《工业控制系统信息安全防护能力评估工作管理办法》由会员分享,可在线阅读,更多相关《工业控制系统信息安全防护能力评估工作管理办法(3页珍藏版)》请在装配图网上搜索。
1、工业控制系统信息安全防护能力评估工作管理办法第一章 总 则第一条 为规范工业控制系统信息安全(以下简称工控安全)防护能力评估工作,切实提升工控 安全防护水平,根据中华人民共和国网络安全法国务院关于深化制造业与互联网融合 发展的指导意见(国发201628 号),制定本办法。第二条 本办法适用于规范针对工业企业开展的工控安全防护能力评估活动. 本办法所指的防护能力评估,是对工业企业工业控制系统规划、设计、建设、运行、维护等 全生命周期各阶段开展安全防护能力综合评价.第三条 工业和信息化部负责指导和监督全国工业企业工控安全防护能力评估工作.第二章 评估管理组织第四条 设立全国工控安全防护能力评估专家
2、委员会(以下简称评估专家委员会),负责定期 抽查与复核工控安全防护能力评估报告,并对评估工作提供建议和咨询。第五条 设立全国工控安全防护能力评估工作组(以下简称评估工作组),负责具体管理工控 安全防护能力评估相关工作,制订完善评估工作流程和方法,管理评估机构及评估人员,并 审核评估过程中生成的文件和记录。评估工作组下设秘书处,秘书处设在国家工业信息安全 发展研究中心。第三章 评估机构和人员要求第六条 评估工作组委托符合条件的第三方评估机构从事工控安全防护能力评估工作. 第七条 评估机构应具备的基本条件:(一)具有独立的事业单位法人资格。(二)具有不少于25 名工控安全防护能力评估专职人员。(三
3、)具有工控安全防护能力评估所需的工具和设备.第八条 评估机构应建立并有效运行评估工作体系,完善评估监督和责任机制,以确保所从 事的工控安全评估活动符合本办法的规定。评估机构应对其出具的评估报告负责.第九条 对于违反本办法、相关法律法规及不遵守评估工作组管理要求的评估机构,评估工作 组有权暂停或撤销其从事工控安全评估活动的委托.被撤销委托的机构,5 年内不得重新申 请。第十条 评估人员须遵守相关的法律、法规和规章,按照所在评估机构确定的工作程序和作 业指导从事评估活动,对评估报告的真实性承担相应责任,并应对评估活动中接触到的信息 履行保密义务.第四章 评估工具要求第十一条 评估过程中使用的相关评
4、估专用软硬件工具需符合相关可靠性和安全性要求。 第十二条 评估工具需由评估工作组委托国家相关质检机构进行检测和校验,未通过检测和 校验的评估工具不得应用于评估工作.第五章 评估工作程序第十三条 受理评估申请.评估工作组承担工业和信息化主管部门的专项评估任务,各评估机 构可自行受理市场化的评估工作委托,并在评估工作组备案.第十四条 组建评估技术队伍.评估机构组建评估项目组,原则上每个评估项目组由不少于 5 名专职评估人员(含 1 名组长)组成。第十五条 制定评估工作计划。 评估机构在实施评估前,应与被评估企业充分协调,梳理清 晰企业工业控制系统基本情况,并参照工业控制系统信息安全防护能力评估方法
5、(见附 件)形成书面评估工作计划。评估工作计划的内容至少应包括:评估工作计划名称和编号、 评估范围、评估具体任务与方案、评估工作日程安排、应急预案等。第十六条 开展现场评估工作。评估项目组按照评估工作计划,在现场对被评估企业实施工 控安全防护能力评估。第十七条 现场评估情况反馈。现场评估工作结束后,评估项目组应对现场评估工作形成书 面的现场评估情况反馈表,描述存在的安全问题并提出相应的整改建议.第十八条 企业自行整改。企业应在收到反馈表后30 日内自行开展整改工作,根据整改情况 申请复评估。第十九条 开展复评估工作。评估项目组在收到企业复评估的请求后,根据需要对现场评估反 馈表中的问题进行确认
6、。需要时,开展现场复评估。第二十条 形成评估报告。评估项目组在总结现场评估和复评估工作后,出具企业工控安全 防护能力评估结论,经由被评估企业确认后,形成评估报告,报工业和信息化部备案。第六章 监督管理第二十一条 评估工作组建立国家工控安全防护能力评估工作管理平台 ,通过平台定期公示 评估机构、评估人员、评估工具和评估报告。第二十二条 评估工作组不定期委托评估专家委员会对评估报告开展必要的抽查与复核,经 抽查与复核发现评估报告不符合本办法有关规定、标准的,应当要求企业限期改正或者重新 评估,并在 30 日内提交评估材料。第二十三条 评估工作组受理针对违反本办法、相关法律法规及不遵守评估工作组管理
7、要求 的评估机构和人员的举报和投诉.工业控制系统信息安全防护能力评估工作管理办法解读 为进一步贯彻落实国务院关于深化制造业与互联网融合发展的指导意见,督促工业企业 做好工业控制系统信息安全(以下简称工控安全)防护工作,工业和信息化部于近日印发了工 业控制系统信息安全防护能力评估工作管理办法(以下简称管理办法),旨在规范工控 安全防护能力评估工作,切实提升工控安全防护水平。一、编制说明 近年来,随着两化融合发展的不断深入,安全威胁向工业控制系统加速渗透,工业领域面临 严峻的信息安全挑战。我部于去年发布了工业控制系统信息安全防护指南(以下简称防 护指南),从配置和补丁管理、边界安全防护、安全监测和
8、应急预案演练等方面,对工业企业 提出了30 项工控安全防护要求。为检验防护指南的实践效果,综合评价工业企业工控 安全防护能力,我部于年初组织编制了管理办法(初稿),并选择电力、化工、汽车、有 色、石化、烟草 6 个重点行业开展了工控安全预评估工作,对管理办法(初稿)的科学性、 合理性和可操作性进行检验,结合工控安全预评估工作,进一步对管理办法(初稿)进行 修改完善,组织专家开展专题研讨论证,最终形成管理办法。二、总体考虑 管理办法的编制以我国两化融合发展时期工控安全保障需求和工控安全防护工作推进为 出发点和落脚点,密切结合工控安全防护能力评估工作实际,以规范针对工业企业开展的工 控安全防护能力
9、评估活动为重点,加强工控安全防护能力评估机构、人员和工具管理,明确 工控安全防护能力评估工作程序。具体来说,管理办法编制的主要思路如下: 一是突出体系化管理。工控安全防护能力评估工作管理涉及管理机构、评估机构、评估人员、 评估工具等各要素,管理办法从全局出发,面向各类主体,围绕工作需求提出基线标准, 加强体系化管理。二是注重管理实效。办法细化各类基线标准,明确量化指标,提出从受理评估申请、组 建评估技术队伍到形成评估报告的一系列评估工作程序,提供具体且可操作的工控安全防护 能力评估方法。三是强调全生命周期评估。工控安全防护能力评估是落实防护指南要求的一项具体工作, 管理办法指出防护能力评估是对
10、工业企业工业控制系统规划、设计、建设、运行、维护 等全生命周期各阶段开展的安全防护能力综合评价.三、内容详解(一)管理组织机构设置 管理组织机构是工控安全防护能力评估工作的核心.管理办法指出设立全国工控安全防 护能力评估专家委员会,负责提供建议与咨询;设立全国工控安全防护能力评估工作组,具 体负责管理工控安全防护能力评估相关工作,工作组下设秘书处,秘书处设在国家工业信息 安全发展研究中心。(二)基本要求评估机构应符合具备独立的事业单位法人资格,具有不少于25 名工控安全防护能力评估专 职人员,拥有工控安全防护能力评估所需的工具和设备,同时,还应建立并有效运行评估工 作体系,完善评估监督和责任机
11、制,对于不符合要求的机构,予以撤销评估委托。评估人员须遵守相关的法律、法规和规章,按照所在评估机构确定的工作程序和作业指导从 事评估活动,并遵守保密规定。评估过程中使用的工具应符合相关可靠性和安全性要求,需通过评估工作组委托的国家级质 检机构的检测和校验。(三)工作程序管理办法制定了工控安全防护能力评估工作程序,包括受理评估申请、组建评估技术队 伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评 估工作、形成评估报告,细化了各阶段工作要求.(四)监督管理 为保证工控安全防护能力评估工作顺利开展,评估工作组通过公示、抽查、复核等方式对评 估机构、人员进行监督管理,确保评估报告的准确性和合理性。(五)评估方法 为配套管理办法的实施,以附件形式提供了工控安全防护能力评估方法,提出了工控安 全防护能力评估的基本概念,对评估工作每一个环节进行细化,提出详细的工作步骤和实施 方法。
工业控制系统信息安全防护能力评估工作管理办法
