來(lái)源：信息化和軟件服務(wù)業(yè)司  

為進(jìn)一步貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》，督促工業(yè)企業(yè)做好工業(yè)控制系統信息安全（以下簡(jiǎn)稱(chēng)工控安全）防護工作，工業(yè)和信息化部于近日印發(fā)了《工業(yè)控制系統信息安全防護能力評估工作管理辦法》（以下簡(jiǎn)稱(chēng)《管理辦法》），旨在規范工控安全防護能力評估工作，切實(shí)提升工控安全防護水平。

一、編制說(shuō)明　

近年來(lái)，隨著(zhù)兩化融合發(fā)展的不斷深入，安全威脅向工業(yè)控制系統加速滲透，工業(yè)領(lǐng)域面臨嚴峻的信息安全挑戰。我部于去年發(fā)布了《工業(yè)控制系統信息安全防護指南》（以下簡(jiǎn)稱(chēng)《防護指南》），從配置和補丁管理、邊界安全防護、安全監測和應急預案演練等方面，對工業(yè)企業(yè)提出了30項工控安全防護要求。為檢驗《防護指南》的實(shí)踐效果，綜合評價(jià)工業(yè)企業(yè)工控安全防護能力，我部于年初組織編制了《管理辦法（初稿）》，并選擇電力、化工、汽車(chē)、有色、石化、煙草6個(gè)重點(diǎn)行業(yè)開(kāi)展了工控安全預評估工作，對《管理辦法（初稿）》的科學(xué)性、合理性和可操作性進(jìn)行檢驗，結合工控安全預評估工作，進(jìn)一步對《管理辦法（初稿）》進(jìn)行修改完善，組織專(zhuān)家開(kāi)展專(zhuān)題研討論證，最終形成《管理辦法》?！?/p>

二、總體考慮　

《管理辦法》的編制以我國兩化融合發(fā)展時(shí)期工控安全保障需求和工控安全防護工作推進(jìn)為出發(fā)點(diǎn)和落腳點(diǎn)，密切結合工控安全防護能力評估工作實(shí)際，以規范針對工業(yè)企業(yè)開(kāi)展的工控安全防護能力評估活動(dòng)為重點(diǎn)，加強工控安全防護能力評估機構、人員和工具管理，明確工控安全防護能力評估工作程序。具體來(lái)說(shuō)，《管理辦法》編制的主要思路如下：

一是突出體系化管理。工控安全防護能力評估工作管理涉及管理機構、評估機構、評估人員、評估工具等各要素，《管理辦法》從全局出發(fā)，面向各類(lèi)主體，圍繞工作需求提出基線(xiàn)標準，加強體系化管理?！?/p>

二是注重管理實(shí)效?！掇k法》細化各類(lèi)基線(xiàn)標準，明確量化指標，提出從受理評估申請、組建評估技術(shù)隊伍到形成評估報告的一系列評估工作程序，提供具體且可操作的工控安全防護能力評估方法?！?/p>

三是強調全生命周期評估。工控安全防護能力評估是落實(shí)《防護指南》要求的一項具體工作，《管理辦法》指出防護能力評估是對工業(yè)企業(yè)工業(yè)控制系統規劃、設計、建設、運行、維護等全生命周期各階段開(kāi)展的安全防護能力綜合評價(jià)。

三、內容詳解　

（一）管理組織機構設置

管理組織機構是工控安全防護能力評估工作的核心?！豆芾磙k法》指出設立全國工控安全防護能力評估專(zhuān)家委員會(huì )，負責提供建議與咨詢(xún)；設立全國工控安全防護能力評估工作組，具體負責管理工控安全防護能力評估相關(guān)工作，工作組下設秘書(shū)處，秘書(shū)處設在國家工業(yè)信息安全發(fā)展研究中心?！?/p>

（二）基本要求

評估機構應符合具備獨立的事業(yè)單位法人資格，具有不少于25名工控安全防護能力評估專(zhuān)職人員，擁有工控安全防護能力評估所需的工具和設備，同時(shí)，還應建立并有效運行評估工作體系，完善評估監督和責任機制，對于不符合要求的機構，予以撤銷(xiāo)評估委托。

評估人員須遵守相關(guān)的法律、法規和規章，按照所在評估機構確定的工作程序和作業(yè)指導從事評估活動(dòng)，并遵守保密規定。

評估過(guò)程中使用的工具應符合相關(guān)可靠性和安全性要求，需通過(guò)評估工作組委托的國家級質(zhì)檢機構的檢測和校驗?！?/p>

（三）工作程序　

《管理辦法》制定了工控安全防護能力評估工作程序，包括受理評估申請、組建評估技術(shù)隊伍、制定評估工作計劃、開(kāi)展現場(chǎng)評估工作、現場(chǎng)評估情況反饋、企業(yè)自行整改、開(kāi)展復評估工作、形成評估報告，細化了各階段工作要求?！?/p>

（四）監督管理

為保證工控安全防護能力評估工作順利開(kāi)展，評估工作組通過(guò)公示、抽查、復核等方式對評估機構、人員進(jìn)行監督管理，確保評估報告的準確性和合理性。

（五）評估方法

為配套《管理辦法》的實(shí)施，以附件形式提供了工控安全防護能力評估方法，提出了工控安全防護能力評估的基本概念，對評估工作每一個(gè)環(huán)節進(jìn)行細化，提出詳細的工作步驟和實(shí)施方法。