解读《工业控制系统信息安全防护指南》.pdf

解读《工业控制系统信息安全防备指南》拟订《指南》的背景

通知中明确“为贯彻落实《国务院对于深入制造业与互联网交融发展的指导建议》

（国发〔2016〕28号），保障工业公司工业控制系统信息安全，工业和信息

化部拟订《工业控制系统信息安全防备指南》。”能够看出，《工业控制系统信

息安全防备指南》是依据《建议》拟订的。《建议》中有关要求

《建议》“七大任务”中特意有一条“提高工业信息系统安全水平”。

工信部依据《十三五规划大纲》、《中国制造2025》和《建议》等要求编制的《工

业和信息化部对于印发信息化和工业化交融发展规划（2016-2020年）》中进一步

明确，在十三五时期，我国两化交融面对的机会和挑战第四条就是“工业领域信息

安全局势日趋严重，对两化交融发展提出新要求”，其“七大任务”中也提到要

“逐渐完美工业信息安全保障系统”，“六大要点工程”中之一就

是“工业信息安全保障工程”。

以上这些，就是政策层面的指导思想和要求。

《指南》条款详尽解读

《指南》整体思路借鉴了等级保护的思想，详细提出了十一条三十款要求，贴

近实质工业公司真切状况，求实可落地。我们从《指南》要求的主体、客体和方

法将十一条分为三大类：

a、针对主体目标（法人或人）的要求，包含第十条供给链管理、第十一条人

员责任：

1.10供给链管理

（一）在选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先

考虑具备工控安全防备经验的企事业单位，以合同样方式明确服务商应肩负的

信息安全责任和义务。

解读：工业控制系统的全生产周期的安全管理过程中，采纳合适于工业控制环

境的管理和服务方式，要求服务商拥有丰富的安全服务经验、熟习工业控制系

统工作流程和特色，且对安全防备系统和工业控制系统安全防备的有关法律法

例要有深入的理解和解读，保证相应法律法例的有效落实，并以合同的方式商

定服务商在服务过程中应该肩负的责任和义务。

（二）以必威体育官网网址协议的方式要求服务商做好必威体育官网网址工作，防备敏感信息外泄。

解读：与工业控制系统安全服务方签订必威体育官网网址协议，要求服务商及其服务人员严

格做好必威体育官网网址工作，特别对工业控制系统内部的敏感信息（如工艺文件、设施参

数、系统管理数据、现场及时数据、控制指令数据、程序上传/下载数据、监控数

据等）进行要点保护，防备敏感信息外泄。

1.11落实责任

经过成立工控安全管理体制、成立信息安全协调小组等方式，明确工控安全管

理责任人，落实工控安全责任制，部署工控安全防备举措。

解读：建立工业控制系统安全管理工作的职能部门，负责工业控制系统全生命

周期的安全防备系统建设和管理，明确安全管理机构的工作范围、责任及工作

人员的职责，拟订工业控制系统安全管理目标，连续实行和改良工业控制系统

的安全防备能力，不停提高工业控制系统防攻击和抗扰乱的水平。

b、针对客体目标（被保护的财富或数据）的安全要求，包含第八条财富安全、

第九条数据安全：

1.8财富安全

（一）建设工业控制系统财富清单，明确财富责任人，以及财富使用及处理原

则。

解读：为实现和保持对组织机构财富的合适保护，保证全部财富可查，应建设

工业控制系统财富清单，并明确财富使用及处理原则，配置财富清单，按期更

新清单库，并对财富进行分类。

全部财富应指定责任人，而且明确责任人的职责，明确财富使用权。拟订财富

在生产、调试、运转、保护、报废等过程中的处理原则。

（二）对要点主机设施、网络设施、控制组件等进行冗余配置。

解读：在系统运转过程中，可能出现的宕机、中止、死机、病毒攻击、自然灾

害等财富被损害的事件发生，致使系统没法正常工作，给公司和社会带来损失，

甚至威迫到职工生命和财富安全。对要点主机设施、网络设施、控制组件等进行冗

余配置，防备重要安全事件的发生。

1.9数据安全

（一）对静态储存数据和动向传输过程中的重要工业数据进行保护，依据风险

评估结果对数据信息进行分级分类管理。

解读：在数据创立、使用、散发、共享、销毁的整个生命周期中，对重要数据

如工艺文件、设施参数、系统管理数据、现场及时数据、控制指令数据、程序

上传/下载数据、监控数据等应进行保护，如加密技术、安全储存介质等。数据

遭到损坏时及时采纳必需的恢复举措。

风险评估对数据的分类分级原则应包含对公司经济影响、生产稳固性影响、人

身安全、法律风险、声誉度损失等角度展开，依据数据的重要程度在信息储存、

信息传输、信息互换、信息使用等过程中采纳相应的防备举措。

（二）按期备份要点业务数据。