《工业信息安全漏洞分类分级指南》（征求意见稿）编制说明.pdf

团体标准《工业信息安全漏洞分类分级指南》（征求意见稿）

编制说明

一、工作简况

（一）任务来源

根据中国和平利用军工技术协会协研[2021]359号的通知立项，本标准立项通过，

计划编号为T/CPUMT2021011。

本标准由中国和平利用军工技术协会提出并归口。

本标准由国家工业信息安全发展研究中心为牵头单位组成标准起草工作组，负责组织标

准起草工作。

（二）标准制订的目的和原则

工业信息安全是工业领域信息安全的总称，从内容来看，工业信息安全泛指工业运行过

程中的信息安全，涉及工业领域各个环节，包括工业控制系统信息安全、工业互联网安全、

工业数据安全、工业云安全、工业物联网安全等内容。其核心任务就是要确保工业自动化、

信息化、网络化、智能化等基础设施的安全。

工业信息安全漏洞是战略储备，成为国家安全竞争的重要内容。近年来全球工业信息安

全漏洞快速递增，多被攻击者利用造成工业信息安全事件，导致破坏性后果。2016年11月7

日，全国人大常委会通过《中华人民共和国网络安全法》，对关键信息基础设施安全保障提

出了法律要求。2020年3月，工业和信息化部发布《工业和信息化部办公厅关于推动工业互

联网加快发展的通知》提出要加快健全安全保障体系，进一步促进我国工业信息安全行业的

产业优化升级。2021年7月13日发布的《网络产品安全漏洞管理规定》。工业信息安全漏

洞分类分级作为漏洞分析的核心技术，是落实国家、省部级工业信息安全政策文件，精准识

别漏洞类型和危害等级，准确评估工业信息安全漏洞对我国造成的危害，辅助工业领域企业、

安全企业形成有效的防护方案和修复等工作。但是由于工业信息安全与传统网络安全在原理

上、技术上、功能上的显著差异，其漏洞分类分级与传统网络漏洞分类分级有明显的差异，

已有的传统网络漏洞分类分级技术并不适用于工业信息安全领域，国内的工业信息安全漏洞

分类分级技术标准仍存在一定空白，亟需制定相关的标准进行分类、分级，确保漏洞收集和

发布过程中漏洞信息规范、准确，协助工业企业、工业产品提供者防范网络安全重大风险，

保障国家工业网络安全。

1

工业信息安全漏洞分类分级指南将规定一套科学有效的工业信息安全漏洞分类分级要

求，规范、统一工业信息安全漏洞分类方法和分级方法，帮助工业产品提供者提升自身产品

安全性，帮助工业信息安全人员、企业、机构有效开展针对工业企业、工业互联网平台企业

的工业信息安全检查评估、事件应急处置等工作。

（三）主要工作过程

2021年12月，国家工业信息安全发展研究中心向中国和平利用军工技术协会提出《工

业信息安全漏洞分类分级指南》申请，经过协会评估，于2021年12月6日正式下达标准立

项计划。随后，由国家工业信息安全发展研究中心和中国和平利用军工技术协会广泛征集全

产业链上的相关企事业单位、国企、央企、科研院所、上市公司等单位加入标准编制组，为

标准高质量研制和发布助力。起草组经过调研、论证起草了标准草案。

2022年4月22日，第三届北京西山永定河发展论坛在北京燕京八绝博物馆成功举办，

《工业信息安全漏洞分类分级指南》启动会及第一次研讨会成功召开，中国和平利用军工技

术协会副秘书长方海鸥出席会议并讲话，来自40家企事业单位60余名代表通过线上线下相

结合的方式参加了会议，共同为标准的编制建言献策，助力标准高质量研制实施。中能融合

智慧科技有限公司安全研究中心主任黄石海、浙江木链物联网科技有限公司华北区域负责人

李化鹏作为参编单位代表进行了发言；来自国家工业信息安全发展研究中心监测应急所高级

工程师杨安博士代表标准编制组，针对标准的背景意义、研制思路、整体架构和主要内容等

分别进行了介绍，全体参会代表就标准草案内容展开细致严谨的交流讨论，并提出了许多建

设性的意见和建议，标准编制组认真听取并记录相关建议。

会议起草组对会前和会上收集到的93条建议进行了认真处理，并对标准文本进行了完

善，于2022年6月1日反馈给意见提出单位和参编单位代表，并开始新的一轮意见征集。

2022年6月22日，由中国和平利用军工技术协会主办、北京蓝象标准咨询服务有限公

司承办的《工业控制系统信息安全应急演练方法》、《工业数据安全事件应急预案编制指南》

和《工业信息安