《工業控制系統信息安全防護能力評估工作管理辦法》解讀
來源:工信部網站 更新時間:2017-08-11

為進一步貫徹落實《國務院關於深化制造業與互聯網融合發展的指導意見》,督促工業企業做好工業控制系統信息安全(以下簡稱工控安全)防護工作,工業和信息化部於近日印發了《工業控制系統信息安全防護能力評估工作管理辦法》(以下簡稱《管理辦法》),旨在規範工控安全防護能力評估工作,切實提升工控安全防護水平。

一、編制說明

近年來,隨著兩化融合發展的不斷深入,安全威脅向工業控制系統加速滲透,工業領域面臨嚴峻的信息安全挑戰。我部於去年發布了《工業控制系統信息安全防護指南》(以下簡稱《防護指南》),從配置和補丁管理、邊界安全防護、安全監測和應急預案演練等方面,對工業企業提出了30項工控安全防護要求。為檢驗《防護指南》的實踐效果,綜合評價工業企業工控安全防護能力,我部於年初組織編制了《管理辦法(初稿)》,並選擇電力、化工、汽車、有色、石化、煙草6個重點行業開展了工控安全預評估工作,對《管理辦法(初稿)》的科學性、合理性和可操作性進行檢驗,結合工控安全預評估工作,進一步對《管理辦法(初稿)》進行修改完善,組織專家開展專題研討論證,最終形成《管理辦法》。

二、總體考慮

《管理辦法》的編制以我國兩化融合發展時期工控安全保障需求和工控安全防護工作推進為出發點和落腳點,密切結合工控安全防護能力評估工作實際,以規範針對工業企業開展的工控安全防護能力評估活動為重點,加強工控安全防護能力評估機構、人員和工具管理,明確工控安全防護能力評估工作程序。具體來說,《管理辦法》編制的主要思路如下:

一是突出體系化管理。工控安全防護能力評估工作管理涉及管理機構、評估機構、評估人員、評估工具等各要素,《管理辦法》從全局出發,面向各類主體,圍繞工作需求提出基線標准,加強體系化管理。

二是注重管理實效。《辦法》細化各類基線標准,明確量化指標,提出從受理評估申請、組建評估技術隊伍到形成評估報告的一系列評估工作程序,提供具體且可操作的工控安全防護能力評估方法。

三是強調全生命周期評估。工控安全防護能力評估是落實《防護指南》要求的一項具體工作,《管理辦法》指出防護能力評估是對工業企業工業控制系統規劃、設計、建設、運行、維護等全生命周期各階段開展的安全防護能力綜合評價。

三、內容詳解

(一)管理組織機構設置

管理組織機構是工控安全防護能力評估工作的核心。《管理辦法》指出設立全國工控安全防護能力評估專家委員會,負責提供建議與咨詢;設立全國工控安全防護能力評估工作組,具體負責管理工控安全防護能力評估相關工作,工作組下設秘書處,秘書處設在國家工業信息安全發展研究中心。

(二)基本要求

評估機構應符合具備獨立的事業單位法人資格,具有不少於25名工控安全防護能力評估專職人員,擁有工控安全防護能力評估所需的工具和設備,同時,還應建立並有效運行評估工作體系,完善評估監督和責任機制,對於不符合要求的機構,予以撤銷評估委托。

評估人員須遵守相關的法律、法規和規章,按照所在評估機構確定的工作程序和作業指導從事評估活動,並遵守保密規定。

評估過程中使用的工具應符合相關可靠性和安全性要求,需通過評估工作組委托的國家級質檢機構的檢測和校驗。

(三)工作程序

《管理辦法》制定了工控安全防護能力評估工作程序,包括受理評估申請、組建評估技術隊伍、制定評估工作計劃、開展現場評估工作、現場評估情況反饋、企業自行整改、開展復評估工作、形成評估報告,細化了各階段工作要求。

(四)監督管理

為保證工控安全防護能力評估工作順利開展,評估工作組通過公示、抽查、復核等方式對評估機構、人員進行監督管理,確保評估報告的准確性和合理性。

(五)評估方法

為配套《管理辦法》的實施,以附件形式提供了工控安全防護能力評估方法,提出了工控安全防護能力評估的基本概念,對評估工作每一個環節進行細化,提出詳細的工作步驟和實施方法。