2025年解读《工业控制系统信息安全防护指南》.pdfVIP

吾日三省乎吾身。为人谋而不忠乎?与朋友交而不信乎?传不习乎?——《论语》

解读《工业控制系统信息安全防备指南》拟订《指南》的背景

通知中明确“为贯彻落实《国务院对于深入制造业与互联网交融发展的指导建议》

（〔〕28号），保障工业公司工业控制系统信息安全，工业和信息

2025

化部拟订《工业控制系统信息安全防备指南》。”能够看出，《工业控制系统信

息安全防备指南》是依据《建议》拟订的。《建议》中有关要求

《建议》“七大任务”中特意有一条“提高工业信息系统安全水平”。

工信部依据《十三五规划大纲》、《中国制造2025》和《建议》等要求编制的《工

业和信息化部对于印发信息化和工业化交融发展规划（2016-2020年）》中进一步

明确，在十三五时期，我国两化交融面对的机会和挑战第四条就是“工业领域信息

安全局势日趋严重，对两化交融发展提出新要求”，其“七大任务”中也提到要

“逐渐完美工业信息安全保障系统”，“六大要点工程”中之一就

是“工业信息安全保障工程”。

以上这些，就是政策层面的指导思想和要求。

《指南》条款详尽解读

《指南》整体思路借鉴了等级保护的思想，详细提出了十一条三十款要求，贴

近实质工业公司真切状况，求实可落地。我们从《指南》要求的主体、客体和方

法将十一条分为三大类：

a、针对主体目标（法人或人）的要求，包含第十条供给链管理、第十一条人

员责任：

1.10供给链管理

老当益壮，宁移白首之心；穷且益坚，不坠青云之志。——唐·王勃

（一）在选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先

考虑具备工控安全防备经验的企事业单位，以合同样方式明确服务商应肩负的

信息安全责任和义务。

解读：工业控制系统的全生产周期的安全管理过程中，采纳合适于工业控制环

境的管理和服务方式，要求服务商拥有丰富的安全服务经验、熟习工业控制系

统工作流程和特色，且对安全防备系统和工业控制系统安全防备的有关法律法

例要有深入的理解和解读，保证相应法律法例的有效落实，并以合同的方式商

定服务商在服务过程中应该肩负的责任和义务。

（二）以必威体育官网网址协议的方式要求服务商做好必威体育官网网址工作，防备敏感信息外泄。

解读：与工业控制系统安全服务方签订必威体育官网网址协议，要求服务商及其服务人员严

格做好必威体育官网网址工作，特别对工业控制系统内部的敏感信息（如工艺文件、设施参

数、系统管理数据、现场及时数据、控制指令数据、程序上传/下载数据、监控数

据等）进行要点保护，防备敏感信息外泄。

1.11落实责任

经过成立工控安全管理体制、成立信息安全协调小组等方式，明确工控安全管

理责任人，落实工控安全责任制，部署工控安全防备举措。

解读：建立工业控制系统安全管理工作的职能部门，负责工业控制系统全生命

周期的安全防备系统建设和管理，明确安全管理机构的工作范围、责任及工作

人员的职责，拟订工业控制系统安全管理目标，连续实行和改良工业控制系统

的安全防备能力，不停提高工业控制系统防攻击和抗扰乱的水平。

b、针对客体目标（被保护的财富或数据）的安全要求，包含第八条财富安全、

第九条数据安全：

操千曲尔后晓声，观千剑尔后识器。——刘勰

1.8财富安全

（一）建设工业控制系统财富清单，明确财富责任人，以及财富使用及处理原

则。

解读：为实现和保持对组织机构财富的合适保护，保证全部财富可查，应建设

工业控制系统财富清单，并明确财富使用及处理原则，配置财富清单，按期更

新清单库，并对财富进行分类。

全部财富应指定责任人，而且明确责任人的职责，明确财富使用权。拟订财富

在生产、调试、运转、保护、报废等过程中的处理原则。

（二）对要点主机设施、网络设施、控制组