各單位 :
為加強企業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全工作��,提升企業(yè)工業(yè)控制系統安全管理和技術(shù)防護水平����,根據《陜西省工業(yè)和信息化廳關(guān)于印發(fā)<2015年工業(yè)行業(yè)網(wǎng)絡(luò )安全檢查工作方案>的通知》(陜工信發(fā)[2015]491號)要求�����,集團公司決定開(kāi)展2015年工業(yè)控制系統網(wǎng)絡(luò )安全檢查工作����,具體內容如下:
一 �����、檢查范圍
檢查范圍包括各單位制造執行���、監視控制與數據采集�����、分布式控制/過(guò)程控制����、可編程邏輯控制器��、智能電子設備等工業(yè)控制系統�。
二�����、檢查依據
1. 《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》(國發(fā)〔2012〕23號)
2. 《關(guān)于加強工業(yè)控制系統信息安全管理的通知》(工信部協(xié)〔2011〕451號)
3. 《工業(yè)控制網(wǎng)絡(luò )安全風(fēng)險評估規范》(GB/T 26333-2010)
4. 《工業(yè)控制系統信息安全 第1部分 評估規范》(GB/T 30976.1-2014)
5. 《關(guān)于印發(fā)<2015年國家網(wǎng)絡(luò )安全檢查工作指南>的通知》(中網(wǎng)辦發(fā)文〔2015〕4號)
二����、檢查內容
(一)網(wǎng)絡(luò )安全管理
按照國家網(wǎng)絡(luò )安全政策和標準規范要求��,建立健全工業(yè)控制系統網(wǎng)絡(luò )安全管理制度及落實(shí)情況��。重點(diǎn)檢查工業(yè)控制系統網(wǎng)絡(luò )安全主管領(lǐng)導����、管理機構和工作人員履職情況�����,工業(yè)控制系統網(wǎng)絡(luò )安全責任制落實(shí)及事故責任追究情況�����,人員�����、資產(chǎn)��、采購�����、外包服務(wù)等日常安全管理情況����,工業(yè)控制系統網(wǎng)絡(luò )安全規劃制定情況���,工業(yè)控制系統網(wǎng)絡(luò )安全運維情況�、工業(yè)控制系統網(wǎng)絡(luò )安全從業(yè)人員情況��,工業(yè)控制系統網(wǎng)絡(luò )安全經(jīng)費保障情況等�。
(二)安全技術(shù)防護
按照國家網(wǎng)絡(luò )安全政策和標準規范要求����,建立健全工業(yè)控制系統技術(shù)防護體系及安全防護情況�����。重點(diǎn)檢查工業(yè)控制系統防病毒���、防攻擊����、防篡改���、防癱瘓����、防泄密措施及有效性���;工業(yè)控制系統網(wǎng)絡(luò )邊界防護措施�����、網(wǎng)絡(luò )分區分域管理���、無(wú)線(xiàn)網(wǎng)絡(luò )安全防護策略����;工業(yè)控制系統服務(wù)器�����、網(wǎng)絡(luò )設備�����、安全設備等安全策略配置�,應用系統安全功能及有效性�;工業(yè)控制系統終端計算機�、移動(dòng)存儲介質(zhì)安全防護措施����;工業(yè)控制系統重要數據傳輸���、存儲的安全防護措施等���。
(三)應急工作
按照國家及省網(wǎng)絡(luò )與信息安全事件應急預案要求�,建立健全工業(yè)控制系統網(wǎng)絡(luò )安全應急工作體系情況����。重點(diǎn)檢查工業(yè)控制系統網(wǎng)絡(luò )安全事件應急預案制修訂情況��、應急演練情況���;應急技術(shù)支撐隊伍���、災難備份措施建設情況���;工業(yè)控制系統重大網(wǎng)絡(luò )安全事件處置情況等���。
(四)宣傳教育培訓
重點(diǎn)檢查工業(yè)控制系統網(wǎng)絡(luò )安全宣傳教育���、領(lǐng)導干部及各級人員網(wǎng)絡(luò )安全基礎培訓����、網(wǎng)絡(luò )安全人員專(zhuān)業(yè)技術(shù)培訓等情況�。
(五)密碼使用
重點(diǎn)檢查工業(yè)控制系統中密碼技術(shù)���、產(chǎn)品和服務(wù)的使用情況及其安全策略配置情況��。
三����、檢查方式
本次檢查工作各單位自查為主���,集團政策法規部將選取部分企業(yè)進(jìn)行抽查�����。
(一)安全自查
各單位結合實(shí)際組織開(kāi)展工業(yè)控制系統網(wǎng)絡(luò )安全自查工作���,制定檢查實(shí)施方案�,明確檢查范圍�、工作安排和任務(wù)要求�,周密計劃��,精心部署���,認真實(shí)施�����。為確保工業(yè)行業(yè)網(wǎng)絡(luò )安全檢查工作取得實(shí)效�,可依托專(zhuān)業(yè)技術(shù)隊伍進(jìn)行檢查���。
自查工作完成后����,各企業(yè)要對工業(yè)行業(yè)網(wǎng)絡(luò )安全檢查情況進(jìn)行全面匯總總結���,填寫(xiě)檢查結果統計表��,認真梳理存在的主要問(wèn)題��,分析評估安全風(fēng)險����,編寫(xiě)工業(yè)行業(yè)網(wǎng)絡(luò )安全檢查總結報告����。檢查總結報告內容主要包括網(wǎng)絡(luò )安全狀況總體評價(jià)��、2015年網(wǎng)絡(luò )安全工作情況�、檢查發(fā)現的主要問(wèn)題及整改情況����、對工業(yè)行業(yè)網(wǎng)絡(luò )安全工作的意見(jiàn)建議等�。根據檢查結果填寫(xiě)《企業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全檢查表》(見(jiàn)附件)��。
(二)安全抽查
采用現場(chǎng)檢查方式�,主要采取人員訪(fǎng)談�����、文檔查閱���、現場(chǎng)核查����、人工檢查等方法�,對被抽查企業(yè)進(jìn)行現場(chǎng)檢查并記錄檢查結果���。
四�、時(shí)間安排
2015年12月29日完成自查工作����,各企業(yè)將自查總結報告和《企業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全檢查表》報送集團政策法規部��。
五�����、工作要求
(一)加強組織和協(xié)調
各單位要明確檢查工作的主管領(lǐng)導和工作機構�,優(yōu)化進(jìn)度安排�,掌握工作進(jìn)展��,及時(shí)報送總結材料����,確保檢查工作有落實(shí)��。
(二)加強專(zhuān)家咨詢(xún)指導
可根據工作需要成立專(zhuān)家組或邀請專(zhuān)家對檢查工作進(jìn)行咨詢(xún)指導����,幫助分析工作中遇到的困難和問(wèn)題�,評估���、研判安全檢查結果�����,提高工作質(zhì)量�。
(三)加強工作總結和整改落實(shí)
對檢查工作進(jìn)行全面總結��,認真撰寫(xiě)工作總結報告��。組織對檢查工作中發(fā)現的問(wèn)題進(jìn)行研究����,采取有效措施加以整改���,切實(shí)提高工業(yè)控制系統網(wǎng)絡(luò )安全防護水平���。
聯(lián)系人:陳明遠 電 話(huà):029-88325187
郵 箱:zcfgb@yousergroup.com 傳 真:029-88325187
附件: 企業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全檢查表(點(diǎn)擊可下載)
陜西有色集團
2015年12月23日