工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知 工信部信软〔2017〕188号 各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,有关中央企业:
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)等文件精神,督促工业企业做好工业控制系统信息安全防护工作,检验《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)的实践效果,综合评价工业企业工业控制系统信息安全防护能力,制定《工业控制系统信息安全防护能力评估工作管理办法》。现印发你们,请参照执行。
工业和信息化部 2017年7月31日
工业控制系统信息安全防护能力评估工作管理办法
第一章 总 则 第一条 为规范工业控制系统信息安全(以下简称工控安全)防护能力评估工作,切实提升工控安全防护水平,根据《中华人民共和国网络安全法》《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),制定本办法。
第二条 本办法适用于规范针对工业企业开展的工控安全防护能力评估活动。
本办法所指的防护能力评估,是对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展安全防护能力综合评价。
第三条 工业和信息化部负责指导和监督全国工业企业工控安全防护能力评估工作。
第二章 评估管理组织 第四条 设立全国工控安全防护能力评估专家委员会(以下简称评估专家委员会),负责定期抽查与复核工控安全防护能力评估报告,并对评估工作提供建议和咨询。
第五条 设立全国工控安全防护能力评估工作组(以下简称评估工作组),负责具体管理工控安全防护能力评估相关工作,制订完善评估工作流程和方法,管理评估机构及评估人员,并审核评估过程中生成的文件和记录。评估工作组下设秘书处,秘书处设在国家工业信息安全发展研究中心。
第三章 评估机构和人员要求 第六条 评估工作组委托符合条件的第三方评估机构从事工控安全防护能力评估工作。
第七条 评估机构应具备的基本条件: (一)具有独立的事业单位法人资格。 (二)具有不少于25名工控安全防护能力评估专职人员。 (三)具有工控安全防护能力评估所需的工具和设备。
第八条 评估机构应建立并有效运行评估工作体系,完善评估监督和责任机制,以确保所从事的工控安全评估活动符合本办法的规定。评估机构应对其出具的评估报告负责。
第九条 对于违反本办法、相关法律法规及不遵守评估工作组管理要求的评估机构,评估工作组有权暂停或撤销其从事工控安全评估活动的委托。被撤销委托的机构,5年内不得重新申请。
第十条 评估人员须遵守相关的法律、法规和规章,按照所在评估机构确定的工作程序和作业指导从事评估活动,对评估报告的真实性承担相应责任,并应对评估活动中接触到的信息履行保密义务。
第四章 评估工具要求 第十一条 评估过程中使用的相关评估专用软硬件工具需符合相关可靠性和安全性要求。
第十二条 评估工具需由评估工作组委托国家相关质检机构进行检测和校验,未通过检测和校验的评估工具不得应用于评估工作。
第五章 评估工作程序 第十三条 受理评估申请。评估工作组承担工业和信息化主管部门的专项评估任务,各评估机构可自行受理市场化的评估工作委托,并在评估工作组备案。
第十四条 组建评估技术队伍。评估机构组建评估项目组,原则上每个评估项目组由不少于5名专职评估人员(含1名组长)组成。
第十五条 制定评估工作计划。 评估机构在实施评估前,应与被评估企业充分协调,梳理清晰企业工业控制系统基本情况,并参照《工业控制系统信息安全防护能力评估方法》(见附件)形成书面评估工作计划。评估工作计划的内容至少应包括:评估工作计划名称和编号、评估范围、评估具体任务与方案、评估工作日程安排、应急预案等。
第十六条 开展现场评估工作。评估项目组按照评估工作计划,在现场对被评估企业实施工控安全防护能力评估。
第十七条 现场评估情况反馈。现场评估工作结束后,评估项目组应对现场评估工作形成书面的现场评估情况反馈表,描述存在的安全问题并提出相应的整改建议。
第十八条 企业自行整改。企业应在收到反馈表后30日内自行开展整改工作,根据整改情况申请复评估。
第十九条 开展复评估工作。评估项目组在收到企业复评估的请求后,根据需要对现场评估反馈表中的问题进行确认。需要时,开展现场复评估。
第二十条 形成评估报告。评估项目组在总结现场评估和复评估工作后,出具企业工控安全防护能力评估结论,经由被评估企业确认后,形成评估报告,报工业和信息化部备案。
第六章 监督管理 第二十一条 评估工作组建立国家工控安全防护能力评估工作管理平台,通过平台定期公示评估机构、评估人员、评估工具和评估报告。
第二十二条 评估工作组不定期委托评估专家委员会对评估报告开展必要的抽查与复核,经抽查与复核发现评估报告不符合本办法有关规定、标准的,应当要求企业限期改正或者重新评估,并在30日内提交评估材料。
第二十三条 评估工作组受理针对违反本办法、相关法律法规及不遵守评估工作组管理要求的评估机构和人员的举报和投诉。
第七章 附则 第二十四条 本办法自2017年9月1日起实施。 附件:工业控制系统信息安全防护能力评估方法[详见工业和信息化部网站(www.miit.gov.cn)“文件发布”栏目]
解读 《工业控制系统信息安全防护能力评估工作管理办法》
为进一步贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》,督促工业企业做好工业控制系统信息安全(以下简称工控安全)防护工作,工业和信息化部于近日印发了《工业控制系统信息安全防护能力评估工作管理办法》(以下简称《管理办法》),旨在规范工控安全防护能力评估工作,切实提升工控安全防护水平。
一编制说明 近年来,随着两化融合发展的不断深入,安全威胁向工业控制系统加速渗透,工业领域面临严峻的信息安全挑战。工信部于去年发布了《工业控制系统信息安全防护指南》(以下简称《防护指南》),从配置和补丁管理、边界安全防护、安全监测和应急预案演练等方面,对工业企业提出了30项工控安全防护要求。为检验《防护指南》的实践效果,综合评价工业企业工控安全防护能力,工信部于年初组织编制了《管理办法(初稿)》,并选择电力、化工、汽车、有色、石化、烟草6个重点行业开展了工控安全预评估工作,对《管理办法(初稿)》的科学性、合理性和可操作性进行检验,结合工控安全预评估工作,进一步对《管理办法(初稿)》进行修改完善,组织专家开展专题研讨论证,最终形成《管理办法》。
二总体考虑 《管理办法》的编制以我国两化融合发展时期工控安全保障需求和工控安全防护工作推进为出发点和落脚点,密切结合工控安全防护能力评估工作实际,以规范针对工业企业开展的工控安全防护能力评估活动为重点,加强工控安全防护能力评估机构、人员和工具管理,明确工控安全防护能力评估工作程序。具体来说,《管理办法》编制的主要思路如下: 一是突出体系化管理。工控安全防护能力评估工作管理涉及管理机构、评估机构、评估人员、评估工具等各要素,《管理办法》从全局出发,面向各类主体,围绕工作需求提出基线标准,加强体系化管理。
二是注重管理实效。《办法》细化各类基线标准,明确量化指标,提出从受理评估申请、组建评估技术队伍到形成评估报告的一系列评估工作程序,提供具体且可操作的工控安全防护能力评估方法。
三是强调全生命周期评估。工控安全防护能力评估是落实《防护指南》要求的一项具体工作,《管理办法》指出防护能力评估是对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展的安全防护能力综合评价。
三内容详解 (一)管理组织机构设置 管理组织机构是工控安全防护能力评估工作的核心。《管理办法》指出设立全国工控安全防护能力评估专家委员会,负责提供建议与咨询;设立全国工控安全防护能力评估工作组,具体负责管理工控安全防护能力评估相关工作,工作组下设秘书处,秘书处设在国家工业信息安全发展研究中心。 (二)基本要求 评估机构应符合具备独立的事业单位法人资格,具有不少于25名工控安全防护能力评估专职人员,拥有工控安全防护能力评估所需的工具和设备,同时,还应建立并有效运行评估工作体系,完善评估监督和责任机制,对于不符合要求的机构,予以撤销评估委托。 评估人员须遵守相关的法律、法规和规章,按照所在评估机构确定的工作程序和作业指导从事评估活动,并遵守保密规定。 评估过程中使用的工具应符合相关可靠性和安全性要求,需通过评估工作组委托的国家级质检机构的检测和校验。 (三)工作程序 《管理办法》制定了工控安全防护能力评估工作程序,包括受理评估申请、组建评估技术队伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评估工作、形成评估报告,细化了各阶段工作要求。 (四)监督管理 为保证工控安全防护能力评估工作顺利开展,评估工作组通过公示、抽查、复核等方式对评估机构、人员进行监督管理,确保评估报告的准确性和合理性。 (五)评估方法 为配套《管理办法》的实施,以附件形式提供了工控安全防护能力评估方法,提出了工控安全防护能力评估的基本概念,对评估工作每一个环节进行细化,提出详细的工作步骤和实施方法。 (来源:工信微报) |