解讀：工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法

  為進一步貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》，督促工業(yè)企業(yè)做好工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）防護工作，工業(yè)和信息化部于近日印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》（以下簡稱《管理辦法》），旨在規(guī)范工控安全防護能力評估工作，切實提升工控安全防護水平。

  一、編制說明

  近年來，隨著兩化融合發(fā)展的不斷深入，安全威脅向工業(yè)控制系統(tǒng)加速滲透，工業(yè)領域面臨嚴峻的信息安全挑戰(zhàn)。我部于去年發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護指南》（以下簡稱《防護指南》），從配置和補丁管理、邊界安全防護、安全監(jiān)測和應急預案演練等方面，對工業(yè)企業(yè)提出了30項工控安全防護要求。為檢驗《防護指南》的實踐效果，綜合評價工業(yè)企業(yè)工控安全防護能力，我部于年初組織編制了《管理辦法（初稿）》，并選擇電力、化工、汽車、有色、石化、煙草6個重點行業(yè)開展了工控安全預評估工作，對《管理辦法（初稿）》的科學性、合理性和可操作性進行檢驗，結合工控安全預評估工作，進一步對《管理辦法（初稿）》進行修改完善，組織專家開展專題研討論證，最終形成《管理辦法》。

  二、總體考慮

  《管理辦法》的編制以我國兩化融合發(fā)展時期工控安全保障需求和工控安全防護工作推進為出發(fā)點和落腳點，密切結合工控安全防護能力評估工作實際，以規(guī)范針對工業(yè)企業(yè)開展的工控安全防護能力評估活動為重點，加強工控安全防護能力評估機構、人員和工具管理，明確工控安全防護能力評估工作程序。具體來說，《管理辦法》編制的主要思路如下：

  一是突出體系化管理。工控安全防護能力評估工作管理涉及管理機構、評估機構、評估人員、評估工具等各要素，《管理辦法》從全局出發(fā)，面向各類主體，圍繞工作需求提出基線標準，加強體系化管理。

  二是注重管理實效?！掇k法》細化各類基線標準，明確量化指標，提出從受理評估申請、組建評估技術隊伍到形成評估報告的一系列評估工作程序，提供具體且可操作的工控安全防護能力評估方法。

  三是強調(diào)全生命周期評估。工控安全防護能力評估是落實《防護指南》要求的一項具體工作，《管理辦法》指出防護能力評估是對工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運行、維護等全生命周期各階段開展的安全防護能力綜合評價。

  三、內(nèi)容詳解

  （一）管理組織機構設置

  管理組織機構是工控安全防護能力評估工作的核心?！豆芾磙k法》指出設立全國工控安全防護能力評估專家委員會，負責提供建議與咨詢；設立全國工控安全防護能力評估工作組，具體負責管理工控安全防護能力評估相關工作，工作組下設秘書處，秘書處設在國家工業(yè)信息安全發(fā)展研究中心。

  （二）基本要求

  評估機構應符合具備獨立的事業(yè)單位法人資格，具有不少于25名工控安全防護能力評估專職人員，擁有工控安全防護能力評估所需的工具和設備，同時，還應建立并有效運行評估工作體系，完善評估監(jiān)督和責任機制，對于不符合要求的機構，予以撤銷評估委托。

  評估人員須遵守相關的法律、法規(guī)和規(guī)章，按照所在評估機構確定的工作程序和作業(yè)指導從事評估活動，并遵守保密規(guī)定。

  評估過程中使用的工具應符合相關可靠性和安全性要求，需通過評估工作組委托的國家級質檢機構的檢測和校驗。

  （三）工作程序

  《管理辦法》制定了工控安全防護能力評估工作程序，包括受理評估申請、組建評估技術隊伍、制定評估工作計劃、開展現(xiàn)場評估工作、現(xiàn)場評估情況反饋、企業(yè)自行整改、開展復評估工作、形成評估報告，細化了各階段工作要求。

  （四）監(jiān)督管理

  為保證工控安全防護能力評估工作順利開展，評估工作組通過公示、抽查、復核等方式對評估機構、人員進行監(jiān)督管理，確保評估報告的準確性和合理性。

  （五）評估方法

  為配套《管理辦法》的實施，以附件形式提供了工控安全防護能力評估方法，提出了工控安全防護能力評估的基本概念，對評估工作每一個環(huán)節(jié)進行細化，提出詳細的工作步驟和實施方法。

      通知原文：

  工業(yè)和信息化部關于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》的通知

  工信部信軟〔2017〕188號

  各省、自治區(qū)、直轄市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門，有關中央企業(yè)：

  為貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》（國發(fā)〔2016〕28號）等文件精神，督促工業(yè)企業(yè)做好工業(yè)控制系統(tǒng)信息安全防護工作，檢驗《工業(yè)控制系統(tǒng)信息安全防護指南》（工信部信軟〔2016〕338號）的實踐效果，綜合評價工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護能力，制定《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》?，F(xiàn)印發(fā)你們，請參照執(zhí)行。

  工業(yè)和信息化部

  2017年7月31日

  工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法

  第一章 總 則

  第一條 為規(guī)范工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）防護能力評估工作，切實提升工控安全防護水平，根據(jù)《中華人民共和國網(wǎng)絡安全法》《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》（國發(fā)〔2016〕28號），制定本辦法。

  第二條 本辦法適用于規(guī)范針對工業(yè)企業(yè)開展的工控安全防護能力評估活動。

  本辦法所指的防護能力評估，是對工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運行、維護等全生命周期各階段開展安全防護能力綜合評價。

  第三條 工業(yè)和信息化部負責指導和監(jiān)督全國工業(yè)企業(yè)工控安全防護能力評估工作。

  第二章 評估管理組織

  第四條 設立全國工控安全防護能力評估專家委員會（以下簡稱評估專家委員會），負責定期抽查與復核工控安全防護能力評估報告，并對評估工作提供建議和咨詢。

  第五條 設立全國工控安全防護能力評估工作組（以下簡稱評估工作組），負責具體管理工控安全防護能力評估相關工作，制訂完善評估工作流程和方法，管理評估機構及評估人員，并審核評估過程中生成的文件和記錄。評估工作組下設秘書處，秘書處設在國家工業(yè)信息安全發(fā)展研究中心。

  第三章 評估機構和人員要求

  第六條 評估工作組委托符合條件的第三方評估機構從事工控安全防護能力評估工作。

  第七條 評估機構應具備的基本條件：

  （一）具有獨立的事業(yè)單位法人資格。

  （二）具有不少于25名工控安全防護能力評估專職人員。

  （三）具有工控安全防護能力評估所需的工具和設備。

  第八條 評估機構應建立并有效運行評估工作體系，完善評估監(jiān)督和責任機制，以確保所從事的工控安全評估活動符合本辦法的規(guī)定。評估機構應對其出具的評估報告負責。

  第九條 對于違反本辦法、相關法律法規(guī)及不遵守評估工作組管理要求的評估機構，評估工作組有權暫?；虺蜂N其從事工控安全評估活動的委托。被撤銷委托的機構，5年內(nèi)不得重新申請。

  第十條 評估人員須遵守相關的法律、法規(guī)和規(guī)章，按照所在評估機構確定的工作程序和作業(yè)指導從事評估活動，對評估報告的真實性承擔相應責任，并應對評估活動中接觸到的信息履行保密義務。

  第四章 評估工具要求

  第十一條 評估過程中使用的相關評估專用軟硬件工具需符合相關可靠性和安全性要求。

  第十二條 評估工具需由評估工作組委托國家相關質檢機構進行檢測和校驗，未通過檢測和校驗的評估工具不得應用于評估工作。

  第五章 評估工作程序

  第十三條 受理評估申請。評估工作組承擔工業(yè)和信息化主管部門的專項評估任務，各評估機構可自行受理市場化的評估工作委托，并在評估工作組備案。

  第十四條 組建評估技術隊伍。評估機構組建評估項目組，原則上每個評估項目組由不少于5名專職評估人員（含1名組長）組成。

  第十五條 制定評估工作計劃。 評估機構在實施評估前，應與被評估企業(yè)充分協(xié)調(diào)，梳理清晰企業(yè)工業(yè)控制系統(tǒng)基本情況，并參照《工業(yè)控制系統(tǒng)信息安全防護能力評估方法》（見附件）形成書面評估工作計劃。評估工作計劃的內(nèi)容至少應包括：評估工作計劃名稱和編號、評估范圍、評估具體任務與方案、評估工作日程安排、應急預案等。

  第十六條 開展現(xiàn)場評估工作。評估項目組按照評估工作計劃，在現(xiàn)場對被評估企業(yè)實施工控安全防護能力評估。

  第十七條 現(xiàn)場評估情況反饋?，F(xiàn)場評估工作結束后，評估項目組應對現(xiàn)場評估工作形成書面的現(xiàn)場評估情況反饋表，描述存在的安全問題并提出相應的整改建議。

  第十八條 企業(yè)自行整改。企業(yè)應在收到反饋表后30日內(nèi)自行開展整改工作，根據(jù)整改情況申請復評估。

  第十九條 開展復評估工作。評估項目組在收到企業(yè)復評估的請求后，根據(jù)需要對現(xiàn)場評估反饋表中的問題進行確認。需要時，開展現(xiàn)場復評估。

  第二十條 形成評估報告。評估項目組在總結現(xiàn)場評估和復評估工作后，出具企業(yè)工控安全防護能力評估結論，經(jīng)由被評估企業(yè)確認后，形成評估報告，報工業(yè)和信息化部備案。

  第六章  監(jiān)督管理

  第二十一條 評估工作組建立國家工控安全防護能力評估工作管理平臺，通過平臺定期公示評估機構、評估人員、評估工具和評估報告。

  第二十二條 評估工作組不定期委托評估專家委員會對評估報告開展必要的抽查與復核，經(jīng)抽查與復核發(fā)現(xiàn)評估報告不符合本辦法有關規(guī)定、標準的，應當要求企業(yè)限期改正或者重新評估，并在30日內(nèi)提交評估材料。

  第二十三條 評估工作組受理針對違反本辦法、相關法律法規(guī)及不遵守評估工作組管理要求的評估機構和人員的舉報和投訴。

  第七章  附則

  第二十四條 本辦法自2017年9月1日起實施。

  附件：工業(yè)控制系統(tǒng)信息安全防護能力評估方法