工信部2015年工业行业网络安全检查.docx

工信部 2015 年工业行业网络安全检查试点工作方案一、目的与依据为落实工业信息安全监测和风险评估工作，加强对企业工业控制系统网络安全工作的指导和督促检查，提升企业工业控制系统安全管理和技术防护水平，通过检查工作试点积累经验，形成较完善的工业行业信息安全检查工作制度并逐步推广，依据《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》 （国发〔 2012 〕 23 号）、《关于加强工业控制系统信息安全管理的通知》 （工信部协〔 2011 〕451 号）要求，参照《工业控制网络安全风险评估规范》 （ GB/T26333-2010 ）、《工业控制系统信息安全 第 1 部分 评估规范》（GB/T30976.1-2014 ）等国家信息安全技术标准规范以及《关于印发 <2015年国家网络安全检查工作指南 >的通知》（中网办发文〔 2015 〕4 号）内容，制定本工作方案二、试点工作范围本次工业行业网络安全检查试点工作重点面向石化化工、装备制造、有色金属、钢铁等行业，检查范围包括工业行业重点企业 1的制造执行、监视控制与数据采集、分布式控制 /过程控制、可编程逻辑控制1 重点企业指企业的工业控制系统发生重大安全事件，致使系统出现严重故障后，可能导致 10 人以上死亡或 50 人以上重伤，或可能导致 5000 万元以上直接经济损失，或可能影响 100 万人以上正常生活，或可能对生态环境造成严重破坏，或可能对国家安全和社会稳定产生重大影响。

器、智能电子设备等工业控制系统根据国内产业现状，本次试点工作选取 15 家央企（其中 7 家央企进行自查，对其余 8 家央企开展抽查，央企名单详见附件 1），以及在钢铁、有色金属、石化化工、装备制造等行业具有代表性的河北、辽宁、吉林、黑龙江、安徽、福建、山东、河南、湖南、广西、四川、陕西 12 个省份三、检查内容（一）网络安全管理按照国家网络安全政策和标准规范要求，建立健全工业控制系统网络安全管理制度及落实情况重点检查工业控制系统网络安全主管领导、管理机构和工作人员履职情况，工业控制系统网络安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，工业控制系统网络安全规划制定情况，工业控制系统网络安全运维情况、工业控制系统网络安全从业人员情况，工业控制系统网络安全经费保障情况等二）安全技术防护按照国家网络安全政策和标准规范要求，建立健全工业控制系统技术防护体系及安全防护情况重点检查工业控制系统防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性；工业控制系统网络边界防护措施、网络分区分域管理、无线网络安全防护策略；工业控制系统服务器、网络设备、安全设备等安全策略配置，应用系统安全功能及有效性；工业控制系统终端计算机、移动存储介质安全防护措施；工业控制系统重要数据传输、存储的安全防护措施等。

三）应急工作按照国家网络与信息安全事件应急预案要求，建立健全工业控制系统网络安全应急工作体系情况重点检查工业控制系统网络安全事件应急预案制修订情况、应急演练情况；应急技术支撑队伍、灾难备份措施建设情况；工业控制系统重大网络安全事件处置情况等四）宣传教育培训重点检查工业控制系统网络安全宣传教育、领导干部及各级人员网络安全基础培训、网络安全人员专业技术培训等情况五）密码使用重点检查工业控制系统中密码技术、产品和服务的使用情况及其安全策略配置情况四、检查方式本次试点工作选取部分省份和央企开展工业行业网络安全检查工作，检查方式以相关省份和央企自查为主同时，工业和信息化部组织专业技术队伍对部分央企进行抽查一）安全自查相关省份工业行业网络安全检查工作由省级工业和信息化主管部门组织实施，相关央企结合实际组织开展工业控制系统网络安全自查工作相关省份和央企应结合年度工作制定检查实施方案，明确检查范围、工作安排和任务要求，周密计划，精心部署，认真实施为确保工业行业网络安全检查工作取得实效，相关省份或央企可依托专业技术队伍进行检查自查工作完成后，相关省份和央企要对工业行业网络安全检查情况进行全面汇总总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，编写工业行业网络安全检查总结报告。

检查总结报告内容主要包括网络安全状况总体评价、 2015 年网络安全工作情况、检查发现的主要问题及整改情况、对工业行业网络安全工作的意见建议等相关省份应根据检查结果填写《相关省份工业行业网络安全检查情况汇总表》 （附件 2），相关央企应根据检查结果填写《相关央企工业控制系统网络安全检查表》 （附件 3）二）安全抽查工业行业网络安全抽查工作采用现场检查方式，主要采取人员访谈、文档查阅、现场核查、人工检查等方法，对被抽查央企进行现场检查并记录检查结果本次抽查由工业和信息化部统一组织，委托专业技术队伍对钢铁、有色金属 2 个行业共 8 家央企进行抽查五、时间安排本次网络安全检查试点工作自本工作方案印发之日起启动 2015年 12 月中旬完成自查和抽查工作，相关省份和央企将自查总结报告送工业和信息化部，承担抽查工作的专业技术队伍将抽查报告送工业和信息化部六、有关工作要求（一）加强组织和协调各单位要明确检查工作的主管领导和工作机构，优化进度安排，掌握工作进展，及时报送信息，确保检查工作有序开展二）加强专家咨询指导可根据工作需要成立专家组或邀请专家对检查工作进行咨询指导，帮助分析工作中遇到的困难和问题，评估、研判安全检查结果，提高工作质量。

三）加强风险控制和保密管理检查工作中要强化风险控制措施，严格执行工作纪律和操作规程，应对重要数据和配置进行备份，确保被检查系统的正常运行指定专人负责管理相关文档和数据，确保工作中涉及到的国家秘密和商业秘密得到有效控制四）加强工作总结和整改落实对检查工作进行全面总结，认真撰写工作总结报告组织对检查工作中发现的问题进行研究，督促相关企业采取有效措施加以整改，切实提高工业控制系统网络安全防护水平附件 1工业行业网络安全检查试点工作选取央企名单序号1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.行业石化化工装备制造有色金属钢铁企业检查方式中国中化集团公司自查中国化工集团公司自查中国第一重型机械集团公司自查哈尔滨电气集团公司自查中国东方电气集团有限公司自查中国通用技术（集团）控股有限责任公司自查中国中车股份有限公司自查中国铝业公司抽查中国五矿集团公司抽查中国有色矿业集团有限公司抽查中国黄金集团公司抽查鞍山钢铁集团公司抽查宝钢集团公司抽查武汉钢铁（集团）公司抽查中国中钢集团公司抽查附件 2相关省份工业行业网络安全检查情况汇总表省份名称：基本情况系统构成情况工业控制网络连接情况运行维护情况网络安全防护情况重要工业控制系统运营单位总数：家重要工业控制系统总数：套国内品牌国外品牌制造执行（ MES）系统软件套套数据采集与监控（ SCADA ）系统软件套套分布式控制系统（ DCS）软件 /过程控套套制系统（ PCS）软件可编程控制器大中型台台（PLC）中型台台智能电子设备智能仪表台台智能装备 1台台（IED）远端设备（ RTU）台台服务器台台路由器台台交换机台台基础软硬件设防火墙台台备磁盘阵列台台操作系统套套数据库套套防病毒软件套套1.直接与互联网连接的重要工业控制系统数量：套2.与内部网络连接的重要工业控制系统数量：套3.含有无线接入方式的重要工业控制系统数量：套1.采用远程方式运行维护的重要工业控制系统数量：套2.由国内厂商提供运行维护服务的重要工业控制系统数量：套3.由国外厂商提供运行维护服务的重要工业控制系统数量：套1.网络边界处架设网络安全设备的重要工业控制系统数量：套2.安装防病毒软件或设备的重要工业控制系统数量：套3.定期进行安全更新的重要工业控制系统数量：套4.采取加密措施传输、存储敏感数据的重要工业控制系统数量：套————————————————1 智能装备一般指机器手、机器人、数控设备、智能车等。

附件 3 相关央企工业控制系统网络安全检查表表 1 相关央企工业控制系统基本情况检查表危险化学品操作对象重大危险源连接互联网情况数据集中情灾备情况运维情况况3 关联情况装置 /序系统1工艺 2名称采用采用系是否号名称逻辑全省仅数仅数签署。