《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 嵌入式技術(shù) > 業(yè)界動(dòng)態(tài) > 《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法》解讀

《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法》解讀

2018-08-17

為進(jìn)一步貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》,督促工業(yè)企業(yè)做好工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)防護(hù)工作,,工業(yè)和信息化部于近日印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法》(以下簡稱《管理辦法》),,旨在規(guī)范工控安全防護(hù)能力評估工作,切實(shí)提升工控安全防護(hù)水平。

  

一、編制說明

  

近年來,隨著兩化融合發(fā)展的不斷深入,,安全威脅向工業(yè)控制系統(tǒng)加速滲透,工業(yè)領(lǐng)域面臨嚴(yán)峻的信息安全挑戰(zhàn),。我部于去年發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(以下簡稱《防護(hù)指南》),,從配置和補(bǔ)丁管理、邊界安全防護(hù),、安全監(jiān)測和應(yīng)急預(yù)案演練等方面,,對工業(yè)企業(yè)提出了30項(xiàng)工控安全防護(hù)要求。為檢驗(yàn)《防護(hù)指南》的實(shí)踐效果,,綜合評價(jià)工業(yè)企業(yè)工控安全防護(hù)能力,,我部于年初組織編制了《管理辦法(初稿)》,并選擇電力,、化工,、汽車,、有色、石化,、煙草6個(gè)重點(diǎn)行業(yè)開展了工控安全預(yù)評估工作,,對《管理辦法(初稿)》的科學(xué)性、合理性和可操作性進(jìn)行檢驗(yàn),,結(jié)合工控安全預(yù)評估工作,,進(jìn)一步對《管理辦法(初稿)》進(jìn)行修改完善,組織專家開展專題研討論證,,最終形成《管理辦法》,。

  

二、總體考慮

  

《管理辦法》的編制以我國兩化融合發(fā)展時(shí)期工控安全保障需求和工控安全防護(hù)工作推進(jìn)為出發(fā)點(diǎn)和落腳點(diǎn),,密切結(jié)合工控安全防護(hù)能力評估工作實(shí)際,,以規(guī)范針對工業(yè)企業(yè)開展的工控安全防護(hù)能力評估活動(dòng)為重點(diǎn),加強(qiáng)工控安全防護(hù)能力評估機(jī)構(gòu),、人員和工具管理,,明確工控安全防護(hù)能力評估工作程序。具體來說,,《管理辦法》編制的主要思路如下:

  

一是突出體系化管理,。工控安全防護(hù)能力評估工作管理涉及管理機(jī)構(gòu)、評估機(jī)構(gòu),、評估人員,、評估工具等各要素,,《管理辦法》從全局出發(fā),,面向各類主體,圍繞工作需求提出基線標(biāo)準(zhǔn),,加強(qiáng)體系化管理,。

  

二是注重管理實(shí)效?!掇k法》細(xì)化各類基線標(biāo)準(zhǔn),,明確量化指標(biāo),提出從受理評估申請,、組建評估技術(shù)隊(duì)伍到形成評估報(bào)告的一系列評估工作程序,,提供具體且可操作的工控安全防護(hù)能力評估方法。

  

三是強(qiáng)調(diào)全生命周期評估,。工控安全防護(hù)能力評估是落實(shí)《防護(hù)指南》要求的一項(xiàng)具體工作,,《管理辦法》指出防護(hù)能力評估是對工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì),、建設(shè),、運(yùn)行,、維護(hù)等全生命周期各階段開展的安全防護(hù)能力綜合評價(jià)。

  

三,、內(nèi)容詳解

  

(一)管理組織機(jī)構(gòu)設(shè)置

  

管理組織機(jī)構(gòu)是工控安全防護(hù)能力評估工作的核心,。《管理辦法》指出設(shè)立全國工控安全防護(hù)能力評估專家委員會(huì),,負(fù)責(zé)提供建議與咨詢,;設(shè)立全國工控安全防護(hù)能力評估工作組,具體負(fù)責(zé)管理工控安全防護(hù)能力評估相關(guān)工作,,工作組下設(shè)秘書處,,秘書處設(shè)在國家工業(yè)信息安全發(fā)展研究中心。

  

(二)基本要求

  

評估機(jī)構(gòu)應(yīng)符合具備獨(dú)立的事業(yè)單位法人資格,,具有不少于25名工控安全防護(hù)能力評估專職人員,,擁有工控安全防護(hù)能力評估所需的工具和設(shè)備,同時(shí),,還應(yīng)建立并有效運(yùn)行評估工作體系,,完善評估監(jiān)督和責(zé)任機(jī)制,對于不符合要求的機(jī)構(gòu),,予以撤銷評估委托,。

  

評估人員須遵守相關(guān)的法律、法規(guī)和規(guī)章,,按照所在評估機(jī)構(gòu)確定的工作程序和作業(yè)指導(dǎo)從事評估活動(dòng),,并遵守保密規(guī)定。

  

評估過程中使用的工具應(yīng)符合相關(guān)可靠性和安全性要求,,需通過評估工作組委托的國家級質(zhì)檢機(jī)構(gòu)的檢測和校驗(yàn),。

  

(三)工作程序

  

《管理辦法》制定了工控安全防護(hù)能力評估工作程序,包括受理評估申請,、組建評估技術(shù)隊(duì)伍,、制定評估工作計(jì)劃、開展現(xiàn)場評估工作,、現(xiàn)場評估情況反饋,、企業(yè)自行整改、開展復(fù)評估工作,、形成評估報(bào)告,,細(xì)化了各階段工作要求。

  

(四)監(jiān)督管理

  

為保證工控安全防護(hù)能力評估工作順利開展,,評估工作組通過公示,、抽查、復(fù)核等方式對評估機(jī)構(gòu),、人員進(jìn)行監(jiān)督管理,,確保評估報(bào)告的準(zhǔn)確性和合理性,。

  

(五)評估方法

  

為配套《管理辦法》的實(shí)施,以附件形式提供了工控安全防護(hù)能力評估方法,,提出了工控安全防護(hù)能力評估的基本概念,,對評估工作每一個(gè)環(huán)節(jié)進(jìn)行細(xì)化,提出詳細(xì)的工作步驟和實(shí)施方法,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]