解讀《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》

1、解讀《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》制定《指南》的背景通知中明確“為貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2016〕28號），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部制定《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》?！笨梢钥闯?，《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》是根據(jù)《意見》制定的?！兑庖姟分邢嚓P(guān)要求《意見》“七大任務(wù)”中專門有一條“提高工業(yè)信息系統(tǒng)安全水平”。工信部根據(jù)《十三五規(guī)劃綱要》、《中國制造2025》和《

2、意見》等要求編制的《工業(yè)和信息化部關(guān)于印發(fā)信息化和工業(yè)化融合發(fā)展規(guī)劃（20162020年）》中進(jìn)一步明確，在十三五期間，我國兩化融合面臨的機(jī)遇和挑戰(zhàn)第四條就是“工業(yè)領(lǐng)域信息安全形勢日益嚴(yán)峻，對兩化融合發(fā)展提出新要求”，其“七大任務(wù)”中也提到要“逐步完善工業(yè)信息安全保障體系”，“六大重點(diǎn)工程”中之一就是“工業(yè)信息安全保障工程”。以上這些，就是政策層面的指導(dǎo)思想和要求?！吨改稀窏l款詳細(xì)解讀《指南》整體思路借鑒了等級保護(hù)的思想，具體提出了十一

3、條三十款要求，貼近實(shí)際工業(yè)企業(yè)真實(shí)情況，務(wù)實(shí)可落地。我們從《指南》要求的主體、客體和方法將十一條分為三大類：解讀：設(shè)立工業(yè)控制系統(tǒng)安全管理工作的職能部門，負(fù)責(zé)工業(yè)控制系統(tǒng)全生命周期的安全防護(hù)體系建設(shè)和管理，明確安全管理機(jī)構(gòu)的工作范圍、責(zé)任及工作人員的職責(zé)，制定工業(yè)控制系統(tǒng)安全管理方針，持續(xù)實(shí)施和改進(jìn)工業(yè)控制系統(tǒng)的安全防護(hù)能力，不斷提升工業(yè)控制系統(tǒng)防攻擊和抗干擾的水平。b、針對客體目標(biāo)（被保護(hù)的資產(chǎn)或數(shù)據(jù)）的安全要求，包含第八條資產(chǎn)安全、

4、第九條數(shù)據(jù)安全：1.8資產(chǎn)安全（一）建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責(zé)任人，以及資產(chǎn)使用及處置原則。解讀：為實(shí)現(xiàn)和保持對組織機(jī)構(gòu)資產(chǎn)的適當(dāng)保護(hù)，確保所有資產(chǎn)可查，應(yīng)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，并明確資產(chǎn)使用及處置原則，配置資產(chǎn)清單，定期更新清單庫，并對資產(chǎn)進(jìn)行分類。所有資產(chǎn)應(yīng)指定責(zé)任人，并且明確責(zé)任人的職責(zé)，明確資產(chǎn)使用權(quán)。制定資產(chǎn)在生產(chǎn)、調(diào)試、運(yùn)行、維護(hù)、報(bào)廢等過程中的處置原則。（二）對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置。