各有關(guān)單位：

為進一步加強工業(yè)企業(yè)工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)安全管理工作，現(xiàn)轉(zhuǎn)發(fā)工業(yè)和信息化部《工業(yè)控制系統(tǒng)信息安全防護指南》及解讀（2016年）、《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》（工信部信軟〔2017〕122號）、《關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見的通知》（工信部聯(lián)網(wǎng)安〔2019〕168號）等文件給你們，請各企業(yè)結(jié)合自查要求，進一步做好有關(guān)安全工作。

特此通知。

附件：

  1.工業(yè)控制系統(tǒng)信息安全防護指南及解讀（2016年）

2.工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南（工信部信軟〔2017〕122號）

3.關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見的通知（工信部聯(lián)網(wǎng)安〔2019〕168號）

深圳市工業(yè)和信息化局

2020年10月10日

附件：附件1-3下載.zip

附件1

工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》的通知

為貫徹落實《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2016〕28號），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，制定《工業(yè)控制系統(tǒng)信息安全防護指南》，現(xiàn)印發(fā)你們。

工業(yè)和信息化部指導(dǎo)和管理全國工業(yè)企業(yè)工控安全防護和保障工作，并根據(jù)實際情況對指南進行修訂。地方工業(yè)和信息化主管部門根據(jù)工業(yè)和信息化部統(tǒng)籌安排，指導(dǎo)本行政區(qū)域內(nèi)的工業(yè)企業(yè)制定工控安全防護實施方案，推動企業(yè)分期分批達到本指南相關(guān)要求。

工業(yè)和信息化部

 2016年10月17日

工業(yè)控制系統(tǒng)信息安全防護指南
    

工業(yè)控制系統(tǒng)信息安全事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全。為提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）防護水平，保障工業(yè)控制系統(tǒng)安全，制定本指南。

工業(yè)控制系統(tǒng)應(yīng)用企業(yè)以及從事工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運維、評估的企事業(yè)單位適用本指南。

工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從以下十一個方面做好工控安全防護工作。

一、安全軟件選擇與管理

（一）在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。

 （二）建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采取病毒查殺等安全預(yù)防措施。

二、配置和補丁管理

（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計。

（二）對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

（三）密切關(guān)注重大工控安全漏洞及其補丁發(fā)布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

三、 邊界安全防護

（一）分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。

（二）通過工業(yè)控制網(wǎng)絡(luò)邊界防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

（三）通過工業(yè)防火墻、網(wǎng)閘等防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進行邏輯隔離安全防護。

四、物理和環(huán)境安全防護   

（一）對重要工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。   

（二）拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機外設(shè)安全管理技術(shù)手段實施嚴格訪問控制。

五、身份認證   

（一）在工業(yè)主機登錄、應(yīng)用服務(wù)資源訪問、工業(yè)云平臺訪問等過程中使用身份認證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問采用多因素認證。   

（二）合理分類設(shè)置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限。   

（三）強化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼，避免使用默認口令或弱口令,定期更新口令。   

（四）加強對身份認證證書信息保護力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。

六、遠程訪問安全   

（一）原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風(fēng)險通用網(wǎng)絡(luò)服務(wù)。   

（二）確需遠程訪問的，采用數(shù)據(jù)單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。   

（三）確需遠程維護的，采用虛擬專用網(wǎng)絡(luò)（VPN）等遠程接入方式進行。   

（四）保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進行安全審計。

七、安全監(jiān)測和應(yīng)急預(yù)案演練   

（一）在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為。   

（二）在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設(shè)備，限制違法操作。   

（三）制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應(yīng)立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門，同時注意保護現(xiàn)場，以便進行調(diào)查取證。   

（四）定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進行演練，必要時對應(yīng)急響應(yīng)預(yù)案進行修訂。

八、資產(chǎn)安全   

（一）建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責(zé)任人，以及資產(chǎn)使用及處置規(guī)則。   

（二）對關(guān)鍵主機設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進行冗余配置。

九、數(shù)據(jù)安全   

（一）對靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護，根據(jù)風(fēng)險評估結(jié)果對數(shù)據(jù)信息進行分級分類管理。   

（二）定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。   

（三）對測試數(shù)據(jù)進行保護。

十、供應(yīng)鏈管理   

（一）在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運維或評估等服務(wù)商時，優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位，以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。   

（二）以保密協(xié)議的方式要求服務(wù)商做好保密工作，防范敏感信息外泄。

十一、落實責(zé)任

通過建立工控安全管理機制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實工控安全責(zé)任制，部署工控安全防護措施。

《工業(yè)控制系統(tǒng)信息安全防護指南》解讀

工業(yè)控制系統(tǒng)信息安全(以下簡稱“工控安全”)是國家網(wǎng)絡(luò)和信息安全的重要組成部分，是推動中國制造2025、制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的基礎(chǔ)保障。2016年10月，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》(以下簡稱《指南》)，指導(dǎo)工業(yè)企業(yè)開展工控安全防護工作。

一、背景情況

工控安全事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全。近年來，隨著信息化和工業(yè)化融合的不斷深入，工業(yè)控制系統(tǒng)從單機走向互聯(lián)，從封閉走向開放，從自動化走向智能化。在生產(chǎn)力顯著提高的同時，工業(yè)控制系統(tǒng)面臨著日益嚴峻的信息安全威脅。為貫徹落實《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國發(fā)〔2016〕28號)文件精神，應(yīng)對新時期工控安全形勢，提升工業(yè)企業(yè)工控安全防護水平，編制本《指南》。

二、總體考慮

《指南》堅持“安全是發(fā)展的前提，發(fā)展是安全的保障”，以當前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點，注重防護要求的可執(zhí)行性，從管理、技術(shù)兩方面明確工業(yè)企業(yè)工控安全防護要求。編制思路如下:

(一)落實《國家網(wǎng)絡(luò)安全法》要求

《指南》所列11項要求充分體現(xiàn)了《國家網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)安全支持與促進、網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)信息安全、監(jiān)測預(yù)警與應(yīng)急處置等法規(guī)在工控安全領(lǐng)域的要求，是《國家網(wǎng)絡(luò)安全法》在工業(yè)領(lǐng)域的具體應(yīng)用。

(二)突出工業(yè)企業(yè)主體責(zé)任

《指南》根據(jù)我國工控安全管理工作實踐經(jīng)驗，面向工業(yè)企業(yè)提出工控安全防護要求，確立企業(yè)作為工控安全責(zé)任主體，要求企業(yè)明確工控安全管理責(zé)任人，落實工控安全責(zé)任制。

(三)考慮我國工控安全現(xiàn)狀

《指南》編制以近五年我部工控安全檢查工作掌握的有關(guān)情況為基礎(chǔ)，充分考慮當前工控安全防護意識不到位、管理責(zé)任不明晰、訪問控制策略不完善等問題，明確了《指南》的各項要求。

(四)借鑒發(fā)達國家工控安全防護經(jīng)驗

《指南》參考了美國、歐盟、日本等發(fā)達國家工控安全相關(guān)政策、標準和最佳實踐做法，對安全軟件選擇與管理、配置與補丁管理、邊界安全防護等措施進行了論證，提高了《指南》的科學(xué)性、合理性和可操作性。

(五)強調(diào)工業(yè)控制系統(tǒng)全生命周期安全防護

《指南》涵蓋工業(yè)控制系統(tǒng)設(shè)計、選型、建設(shè)、測試、運行、檢修、廢棄各階段防護工作要求，從安全軟件選型、訪問控制策略構(gòu)建、數(shù)據(jù)安全保護、資產(chǎn)配置管理等方面提出了具體實施細則。

三、內(nèi)容詳解

《指南》堅持企業(yè)的主體責(zé)任及政府的監(jiān)管、服務(wù)職責(zé)，聚焦系統(tǒng)防護、安全管理等安全保障重點，提出了11項防護要求，具體解讀如下:

(一)安全軟件選擇與管理

1.在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。

解讀:工業(yè)控制系統(tǒng)對系統(tǒng)可用性、實時性要求較高，工業(yè)主機如MES服務(wù)器、OPC服務(wù)器、數(shù)據(jù)庫服務(wù)器、工程師站、操作員站等應(yīng)用的安全軟件應(yīng)事先在離線環(huán)境中進行測試與驗證，其中，離線環(huán)境指的是與生產(chǎn)環(huán)境物理隔離的環(huán)境。驗證和測試內(nèi)容包括安全軟件的功能性、兼容性及安全性等。

2.建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采取病毒查殺等安全預(yù)防措施。

解讀:工業(yè)企業(yè)需要建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采用必要的安全預(yù)防措施。安全預(yù)防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時接入設(shè)備(如臨時接入U盤、移動終端等外設(shè))等。

(二)配置和補丁管理

1.做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計。

解讀:工業(yè)企業(yè)應(yīng)做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡(luò)安全配置，遠程控制管理、默認賬戶管理等工業(yè)主機安全配置，口令策略合規(guī)性等工業(yè)控制設(shè)備安全配置，建立相應(yīng)的配置清單，制定責(zé)任人定期進行管理和維護，并定期進行配置核查審計。

2.對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

解讀:當發(fā)生重大配置變更時，工業(yè)企業(yè)應(yīng)及時制定變更計劃，明確變更時間、變更內(nèi)容、變更責(zé)任人、變更審批、變更驗證等事項。其中，重大配置變更是指重大漏洞補丁更新、安全設(shè)備的新增或減少、安全域的重新劃分等。同時，應(yīng)對變更過程中可能出現(xiàn)的風(fēng)險進行分析，形成分析報告，并在離線環(huán)境中對配置變更進行安全性驗證。

3.密切關(guān)注重大工控安全漏洞及其補丁發(fā)布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

解讀:工業(yè)企業(yè)應(yīng)密切關(guān)注CNVD、CNNVD等漏洞庫及設(shè)備廠商發(fā)布的補丁。當重大漏洞及其補丁發(fā)布時，根據(jù)企業(yè)自身情況及變更計劃，在離線環(huán)境中對補丁進行嚴格的安全評估和測試驗證，對通過安全評估和測試驗證的補丁及時升級。

(三)邊界安全防護

1.分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。

解讀:工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境需執(zhí)行不同的安全控制措施，工業(yè)企業(yè)可采用物理隔離、網(wǎng)絡(luò)邏輯隔離等方式進行隔離。

2.通過工業(yè)控制網(wǎng)絡(luò)邊界防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

解讀:工業(yè)控制網(wǎng)絡(luò)邊界安全防護設(shè)備包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設(shè)備及企業(yè)定制的邊界安全防護網(wǎng)關(guān)等。工業(yè)企業(yè)應(yīng)根據(jù)實際情況，在不同網(wǎng)絡(luò)邊界之間部署邊界安全防護設(shè)備，實現(xiàn)安全訪問控制，阻斷非法網(wǎng)絡(luò)訪問，嚴格禁止沒有防護的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

3.通過工業(yè)防火墻、網(wǎng)閘等防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進行邏輯隔離安全防護。

解讀:工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全區(qū)域根據(jù)區(qū)域重要性和業(yè)務(wù)需求進行劃分。區(qū)域之間的安全防護，可采用工業(yè)防火墻、網(wǎng)閘等設(shè)備進行邏輯隔離安全防護。

(四)物理和環(huán)境安全防護

1.對重要工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。

解讀:工業(yè)企業(yè)應(yīng)對重要工業(yè)控制系統(tǒng)資產(chǎn)所在區(qū)域，采用適當?shù)奈锢戆踩雷o措施。

2.拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機外設(shè)安全管理技術(shù)手段實施嚴格訪問控制。

解讀:USB、光驅(qū)、無線等工業(yè)主機外設(shè)的使用，為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑，拆除或封閉工業(yè)主機上不必要的外設(shè)接口可減少被感染的風(fēng)險。確需使用時，可采用主機外設(shè)統(tǒng)一管理設(shè)備、隔離存放有外設(shè)接口的工業(yè)主機等安全管理技術(shù)手段。

(五)身份認證

1.在工業(yè)主機登錄、應(yīng)用服務(wù)資源訪問、工業(yè)云平臺訪問等過程中使用身份認證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問采用多因素認證。

解讀:用戶在登錄工業(yè)主機、訪問應(yīng)用服務(wù)資源及工業(yè)云平臺等過程中，應(yīng)使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段，必要時可同時采用多種認證手段。

2.合理分類設(shè)置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限。

解讀:工業(yè)企業(yè)應(yīng)以滿足工作要求的最小特權(quán)原則來進行系統(tǒng)賬戶權(quán)限分配，確保因事故、錯誤、篡改等原因造成的損失最小化。工業(yè)企業(yè)需定期審計分配的賬戶權(quán)限是否超出工作需要。

3.強化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼，避免使用默認口令或弱口令,定期更新口令。

解讀:工業(yè)企業(yè)可參考供應(yīng)商推薦的設(shè)置規(guī)則，并根據(jù)資產(chǎn)重要性，為工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等設(shè)定不同強度的登錄賬戶及密碼，并進行定期更新，避免使用默認口令或弱口令。

4.加強對身份認證證書信息保護力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。

解讀:工業(yè)企業(yè)可采用USB-key等安全介質(zhì)存儲身份認證證書信息，建立相關(guān)制度對證書的申請、發(fā)放、使用、吊銷等過程進行嚴格控制，保證不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下禁止使用相同的身份認證證書信息，減小證書暴露后對系統(tǒng)和網(wǎng)絡(luò)的影響。

(六)遠程訪問安全

1.原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風(fēng)險通用網(wǎng)絡(luò)服務(wù)。

解讀:工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等網(wǎng)絡(luò)服務(wù)，易導(dǎo)致工業(yè)控制系統(tǒng)被入侵、攻擊、利用，工業(yè)企業(yè)應(yīng)原則上禁止工業(yè)控制系統(tǒng)開通高風(fēng)險通用網(wǎng)絡(luò)服務(wù)。

2.確需遠程訪問的，采用數(shù)據(jù)單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。

解讀:工業(yè)企業(yè)確需進行遠程訪問的，可在網(wǎng)絡(luò)邊界使用單向隔離裝置、VPN等方式實現(xiàn)數(shù)據(jù)單向訪問，并控制訪問時限。采用加標鎖定策略，禁止訪問方在遠程訪問期間實施非法操作。

3.確需遠程維護的，采用虛擬專用網(wǎng)絡(luò)(VPN)等遠程接入方式進行。

解讀:工業(yè)企業(yè)確需遠程維護的，應(yīng)通過對遠程接入通道進行認證、加密等方式保證其安全性，如采用虛擬專用網(wǎng)絡(luò)(VPN)等方式，對接入賬戶實行專人專號，并定期審計接入賬戶操作記錄。

4.保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進行安全審計。

解讀:工業(yè)企業(yè)應(yīng)保留工業(yè)控制系統(tǒng)設(shè)備、應(yīng)用等訪問日志，并定期進行備份，通過審計人員賬戶、訪問時間、操作內(nèi)容等日志信息，追蹤定位非授權(quán)訪問行為。

(七)安全監(jiān)測和應(yīng)急預(yù)案演練

1.在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為。

解讀:工業(yè)企業(yè)應(yīng)在工業(yè)控制網(wǎng)絡(luò)部署可對網(wǎng)絡(luò)攻擊和異常行為進行識別、報警、記錄的網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業(yè)控制系統(tǒng)協(xié)議包偽造等網(wǎng)絡(luò)攻擊或異常行為。

2.在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設(shè)備，限制違法操作。

解讀:在工業(yè)企業(yè)生產(chǎn)核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進行深度分析和過濾的防護設(shè)備，阻斷不符合協(xié)議標準結(jié)構(gòu)的數(shù)據(jù)包、不符合業(yè)務(wù)要求的數(shù)據(jù)內(nèi)容。

3.制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應(yīng)立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門，同時注意保護現(xiàn)場，以便進行調(diào)查取證。

解讀:工業(yè)企業(yè)需要自主或委托第三方工控安全服務(wù)單位制定工控安全事件應(yīng)急響應(yīng)預(yù)案。預(yù)案應(yīng)包括應(yīng)急計劃的策略和規(guī)程、應(yīng)急計劃培訓(xùn)、應(yīng)急計劃測試與演練、應(yīng)急處理流程、事件監(jiān)控措施、應(yīng)急事件報告流程、應(yīng)急支持資源、應(yīng)急響應(yīng)計劃等內(nèi)容。

4.定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進行演練，必要時對應(yīng)急響應(yīng)預(yù)案進行修訂。

解讀:工業(yè)企業(yè)應(yīng)定期組織工業(yè)控制系統(tǒng)操作、維護、管理等相關(guān)人員開展應(yīng)急響應(yīng)預(yù)案演練，演練形式包括桌面演練、單項演練、綜合演練等。必要時，企業(yè)應(yīng)根據(jù)實際情況對預(yù)案進行修訂。

(八)資產(chǎn)安全

1.建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責(zé)任人，以及資產(chǎn)使用及處置規(guī)則。

解讀:工業(yè)企業(yè)應(yīng)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，包括信息資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)等。明確資產(chǎn)責(zé)任人，建立資產(chǎn)使用及處置規(guī)則，定期對資產(chǎn)進行安全巡檢，審計資產(chǎn)使用記錄，并檢查資產(chǎn)運行狀態(tài)，及時發(fā)現(xiàn)風(fēng)險。

2.對關(guān)鍵主機設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進行冗余配置。

解讀:工業(yè)企業(yè)應(yīng)根據(jù)業(yè)務(wù)需要，針對關(guān)鍵主機設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等配置冗余電源、冗余設(shè)備、冗余網(wǎng)絡(luò)等。

(九)數(shù)據(jù)安全

1.對靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護，根據(jù)風(fēng)險評估結(jié)果對數(shù)據(jù)信息進行分級分類管理。

解讀:工業(yè)企業(yè)應(yīng)對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行加密存儲，設(shè)置訪問控制功能，對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行加密傳輸，使用VPN等方式進行隔離保護，并根據(jù)風(fēng)險評估結(jié)果，建立和完善數(shù)據(jù)信息的分級分類管理制度。

2.定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。

解讀:工業(yè)企業(yè)應(yīng)對關(guān)鍵業(yè)務(wù)數(shù)據(jù)，如工藝參數(shù)、配置文件、設(shè)備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等進行定期備份。

3.對測試數(shù)據(jù)進行保護。

解讀:工業(yè)企業(yè)應(yīng)對測試數(shù)據(jù)，包括安全評估數(shù)據(jù)、現(xiàn)場組態(tài)開發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場變更測試數(shù)據(jù)、應(yīng)急演練數(shù)據(jù)等進行保護，如簽訂保密協(xié)議、回收測試數(shù)據(jù)等。

(十)供應(yīng)鏈管理

1.在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運維或評估等服務(wù)商時，優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位，以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。

解讀:工業(yè)企業(yè)在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運維或評估服務(wù)商時，應(yīng)優(yōu)先考慮有工控安全防護經(jīng)驗的服務(wù)商，并核查其提供的工控安全合同、案例、驗收報告等證明材料。在合同中應(yīng)以明文條款的方式約定服務(wù)商在服務(wù)過程中應(yīng)當承擔(dān)的信息安全責(zé)任和義務(wù)。

2.以保密協(xié)議的方式要求服務(wù)商做好保密工作，防范敏感信息外泄。

解讀:工業(yè)企業(yè)應(yīng)與服務(wù)商簽訂保密協(xié)議，協(xié)議中應(yīng)約定保密內(nèi)容、保密時限、違約責(zé)任等內(nèi)容。防范工藝參數(shù)、配置文件、設(shè)備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等敏感信息外泄。

(十一)落實責(zé)任

通過建立工控安全管理機制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實工控安全責(zé)任制，部署工控安全防護措施。

解讀:工業(yè)企業(yè)應(yīng)建立健全工控安全管理機制，明確工控安全主體責(zé)任，成立由企業(yè)負責(zé)人牽頭的，由信息化、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的工業(yè)控制系統(tǒng)信息安全協(xié)調(diào)小組，負責(zé)工業(yè)控制系統(tǒng)全生命周期的安全防護體系建設(shè)和管理，制定工業(yè)控制系統(tǒng)安全管理制度，部署工控安全防護措施。

四、貫徹落實

一是面向地方工業(yè)和信息化主管部門、中央企業(yè)等開展《指南》宣貫，依據(jù)《指南》要求組織培訓(xùn)，指導(dǎo)工業(yè)企業(yè)進一步優(yōu)化工控安全管理與技術(shù)防護手段。

二是選擇工業(yè)聚集發(fā)展城市及地區(qū)，設(shè)立工控安全防護試點區(qū)，組織區(qū)內(nèi)工業(yè)企業(yè)開展工控安全防護應(yīng)用試點，遴選優(yōu)秀試點企業(yè)分享工控安全防護經(jīng)驗，總結(jié)提煉工業(yè)控制系統(tǒng)防護示范案例。

三是將《指南》要求納入年度工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查項目，強化責(zé)任落實到位，管理、技術(shù)落實到位。通過自查、抽查、深度檢查等方式促進工業(yè)企業(yè)深入貫徹并落實《指南》。

地方工信主管部門負責(zé)對本地區(qū)內(nèi)的工控安全防護工作進行監(jiān)督管理，并配合工業(yè)和信息化部做好工控安全相關(guān)工作。工業(yè)企業(yè)應(yīng)按照《指南》各項要求，開展和完善工控安全防護工作，改善自身安全防護能力的同時，為全面提升我國工業(yè)信息安全防護水平提供支撐。

附件2

工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全事件

應(yīng)急管理工作指南》的通知

工信部信軟[2017]122號

各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門，有關(guān)中央企業(yè)：

為貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2016〕28號），指導(dǎo)做好工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作，保障工業(yè)控制系統(tǒng)信息安全，制定《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》，現(xiàn)印發(fā)你們。

工業(yè)和信息化部指導(dǎo)和管理全國工業(yè)控制系統(tǒng)信息安全應(yīng)急工作，并根據(jù)實際情況對指南進行修訂。地方工業(yè)和信息化主管部門根據(jù)工業(yè)和信息化部統(tǒng)籌安排，指導(dǎo)和管理本行政區(qū)域內(nèi)的工業(yè)控制系統(tǒng)信息安全應(yīng)急工作。
  特此通知。

工業(yè)和信息化部

2017年5月31日

（聯(lián)系電話：010-68208171）

工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南

第一章  總  則

第一條 為加強工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）應(yīng)急工作管理，建立健全工控安全應(yīng)急工作機制，提高應(yīng)對工控安全事件的組織協(xié)調(diào)和應(yīng)急處置能力，預(yù)防和減少工控安全事件造成的損失和危害，保障工業(yè)生產(chǎn)正常運行，維護國家經(jīng)濟安全和人民生命財產(chǎn)安全,依據(jù)《中華人民共和國突發(fā)事件應(yīng)對法》《中華人民共和國網(wǎng)絡(luò)安全法》以及《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》等法規(guī)政策，制定本指南。

第二條 本指南適用于工業(yè)和信息化主管部門、工業(yè)企業(yè)開展工控安全應(yīng)急管理工作。

第三條 工控安全事件是指由于人為、軟硬件缺陷或故障、自然災(zāi)害等原因，對工業(yè)控制系統(tǒng)、工業(yè)控制系統(tǒng)數(shù)據(jù)造成或者可能造成嚴重危害，影響正常工業(yè)生產(chǎn)的事件。

第四條 堅持政府指導(dǎo)、企業(yè)主體，堅持預(yù)防為主、平戰(zhàn)結(jié)合，堅持快速反應(yīng)、科學(xué)處置，充分發(fā)揮各方力量，共同做好工控安全事件的預(yù)防和處置工作。

第二章  組織機構(gòu)與職責(zé)

第五條 工業(yè)和信息化部指導(dǎo)地方工業(yè)和信息化主管部門、應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)做好工控安全應(yīng)急管理工作。

第六條 地方工業(yè)和信息化主管部門負責(zé)指導(dǎo)本地區(qū)工控安全應(yīng)急管理工作。

第七條 工控安全應(yīng)急技術(shù)機構(gòu)負責(zé)具體開展工控安全風(fēng)險監(jiān)測、態(tài)勢研判、威脅預(yù)警、事件處置等工作。

第八條 工業(yè)企業(yè)負有工控安全主體責(zé)任，應(yīng)建立健全工控安全責(zé)任制，負責(zé)本單位工控安全應(yīng)急管理工作，落實人財物保障。

第三章  工作機制

第九條 工業(yè)和信息化部指導(dǎo)地方工業(yè)和信息化主管部門、應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)等建立工控安全聯(lián)絡(luò)員機制，指定工控安全應(yīng)急工作聯(lián)絡(luò)員，報工業(yè)和信息化部備案，聯(lián)絡(luò)員和聯(lián)絡(luò)方式發(fā)生變化時需及時報工業(yè)和信息化部。工業(yè)和信息化部根據(jù)工作需要組織召開聯(lián)絡(luò)員會議。

第十條 地方工業(yè)和信息化主管部門指導(dǎo)本地區(qū)應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)建立工控安全應(yīng)急值守機制，實行領(lǐng)導(dǎo)帶班、專人值守工作制度，做好工控安全風(fēng)險、威脅、事件信息日常監(jiān)測和報告工作。應(yīng)急響應(yīng)狀態(tài)下，實行“7×24”小時值守，加強信息監(jiān)測、收集與研判，做好信息跟蹤報告。

第四章  監(jiān)測通報

第十一條 工業(yè)和信息化部指導(dǎo)國家工業(yè)信息安全發(fā)展研究中心等技術(shù)機構(gòu)，組織開展全國工控安全風(fēng)險監(jiān)測、預(yù)警通報等工作，提升情報搜集、態(tài)勢分析、風(fēng)險評估和信息共享能力。

地方工業(yè)和信息化主管部門組織開展本地區(qū)工控安全風(fēng)險監(jiān)測工作。工業(yè)企業(yè)組織開展本單位工控安全風(fēng)險監(jiān)測工作。

第十二條 地方工業(yè)和信息化主管部門、工業(yè)企業(yè)定期將重要監(jiān)測信息報國家工業(yè)信息安全發(fā)展研究中心，國家工業(yè)信息安全發(fā)展研究中心負責(zé)匯總、整理和研判，并將結(jié)果報工業(yè)和信息化部；針對可能超出本地區(qū)應(yīng)對能力范圍的安全風(fēng)險和事件信息，及時上報，必要時工業(yè)和信息化部協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供支持。

第十三條 工業(yè)和信息化部對可能影響我國工業(yè)控制系統(tǒng)的重大漏洞和風(fēng)險，及時向有關(guān)行業(yè)、地區(qū)和工業(yè)企業(yè)發(fā)布情況通報。

第五章  敏感時期應(yīng)急管理

第十四條 在國家重要活動、會議等敏感時期，工業(yè)和信息化部指導(dǎo)地方工業(yè)和信息化主管部門、應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)開展工控安全事件預(yù)防和應(yīng)急管理工作。

第十五條 地方工業(yè)和信息化主管部門、工業(yè)企業(yè)加強工控安全監(jiān)測和風(fēng)險研判，對可能造成重大影響的風(fēng)險和事件信息應(yīng)及時上報，必要時實行24小時零報告制度。重點單位、重要部位實施24小時值守，保持通信聯(lián)絡(luò)暢通。相關(guān)工業(yè)企業(yè)應(yīng)加強對工業(yè)控制系統(tǒng)的巡檢巡查，原則上不在敏感時期對工業(yè)控制系統(tǒng)進行調(diào)整或升級。

第六章  應(yīng)急處置

第十六條 對于可能發(fā)生或已經(jīng)發(fā)生的工控安全事件，工業(yè)企業(yè)應(yīng)立即開展應(yīng)急處置，采取科學(xué)有效方法及時施救，力爭將損失降到最小，盡快恢復(fù)受損工業(yè)控制系統(tǒng)的正常運行。當事發(fā)工業(yè)企業(yè)應(yīng)急處置力量不足時，可請求上級主管部門協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供支援。

第十七條 有關(guān)地方工業(yè)和信息化主管部門和工業(yè)企業(yè)應(yīng)及時向工業(yè)和信息化部報告事態(tài)發(fā)展變化情況和事件處置進展情況。報告信息一般包括以下要素：事件涉及的工業(yè)控制系統(tǒng)名稱及運營管理單位、時間、地點、原因、來源、類型、性質(zhì)、危害、影響范圍、發(fā)展趨勢、處置措施等。

第十八條 工業(yè)和信息化部指導(dǎo)、督促事發(fā)企業(yè)開展應(yīng)急處置工作，必要時派出工作組赴現(xiàn)場指揮協(xié)調(diào)應(yīng)急處置工作，協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供技術(shù)支援。

第十九條 應(yīng)急處置結(jié)束、系統(tǒng)恢復(fù)運行后，相關(guān)工業(yè)企業(yè)要盡快消除事件造成的不良影響，做好事件分析總結(jié)工作，總結(jié)報告應(yīng)在30天內(nèi)以書面形式報工業(yè)和信息化部。

第二十條 對于工控安全事件性質(zhì)、起因、范圍、損失等，工業(yè)和信息化主管部門和相關(guān)人員應(yīng)做好輿論宣傳和引導(dǎo)工作。

第七章  保障措施

第二十一條 工業(yè)和信息化部、地方工業(yè)和信息化主管部門、工業(yè)企業(yè)制定本級工控安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練。

第二十二條 工業(yè)和信息化部建立國家工控安全應(yīng)急專家組，為工控安全應(yīng)急管理提供技術(shù)咨詢和決策支持。地方工業(yè)和信息化主管部門建立本地區(qū)工控安全應(yīng)急專家組，充分發(fā)揮專家在應(yīng)急管理工作中的作用。

第二十三條 加強對工控安全事件應(yīng)急裝備和工具的儲備，及時調(diào)整、升級軟硬件工具，建設(shè)完善工控安全事件應(yīng)急技術(shù)服務(wù)平臺，不斷增強應(yīng)急技術(shù)支撐能力。

第二十四條 各有關(guān)部門應(yīng)積極利用現(xiàn)有政策和資金渠道，申請新增預(yù)算，支持工控安全應(yīng)急技術(shù)機構(gòu)建設(shè)、專家隊伍建設(shè)、基礎(chǔ)平臺建設(shè)、技術(shù)研發(fā)、應(yīng)急演練、物資保障等，為工控安全應(yīng)急管理工作提供必要的經(jīng)費支持。

第二十五條 本指南自2017年7月1日起施行。

附件3 

十部門關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見的通知

工業(yè)和信息化部 教育部 人力資源和社會保障部 生態(tài)環(huán)境部 國家衛(wèi)生健康委員會 應(yīng)急管理部
國務(wù)院國有資產(chǎn)監(jiān)督管理委員會 國家市場監(jiān)督管理總局 國家能源局 國家國防科技工業(yè)局
關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見的通知
 
工信部聯(lián)網(wǎng)安〔2019〕168號

 
各省、自治區(qū)、直轄市及計劃單列市、新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化、教育、人力資源社會保障、生態(tài)環(huán)境、衛(wèi)生健康、應(yīng)急管理、國有資產(chǎn)監(jiān)管、市場監(jiān)管、能源、國防科技工業(yè)主管部門，各省、自治區(qū)、直轄市通信管理局：

現(xiàn)將《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》印發(fā)給你們，請結(jié)合工作實際，抓好貫徹落實。 

工業(yè)和信息化部 教育部

人力資源和社會保障部 生態(tài)環(huán)境部

國家衛(wèi)生健康委員會 應(yīng)急管理部

國務(wù)院國有資產(chǎn)監(jiān)督管理委員會 國家市場監(jiān)督管理總局

國家能源局 國家國防科技工業(yè)局

2019年7月26日

加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見

按照《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》（以下簡稱《指導(dǎo)意見》）部署，為加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，提升工業(yè)互聯(lián)網(wǎng)安全保障能力，促進工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展，推動現(xiàn)代化經(jīng)濟體系建設(shè)，護航制造強國和網(wǎng)絡(luò)強國戰(zhàn)略實施，現(xiàn)就加強工業(yè)互聯(lián)網(wǎng)安全工作提出如下意見。

一、總體要求

（一）指導(dǎo)思想

堅持以習(xí)近平新時代中國特色社會主義思想為指導(dǎo)，全面貫徹黨的十九大和十九屆二中、三中全會精神，按照《指導(dǎo)意見》有關(guān)要求，圍繞設(shè)備、控制、網(wǎng)絡(luò)、平臺、數(shù)據(jù)安全，落實企業(yè)主體責(zé)任、政府監(jiān)管責(zé)任，健全制度機制、建設(shè)技術(shù)手段、促進產(chǎn)業(yè)發(fā)展、強化人才培育，構(gòu)建責(zé)任清晰、制度健全、技術(shù)先進的工業(yè)互聯(lián)網(wǎng)安全保障體系，覆蓋工業(yè)互聯(lián)網(wǎng)規(guī)劃、建設(shè)、運行等全生命周期，形成事前防范、事中監(jiān)測、事后應(yīng)急能力，全面提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展安全保障能力和服務(wù)水平。

（二）基本原則

筑牢安全，保障發(fā)展。以安全保發(fā)展，以發(fā)展促安全。嚴格落實《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)，按照誰運營誰負責(zé)、誰主管誰負責(zé)的原則，堅持發(fā)展與安全并重，安全和發(fā)展同步規(guī)劃、同步建設(shè)、同步運行。

統(tǒng)籌指導(dǎo)，協(xié)同推進。做好頂層設(shè)計和系統(tǒng)謀劃，結(jié)合各地實際，突出重點，分步協(xié)同推進，加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，確保安全工作落實到位。

分類施策，分級管理。根據(jù)行業(yè)重要性、企業(yè)規(guī)模、安全風(fēng)險程度等因素，對企業(yè)實施分類分級管理，集中力量指導(dǎo)、監(jiān)管重要行業(yè)、重點企業(yè)提升工業(yè)互聯(lián)網(wǎng)安全保障能力，夯實企業(yè)安全主體責(zé)任。

融合創(chuàng)新，重點突破。基于工業(yè)互聯(lián)網(wǎng)融合發(fā)展特性，創(chuàng)新安全管理機制和技術(shù)手段，鼓勵推動重點領(lǐng)域技術(shù)突破，加快安全可靠產(chǎn)品的創(chuàng)新推廣應(yīng)用，有效應(yīng)對新型安全挑戰(zhàn)。

（三）總體目標

到2020年底，工業(yè)互聯(lián)網(wǎng)安全保障體系初步建立。制度機制方面，建立監(jiān)督檢查、信息共享和通報、應(yīng)急處置等工業(yè)互聯(lián)網(wǎng)安全管理制度，構(gòu)建企業(yè)安全主體責(zé)任制，制定設(shè)備、平臺、數(shù)據(jù)等至少20項亟需的工業(yè)互聯(lián)網(wǎng)安全標準，探索構(gòu)建工業(yè)互聯(lián)網(wǎng)安全評估體系。技術(shù)手段方面，初步建成國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺、基礎(chǔ)資源庫和安全測試驗證環(huán)境。產(chǎn)業(yè)發(fā)展方面，在汽車、電子信息、航空航天、能源等重點領(lǐng)域，形成至少20個創(chuàng)新實用的安全產(chǎn)品、解決方案的試點示范，培育若干具有核心競爭力的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。

到2025年，制度機制健全完善，技術(shù)手段能力顯著提升，安全產(chǎn)業(yè)形成規(guī)模，基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系。

二、主要任務(wù)

（一）推動工業(yè)互聯(lián)網(wǎng)安全責(zé)任落實

1.依法落實企業(yè)主體責(zé)任。工業(yè)互聯(lián)網(wǎng)企業(yè)明確工業(yè)互聯(lián)網(wǎng)安全責(zé)任部門和責(zé)任人，建立健全重點設(shè)備裝置和系統(tǒng)平臺聯(lián)網(wǎng)前后的風(fēng)險評估、安全審計等制度，建立安全事件報告和問責(zé)機制，加大安全投入，部署有效安全技術(shù)防護手段，保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行。由網(wǎng)絡(luò)安全事件引發(fā)的安全生產(chǎn)事故，按照安全生產(chǎn)有關(guān)法規(guī)進行處置。

2.政府履行監(jiān)督管理責(zé)任。工業(yè)和信息化部組織開展工業(yè)互聯(lián)網(wǎng)安全相關(guān)政策制定、標準研制等綜合性工作，并對裝備制造、電子信息及通信等主管行業(yè)領(lǐng)域的工業(yè)互聯(lián)網(wǎng)安全開展行業(yè)指導(dǎo)管理。地方工業(yè)和信息化主管部門指導(dǎo)本行政區(qū)域內(nèi)應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)的安全工作，同步推進安全產(chǎn)業(yè)發(fā)展，并聯(lián)合應(yīng)急管理部門推進工業(yè)互聯(lián)網(wǎng)在安全生產(chǎn)監(jiān)管中的作用；地方通信管理局監(jiān)管本行政區(qū)域內(nèi)標識解析系統(tǒng)、公共工業(yè)互聯(lián)網(wǎng)平臺等的安全工作，并在公共互聯(lián)網(wǎng)上對聯(lián)網(wǎng)設(shè)備、系統(tǒng)等進行安全監(jiān)測。生態(tài)環(huán)境、衛(wèi)生健康、能源、國防科技工業(yè)等部門根據(jù)各自職責(zé)，開展本行業(yè)領(lǐng)域工業(yè)互聯(lián)網(wǎng)推廣應(yīng)用的安全指導(dǎo)、監(jiān)管工作。

（二）構(gòu)建工業(yè)互聯(lián)網(wǎng)安全管理體系

3.健全安全管理制度。圍繞工業(yè)互聯(lián)網(wǎng)安全監(jiān)督檢查、風(fēng)險評估、數(shù)據(jù)保護、信息共享和通報、應(yīng)急處置等方面建立健全安全管理制度和工作機制，強化對企業(yè)的安全監(jiān)管。

4.建立分類分級管理機制。建立工業(yè)互聯(lián)網(wǎng)行業(yè)分類指導(dǎo)目錄、企業(yè)分級指標體系，制定工業(yè)互聯(lián)網(wǎng)行業(yè)企業(yè)分類分級指南，形成重點企業(yè)清單，強化逐級負責(zé)的政府監(jiān)管模式，實施差異化管理。

5.建立工業(yè)互聯(lián)網(wǎng)安全標準體系。推動工業(yè)互聯(lián)網(wǎng)設(shè)備、控制、網(wǎng)絡(luò)（含標識解析系統(tǒng)）、平臺、數(shù)據(jù)等重點領(lǐng)域安全標準的研究制定，建設(shè)安全技術(shù)與標準試驗驗證環(huán)境，支持專業(yè)機構(gòu)、企業(yè)積極參與相關(guān)國際標準制定，加快標準落地實施。

（三）提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護水平

6.夯實設(shè)備和控制安全。督促工業(yè)企業(yè)部署針對性防護措施，加強工業(yè)生產(chǎn)、主機、智能終端等設(shè)備安全接入和防護，強化控制網(wǎng)絡(luò)協(xié)議、裝置裝備、工業(yè)軟件等安全保障，推動設(shè)備制造商、自動化集成商與安全企業(yè)加強合作，提升設(shè)備和控制系統(tǒng)的本質(zhì)安全。

7.提升網(wǎng)絡(luò)設(shè)施安全。指導(dǎo)工業(yè)企業(yè)、基礎(chǔ)電信企業(yè)在網(wǎng)絡(luò)化改造及部署IPv6、應(yīng)用5G的過程中，落實安全標準要求并開展安全評估，部署安全設(shè)施，提升企業(yè)內(nèi)外網(wǎng)的安全防護能力。要求標識解析系統(tǒng)的建設(shè)運營單位同步加強安全防護技術(shù)能力建設(shè)，確保標識解析系統(tǒng)的安全運行。

8.強化平臺和工業(yè)應(yīng)用程序（APP）安全。要求工業(yè)互聯(lián)網(wǎng)平臺的建設(shè)、運營單位按照相關(guān)標準開展平臺建設(shè)，在平臺上線前進行安全評估，針對邊緣層、IaaS層（云基礎(chǔ)設(shè)施）、平臺層（工業(yè)PaaS）、應(yīng)用層（工業(yè)SaaS）分層部署安全防護措施。建立健全工業(yè)APP應(yīng)用前安全檢測機制，強化應(yīng)用過程中用戶信息和數(shù)據(jù)安全保護。

（四）強化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護能力

9.強化企業(yè)數(shù)據(jù)安全防護能力。明確數(shù)據(jù)收集、存儲、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)安全保護要求，指導(dǎo)企業(yè)完善研發(fā)設(shè)計、工業(yè)生產(chǎn)、運維管理、平臺知識機理和數(shù)字化模型等數(shù)據(jù)的防竊密、防篡改和數(shù)據(jù)備份等安全防護措施，鼓勵商用密碼在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)保護工作中的應(yīng)用。

10.建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系。依據(jù)工業(yè)門類領(lǐng)域、數(shù)據(jù)類型、數(shù)據(jù)價值等建立工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分級分類管理制度，開展重要數(shù)據(jù)出境安全評估和監(jiān)測，完善重大工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)泄露事件觸發(fā)響應(yīng)機制。

（五）建設(shè)國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段

11.建設(shè)國家、省、企業(yè)三級協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺。工業(yè)和信息化部統(tǒng)籌建設(shè)國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺。工業(yè)基礎(chǔ)較好的省、自治區(qū)、直轄市先期試點建設(shè)省級技術(shù)保障平臺。支持鼓勵機械制造、電子信息、航空航天等重點行業(yè)企業(yè)建設(shè)企業(yè)級安全平臺，強化地方、企業(yè)與國家平臺之間的系統(tǒng)對接、數(shù)據(jù)共享、業(yè)務(wù)協(xié)作，打造整體態(tài)勢感知、信息共享和應(yīng)急協(xié)同能力。

12.建立工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫。建設(shè)工業(yè)互聯(lián)網(wǎng)資產(chǎn)目錄庫、工業(yè)協(xié)議庫、安全漏洞庫、惡意代碼病毒庫和安全威脅信息庫等基礎(chǔ)資源庫，推動研制面向典型行業(yè)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急處置、安全事件現(xiàn)場取證等工具集，加強工業(yè)互聯(lián)網(wǎng)安全資源儲備。

13.建設(shè)工業(yè)互聯(lián)網(wǎng)安全測試驗證環(huán)境。搭建面向機械制造、電子信息、航空航天等行業(yè)的工業(yè)互聯(lián)網(wǎng)安全攻防演練環(huán)境，測試、驗證各環(huán)節(jié)存在的網(wǎng)絡(luò)安全風(fēng)險以及相應(yīng)的安全防護解決方案，提升識別安全隱患、抵御安全威脅、化解安全風(fēng)險的能力。

（六）加強工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力

14.開展工業(yè)互聯(lián)網(wǎng)安全評估認證。構(gòu)建工業(yè)互聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、平臺、工業(yè)APP等的安全評估體系，依托產(chǎn)業(yè)聯(lián)盟、行業(yè)協(xié)會等第三方機構(gòu)為工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)開展安全能力評測評估服務(wù)，推動工業(yè)互聯(lián)網(wǎng)安全測評機構(gòu)的審核認定。

15.提升工業(yè)互聯(lián)網(wǎng)安全服務(wù)水平。鼓勵和支持專業(yè)機構(gòu)、網(wǎng)絡(luò)安全企業(yè)等提供安全診斷評估、安全咨詢、數(shù)據(jù)保護、代碼檢查、系統(tǒng)加固、云端防護等服務(wù)。鼓勵基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、系統(tǒng)解決方案提供商等依托專業(yè)技術(shù)優(yōu)勢，加強與工業(yè)互聯(lián)網(wǎng)企業(yè)的需求對接，輸出安全保障服務(wù)。

（七）推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展

16.支持工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新。加大對工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)和成果轉(zhuǎn)化的支持力度，強化標識解析系統(tǒng)安全、平臺安全、工業(yè)控制系統(tǒng)安全、數(shù)據(jù)安全、5G安全等相關(guān)核心技術(shù)研究，加強攻擊防護、漏洞挖掘、態(tài)勢感知等安全產(chǎn)品研發(fā)。支持通過眾測眾研等創(chuàng)新方式，聚集社會力量，提升漏洞隱患發(fā)現(xiàn)技術(shù)能力。支持專業(yè)機構(gòu)、高校、企業(yè)等聯(lián)合建設(shè)工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新中心和安全實驗室。探索利用人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)提升安全防護水平。

17.促進工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展。充分利用國家和地方網(wǎng)絡(luò)安全產(chǎn)業(yè)園（基地）等形式，整合相關(guān)行業(yè)資源，打造產(chǎn)學(xué)研用協(xié)同創(chuàng)新發(fā)展平臺，形成工業(yè)互聯(lián)網(wǎng)安全對外展示和市場服務(wù)能力，培育一批核心技術(shù)水平高、市場競爭能力強、輻射帶動范圍廣的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。在汽車、電子信息、航空航天、能源等重點領(lǐng)域開展試點示范，遴選優(yōu)秀安全解決方案和最佳實踐，并加強應(yīng)用推廣。

三、保障措施

（一）加強組織領(lǐng)導(dǎo)，健全工作機制。在工業(yè)互聯(lián)網(wǎng)專項工作組的統(tǒng)一指導(dǎo)下，加強統(tǒng)籌協(xié)調(diào)，強化部門協(xié)同、部省合作，構(gòu)建各負其責(zé)、緊密配合、運轉(zhuǎn)高效的工作機制。各地工業(yè)和信息化、教育、人力資源社會保障、生態(tài)環(huán)境、衛(wèi)生健康、應(yīng)急管理、國有資產(chǎn)監(jiān)管、市場監(jiān)管、能源、國防科技工業(yè)等主管部門及地方通信管理局要加強配合，形成合力。

（二）加大支持力度，優(yōu)化創(chuàng)新環(huán)境。各地相關(guān)部門要結(jié)合本地工業(yè)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀，優(yōu)化政府支持機制和方式，加大對工業(yè)互聯(lián)網(wǎng)安全的支持力度，鼓勵企業(yè)技術(shù)創(chuàng)新和安全應(yīng)用，加快建設(shè)工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段，推動安全產(chǎn)業(yè)集聚發(fā)展。

（三）發(fā)揮市場作用，匯聚多方力量。充分發(fā)揮市場在資源配置中的決定性作用，以工業(yè)互聯(lián)網(wǎng)企業(yè)的安全需求為著力點，形成市場需求牽引、政府支持推動的發(fā)展局面。匯聚政產(chǎn)學(xué)研用多方力量，逐步建立覆蓋決策研究、公共研發(fā)、標準推進、聯(lián)盟論壇、人才培養(yǎng)等的創(chuàng)新支撐平臺，形成支持工業(yè)互聯(lián)網(wǎng)安全發(fā)展合力。

（四）加強宣傳教育，加快人才培養(yǎng)。深入推進產(chǎn)教融合、校企合作，建立安全人才聯(lián)合培養(yǎng)機制，培養(yǎng)復(fù)合型、創(chuàng)新型高技能人才。開展工業(yè)互聯(lián)網(wǎng)安全宣傳教育，提升企業(yè)和相關(guān)從業(yè)人員網(wǎng)絡(luò)安全意識。開展網(wǎng)絡(luò)安全演練、安全競賽等，培養(yǎng)選拔不同層次的工業(yè)互聯(lián)網(wǎng)安全從業(yè)人員。依托國家專業(yè)機構(gòu)等，打造技術(shù)領(lǐng)先、業(yè)界知名的工業(yè)互聯(lián)網(wǎng)安全高端智庫。