來(lái)源工信部

工業(yè)和信息化部近日印發(fā)的《工業(yè)控制系統信息安全防護指南》指出，工業(yè)控制系統應用企業(yè)應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪(fǎng)問(wèn)安全、安全監測和應急預案演練、資產(chǎn)安全、數據安全、供應鏈管理、落實(shí)責任11個(gè)方面做好工控安全防護工作。

關(guān)于印發(fā)《工業(yè)控制系統信息安全防護指南》的通知

工信部信軟〔2016〕338號

為貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》（國發(fā)〔2016〕28號），保障工業(yè)企業(yè)工業(yè)控制系統信息安全，制定《工業(yè)控制系統信息安全防護指南》，現印發(fā)你們。 

工業(yè)和信息化部指導和管理全國工業(yè)企業(yè)工控安全防護和保障工作，并根據實(shí)際情況對指南進(jìn)行修訂。地方工業(yè)和信息化主管部門(mén)根據工業(yè)和信息化部統籌安排，指導本行政區域內的工業(yè)企業(yè)制定工控安全防護實(shí)施方案，推動(dòng)企業(yè)分期分批達到本指南相關(guān)要求。

工業(yè)和信息化部

2016年10月17日

（聯(lián)系電話(huà)：010-68208171）

工業(yè)控制系統信息安全防護指南 

工業(yè)控制系統信息安全事關(guān)經(jīng)濟發(fā)展、社會(huì )穩定和國家安全。為提升工業(yè)企業(yè)工業(yè)控制系統信息安全（以下簡(jiǎn)稱(chēng)工控安全）防護水平，保障工業(yè)控制系統安全，制定本指南。 

工業(yè)控制系統應用企業(yè)以及從事工業(yè)控制系統規劃、設計、建設、運維、評估的企事業(yè)單位適用本指南。 

工業(yè)控制系統應用企業(yè)應從以下十一個(gè)方面做好工控安全防護工作。 

一、安全軟件選擇與管理

（一）在工業(yè)主機上采用經(jīng)過(guò)離線(xiàn)環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權和安全評估的軟件運行。

（二）建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統及臨時(shí)接入的設備采取病毒查殺等安全預防措施。 

二、配置和補丁管理

（一）做好工業(yè)控制網(wǎng)絡(luò )、工業(yè)主機和工業(yè)控制設備的安全配置，建立工業(yè)控制系統配置清單，定期進(jìn)行配置審計。

（二）對重大配置變更制定變更計劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴格安全測試。

（三）密切關(guān)注重大工控安全漏洞及其補丁發(fā)布，及時(shí)采取補丁升級措施。在補丁安裝前，需對補丁進(jìn)行嚴格的安全評估和測試驗證。 

三、邊界安全防護

（一）分離工業(yè)控制系統的開(kāi)發(fā)、測試和生產(chǎn)環(huán)境。

（二）通過(guò)工業(yè)控制網(wǎng)絡(luò )邊界防護設備對工業(yè)控制網(wǎng)絡(luò )與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護，禁止沒(méi)有防護的工業(yè)控制網(wǎng)絡(luò )與互聯(lián)網(wǎng)連接。

（三）通過(guò)工業(yè)防火墻、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡(luò )安全區域之間進(jìn)行邏輯隔離安全防護。 

四、物理和環(huán)境安全防護

（一）對重要工程師站、數據庫、服務(wù)器等核心工業(yè)控制軟硬件所在區域采取訪(fǎng)問(wèn)控制、視頻監控、專(zhuān)人值守等物理安全防護措施。

（二）拆除或封閉工業(yè)主機上不必要的USB、光驅、無(wú)線(xiàn)等接口。若確需使用，通過(guò)主機外設安全管理技術(shù)手段實(shí)施嚴格訪(fǎng)問(wèn)控制。 

五、身份認證

（一）在工業(yè)主機登錄、應用服務(wù)資源訪(fǎng)問(wèn)、工業(yè)云平臺訪(fǎng)問(wèn)等過(guò)程中使用身份認證管理。對于關(guān)鍵設備、系統和平臺的訪(fǎng)問(wèn)采用多因素認證。

（二）合理分類(lèi)設置賬戶(hù)權限，以最小特權原則分配賬戶(hù)權限。

（三）強化工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等的登錄賬戶(hù)及密碼，避免使用默認口令或弱口令,定期更新口令。

（四）加強對身份認證證書(shū)信息保護力度，禁止在不同系統和網(wǎng)絡(luò )環(huán)境下共享。 

六、遠程訪(fǎng)問(wèn)安全

（一）原則上嚴格禁止工業(yè)控制系統面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP、Telnet等高風(fēng)險通用網(wǎng)絡(luò )服務(wù)。

（二）確需遠程訪(fǎng)問(wèn)的，采用數據單向訪(fǎng)問(wèn)控制等策略進(jìn)行安全加固，對訪(fǎng)問(wèn)時(shí)限進(jìn)行控制，并采用加標鎖定策略。

（三）確需遠程維護的，采用虛擬專(zhuān)用網(wǎng)絡(luò )（VPN）等遠程接入方式進(jìn)行。

（四）保留工業(yè)控制系統的相關(guān)訪(fǎng)問(wèn)日志，并對操作過(guò)程進(jìn)行安全審計。 

七、安全監測和應急預案演練

（一）在工業(yè)控制網(wǎng)絡(luò )部署網(wǎng)絡(luò )安全監測設備，及時(shí)發(fā)現、報告并處理網(wǎng)絡(luò )攻擊或異常行為。

（二）在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，限制違法操作。

（三）制定工控安全事件應急響應預案，當遭受安全威脅導致工業(yè)控制系統出現異?；蚬收蠒r(shí)，應立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門(mén)，同時(shí)注意保護現場(chǎng)，以便進(jìn)行調查取證。

（四）定期對工業(yè)控制系統的應急響應預案進(jìn)行演練，必要時(shí)對應急響應預案進(jìn)行修訂。 

八、資產(chǎn)安全

（一）建設工業(yè)控制系統資產(chǎn)清單，明確資產(chǎn)責任人，以及資產(chǎn)使用及處置規則。

（二）對關(guān)鍵主機設備、網(wǎng)絡(luò )設備、控制組件等進(jìn)行冗余配置。 

九、數據安全

（一）對靜態(tài)存儲和動(dòng)態(tài)傳輸過(guò)程中的重要工業(yè)數據進(jìn)行保護，根據風(fēng)險評估結果對數據信息進(jìn)行分級分類(lèi)管理。

（二）定期備份關(guān)鍵業(yè)務(wù)數據。

（三）對測試數據進(jìn)行保護。 

十、供應鏈管理

（一）在選擇工業(yè)控制系統規劃、設計、建設、運維或評估等服務(wù)商時(shí)，優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位，以合同等方式明確服務(wù)商應承擔的信息安全責任和義務(wù)。

（二）以保密協(xié)議的方式要求服務(wù)商做好保密工作，防范敏感信息外泄。 

十一、落實(shí)責任

通過(guò)建立工控安全管理機制、成立信息安全協(xié)調小組等方式，明確工控安全管理責任人，落實(shí)工控安全責任制，部署工控安全防護措施。 

解讀

工業(yè)控制系統信息安全（以下簡(jiǎn)稱(chēng)“工控安全”）是國家網(wǎng)絡(luò )和信息安全的重要組成部分，是推動(dòng)中國制造2025、制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的基礎保障。2016年10月，工業(yè)和信息化部印發(fā)《工業(yè)控制系統信息安全防護指南》（以下簡(jiǎn)稱(chēng)《指南》），指導工業(yè)企業(yè)開(kāi)展工控安全防護工作。 

一 背景情況 

工控安全事關(guān)經(jīng)濟發(fā)展、社會(huì )穩定和國家安全。近年來(lái)，隨著(zhù)信息化和工業(yè)化融合的不斷深入，工業(yè)控制系統從單機走向互聯(lián)，從封閉走向開(kāi)放，從自動(dòng)化走向智能化。在生產(chǎn)力顯著(zhù)提高的同時(shí)，工業(yè)控制系統面臨著(zhù)日益嚴峻的信息安全威脅。為貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》（國發(fā)〔2016〕28號）文件精神，應對新時(shí)期工控安全形勢，提升工業(yè)企業(yè)工控安全防護水平，編制本《指南》。 

二 總體考慮 

《指南》堅持“安全是發(fā)展的前提，發(fā)展是安全的保障”，以當前我國工業(yè)控制系統面臨的安全問(wèn)題為出發(fā)點(diǎn)，注重防護要求的可執行性，從管理、技術(shù)兩方面明確工業(yè)企業(yè)工控安全防護要求。編制思路如下： 

（一）落實(shí)《國家網(wǎng)絡(luò )安全法》要求

《指南》所列11項要求充分體現了《國家網(wǎng)絡(luò )安全法》中網(wǎng)絡(luò )安全支持與促進(jìn)、網(wǎng)絡(luò )運行安全、網(wǎng)絡(luò )信息安全、監測預警與應急處置等法規在工控安全領(lǐng)域的要求，是《國家網(wǎng)絡(luò )安全法》在工業(yè)領(lǐng)域的具體應用。 

（二）突出工業(yè)企業(yè)主體責任

《指南》根據我國工控安全管理工作實(shí)踐經(jīng)驗，面向工業(yè)企業(yè)提出工控安全防護要求，確立企業(yè)作為工控安全責任主體，要求企業(yè)明確工控安全管理責任人，落實(shí)工控安全責任制。 

（三）考慮我國工控安全現狀

《指南》編制以近五年我部工控安全檢查工作掌握的有關(guān)情況為基礎，充分考慮當前工控安全防護意識不到位、管理責任不明晰、訪(fǎng)問(wèn)控制策略不完善等問(wèn)題，明確了《指南》的各項要求。 

（四）借鑒發(fā)達國家工控安全防護經(jīng)驗

《指南》參考了美國、歐盟、日本等發(fā)達國家工控安全相關(guān)政策、標準和最佳實(shí)踐做法，對安全軟件選擇與管理、配置與補丁管理、邊界安全防護等措施進(jìn)行了論證，提高了《指南》的科學(xué)性、合理性和可操作性。 

（五）強調工業(yè)控制系統全生命周期安全防護

 《指南》涵蓋工業(yè)控制系統設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求，從安全軟件選型、訪(fǎng)問(wèn)控制策略構建、數據安全保護、資產(chǎn)配置管理等方面提出了具體實(shí)施細則。 

三 內容詳解 

《指南》堅持企業(yè)的主體責任及政府的監管、服務(wù)職責，聚焦系統防護、安全管理等安全保障重點(diǎn)，提出了11項防護要求，具體解讀如下： 

（一）安全軟件選擇與管理

1. 在工業(yè)主機上采用經(jīng)過(guò)離線(xiàn)環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權和安全評估的軟件運行。 

解讀：工業(yè)控制系統對系統可用性、實(shí)時(shí)性要求較高，工業(yè)主機如MES服務(wù)器、OPC服務(wù)器、數據庫服務(wù)器、工程師站、操作員站等應用的安全軟件應事先在離線(xiàn)環(huán)境中進(jìn)行測試與驗證，其中，離線(xiàn)環(huán)境指的是與生產(chǎn)環(huán)境物理隔離的環(huán)境。驗證和測試內容包括安全軟件的功能性、兼容性及安全性等。 

2. 建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統及臨時(shí)接入的設備采取病毒查殺等安全預防措施。 

解讀：工業(yè)企業(yè)需要建立工業(yè)控制系統防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統及臨時(shí)接入的設備采用必要的安全預防措施。安全預防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時(shí)接入設備（如臨時(shí)接入U盤(pán)、移動(dòng)終端等外設）等。 

（二）配置和補丁管理

1.做好工業(yè)控制網(wǎng)絡(luò )、工業(yè)主機和工業(yè)控制設備的安全配置，建立工業(yè)控制系統配置清單，定期進(jìn)行配置審計。  

解讀：工業(yè)企業(yè)應做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡(luò )安全配置，遠程控制管理、默認賬戶(hù)管理等工業(yè)主機安全配置，口令策略合規性等工業(yè)控制設備安全配置，建立相應的配置清單，制定責任人定期進(jìn)行管理和維護，并定期進(jìn)行配置核查審計。 

2.對重大配置變更制定變更計劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴格安全測試。   

解讀：當發(fā)生重大配置變更時(shí)，工業(yè)企業(yè)應及時(shí)制定變更計劃，明確變更時(shí)間、變更內容、變更責任人、變更審批、變更驗證等事項。其中，重大配置變更是指重大漏洞補丁更新、安全設備的新增或減少、安全域的重新劃分等。同時(shí)，應對變更過(guò)程中可能出現的風(fēng)險進(jìn)行分析，形成分析報告，并在離線(xiàn)環(huán)境中對配置變更進(jìn)行安全性驗證。 

3.密切關(guān)注重大工控安全漏洞及其補丁發(fā)布，及時(shí)采取補丁升級措施。在補丁安裝前，需對補丁進(jìn)行嚴格的安全評估和測試驗證。 

解讀：工業(yè)企業(yè)應密切關(guān)注CNVD、CNNVD等漏洞庫及設備廠(chǎng)商發(fā)布的補丁。當重大漏洞及其補丁發(fā)布時(shí)，根據企業(yè)自身情況及變更計劃，在離線(xiàn)環(huán)境中對補丁進(jìn)行嚴格的安全評估和測試驗證，對通過(guò)安全評估和測試驗證的補丁及時(shí)升級。 

（三）邊界安全防護

1.分離工業(yè)控制系統的開(kāi)發(fā)、測試和生產(chǎn)環(huán)境。 

解讀：工業(yè)控制系統的開(kāi)發(fā)、測試和生產(chǎn)環(huán)境需執行不同的安全控制措施，工業(yè)企業(yè)可采用物理隔離、網(wǎng)絡(luò )邏輯隔離等方式進(jìn)行隔離。 

2.通過(guò)工業(yè)控制網(wǎng)絡(luò )邊界防護設備對工業(yè)控制網(wǎng)絡(luò )與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護，禁止沒(méi)有防護的工業(yè)控制網(wǎng)絡(luò )與互聯(lián)網(wǎng)連接。 

解讀：工業(yè)控制網(wǎng)絡(luò )邊界安全防護設備包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設備及企業(yè)定制的邊界安全防護網(wǎng)關(guān)等。工業(yè)企業(yè)應根據實(shí)際情況，在不同網(wǎng)絡(luò )邊界之間部署邊界安全防護設備，實(shí)現安全訪(fǎng)問(wèn)控制，阻斷非法網(wǎng)絡(luò )訪(fǎng)問(wèn)，嚴格禁止沒(méi)有防護的工業(yè)控制網(wǎng)絡(luò )與互聯(lián)網(wǎng)連接。 

3.通過(guò)工業(yè)防火墻、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡(luò )安全區域之間進(jìn)行邏輯隔離安全防護。 

解讀：工業(yè)控制系統網(wǎng)絡(luò )安全區域根據區域重要性和業(yè)務(wù)需求進(jìn)行劃分。區域之間的安全防護，可采用工業(yè)防火墻、網(wǎng)閘等設備進(jìn)行邏輯隔離安全防護。 

（四）物理和環(huán)境安全防護

1.對重要工程師站、數據庫、服務(wù)器等核心工業(yè)控制軟硬件所在區域采取訪(fǎng)問(wèn)控制、視頻監控、專(zhuān)人值守等物理安全防護措施。  

解讀：工業(yè)企業(yè)應對重要工業(yè)控制系統資產(chǎn)所在區域，采用適當的物理安全防護措施。

2.拆除或封閉工業(yè)主機上不必要的USB、光驅、無(wú)線(xiàn)等接口。若確需使用，通過(guò)主機外設安全管理技術(shù)手段實(shí)施嚴格訪(fǎng)問(wèn)控制。

解讀：USB、光驅、無(wú)線(xiàn)等工業(yè)主機外設的使用，為病毒、木馬、蠕蟲(chóng)等惡意代碼入侵提供了途徑，拆除或封閉工業(yè)主機上不必要的外設接口可減少被感染的風(fēng)險。確需使用時(shí)，可采用主機外設統一管理設備、隔離存放有外設接口的工業(yè)主機等安全管理技術(shù)手段。

（五）身份認證

1.在工業(yè)主機登錄、應用服務(wù)資源訪(fǎng)問(wèn)、工業(yè)云平臺訪(fǎng)問(wèn)等過(guò)程中使用身份認證管理。對于關(guān)鍵設備、系統和平臺的訪(fǎng)問(wèn)采用多因素認證。 

解讀：用戶(hù)在登錄工業(yè)主機、訪(fǎng)問(wèn)應用服務(wù)資源及工業(yè)云平臺等過(guò)程中，應使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段，必要時(shí)可同時(shí)采用多種認證手段。 

2.合理分類(lèi)設置賬戶(hù)權限，以最小特權原則分配賬戶(hù)權限。 

解讀：工業(yè)企業(yè)應以滿(mǎn)足工作要求的最小特權原則來(lái)進(jìn)行系統賬戶(hù)權限分配，確保因事故、錯誤、篡改等原因造成的損失最小化。工業(yè)企業(yè)需定期審計分配的賬戶(hù)權限是否超出工作需要。

3.強化工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等的登錄賬戶(hù)及密碼，避免使用默認口令或弱口令,定期更新口令。

解讀：工業(yè)企業(yè)可參考供應商推薦的設置規則，并根據資產(chǎn)重要性，為工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等設定不同強度的登錄賬戶(hù)及密碼，并進(jìn)行定期更新，避免使用默認口令或弱口令。

4.加強對身份認證證書(shū)信息保護力度，禁止在不同系統和網(wǎng)絡(luò )環(huán)境下共享。

解讀：工業(yè)企業(yè)可采用USB-key等安全介質(zhì)存儲身份認證證書(shū)信息，建立相關(guān)制度對證書(shū)的申請、發(fā)放、使用、吊銷(xiāo)等過(guò)程進(jìn)行嚴格控制，保證不同系統和網(wǎng)絡(luò )環(huán)境下禁止使用相同的身份認證證書(shū)信息，減小證書(shū)暴露后對系統和網(wǎng)絡(luò )的影響。 

（六）遠程訪(fǎng)問(wèn)安全

1.原則上嚴格禁止工業(yè)控制系統面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP、Telnet等高風(fēng)險通用網(wǎng)絡(luò )服務(wù)。

解讀：工業(yè)控制系統面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP、Telnet等網(wǎng)絡(luò )服務(wù)，易導致工業(yè)控制系統被入侵、攻擊、利用，工業(yè)企業(yè)應原則上禁止工業(yè)控制系統開(kāi)通高風(fēng)險通用網(wǎng)絡(luò )服務(wù)。

2.確需遠程訪(fǎng)問(wèn)的，采用數據單向訪(fǎng)問(wèn)控制等策略進(jìn)行安全加固，對訪(fǎng)問(wèn)時(shí)限進(jìn)行控制，并采用加標鎖定策略。

解讀：工業(yè)企業(yè)確需進(jìn)行遠程訪(fǎng)問(wèn)的，可在網(wǎng)絡(luò )邊界使用單向隔離裝置、VPN等方式實(shí)現數據單向訪(fǎng)問(wèn)，并控制訪(fǎng)問(wèn)時(shí)限。采用加標鎖定策略，禁止訪(fǎng)問(wèn)方在遠程訪(fǎng)問(wèn)期間實(shí)施非法操作。

3.確需遠程維護的，采用虛擬專(zhuān)用網(wǎng)絡(luò )（VPN）等遠程接入方式進(jìn)行。

解讀：工業(yè)企業(yè)確需遠程維護的，應通過(guò)對遠程接入通道進(jìn)行認證、加密等方式保證其安全性，如采用虛擬專(zhuān)用網(wǎng)絡(luò )（VPN）等方式，對接入賬戶(hù)實(shí)行專(zhuān)人專(zhuān)號，并定期審計接入賬戶(hù)操作記錄。

4.保留工業(yè)控制系統的相關(guān)訪(fǎng)問(wèn)日志，并對操作過(guò)程進(jìn)行安全審計。

解讀：工業(yè)企業(yè)應保留工業(yè)控制系統設備、應用等訪(fǎng)問(wèn)日志，并定期進(jìn)行備份，通過(guò)審計人員賬戶(hù)、訪(fǎng)問(wèn)時(shí)間、操作內容等日志信息，追蹤定位非授權訪(fǎng)問(wèn)行為。 

（七）安全監測和應急預案演練

1.在工業(yè)控制網(wǎng)絡(luò )部署網(wǎng)絡(luò )安全監測設備，及時(shí)發(fā)現、報告并處理網(wǎng)絡(luò )攻擊或異常行為。

解讀：工業(yè)企業(yè)應在工業(yè)控制網(wǎng)絡(luò )部署可對網(wǎng)絡(luò )攻擊和異常行為進(jìn)行識別、報警、記錄的網(wǎng)絡(luò )安全監測設備，及時(shí)發(fā)現、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業(yè)控制系統協(xié)議包偽造等網(wǎng)絡(luò )攻擊或異常行為。

2.在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，限制違法操作。

解讀：在工業(yè)企業(yè)生產(chǎn)核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業(yè)控制系統協(xié)議進(jìn)行深度分析和過(guò)濾的防護設備，阻斷不符合協(xié)議標準結構的數據包、不符合業(yè)務(wù)要求的數據內容。

3.制定工控安全事件應急響應預案，當遭受安全威脅導致工業(yè)控制系統出現異?；蚬收蠒r(shí)，應立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門(mén)，同時(shí)注意保護現場(chǎng)，以便進(jìn)行調查取證。 

解讀：工業(yè)企業(yè)需要自主或委托第三方工控安全服務(wù)單位制定工控安全事件應急響應預案。預案應包括應急計劃的策略和規程、應急計劃培訓、應急計劃測試與演練、應急處理流程、事件監控措施、應急事件報告流程、應急支持資源、應急響應計劃等內容。 

4.定期對工業(yè)控制系統的應急響應預案進(jìn)行演練，必要時(shí)對應急響應預案進(jìn)行修訂。

解讀：工業(yè)企業(yè)應定期組織工業(yè)控制系統操作、維護、管理等相關(guān)人員開(kāi)展應急響應預案演練，演練形式包括桌面演練、單項演練、綜合演練等。必要時(shí)，企業(yè)應根據實(shí)際情況對預案進(jìn)行修訂。 

（八）資產(chǎn)安全

1.建設工業(yè)控制系統資產(chǎn)清單，明確資產(chǎn)責任人，以及資產(chǎn)使用及處置規則。

解讀：工業(yè)企業(yè)應建設工業(yè)控制系統資產(chǎn)清單，包括信息資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)等。明確資產(chǎn)責任人，建立資產(chǎn)使用及處置規則，定期對資產(chǎn)進(jìn)行安全巡檢，審計資產(chǎn)使用記錄，并檢查資產(chǎn)運行狀態(tài)，及時(shí)發(fā)現風(fēng)險。

2.對關(guān)鍵主機設備、網(wǎng)絡(luò )設備、控制組件等進(jìn)行冗余配置。

解讀：工業(yè)企業(yè)應根據業(yè)務(wù)需要，針對關(guān)鍵主機設備、網(wǎng)絡(luò )設備、控制組件等配置冗余電源、冗余設備、冗余網(wǎng)絡(luò )等。

（九）數據安全

1.對靜態(tài)存儲和動(dòng)態(tài)傳輸過(guò)程中的重要工業(yè)數據進(jìn)行保護，根據風(fēng)險評估結果對數據信息進(jìn)行分級分類(lèi)管理。

解讀：工業(yè)企業(yè)應對靜態(tài)存儲的重要工業(yè)數據進(jìn)行加密存儲，設置訪(fǎng)問(wèn)控制功能，對動(dòng)態(tài)傳輸的重要工業(yè)數據進(jìn)行加密傳輸，使用VPN等方式進(jìn)行隔離保護，并根據風(fēng)險評估結果，建立和完善數據信息的分級分類(lèi)管理制度。

2.定期備份關(guān)鍵業(yè)務(wù)數據。

解讀：工業(yè)企業(yè)應對關(guān)鍵業(yè)務(wù)數據，如工藝參數、配置文件、設備運行數據、生產(chǎn)數據、控制指令等進(jìn)行定期備份。

3.對測試數據進(jìn)行保護。

解讀：工業(yè)企業(yè)應對測試數據，包括安全評估數據、現場(chǎng)組態(tài)開(kāi)發(fā)數據、系統聯(lián)調數據、現場(chǎng)變更測試數據、應急演練數據等進(jìn)行保護，如簽訂保密協(xié)議、回收測試數據等。

（十）供應鏈管理

1.在選擇工業(yè)控制系統規劃、設計、建設、運維或評估等服務(wù)商時(shí)，優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位，以合同等方式明確服務(wù)商應承擔的信息安全責任和義務(wù)。

解讀：工業(yè)企業(yè)在選擇工業(yè)控制系統規劃、設計、建設、運維或評估服務(wù)商時(shí)，應優(yōu)先考慮有工控安全防護經(jīng)驗的服務(wù)商，并核查其提供的工控安全合同、案例、驗收報告等證明材料。在合同中應以明文條款的方式約定服務(wù)商在服務(wù)過(guò)程中應當承擔的信息安全責任和義務(wù)。

2.以保密協(xié)議的方式要求服務(wù)商做好保密工作，防范敏感信息外泄。

解讀：工業(yè)企業(yè)應與服務(wù)商簽訂保密協(xié)議，協(xié)議中應約定保密內容、保密時(shí)限、違約責任等內容。防范工藝參數、配置文件、設備運行數據、生產(chǎn)數據、控制指令等敏感信息外泄。

（十一）落實(shí)責任

通過(guò)建立工控安全管理機制、成立信息安全協(xié)調小組等方式，明確工控安全管理責任人，落實(shí)工控安全責任制，部署工控安全防護措施。

解讀：工業(yè)企業(yè)應建立健全工控安全管理機制，明確工控安全主體責任，成立由企業(yè)負責人牽頭的，由信息化、生產(chǎn)管理、設備管理等相關(guān)部門(mén)組成的工業(yè)控制系統信息安全協(xié)調小組，負責工業(yè)控制系統全生命周期的安全防護體系建設和管理，制定工業(yè)控制系統安全管理制度，部署工控安全防護措施。

四 貫徹落實(shí)

一是面向地方工業(yè)和信息化主管部門(mén)、中央企業(yè)等開(kāi)展《指南》宣貫，依據《指南》要求組織培訓，指導工業(yè)企業(yè)進(jìn)一步優(yōu)化工控安全管理與技術(shù)防護手段。

二是選擇工業(yè)聚集發(fā)展城市及地區，設立工控安全防護試點(diǎn)區，組織區內工業(yè)企業(yè)開(kāi)展工控安全防護應用試點(diǎn)，遴選優(yōu)秀試點(diǎn)企業(yè)分享工控安全防護經(jīng)驗，總結提煉工業(yè)控制系統防護示范案例。

三是將《指南》要求納入年度工業(yè)行業(yè)網(wǎng)絡(luò )安全檢查項目，強化責任落實(shí)到位，管理、技術(shù)落實(shí)到位。通過(guò)自查、抽查、深度檢查等方式促進(jìn)工業(yè)企業(yè)深入貫徹并落實(shí)《指南》。    

地方工信主管部門(mén)負責對本地區內的工控安全防護工作進(jìn)行監督管理，并配合工業(yè)和信息化部做好工控安全相關(guān)工作。工業(yè)企業(yè)應按照《指南》各項要求，開(kāi)展和完善工控安全防護工作，改善自身安全防護能力的同時(shí)，為全面提升我國工業(yè)信息安全防護水平提供支撐。