工業(yè)控制系統(tǒng)信息安全（以下簡稱“工控安全”）是國家網(wǎng)絡(luò)和信息安全的重要組成部分疲狼，是推動中國制造2025、制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的基礎(chǔ)保障蛛蒙。2016年10月糙箍，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（以下簡稱《指南》）渤愁，指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作。

　　

一深夯、背景情況

　　

工控安全事關(guān)經(jīng)濟(jì)發(fā)展抖格、社會穩(wěn)定和國家安全。近年來咕晋，隨著信息化和工業(yè)化融合的不斷深入雹拄，工業(yè)控制系統(tǒng)從單機(jī)走向互聯(lián)，從封閉走向開放捡需，從自動化走向智能化办桨。在生產(chǎn)力顯著提高的同時筹淫，工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的信息安全威脅站辉。為貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2016〕28號）文件精神，應(yīng)對新時期工控安全形勢损姜，提升工業(yè)企業(yè)工控安全防護(hù)水平饰剥，編制本《指南》。

　　

二摧阅、總體考慮

　　

《指南》堅持“安全是發(fā)展的前提寺癌，發(fā)展是安全的保障”，以當(dāng)前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點(diǎn)铣啰，注重防護(hù)要求的可執(zhí)行性绅荒，從管理、技術(shù)兩方面明確工業(yè)企業(yè)工控安全防護(hù)要求肌搔。編制思路如下：

　　

（一）落實(shí)《國家網(wǎng)絡(luò)安全法》要求

　　

《指南》所列11項要求充分體現(xiàn)了《國家網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)安全支持與促進(jìn)肝羊、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全伪浅、監(jiān)測預(yù)警與應(yīng)急處置等法規(guī)在工控安全領(lǐng)域的要求子特，是《國家網(wǎng)絡(luò)安全法》在工業(yè)領(lǐng)域的具體應(yīng)用。

　　

（二）突出工業(yè)企業(yè)主體責(zé)任

　　

《指南》根據(jù)我國工控安全管理工作實(shí)踐經(jīng)驗惕衩，面向工業(yè)企業(yè)提出工控安全防護(hù)要求挨伯，確立企業(yè)作為工控安全責(zé)任主體，要求企業(yè)明確工控安全管理責(zé)任人协超，落實(shí)工控安全責(zé)任制履绎。

　　

（三）考慮我國工控安全現(xiàn)狀

　　

《指南》編制以近五年我部工控安全檢查工作掌握的有關(guān)情況為基礎(chǔ)，充分考慮當(dāng)前工控安全防護(hù)意識不到位雕什、管理責(zé)任不明晰缠俺、訪問控制策略不完善等問題，明確了《指南》的各項要求监徘。

　　

（四）借鑒發(fā)達(dá)國家工控安全防護(hù)經(jīng)驗

　　

《指南》參考了美國晋修、歐盟吧碾、日本等發(fā)達(dá)國家工控安全相關(guān)政策、標(biāo)準(zhǔn)和最佳實(shí)踐做法墓卦，對安全軟件選擇與管理倦春、配置與補(bǔ)丁管理、邊界安全防護(hù)等措施進(jìn)行了論證落剪，提高了《指南》的科學(xué)性睁本、合理性和可操作性。

　　

（五）強(qiáng)調(diào)工業(yè)控制系統(tǒng)全生命周期安全防護(hù)

　　

《指南》涵蓋工業(yè)控制系統(tǒng)設(shè)計忠怖、選型呢堰、建設(shè)、測試凡泣、運(yùn)行枉疼、檢修、廢棄各階段防護(hù)工作要求谭扑，從安全軟件選型窟句、訪問控制策略構(gòu)建、數(shù)據(jù)安全保護(hù)优诵、資產(chǎn)配置管理等方面提出了具體實(shí)施細(xì)則吟筷。

　　

三、內(nèi)容詳解

　　

《指南》堅持企業(yè)的主體責(zé)任及政府的監(jiān)管药阔、服務(wù)職責(zé)冲驶，聚焦系統(tǒng)防護(hù)、安全管理等安全保障重點(diǎn)译教，提出了11項防護(hù)要求杖扫，具體解讀如下：

　　

（一）安全軟件選擇與管理

　　

1. 在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運(yùn)行簸翠。

　　

解讀：工業(yè)控制系統(tǒng)對系統(tǒng)可用性违冲、實(shí)時性要求較高，工業(yè)主機(jī)如MES服務(wù)器蒋毕、OPC服務(wù)器略荡、數(shù)據(jù)庫服務(wù)器、工程師站歉胶、操作員站等應(yīng)用的安全軟件應(yīng)事先在離線環(huán)境中進(jìn)行測試與驗證汛兜，其中，離線環(huán)境指的是與生產(chǎn)環(huán)境物理隔離的環(huán)境通今。驗證和測試內(nèi)容包括安全軟件的功能性粥谬、兼容性及安全性等。

　　

2. 建立防病毒和惡意軟件入侵管理機(jī)制辫塌，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采取病毒查殺等安全預(yù)防措施漏策。

　　

解讀：工業(yè)企業(yè)需要建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理機(jī)制派哲，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采用必要的安全預(yù)防措施。安全預(yù)防措施包括定期掃描病毒和惡意軟件掺喻、定期更新病毒庫芭届、查殺臨時接入設(shè)備（如臨時接入U盤、移動終端等外設(shè)）等感耙。

　　

（二）配置和補(bǔ)丁管理

　　

1.做好工業(yè)控制網(wǎng)絡(luò)褂乍、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單即硼，定期進(jìn)行配置審計粟五。

　　

解讀：工業(yè)企業(yè)應(yīng)做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡(luò)安全配置圣谴，遠(yuǎn)程控制管理条焙、默認(rèn)賬戶管理等工業(yè)主機(jī)安全配置，口令策略合規(guī)性等工業(yè)控制設(shè)備安全配置外羽，建立相應(yīng)的配置清單赵街，制定責(zé)任人定期進(jìn)行管理和維護(hù)，并定期進(jìn)行配置核查審計捡奖。

　　

2.對重大配置變更制定變更計劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測試戚绪。

　　

解讀：當(dāng)發(fā)生重大配置變更時窍蚤，工業(yè)企業(yè)應(yīng)及時制定變更計劃，明確變更時間曙辛、變更內(nèi)容夏植、變更責(zé)任人、變更審批移鸣、變更驗證等事項砸捏。其中，重大配置變更是指重大漏洞補(bǔ)丁更新隙赁、安全設(shè)備的新增或減少垦藏、安全域的重新劃分等。同時伞访，應(yīng)對變更過程中可能出現(xiàn)的風(fēng)險進(jìn)行分析掂骏，形成分析報告，并在離線環(huán)境中對配置變更進(jìn)行安全性驗證厚掷。

　　

3.密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布弟灼，及時采取補(bǔ)丁升級措施。在補(bǔ)丁安裝前冒黑，需對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗證田绑。

　　

解讀：工業(yè)企業(yè)應(yīng)密切關(guān)注CNVD勤哗、CNNVD等漏洞庫及設(shè)備廠商發(fā)布的補(bǔ)丁。當(dāng)重大漏洞及其補(bǔ)丁發(fā)布時掩驱，根據(jù)企業(yè)自身情況及變更計劃俺陋，在離線環(huán)境中對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗證，對通過安全評估和測試驗證的補(bǔ)丁及時升級昙篙。

　　

（三）邊界安全防護(hù)

　　

1.分離工業(yè)控制系統(tǒng)的開發(fā)降再、測試和生產(chǎn)環(huán)境。

　　

解讀：工業(yè)控制系統(tǒng)的開發(fā)揖岔、測試和生產(chǎn)環(huán)境需執(zhí)行不同的安全控制措施序峦，工業(yè)企業(yè)可采用物理隔離、網(wǎng)絡(luò)邏輯隔離等方式進(jìn)行隔離文荚。

　　

2.通過工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)鳍擎，禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

　　

解讀：工業(yè)控制網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備包括工業(yè)防火墻衬械、工業(yè)網(wǎng)閘祷罩、單向隔離設(shè)備及企業(yè)定制的邊界安全防護(hù)網(wǎng)關(guān)等。工業(yè)企業(yè)應(yīng)根據(jù)實(shí)際情況辙霎，在不同網(wǎng)絡(luò)邊界之間部署邊界安全防護(hù)設(shè)備隔抒，實(shí)現(xiàn)安全訪問控制，阻斷非法網(wǎng)絡(luò)訪問淋憋，嚴(yán)格禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接课娃。

　　

3.通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)桃序。

　　

解讀：工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全區(qū)域根據(jù)區(qū)域重要性和業(yè)務(wù)需求進(jìn)行劃分杖虾。區(qū)域之間的安全防護(hù)，可采用工業(yè)防火墻媒熊、網(wǎng)閘等設(shè)備進(jìn)行邏輯隔離安全防護(hù)奇适。

　　

（四）物理和環(huán)境安全防護(hù)

　　

1.對重要工程師站、數(shù)據(jù)庫芦鳍、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制嚷往、視頻監(jiān)控、專人值守等物理安全防護(hù)措施怜校。

　　

解讀：工業(yè)企業(yè)應(yīng)對重要工業(yè)控制系統(tǒng)資產(chǎn)所在區(qū)域间影，采用適當(dāng)?shù)奈锢戆踩雷o(hù)措施。

　　

2.拆除或封閉工業(yè)主機(jī)上不必要的USB茄茁、光驅(qū)魂贬、無線等接口。若確需使用裙顽，通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問控制付燥。

　　

解讀：USB宣谈、光驅(qū)、無線等工業(yè)主機(jī)外設(shè)的使用段卵，為病毒蜈率、木馬、蠕蟲等惡意代碼入侵提供了途徑荤榄，拆除或封閉工業(yè)主機(jī)上不必要的外設(shè)接口可減少被感染的風(fēng)險魔辉。確需使用時，可采用主機(jī)外設(shè)統(tǒng)一管理設(shè)備借倘、隔離存放有外設(shè)接口的工業(yè)主機(jī)等安全管理技術(shù)手段阀霸。

　　

（五）身份認(rèn)證

　　

1.在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問枣象、工業(yè)云平臺訪問等過程中使用身份認(rèn)證管理屠剥。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問采用多因素認(rèn)證舶舅。

　　

解讀：用戶在登錄工業(yè)主機(jī)莫彩、訪問應(yīng)用服務(wù)資源及工業(yè)云平臺等過程中，應(yīng)使用口令密碼奸闽、USB-key琼牧、智能卡、生物指紋葛假、虹膜等身份認(rèn)證管理手段障陶，必要時可同時采用多種認(rèn)證手段。

　　

2.合理分類設(shè)置賬戶權(quán)限聊训，以最小特權(quán)原則分配賬戶權(quán)限。

　　

解讀：工業(yè)企業(yè)應(yīng)以滿足工作要求的最小特權(quán)原則來進(jìn)行系統(tǒng)賬戶權(quán)限分配恢氯，確保因事故带斑、錯誤、篡改等原因造成的損失最小化勋拟。工業(yè)企業(yè)需定期審計分配的賬戶權(quán)限是否超出工作需要勋磕。

　　

3.強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件敢靡、工業(yè)通信設(shè)備等的登錄賬戶及密碼挂滓，避免使用默認(rèn)口令或弱口令,定期更新口令。

　　

解讀：工業(yè)企業(yè)可參考供應(yīng)商推薦的設(shè)置規(guī)則啸胧，并根據(jù)資產(chǎn)重要性赶站，為工業(yè)控制設(shè)備、SCADA軟件鲫础、工業(yè)通信設(shè)備等設(shè)定不同強(qiáng)度的登錄賬戶及密碼惕秧，并進(jìn)行定期更新奥徒，避免使用默認(rèn)口令或弱口令。

　　

4.加強(qiáng)對身份認(rèn)證證書信息保護(hù)力度的炫，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享吐捞。

　　

解讀：工業(yè)企業(yè)可采用USB-key等安全介質(zhì)存儲身份認(rèn)證證書信息，建立相關(guān)制度對證書的申請蜕裳、發(fā)放吹蜡、使用、吊銷等過程進(jìn)行嚴(yán)格控制呈锣，保證不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下禁止使用相同的身份認(rèn)證證書信息锤衡，減小證書暴露后對系統(tǒng)和網(wǎng)絡(luò)的影響。

　　

（六）遠(yuǎn)程訪問安全

　　

1.原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP颠恬、FTP洞逼、Telnet等高風(fēng)險通用網(wǎng)絡(luò)服務(wù)。

　　

解讀：工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP憾汛、FTP党饮、Telnet等網(wǎng)絡(luò)服務(wù)，易導(dǎo)致工業(yè)控制系統(tǒng)被入侵驳庭、攻擊刑顺、利用，工業(yè)企業(yè)應(yīng)原則上禁止工業(yè)控制系統(tǒng)開通高風(fēng)險通用網(wǎng)絡(luò)服務(wù)饲常。

　　

2.確需遠(yuǎn)程訪問的蹲堂，采用數(shù)據(jù)單向訪問控制等策略進(jìn)行安全加固，對訪問時限進(jìn)行控制贝淤，并采用加標(biāo)鎖定策略柒竞。

　　

解讀：工業(yè)企業(yè)確需進(jìn)行遠(yuǎn)程訪問的，可在網(wǎng)絡(luò)邊界使用單向隔離裝置播聪、VPN等方式實(shí)現(xiàn)數(shù)據(jù)單向訪問朽基，并控制訪問時限。采用加標(biāo)鎖定策略离陶，禁止訪問方在遠(yuǎn)程訪問期間實(shí)施非法操作稼虎。

　　

3.確需遠(yuǎn)程維護(hù)的，采用虛擬專用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式進(jìn)行招刨。

　　

解讀：工業(yè)企業(yè)確需遠(yuǎn)程維護(hù)的敬挂，應(yīng)通過對遠(yuǎn)程接入通道進(jìn)行認(rèn)證、加密等方式保證其安全性匣酸，如采用虛擬專用網(wǎng)絡(luò)（VPN）等方式永韭，對接入賬戶實(shí)行專人專號，并定期審計接入賬戶操作記錄。

　　

4.保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志饱粟，并對操作過程進(jìn)行安全審計元邻。

　　

解讀：工業(yè)企業(yè)應(yīng)保留工業(yè)控制系統(tǒng)設(shè)備、應(yīng)用等訪問日志掖阶，并定期進(jìn)行備份咒付，通過審計人員賬戶、訪問時間炮疲、操作內(nèi)容等日志信息枷斩，追蹤定位非授權(quán)訪問行為。

　　

（七）安全監(jiān)測和應(yīng)急預(yù)案演練

　　

1.在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備虎叔，及時發(fā)現(xiàn)味测、報告并處理網(wǎng)絡(luò)攻擊或異常行為。

　　

解讀: 工業(yè)企業(yè)應(yīng)在工業(yè)控制網(wǎng)絡(luò)部署可對網(wǎng)絡(luò)攻擊和異常行為進(jìn)行識別铺坞、報警起宽、記錄的網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)济榨、報告并處理包括病毒木馬坯沪、端口掃描、暴力破解擒滑、異常流量腐晾、異常指令、工業(yè)控制系統(tǒng)協(xié)議包偽造等網(wǎng)絡(luò)攻擊或異常行為丐一。

　　

2.在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護(hù)設(shè)備藻糖，限制違法操作。

　　

解讀：在工業(yè)企業(yè)生產(chǎn)核心控制單元前端部署可對Modbus库车、S7巨柒、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進(jìn)行深度分析和過濾的防護(hù)設(shè)備柠衍，阻斷不符合協(xié)議標(biāo)準(zhǔn)結(jié)構(gòu)的數(shù)據(jù)包潘拱、不符合業(yè)務(wù)要求的數(shù)據(jù)內(nèi)容。

　　

3.制定工控安全事件應(yīng)急響應(yīng)預(yù)案末瘾，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異常或故障時摹钳，應(yīng)立即采取緊急防護(hù)措施讼舰，防止事態(tài)擴(kuò)大，并逐級報送直至屬地省級工業(yè)和信息化主管部門疲席，同時注意保護(hù)現(xiàn)場沦望，以便進(jìn)行調(diào)查取證。

　　

解讀：工業(yè)企業(yè)需要自主或委托第三方工控安全服務(wù)單位制定工控安全事件應(yīng)急響應(yīng)預(yù)案台古。預(yù)案應(yīng)包括應(yīng)急計劃的策略和規(guī)程慨醒、應(yīng)急計劃培訓(xùn)蚊凫、應(yīng)急計劃測試與演練、應(yīng)急處理流程阐合、事件監(jiān)控措施肛英、應(yīng)急事件報告流程、應(yīng)急支持資源童隆、應(yīng)急響應(yīng)計劃等內(nèi)容林索。

　　

4.定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，必要時對應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂洪灯。

　　

解讀：工業(yè)企業(yè)應(yīng)定期組織工業(yè)控制系統(tǒng)操作坎缭、維護(hù)、管理等相關(guān)人員開展應(yīng)急響應(yīng)預(yù)案演練签钩，演練形式包括桌面演練掏呼、單項演練、綜合演練等铅檩。必要時憎夷，企業(yè)應(yīng)根據(jù)實(shí)際情況對預(yù)案進(jìn)行修訂。

　　

（八）資產(chǎn)安全

　　

1.建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單柠并，明確資產(chǎn)責(zé)任人岭接，以及資產(chǎn)使用及處置規(guī)則。

　　

解讀：工業(yè)企業(yè)應(yīng)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單臼予，包括信息資產(chǎn)鸣戴、軟件資產(chǎn)、硬件資產(chǎn)等粘拾。明確資產(chǎn)責(zé)任人窄锅，建立資產(chǎn)使用及處置規(guī)則，定期對資產(chǎn)進(jìn)行安全巡檢奥债，審計資產(chǎn)使用記錄割对，并檢查資產(chǎn)運(yùn)行狀態(tài)，及時發(fā)現(xiàn)風(fēng)險窥俊。

　　

2.對關(guān)鍵主機(jī)設(shè)備援漓、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置煮泪。

　　

解讀：工業(yè)企業(yè)應(yīng)根據(jù)業(yè)務(wù)需要标康，針對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備酌非、控制組件等配置冗余電源胃肖、冗余設(shè)備、冗余網(wǎng)絡(luò)等。

　　

（九）數(shù)據(jù)安全

　　

1.對靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù)徊激，根據(jù)風(fēng)險評估結(jié)果對數(shù)據(jù)信息進(jìn)行分級分類管理窥扭。

　　

解讀：工業(yè)企業(yè)應(yīng)對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進(jìn)行加密存儲，設(shè)置訪問控制功能贿汞，對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進(jìn)行加密傳輸逼肯，使用VPN等方式進(jìn)行隔離保護(hù)，并根據(jù)風(fēng)險評估結(jié)果否副，建立和完善數(shù)據(jù)信息的分級分類管理制度汉矿。

　　

2.定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。

　　

解讀：工業(yè)企業(yè)應(yīng)對關(guān)鍵業(yè)務(wù)數(shù)據(jù)备禀，如工藝參數(shù)洲拇、配置文件、設(shè)備運(yùn)行數(shù)據(jù)曲尸、生產(chǎn)數(shù)據(jù)赋续、控制指令等進(jìn)行定期備份。

　　

3.對測試數(shù)據(jù)進(jìn)行保護(hù)另患。

　　

解讀：工業(yè)企業(yè)應(yīng)對測試數(shù)據(jù)纽乱，包括安全評估數(shù)據(jù)、現(xiàn)場組態(tài)開發(fā)數(shù)據(jù)昆箕、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)鸦列、現(xiàn)場變更測試數(shù)據(jù)、應(yīng)急演練數(shù)據(jù)等進(jìn)行保護(hù)鹏倘，如簽訂保密協(xié)議策退、回收測試數(shù)據(jù)等。

　　

（十）供應(yīng)鏈管理

　　

1.在選擇工業(yè)控制系統(tǒng)規(guī)劃气穴、設(shè)計跑腮、建設(shè)、運(yùn)維或評估等服務(wù)商時肉敏，優(yōu)先考慮具備工控安全防護(hù)經(jīng)驗的企事業(yè)單位帮冶，以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。

　　

解讀：工業(yè)企業(yè)在選擇工業(yè)控制系統(tǒng)規(guī)劃索击、設(shè)計隧帜、建設(shè)、運(yùn)維或評估服務(wù)商時邢侵，應(yīng)優(yōu)先考慮有工控安全防護(hù)經(jīng)驗的服務(wù)商海泵，并核查其提供的工控安全合同、案例郁邪、驗收報告等證明材料。在合同中應(yīng)以明文條款的方式約定服務(wù)商在服務(wù)過程中應(yīng)當(dāng)承擔(dān)的信息安全責(zé)任和義務(wù)。

　　

2.以保密協(xié)議的方式要求服務(wù)商做好保密工作昧识，防范敏感信息外泄钠四。

　　

解讀：工業(yè)企業(yè)應(yīng)與服務(wù)商簽訂保密協(xié)議，協(xié)議中應(yīng)約定保密內(nèi)容跪楞、保密時限缀去、違約責(zé)任等內(nèi)容。防范工藝參數(shù)甸祭、配置文件缕碎、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)池户、控制指令等敏感信息外泄咏雌。

　　

（十一）落實(shí)責(zé)任

　　

通過建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式校焦，明確工控安全管理責(zé)任人赊抖，落實(shí)工控安全責(zé)任制，部署工控安全防護(hù)措施寨典。

　　

解讀：工業(yè)企業(yè)應(yīng)建立健全工控安全管理機(jī)制氛雪，明確工控安全主體責(zé)任，成立由企業(yè)負(fù)責(zé)人牽頭的耸成，由信息化灶昏、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的工業(yè)控制系統(tǒng)信息安全協(xié)調(diào)小組台泥，負(fù)責(zé)工業(yè)控制系統(tǒng)全生命周期的安全防護(hù)體系建設(shè)和管理言雀，制定工業(yè)控制系統(tǒng)安全管理制度，部署工控安全防護(hù)措施粉只。

　　

四吟叙、貫徹落實(shí)

　　

一是面向地方工業(yè)和信息化主管部門、中央企業(yè)等開展《指南》宣貫暇鸦，依據(jù)《指南》要求組織培訓(xùn)揍丘，指導(dǎo)工業(yè)企業(yè)進(jìn)一步優(yōu)化工控安全管理與技術(shù)防護(hù)手段。

　　

二是選擇工業(yè)聚集發(fā)展城市及地區(qū)牺胎，設(shè)立工控安全防護(hù)試點(diǎn)區(qū)楞庸，組織區(qū)內(nèi)工業(yè)企業(yè)開展工控安全防護(hù)應(yīng)用試點(diǎn)，遴選優(yōu)秀試點(diǎn)企業(yè)分享工控安全防護(hù)經(jīng)驗暂一，總結(jié)提煉工業(yè)控制系統(tǒng)防護(hù)示范案例晾胡。

　　

三是將《指南》要求納入年度工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查項目，強(qiáng)化責(zé)任落實(shí)到位拐云，管理罢猪、技術(shù)落實(shí)到位近她。通過自查、抽查膳帕、深度檢查等方式促進(jìn)工業(yè)企業(yè)深入貫徹并落實(shí)《指南》粘捎。

　　

地方工信主管部門負(fù)責(zé)對本地區(qū)內(nèi)的工控安全防護(hù)工作進(jìn)行監(jiān)督管理，并配合工業(yè)和信息化部做好工控安全相關(guān)工作危彩。工業(yè)企業(yè)應(yīng)按照《指南》各項要求攒磨，開展和完善工控安全防護(hù)工作，改善自身安全防護(hù)能力的同時汤徽，為全面提升我國工業(yè)信息安全防護(hù)水平提供支撐娩缰。