)性意見；（三）對(duì)項(xiàng)目狀態(tài)持續(xù)不斷的跟蹤、監(jiān)測(cè)，有效而經(jīng)濟(jì)地預(yù)防意外事故。3.14.8在項(xiàng)目實(shí)施過程中，機(jī)動(dòng)部相關(guān)負(fù)責(zé)人應(yīng)與項(xiàng)目實(shí)施單位負(fù)責(zé)人從組織措施、經(jīng)濟(jì)措施和信息管理等方面，對(duì)項(xiàng)目的進(jìn)度、質(zhì)量、成本和存在的風(fēng)險(xiǎn)進(jìn)行控制。3.14.9項(xiàng)目執(zhí)行過程中為了保障項(xiàng)目在預(yù)期的目標(biāo)（進(jìn)度、質(zhì)量/范圍、成本）范圍內(nèi)完成，必須嚴(yán)格執(zhí)行項(xiàng)目計(jì)劃，盡量避免項(xiàng)目需求變更和人員變更。如果出現(xiàn)不可預(yù)知的因素導(dǎo)致項(xiàng)目變更，必須及時(shí)調(diào)整項(xiàng)目目標(biāo)、項(xiàng)目計(jì)劃，并通知機(jī)動(dòng)部主管該項(xiàng)目的管理人員，由其簽字確認(rèn)。3.14.10項(xiàng)目負(fù)責(zé)人應(yīng)根據(jù)項(xiàng)目計(jì)劃的關(guān)鍵里程碑，在項(xiàng)目執(zhí)行過程中關(guān)注關(guān)鍵里程碑的執(zhí)行情況，針對(duì)項(xiàng)目中出現(xiàn)的變更采用補(bǔ)救、更新計(jì)劃等方式進(jìn)行處理。3.14.11項(xiàng)目實(shí)施人員在公司開展實(shí)施工作時(shí)，需遵守昌邑石化相關(guān)管理規(guī)定。3.15等級(jí)保護(hù)對(duì)象測(cè)試驗(yàn)收與交付管理要求3.15.1等級(jí)保護(hù)對(duì)象建設(shè)管理部門負(fù)責(zé)等級(jí)保護(hù)對(duì)象測(cè)試驗(yàn)收與交付管理工作；負(fù)責(zé)委托第三方測(cè)試機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試。3.15.2在測(cè)試驗(yàn)收前，第三方測(cè)試機(jī)構(gòu)應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等組織制定安全性測(cè)試方案?！栋踩詼y(cè)試方案》的內(nèi)容應(yīng)包括但不限于：測(cè)試目標(biāo)、測(cè)試描述、測(cè)試準(zhǔn)備、測(cè)試內(nèi)容（包括惡意代碼檢測(cè)等安全測(cè)試內(nèi)容）、交付材料。3.15.3等級(jí)保護(hù)對(duì)象建設(shè)管理部門應(yīng)對(duì)第三方測(cè)試機(jī)構(gòu)提交的《安全性測(cè)試方案》進(jìn)行審核，審核通過后按照《安全性測(cè)試方案》開展測(cè)試活動(dòng)。第三方測(cè)試機(jī)構(gòu)在測(cè)試過程中應(yīng)詳細(xì)記錄測(cè)試結(jié)果，并形成《安全性測(cè)試報(bào)告》。3.15.4第三方測(cè)試機(jī)構(gòu)應(yīng)負(fù)責(zé)編制《安全性測(cè)試報(bào)告》，包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容，并提交等級(jí)保護(hù)對(duì)象建設(shè)管理部門審核。3.15.5項(xiàng)目結(jié)束后，項(xiàng)目實(shí)施單位提出最終驗(yàn)收申請(qǐng)，提交各個(gè)階段的交付物，等級(jí)保護(hù)對(duì)象建設(shè)管理部門將組織驗(yàn)收小組負(fù)責(zé)項(xiàng)目驗(yàn)收工作。3.15.6驗(yàn)收小組應(yīng)根據(jù)設(shè)計(jì)方案和合同相關(guān)要求，檢查項(xiàng)目實(shí)施單位的完成度和符合度，對(duì)未完成的工作或不符合要求的工作提出整改意見，并由項(xiàng)目實(shí)施單位進(jìn)行整改直到符合要求為止。3.15.7項(xiàng)目實(shí)施單位應(yīng)提交《最終驗(yàn)收申請(qǐng)表》、《后續(xù)問題解決方案》、《交付物清單》、《總結(jié)報(bào)告》、《安全性測(cè)試報(bào)告》，并經(jīng)等級(jí)保護(hù)對(duì)象建設(shè)管理部門審核后方