1、 1 工信部 2015 年工业行业网络安全检查试点工作方案一、目的与依据为落实工业信息安全监测和风险评估工作,加强对企业工业控制系统网络安全工作的指导和督促检查,提升企业工业控制系统安全管理和技术防护水平,通过检查工作试点积累经验,形成较完善的工业行业信息安全检查工作制度并逐步推广,依据国务院关于大力推进信息化发展和切实保障信息安全的若干意见(国发201223 号)、 关于加强工业控制系统信息安全管理的通知(工信部协2011451 号)要求,参照工业控制网络安全风险评估规范(GB/T 26333-2010)、工业控制系统信息安全 第 1 部分 评估规范(GB/T 30976.1-2014)等国
2、家信息安全技术标准规范以及关于印发 的通知(中网办发文2015 4 号)内容,制定本工作方案。二、试点工作范围本次工业行业网络安全检查试点工作重点面向石化化工、装备制造、有色金属、钢铁等行业,检查范围包括工业行业重点企业 1的制造执行、监视 控制与数据采集、分布式控制/ 过 程控制、可编程逻辑控制器、智能电子设备等工业控制系统。根据国内产业现状,本次试点工作选取15 家央企(其中 7 家央企进行自查,对其余 8 家央企开展抽查,央企名1 重点企业指企业的工业控制系统发生重大安全事件,致使系统出现严重故障后,可能导致 10 人以上死亡或 50 人以上重伤,或可能导致 5000 万元以上直接经济损
3、失,或可能影响 100 万人以上正常生活,或可能对生态环境造成严重破坏,或可能对国家安全和社会稳定产生重大影响。 2 单详见附件 1),以及在钢铁、有色金属、石化化工、装备制造等行业具有代表性的河北、辽宁、吉林、黑龙江、安徽、福建、山东、河南、湖南、广西、四川、陕西 12 个省份。三、检查内容(一)网络安全管理按照国家网络安全政策和标准规范要求,建立健全工业控制系统网络安全管理制度及落实情况。重点检查工业控制系统网络安全主管领导、管理机构和工作人员履职情况,工业控制系统网络安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,工业控制系统网络安全规划制定情况,工业控制
4、系统网络安全运维情况、工业控制系统网络安全从业人员情况,工业控制系统网络安全经费保障情况等。(二)安全技术防护按照国家网络安全政策和标准规范要求,建立健全工业控制系统技术防护体系及安全防护情况。重点检查工业控制系统防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性;工业控制系统网络边界防护措施、网络分区分域管理、无线网络安全防护策略;工业控制系统服务器、网络设备、安全设备等安全策略配置,应用系统安全功能及有效性;工业控制系统终端计算机、移动存储介质安全防护措施;工业控制系统重要数据传输、存储的安全防护措施等。(三)应急工作按照国家网络与信息安全事件应急预案要求,建立健全工业控制 3 系统网络安
5、全应急工作体系情况。重点检查工业控制系统网络安全事件应急预案制修订情况、应急演练情况;应急技术支撑队伍、灾难备份措施建设情况;工业控制系统重大网络安全事件处置情况等。(四)宣传教育培训重点检查工业控制系统网络安全宣传教育、领导干部及各级人员网络安全基础培训、网络安全人员专业技术培训等情况。(五)密码使用重点检查工业控制系统中密码技术、产品和服务的使用情况及其安全策略配置情况。四、检查方式本次试点工作选取部分省份和央企开展工业行业网络安全检查工作,检查 方式以相关省份和央企自查为主。同时,工业和信息化部组织专业技术队伍对部分央企进行抽查。(一)安全自查相关省份工业行业网络安全检查工作由省级工业和
6、信息化主管部门组织实施,相关央企结合实际组织开展工业控制系统网络安全自查工作。相关省份和央企应结合年度工作制定检查实施方案,明确检查范围、工作安排和任务要求,周密计划,精心部署,认真实施。为确保工业行业网络安全检查工作取得实效,相关省份或央企可依托专业技术队伍进行检查。自查工作完成后,相关省份和央企要对工业行业网络安全检查情况进行全面汇总总结,填写检查结果统计表,认真梳理存在的主要问题, 4 分析评估安全风险,编写工业行业网络安全检查总结报告。检查总结报告内容主要包括网络安全状况总体评价、2015 年网络安全工作情况、检查发现的主要问题及整改情况、对工业行业网络安全工作的意见建议等。相关省份应
7、根据检查结果填写相关省份工业行业网络安全检查情况汇总表(附件 2),相关央企应根据检查结果填写相关央企工业控制系统网络安全检查表(附件 3)。(二)安全抽查工业行业网络安全抽查工作采用现场检查方式,主要采取人员访谈、文档查阅、现场核查、人工检查等方法,对被抽查央企进行现场检查并记录检查结果。本次抽查由工业和信息化部统一组织,委托专业技术队伍对钢铁、有色金属 2 个行业共 8 家央企进行抽查。五、时间安排本次网络安全检查试点工作自本工作方案印发之日起启动。2015年 12 月中旬完成自查和抽查工作,相关省份和央企将自查总结报告送工业和信息化部,承担抽查工作的专业技术队伍将抽查报告送工业和信息化部
8、。六、有关工作要求(一)加强组织和协调各单位要明确检查工作的主管领导和工作机构,优化进度安排,掌握工作进展,及时报送信息,确保检查工作有序开展。(二)加强专家咨询指导 5 可根据工作需要成立专家组或邀请专家对检查工作进行咨询指导,帮助分析工作中遇到的困难和问题,评估、研判安全检查结果,提高工作质量。(三)加强风险控制和保密管理检查工作中要强化风险控制措施,严格执行工作纪律和操作规程,应对重要数据和配置进行备份,确保被检查系统的正常运行。指定专人负责管理相关文档和数据,确保工作中涉及到的国家秘密和商业秘密得到有效控制。(四)加强工作总结和整改落实对检查工作进行全面总结,认真撰写工作总结报告。组织
9、对检查工作中发现的问题进行研究,督促相关企业采取有效措施加以整改,切实提高工业控制系统网络安全防护水平。 6 附件 1工业行业网络安全检查试点工作选取央企名单序号 行业 企业 检查方式1. 中国中化集团公司 自查2.石化化工 中国化工集团公司 自查3. 中国第一重型机械集团公司 自查4. 哈尔滨电气集团公司 自查5. 中国东方电气集团有限公司 自查6.中国通用技术(集团)控股有限责任公司自查7.装备制造中国中车股份有限公司 自查8. 中国铝业公司 抽查9. 中国五矿集团公司 抽查10. 中国有色矿业集团有限公司 抽查11.有色金属中国黄金集团公司 抽查12. 鞍山钢铁集团公司 抽查13. 宝钢
10、集团公司 抽查14. 武汉钢铁(集团)公司 抽查15.钢铁中国中钢集团公司 抽查 7 附件 2相关省份工业行业网络安全检查情况汇总表省份名称: 基本情况 重要工业控制系统运营单位总数: 家重要工业控制系统总数: 套国内品牌 国外品牌制造执行(MES )系统软件 套 套数据采集与监控(SCADA)系统软件 套 套分布式控制系统(DCS)软件/过程控制系统(PCS)软件 套 套大中型 台 台可编程控制器(PLC) 中型 台 台智能仪表 台 台智能装备 1 台 台智能电子设备 (IED)远端设备(RTU) 台 台服务器 台 台路由器 台 台交换机 台 台防火墙 台 台磁盘阵列 台 台操作系统 套 套
11、数据库 套 套系统构成情况基础软硬件设备防病毒软件 套 套工业控制网络连接情况1. 直接与互联网连接的重要工业控制系统数量: 套2. 与内部网络连接的重要工业控制系统数量: 套3. 含有无线接入方式的重要工业控制系统数量: 套运行维护情况1. 采用远程方式运行维护的重要工业控制系统数量: 套2. 由国内厂商提供运行维护服务的重要工业控制系统数量: 套3. 由国外厂商提供运行维护服务的重要工业控制系统数量: 套网络安全防护情况1. 网络边界处架设网络安全设备的重要工业控制系统数量: 套2. 安装防病毒软件或设备的重要工业控制系统数量: 套3. 定期进行安全更新的重要工业控制系统数量: 套4. 采
12、取加密措施传输、存储敏感数据的重要工业控制系统数量: 套1 智能装备一般指机器手、机器人、数控设备、智能车等。 8 附件 3 相关央企工业控制系统网络安全检查表表 1 相关央企工业控制系统基本情况检查表操作对象危险化学品重大危险源3 关联情况连接互联网情况 数据集中情 况 灾备情况 运维情况序号装置/系统 1名称工艺 2 名称原料 产品 是否涉及关联情况说明采用逻辑隔离措施连接采用逻辑强隔离 42措施连接不连接全国集中省级集中不集中系统级灾备仅数据异地灾备仅数据本地灾备无灾备是否外包是否远程运维是否签署网络安全保密协议121 钢铁主要装置一般指焦炉、高炉、转炉或电炉、烧结机、热风炉、加热炉等。
13、2 钢铁工艺一般指连铸、成形煤、焦化、干熄焦(CDQ) 、煤气派送、煤气净化、焙烧、热轧、冷轧、煤气混合等;有色工艺一般指火法冶金(包括焙烧、熔炼和精炼) 、湿法冶金(包括浸出、固液分离、溶液净化和提取金属) 、电冶金等;化工工艺一般指原料处理、化学反应、产品精制等;装备制造工艺一般指离散制造、流程制造。3 危险化学品重大危险源是指按照危险化学品重大危险源辨识 (GB18218)标准辨识确定,生产、储存、使用或者搬运危险化学品的数量等于或者超过临界量的单元(包括场所和设施) 。4 逻辑强隔离指使用逻辑强隔离设备(使用正向、反向或双向网闸)进行的网络隔离。 9 表 2 相关央企工业控制系统设备情
14、况检查表安全防护设备 通信设备 软硬件设备 智能仪表 智能装备序号装置/系统名称工艺名称属性数量 防火墙隔离装置加密认证装置其他路由器交换机无线热点其他SCADAPLCDCSMES服务器操作系统数据库磁盘阵列防病毒软件其他压力温度其他机器手/人数控设备其他国内数量1国外数量国内数量2国外数量国内数量3国外数量 10 表 3 相关央企工业控制系统网络安全管理检查结果记录表序号 检查项 检查结果1 组织结构分管领导姓名: 职务: 网络安全部门名称:负责人姓名: 职务: 联系方式: 2 人员管理重要岗位人员安全保密协议:全部签订 部分签订 未签订人员离岗离职安全管理规定:已制定 未制定外部人员访问审批制度:已制定 未制定是否有外包人员:是 否 外 包 人 员 安 全 保 密 协 议 : 全 部 签 订 部 分 签 订 未 签 订3 资产管理资产管理制度:已制定 未制定是否指定专人进行资产管理:是 否设备维修维护和报废管理制度:已制定 未制定设备维修维护和报废记录是否完整:是 否4存储介质管理存储介质管理制度:已制定 未制定存储介质管理记录:完整 不完整移动存储介质管理:允许使用 不允许使用便携式笔记本管理:允许使用 不允许使用大容量存储介质:外联:采取了技术防范措施未采取技术防范措施不外联
