第一篇：江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理實施辦法(試行)

附件：

江蘇省工業(yè)控制系統(tǒng)信息安全 監(jiān)督管理實施辦法（試行）

省經(jīng)濟和信息化委

第一條 為規(guī)范和加強我省范圍內(nèi)工業(yè)控制系統(tǒng)信息安全管理工作，提高信息安全防護和應(yīng)急響應(yīng)能力，確保工業(yè)生產(chǎn)運行、國民經(jīng)濟和人民生命財產(chǎn)安全，依據(jù)《工業(yè)和信息化部關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)?2011?451號）、《江蘇省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》（蘇政辦發(fā)?2009?51號）等文件精神，結(jié)合工作實際，制定本辦法。

第二條 本辦法所稱工業(yè)控制系統(tǒng)，指采用數(shù)據(jù)采集監(jiān)控、分布式控制、過程控制、可編程邏輯控制等技術(shù)控制生產(chǎn)設(shè)備運行的系統(tǒng)。本辦法所稱重點領(lǐng)域，主要指核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域。

第三條 本省行政區(qū)域內(nèi)工業(yè)控制系統(tǒng)的信息安全管理及監(jiān)督檢查活動，適用于本辦法。第四條 各級信息化主管部門負責(zé)行政區(qū)域內(nèi)工業(yè)控制系統(tǒng)信息安全工作指導(dǎo)和監(jiān)督檢查。有關(guān)行業(yè)主管或監(jiān)管部門、國有資產(chǎn)監(jiān)督管理部門負責(zé)協(xié)調(diào)、督促工業(yè)控制系統(tǒng)主管單位開展信息安全管理及落實安全整改等工作。

第五條 工業(yè)控制系統(tǒng)信息安全按照屬地化原則進行監(jiān)督管理。各地區(qū)、各部門和各有關(guān)單位要按照“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，加強對工業(yè)控制系統(tǒng)信息安全管理工作的領(lǐng)導(dǎo)，明確責(zé)任部門和人員，建立并落實信息安全責(zé)任制和事件通報制度，健全完善相關(guān)管理技術(shù)措施，接受信息化主管部門的監(jiān)督檢查并配合做好安全整改工作。

第六條 各地區(qū)、各部門和各有關(guān)單位要結(jié)合實際，明確加強工業(yè)控制系統(tǒng)信息安全管理的重點領(lǐng)域和重點環(huán)節(jié)，切實落實以下要求：

（一）組織制度要求。明確信息安全主管領(lǐng)導(dǎo)、管理機構(gòu)和管理人員，健全工作機制，嚴格落實責(zé)任制，將重要工業(yè)控制系統(tǒng)信息安全責(zé)任逐一落實到具體部門、崗位和人員，確保領(lǐng)導(dǎo)到位、機構(gòu)到位、人員到位、措施到位、資金到位。

（二）網(wǎng)絡(luò)連接要求。斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接。對確實需要的連接，系統(tǒng)運營單位要逐一進行登記，采取設(shè)臵防火墻、單向隔離等措施加以防護，并定期進行風(fēng)險評估，不斷完善防范措施。

（三）組網(wǎng)管理要求。工業(yè)控制系統(tǒng)組網(wǎng)時要同步規(guī)劃、同步建設(shè)、同步運行安全防護措施。采取虛擬專用網(wǎng)絡(luò)（VPN）、線路冗余備份、數(shù)據(jù)加密等措施，加強對關(guān)鍵工業(yè)控制系統(tǒng)遠程通信的保護。對無線組網(wǎng)采取嚴格的身份認證、安全監(jiān)測等防護措施，防止經(jīng)無線網(wǎng)絡(luò)進行惡意入侵，尤其要防止通過侵入遠程終端單元（RTU）進而控制部分或整個工業(yè)控制系統(tǒng)。

（四）配臵管理要求。建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配臵和審計制度。嚴格賬戶管理，根據(jù)工作需要合理分類設(shè)臵賬戶權(quán)限。嚴格口令管理，及時更改產(chǎn)品安裝時的預(yù)設(shè)口令，杜絕弱口令、空口令。定期對賬戶、口令、端口、服務(wù)等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的后臺程序和進程，關(guān)閉無關(guān)的端口和服務(wù)。

（五）設(shè)備選擇與升級管理要求。慎重選擇工業(yè)控制系統(tǒng)設(shè)備，在供貨合同中或以其他方式明確供應(yīng)商承擔(dān)的信息安全責(zé)任和義務(wù)，確保產(chǎn)品安全可控。加強對技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線服務(wù)。密切關(guān)注產(chǎn)品漏洞和補丁發(fā)布，嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前須請專業(yè)技術(shù)機構(gòu)進行安全評估和驗證。

（六）數(shù)據(jù)管理要求。地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲、利用等，要采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計、災(zāi)難備份等措施加以保護，切實維護個人權(quán)益、企業(yè)利益和國家信息資源安全。

（七）應(yīng)急管理要求。制定工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案，明確應(yīng)急處臵流程和臨機處臵權(quán)限，落實應(yīng)急技術(shù)支撐隊伍，根據(jù)實際情況采取必要的備機、備件等容災(zāi)備份措施。

第七條 工業(yè)控制系統(tǒng)主管單位應(yīng)定期組織開展信息安全檢查。請專業(yè)技術(shù)機構(gòu)對所使用的工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進行安全測評，檢測安全漏洞，評估安全風(fēng)險。重點領(lǐng)域的工業(yè)控制系統(tǒng)每年至少進行1次全面的安全檢查。對檢查中發(fā)現(xiàn)的問題要及時采取措施進行安全整改，并報告所在地信息化主管部門。

各級信息化主管部門應(yīng)重視工業(yè)控制系統(tǒng)信息安全漏洞信息的收集、匯總和分析研判工作，及時向上級主管部門和相關(guān)部門報告發(fā)現(xiàn)的問題，及時發(fā)布有關(guān)漏洞、風(fēng)險和預(yù)警信息。第八條 省級信息化主管部門應(yīng)會同行業(yè)主管或監(jiān)管部門、國有資產(chǎn)監(jiān)督管理部門以及其他信息安全管理部門，每年至少組織1次全省重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全狀況抽查、關(guān)鍵設(shè)備抽檢，排查安全隱患，堵塞安全漏洞，通報發(fā)現(xiàn)問題并敦促整改。

工業(yè)控制系統(tǒng)主管單位對抽查、抽檢發(fā)現(xiàn)的問題，應(yīng)認真落實整改意見，并在3個月內(nèi)向工業(yè)控制系統(tǒng)所在地信息化主管部門報告整改情況。

第九條 參與抽查、抽檢的技術(shù)檢測機構(gòu)與人員，應(yīng)具有由國家權(quán)威機構(gòu)認定的信息安全服務(wù)能力和水平，獲省級以上信息化主管部門備案，并接受省級以上信息化主管部門監(jiān)督管理。

委托技術(shù)檢測機構(gòu)檢查前，委托部門或單位應(yīng)與技術(shù)檢測機構(gòu)簽訂安全保密協(xié)議，明確保密責(zé)任和保密期限。必要時，應(yīng)對參與檢測人員的背景進行安全審查。

第十條 實施安全技術(shù)檢測的機構(gòu)及人員應(yīng)嚴格遵守檢查工作紀律，周密制定檢測方案，對技術(shù)檢測可能引發(fā)的安全風(fēng)險進行認真評估，采取規(guī)避或控制安全風(fēng)險措施，保證被檢查工業(yè)控制系統(tǒng)的安全正常運行。

對技術(shù)檢測結(jié)果及過程文檔、信息應(yīng)加強保密管理，除按規(guī)定報送外，不得以任何方式提供給其他單位或個人；未經(jīng)委托部門或單位同意不得用于任何用途。對于違反信息安全和保密管理制度造成信息安全事故或泄密事件的，依法追究當(dāng)事人和有關(guān)負責(zé)人的責(zé)任。

第十一條 對于工業(yè)控制系統(tǒng)主管單位拒絕接受檢查或不履行信息安全管理職責(zé)、義務(wù)而發(fā)生安全事故的，應(yīng)呈報其上級部門并追究其負責(zé)人的相應(yīng)責(zé)任。

對在監(jiān)督管理工作中組織領(lǐng)導(dǎo)不力、有關(guān)要求不落實的，予以通報批評。對未按照規(guī)定流程開展檢查而導(dǎo)致發(fā)生安全事故的，應(yīng)追究檢查組織方負責(zé)人的相應(yīng)責(zé)任。

第二篇：工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案

工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案

為了切實做好市污水廠網(wǎng)絡(luò)與信息安全突發(fā)事件的防范和應(yīng)急處理工作，提高污水廠中控系統(tǒng)預(yù)防和控制網(wǎng)絡(luò)與信息安全突發(fā)事件的能力和水平，減輕或消除突發(fā)事件的危害和影響，確保市污水廠中控系統(tǒng)網(wǎng)絡(luò)與信息安全，結(jié)合工作實際，制定本預(yù)案。

一、總則

本預(yù)案適用于本預(yù)案定義的1級、2級網(wǎng)絡(luò)與信息安全突發(fā)公共事件和可能導(dǎo)致1級、2級網(wǎng)絡(luò)與信息安全突發(fā)公共事件的應(yīng)對處置工作。

本預(yù)案所指網(wǎng)絡(luò)與信息系統(tǒng)的重要性是根據(jù)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度來確定的。

（一）分類分級。

本預(yù)案所指的網(wǎng)絡(luò)與信息安全突發(fā)公共事件，是指重要網(wǎng)絡(luò)與信息系統(tǒng)突然遭受不可預(yù)知外力的破壞、毀損、故障，發(fā)生對國家、社會、公眾造成或者可能造成重大危害，危及公共安全的緊急事件。

1、事件分類。

根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)公共事件的發(fā)生過程、性質(zhì)和特征，網(wǎng)絡(luò)與信息安全突發(fā)公共事件可劃分為網(wǎng)絡(luò)安全突發(fā)事件和信息安全突發(fā)事件。網(wǎng)絡(luò)安全突發(fā)事件是指自然災(zāi)害，事故災(zāi)難和人為破壞引起的網(wǎng)絡(luò)與信息系統(tǒng)的損壞；信息安全突發(fā)事件是指利用信息網(wǎng)絡(luò)進行有組織的大規(guī)模的反動宣傳、煽動和滲透等破壞活動。

自然災(zāi)害是指地震、臺風(fēng)、雷電、火災(zāi)、洪水等。

事故災(zāi)難是指電力中斷、網(wǎng)絡(luò)損壞或者是軟件、硬件設(shè)備故障等。

人為破壞是指人為破壞網(wǎng)絡(luò)線路、通信設(shè)施、黑客攻擊、病毒攻擊、恐怖襲擊等事件。

2、事件分級。

根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)公共事件的可控性、嚴重程度和影響范圍，將網(wǎng)絡(luò)與信息安全突發(fā)公共事件分為四級：1級(特別重大)、2級(重大)、3級(較大)、4級(一般)。國家有關(guān)法律法規(guī)有明確規(guī)定的，按國家有關(guān)規(guī)定執(zhí)行。

1級(特別重大)：網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生全局性大規(guī)模癱瘓，事態(tài)發(fā)展超出自己的控制能力，對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴重損害的突發(fā)公共事件。

2級(重大)：網(wǎng)絡(luò)與信息系統(tǒng)造成全局性癱瘓，對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成嚴重損害需要跨部門協(xié)同處置的突發(fā)公共事件。

3級(較大)：某一部分的網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害，但不需要跨部門、跨地區(qū)協(xié)同處置的突發(fā)公共事件。

4級(一般)：網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的突發(fā)公共事件。

（二）工作原則。

1、積極預(yù)防，綜合防范。立足安全防護，加強預(yù)警，抓好預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊犯罪等環(huán)節(jié)，在法律、管理、技術(shù)、人才等方面，采取多種措施，充分發(fā)揮各方面的作用，共同構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。

2、明確責(zé)任，分級負責(zé)。按照“誰主管誰負責(zé)，誰運營誰負責(zé)”的原則，建立和完善安全責(zé)任制，協(xié)調(diào)管理機制和聯(lián)動工作機制。

3、以人為本，快速反應(yīng)。把保障公共利益以及公民、法人和其他組織的合法權(quán)益的安全作為首要任務(wù)，及時采取措施，最大限度地避免公民財產(chǎn)遭受損失。網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，要按照快速反應(yīng)機制，及時獲取充分而準確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。

4、依靠科學(xué)，平戰(zhàn)結(jié)合。加強技術(shù)儲備，規(guī)范應(yīng)急處置措施與操作流程，實現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置工作的科學(xué)化、程序化與規(guī)范化。樹立常備不懈的觀念，有條件則定期進行預(yù)案演練，確保應(yīng)急預(yù)案切實可行。

二、預(yù)防預(yù)警

（一）信息監(jiān)測與報告。

1、進一步完善網(wǎng)絡(luò)與信息安全突發(fā)公共事件監(jiān)測、預(yù)測、預(yù)警制度。要落實責(zé)任制，按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對各類網(wǎng)絡(luò)與信息安全突發(fā)公共事件和可能引發(fā)突發(fā)公共事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)公共事件時，按規(guī)定及時向信息中心負責(zé)人、分管領(lǐng)導(dǎo)報告，同時與相關(guān)的產(chǎn)品技術(shù)支持單位聯(lián)系，獲得必要的技術(shù)支持。初次報告最遲不得超過半小時，重大和特別重大的網(wǎng)絡(luò)與信息安全突發(fā)公共事件實行態(tài)勢進程報告和日報告制度。報告內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。

2、建立網(wǎng)絡(luò)與信息安全報告制度。

發(fā)現(xiàn)下列情況時應(yīng)及時向信息中心負責(zé)人、分管領(lǐng)導(dǎo)報告，必要時向市信息中心及市公安局報告：

（1）利用網(wǎng)絡(luò)從事違法犯罪活動的情況；

（2）網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常，網(wǎng)絡(luò)和信息系統(tǒng)癱瘓，應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失等情況；

（3）網(wǎng)絡(luò)恐怖活動的嫌疑情況和預(yù)警信息；

（4）其他影響網(wǎng)絡(luò)與信息安全的信息。

（二）預(yù)警處理與發(fā)布。

1、對于可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)公共事件，立即采取措施控制事態(tài)，并在 1小時內(nèi)進行風(fēng)險評估，判定事件等級。必要時應(yīng)啟動相應(yīng)的預(yù)案，同時向信息中心及分管領(lǐng)導(dǎo)通報情況。

2、信息中心接到報警信息后應(yīng)及時組織有關(guān)專家對信息進行技術(shù)分析和研判，根據(jù)問題的性質(zhì)、危害程度，提出安全警報級別，并及時向分管領(lǐng)導(dǎo)報告。

3、分管領(lǐng)導(dǎo)接到報告后，對發(fā)生和可能發(fā)生1級或2級的網(wǎng)絡(luò)與信息安全突發(fā)公共事件時，應(yīng)迅速召開應(yīng)急會議，研究確定網(wǎng)絡(luò)與信息安全突發(fā)公共事件的等級，決定啟動本預(yù)案，同時確定指揮人員。并向相關(guān)部門進行通報。

4、對需要向市公安局通報的要及時通報，并爭取支援。

三、應(yīng)急響應(yīng)

（一）先期處置。

1、當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)公共事件時，值班人員應(yīng)做好先期應(yīng)急處置工作，立即采取措施控制事態(tài)，同時向信息中心報告。

2、信息中心在接到網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生或可能發(fā)生的信息后，應(yīng)加強與有關(guān)方面的聯(lián)系，掌握最新發(fā)展動態(tài)。對3級或4級的突發(fā)事件，自行負責(zé)應(yīng)急處置工作，有關(guān)情況報分管領(lǐng)導(dǎo)。分管領(lǐng)導(dǎo)在接到發(fā)生2級或1級和有可能演變?yōu)?級或1級的網(wǎng)絡(luò)與信息安全突發(fā)公共事件時，要組織信息中心對處置工作提出建議方案，并做好啟動本預(yù)案的各項準備工作。還要根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)展態(tài)勢，視情況決定趕赴現(xiàn)場指導(dǎo)，組織派遣應(yīng)急支援力量。

（二）應(yīng)急指揮。

1、本預(yù)案啟動后，信息中心要抓緊收集相關(guān)信息，掌握現(xiàn)場處置工作狀態(tài)，分析事件發(fā)展態(tài)勢，研究提出處置方案，統(tǒng)一指揮網(wǎng)絡(luò)與信息應(yīng)急處置工作。

2、需要成立現(xiàn)場指揮部的，應(yīng)立即在現(xiàn)場開設(shè)指揮部，現(xiàn)場指揮部要根據(jù)事件性質(zhì)迅速組建各類應(yīng)急工作組，開展應(yīng)急處置工作。

（三）應(yīng)急支援。

本預(yù)案啟動后，立即成立由分管領(lǐng)導(dǎo)帶隊的應(yīng)急響應(yīng)先遣小組，督促、指導(dǎo)和協(xié)調(diào)處置工作。信息中心根據(jù)事態(tài)的發(fā)展和處置工作需要，及時增派專家小組，調(diào)動必需的物資、設(shè)備，支援應(yīng)急工作。參加現(xiàn)場處置工作的各有關(guān)部門和單位在現(xiàn)場指揮部的統(tǒng)一指揮下，協(xié)助開展處置行動。

（四）信息處理。

1、各部門、中心應(yīng)對事件進行動態(tài)監(jiān)測、評估，及時將事件的性質(zhì)、危害程度和損失情況及處置工作等情況，及時報信息中心，不得隱瞞、緩報、謊報。

2、信息中心要明確信息采集、編輯、分析、審核、簽發(fā)的責(zé)任人，做好信息分析、報告和發(fā)布工作。要及時編發(fā)事件動態(tài)信息供領(lǐng)導(dǎo)參閱。要組織專家和有關(guān)人員研究判斷各類信息，提出對策措施，完善應(yīng)急處置計劃方案。

(五)信息發(fā)布。

1、當(dāng)網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，應(yīng)及時做好信息發(fā)布工作，通過相關(guān)單位發(fā)布網(wǎng)絡(luò)與信息安全突發(fā)公共事件預(yù)警及應(yīng)急處置的相關(guān)信息，引導(dǎo)輿論和公眾行為，增強公眾的信心。

2、要密切關(guān)注國內(nèi)外關(guān)于網(wǎng)絡(luò)與信息安全突發(fā)公共事件的新聞報道，及時采取措施，對媒體關(guān)于事件以及處置工作的不正確信息，進行澄清、糾正影響，接受群眾咨詢，釋疑解惑，穩(wěn)定人心。

（六）擴大應(yīng)急。

經(jīng)應(yīng)急處置后，事態(tài)難以控制或有擴大發(fā)展趨勢時，應(yīng)實施擴大應(yīng)急行動。要迅速召開應(yīng)急會議或由分管領(lǐng)導(dǎo)根據(jù)事態(tài)情況，研究采取有利于控制事態(tài)的非常措施，并向市公安局請求支援。

（七）應(yīng)急結(jié)束。

網(wǎng)絡(luò)與信息安全突發(fā)公共事件經(jīng)應(yīng)急處置后，得到有效控制，事態(tài)下降到一定程度或基本得到解決，將各監(jiān)測統(tǒng)計數(shù)據(jù)上報局信息中心，由信息中心向分管領(lǐng)導(dǎo)提出應(yīng)急結(jié)束的建議，經(jīng)批準后實施。

四、后期處置

（一）善后處理。

在應(yīng)急處置工作結(jié)束后，要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。統(tǒng)計各種數(shù)據(jù)，查明原因，對事件造成的損失和影響以及恢復(fù)重建能力進行分析評估，認真制定恢復(fù)重建計劃，并迅速組織實施。有關(guān)部門要提供必要的人員和技術(shù)、物資和裝備以及資金等支持，并將善后處置的有關(guān)情況報分管領(lǐng)導(dǎo)。

（二）調(diào)查評估。

在應(yīng)急處置工作結(jié)束后，各相關(guān)部門應(yīng)立即組織有關(guān)人員和專家組成事件調(diào)查組，對事件發(fā)生及其處置過程進行全面的調(diào)查，查清事件發(fā)生的原因及財產(chǎn)損失情況，總結(jié)經(jīng)驗教訓(xùn)，寫出調(diào)查評估報告，報分管領(lǐng)導(dǎo)，并根據(jù)問責(zé)制的有關(guān)規(guī)定，對有關(guān)責(zé)任人員做出處理，必要時采取合理的形式向社會公眾通報。

五、保障措施

（一）應(yīng)急裝備保障。

重要網(wǎng)絡(luò)與信息系統(tǒng)在建設(shè)系統(tǒng)時應(yīng)事先預(yù)留一定的應(yīng)急設(shè)備，建立信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資庫。在網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，由信息中心負責(zé)統(tǒng)一調(diào)用。

（二）數(shù)據(jù)保障。

重要信息系統(tǒng)均應(yīng)建立異地容災(zāi)備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)在受到破壞后，可緊急恢復(fù)。各容災(zāi)備份系統(tǒng)應(yīng)具有一定兼容性，在特殊情況下各系統(tǒng)間可互為備份。

（三）應(yīng)急隊伍保障。

按照一專多能的要求建立網(wǎng)絡(luò)信息安全應(yīng)急保障隊伍。局信息中心選擇若干經(jīng)國家有關(guān)部門資質(zhì)認可的、管理規(guī)范、服務(wù)能力較強的部門作為公司網(wǎng)絡(luò)與信息安全的應(yīng)急支援單位，提供技術(shù)支持與服務(wù)。

六、監(jiān)督管理

（一）宣傳教育。

要充分利用各種傳播媒介及有效的形式，加強網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急和處置的有關(guān)法律法規(guī)和政策的宣傳，開展預(yù)防、預(yù)警、自救、互救和減災(zāi)等知識的宣講活動，普及應(yīng)急救援的基本知識，提高公眾防范意識和應(yīng)急處置能力。

要加強對網(wǎng)絡(luò)與信息安全等方面的知識培訓(xùn)，提高防范意識及技能，指定專人負責(zé)安全技術(shù)工作。并將網(wǎng)絡(luò)與信息安全突發(fā)公共事件的應(yīng)急管理、工作流程等列為培訓(xùn)內(nèi)容，增強應(yīng)急處置工作的組織能力。

（二）演練。

建立應(yīng)急預(yù)案定期演練制度。通過演練，發(fā)現(xiàn)應(yīng)急工作體系和工作機制存在的問題，不斷完善應(yīng)急預(yù)案，提高應(yīng)急處置能力。

第三篇：鍋爐車間工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案

鍋爐車間工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案

一、日常工作：

1、做到對工控系統(tǒng)的操作端主機、工程師站進行物理隔離。

2、做好操作端、工程師站的權(quán)限控制，操作員權(quán)限只能查看，不能修改，維護人員和車間負責(zé)人共同管理工程師站。

3、組織對操作員進行安全培訓(xùn)。

4、組織車間負責(zé)人與值班人員進行不定期巡檢。

5、確保鍋爐車間工控服務(wù)器的維護工作。保持1臺運行、1臺熱備用（自動切換）、1臺冷備用。

二、應(yīng)急工作：

工控系統(tǒng)發(fā)生故障時，應(yīng)按以下故障等級情況按章操作，應(yīng)急響應(yīng)級別原則上分為1級、2級、3級響應(yīng)，分別為重大、較大、一般。

出現(xiàn)下列情況：

1、及時了解工控系統(tǒng)的問題所在。

2、如運行服務(wù)器發(fā)生故障時，熱備用服務(wù)器自動切換且工作正常的情況（3級響應(yīng)），值班人員按應(yīng)急響應(yīng)預(yù)案等級通知應(yīng)急保障小組相關(guān)人員，由系統(tǒng)管理員和生產(chǎn)辦負責(zé)人對故障服務(wù)器進行查明原因聯(lián)系維修，并做好記錄。

3、如發(fā)生運行服務(wù)器故障，熱備用服務(wù)器也無法工作的情況（2級響應(yīng)），值班人員按應(yīng)急響應(yīng)預(yù)案等級通知應(yīng)急保障小組相關(guān)人員，同時對設(shè)備運轉(zhuǎn)所需數(shù)據(jù)進行現(xiàn)場查測，通過手動操作，把重要參數(shù)控制在安全范圍之內(nèi)。由系統(tǒng)管理員和生產(chǎn)辦負責(zé)人，切換冷備用服務(wù)器至工作狀態(tài)，對故障服務(wù)器進行查明原因聯(lián)系維修單位加急維修，并做好記錄。

4、如發(fā)生三臺服務(wù)器故障均無法工作的情況（1級響應(yīng)），值班人員按應(yīng)急響應(yīng)預(yù)案等級通知應(yīng)急保障小組相關(guān)人員，同時對設(shè)備運轉(zhuǎn)所需數(shù)據(jù)進行現(xiàn)場查測，通過手動操作，把重要參數(shù)控制在安全范圍之內(nèi)。

5、如因全廠失電，間接引起三臺服務(wù)器均無法工作的情況（1級響應(yīng)），UPS應(yīng)急電源啟動，關(guān)閉各服務(wù)器，立即啟動《分廠全廠失電應(yīng)急預(yù)案》，確保全廠鍋爐安全穩(wěn)定狀態(tài)，確保無環(huán)境安全事故發(fā)生。

三、后續(xù)工作：

1、查明工控系統(tǒng)發(fā)生問題的原因

2、對相同存在隱患的問題，進行排查

3、對工控系統(tǒng)服務(wù)器進行不定期檢查及時與服務(wù)器供應(yīng)商進行聯(lián)系溝通，備機備件。

4、記錄問題并及時上報公司，對公司存在隱患的工控系統(tǒng)進行全局排查。

公司

2017年1月 1日

第四篇：工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南

工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南

第一章 總 則

第一條 為加強工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）應(yīng)急工作管理，建立健全工控安全應(yīng)急工作機制，提高應(yīng)對工控安全事件的組織協(xié)調(diào)和應(yīng)急處置能力，預(yù)防和減少工控安全事件造成的損失和危害，保障工業(yè)生產(chǎn)正常運行，維護國家經(jīng)濟安全和人民生命財產(chǎn)安全,依據(jù)《中華人民共和國突發(fā)事件應(yīng)對法》《中華人民共和國網(wǎng)絡(luò)安全法》以及《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》等法規(guī)政策，制定本指南。

第二條 本指南適用于工業(yè)和信息化主管部門、工業(yè)企業(yè)開展工控安全應(yīng)急管理工作。

第三條 工控安全事件是指由于人為、軟硬件缺陷或故障、自然災(zāi)害等原因，對工業(yè)控制系統(tǒng)、工業(yè)控制系統(tǒng)數(shù)據(jù)造成或者可能造成嚴重危害，影響正常工業(yè)生產(chǎn)的事件。

第四條 堅持政府指導(dǎo)、企業(yè)主體，堅持預(yù)防為主、平戰(zhàn)結(jié)合，堅持快速反應(yīng)、科學(xué)處置，充分發(fā)揮各方力量，共同做好工控安全事件的預(yù)防和處置工作。

第二章 組織機構(gòu)與職責(zé)

第五條 工業(yè)和信息化部指導(dǎo)地方工業(yè)和信息化主管部門、應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)做好工控安全應(yīng)急管理工作。

第六條 地方工業(yè)和信息化主管部門負責(zé)指導(dǎo)本地區(qū)工控安全應(yīng)急管理工作。

第七條 工控安全應(yīng)急技術(shù)機構(gòu)負責(zé)具體開展工控安全風(fēng)險監(jiān)測、態(tài)勢研判、威脅預(yù)警、事件處置等工作。

第八條 工業(yè)企業(yè)負有工控安全主體責(zé)任，應(yīng)建立健全工控安全責(zé)任制，負責(zé)本單位工控安全應(yīng)急管理工作，落實人財物保障。

第三章 工作機制

第九條 工業(yè)和信息化部指導(dǎo)地方工業(yè)和信息化主管部門、應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)等建立工控安全聯(lián)絡(luò)員機制，指定工控安全應(yīng)急工作聯(lián)絡(luò)員，報工業(yè)和信息化部備案，聯(lián)絡(luò)員和聯(lián)絡(luò)方式發(fā)生變化時需及時報工業(yè)和信息化部。工業(yè)和信息化部根據(jù)工作需要組織召開聯(lián)絡(luò)員會議。

第十條 地方工業(yè)和信息化主管部門指導(dǎo)本地區(qū)應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)建立工控安全應(yīng)急值守機制，實行領(lǐng)導(dǎo)帶班、專人值守工作制度，做好工控安全風(fēng)險、威脅、事件信息日常監(jiān)測和報告工作。應(yīng)急響應(yīng)狀態(tài)下，實行“7×24”小時值守，加強信息監(jiān)測、收集與研判，做好信息跟蹤報告。

第四章 監(jiān)測通報 第十一條 工業(yè)和信息化部指導(dǎo)國家工業(yè)信息安全發(fā)展研究中心等技術(shù)機構(gòu)，組織開展全國工控安全風(fēng)險監(jiān)測、預(yù)警通報等工作，提升情報搜集、態(tài)勢分析、風(fēng)險評估和信息共享能力。

地方工業(yè)和信息化主管部門組織開展本地區(qū)工控安全風(fēng)險監(jiān)測工作。工業(yè)企業(yè)組織開展本單位工控安全風(fēng)險監(jiān)測工作。

第十二條 地方工業(yè)和信息化主管部門、工業(yè)企業(yè)定期將重要監(jiān)測信息報國家工業(yè)信息安全發(fā)展研究中心，國家工業(yè)信息安全發(fā)展研究中心負責(zé)匯總、整理和研判，并將結(jié)果報工業(yè)和信息化部；針對可能超出本地區(qū)應(yīng)對能力范圍的安全風(fēng)險和事件信息，及時上報，必要時工業(yè)和信息化部協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供支持。

第十三條 工業(yè)和信息化部對可能影響我國工業(yè)控制系統(tǒng)的重大漏洞和風(fēng)險，及時向有關(guān)行業(yè)、地區(qū)和工業(yè)企業(yè)發(fā)布情況通報。

第五章 敏感時期應(yīng)急管理

第十四條 在國家重要活動、會議等敏感時期，工業(yè)和信息化部指導(dǎo)地方工業(yè)和信息化主管部門、應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)開展工控安全事件預(yù)防和應(yīng)急管理工作。

第十五條 地方工業(yè)和信息化主管部門、工業(yè)企業(yè)加強工控安全監(jiān)測和風(fēng)險研判，對可能造成重大影響的風(fēng)險和事件信息應(yīng)及時上報，必要時實行24小時零報告制度。重點單位、重要部位實施24小時值守，保持通信聯(lián)絡(luò)暢通。相關(guān)工業(yè)企業(yè)應(yīng)加強對工業(yè)控制系統(tǒng)的巡檢巡查，原則上不在敏感時期對工業(yè)控制系統(tǒng)進行調(diào)整或升級。

第六章 應(yīng)急處置

第十六條 對于可能發(fā)生或已經(jīng)發(fā)生的工控安全事件，工業(yè)企業(yè)應(yīng)立即開展應(yīng)急處置，采取科學(xué)有效方法及時施救，力爭將損失降到最小，盡快恢復(fù)受損工業(yè)控制系統(tǒng)的正常運行。當(dāng)事發(fā)工業(yè)企業(yè)應(yīng)急處置力量不足時，可請求上級主管部門協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供支援。

第十七條 有關(guān)地方工業(yè)和信息化主管部門和工業(yè)企業(yè)應(yīng)及時向工業(yè)和信息化部報告事態(tài)發(fā)展變化情況和事件處置進展情況。報告信息一般包括以下要素：事件涉及的工業(yè)控制系統(tǒng)名稱及運營管理單位、時間、地點、原因、來源、類型、性質(zhì)、危害、影響范圍、發(fā)展趨勢、處置措施等。

第十八條 工業(yè)和信息化部指導(dǎo)、督促事發(fā)企業(yè)開展應(yīng)急處置工作，必要時派出工作組赴現(xiàn)場指揮協(xié)調(diào)應(yīng)急處置工作，協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供技術(shù)支援。

第十九條 應(yīng)急處置結(jié)束、系統(tǒng)恢復(fù)運行后，相關(guān)工業(yè)企業(yè)要盡快消除事件造成的不良影響，做好事件分析總結(jié)工作，總結(jié)報告應(yīng)在30天內(nèi)以書面形式報工業(yè)和信息化部。

第二十條 對于工控安全事件性質(zhì)、起因、范圍、損失等，工業(yè)和信息化主管部門和相關(guān)人員應(yīng)做好輿論宣傳和引導(dǎo)工作。

第七章 保障措施

第二十一條 工業(yè)和信息化部、地方工業(yè)和信息化主管部門、工業(yè)企業(yè)制定本級工控安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練。

第二十二條 工業(yè)和信息化部建立國家工控安全應(yīng)急專家組，為工控安全應(yīng)急管理提供技術(shù)咨詢和決策支持。地方工業(yè)和信息化主管部門建立本地區(qū)工控安全應(yīng)急專家組，充分發(fā)揮專家在應(yīng)急管理工作中的作用。

第二十三條 加強對工控安全事件應(yīng)急裝備和工具的儲備，及時調(diào)整、升級軟硬件工具，建設(shè)完善工控安全事件應(yīng)急技術(shù)服務(wù)平臺，不斷增強應(yīng)急技術(shù)支撐能力。

第二十四條 各有關(guān)部門應(yīng)積極利用現(xiàn)有政策和資金渠道，申請新增預(yù)算，支持工控安全應(yīng)急技術(shù)機構(gòu)建設(shè)、專家隊伍建設(shè)、基礎(chǔ)平臺建設(shè)、技術(shù)研發(fā)、應(yīng)急演練、物資保障等，為工控安全應(yīng)急管理工作提供必要的經(jīng)費支持。

第二十五條 本指南自2017年7月1日起施行。

第五篇：核電工業(yè)控制系統(tǒng)信息安全標準解讀

核電工業(yè)控制系統(tǒng)信息安全標準解讀

在2014年4月15日中央國家安全委員會第一次會議中，總書記提出了包含十一種安全的國家安全體系，其中就包括了“核安全”與“信息安全”。對于核電行業(yè)而言，保護“核安全”是重中之重，而隨著“工業(yè)化”、“信息化”兩化融合對傳統(tǒng)工業(yè)控制系統(tǒng)帶來的技術(shù)上的革新，現(xiàn)今的核電行業(yè)必須對其工業(yè)控制系統(tǒng)的信息安全問題予以高度重視。

針對核電行業(yè)如何有效地進行工業(yè)控制系統(tǒng)信息安全方面的防護工作這一重大課題，國內(nèi)外相關(guān)部門出臺了許多與之有關(guān)的行業(yè)內(nèi)標準。為了對國內(nèi)核電行業(yè)工業(yè)控制系統(tǒng)信息安全的工作提供參考，本文將對各類國內(nèi)外核電行業(yè)工業(yè)控制系統(tǒng)信息安全標準進行簡單介紹和解讀，并針對我國核電工業(yè)控制系統(tǒng)信息安全標準的建設(shè)提出一點建議。1 國內(nèi)外核電行業(yè)工業(yè)控制系統(tǒng)信息安全相關(guān)標準介紹

可以看到，國內(nèi)的核電工業(yè)控制系統(tǒng)信息安全標準、規(guī)范相對比較匱乏，而從國際范圍看，電力和電子工程協(xié)會（IEEE）、國際電工委員會（IEC）、美國核能管理委員會（NRC）以及國際原子能機構(gòu)（IAEA）都提出了相關(guān)的標準、指南或?qū)t。其中，我國的核電工業(yè)控制系統(tǒng)信息安全標準、導(dǎo)則包括：（1）HAD102-16

HAD102-16于2004年12月8日批準發(fā)布，主要是在核動力廠計算機重要系統(tǒng)軟件在各個周期進行安全論證時，為其提供收集證據(jù)和編制的指導(dǎo)文件。導(dǎo)則從計算機系統(tǒng)各個方面如技術(shù)考慮、安全管理要求及項目計劃等方面入手，詳細列舉了系統(tǒng)軟件設(shè)計的各個階段和方面應(yīng)符合的要求建議，包括軟件需求、設(shè)計、實現(xiàn)及驗證等各個環(huán)節(jié)，對與軟件系統(tǒng)關(guān)聯(lián)的計算機系統(tǒng)，從集成、系統(tǒng)確認、調(diào)試、運行及修改等方面應(yīng)遵循的要求建議進行了詳細敘述。該導(dǎo)則對計算機重要軟件安全涉及的方方面面，進行了較為詳細的分析及建議，對核電廠信息安全防護體系的建立具有重要參考意義。（2）GB/T 13284.1-2008

GB/T 13284.1-2008是為代替舊版本的GB/T13284-1998而制定的國家標準，該標準提供了有關(guān)核電廠安全設(shè)計應(yīng)遵循的準則。標準中規(guī)定了核電廠安全系統(tǒng)動力源、儀表和控制部分最低限度的功能和設(shè)計要求，標準適用于為防止或減輕設(shè)計基準事件后果、保護公眾健康和安全所需要的那些系統(tǒng)。同樣適用于保護整個核電廠安全所需的所有與安全有關(guān)的系統(tǒng)、構(gòu)筑物及設(shè)備。標準主要引用了GB/T及EJ/T系列標準和準則，主要從安全系統(tǒng)的設(shè)計準則、安全系統(tǒng)準則、檢測指令設(shè)備的功能和要求、執(zhí)行裝置的功能和設(shè)計要求及對動力源的要求這幾個方面對核工廠安全系統(tǒng)設(shè)計規(guī)范進行了較為詳細的規(guī)范。（3）GB/T 13629-2008

GB/T 13629-2008準則是2008年7月2日發(fā)布的，主要針對核電廠安全系統(tǒng)中數(shù)字計算機適用性制定的準則，用于代替原有的GB/T 13629-1998《核電廠安全系統(tǒng)中數(shù)字計算機的適用準則》。該準則主要參考IEEEStd 7-4.3.2-2003《核電廠安全系統(tǒng)中數(shù)字計算機的使用準則》進行修改，將其中的美國標準改為相應(yīng)的中國標準。標準規(guī)定了計算機用作核電廠安全系統(tǒng)設(shè)備時的一般原則，規(guī)范主要引用了GB/T、EJ/T、HAF及IEEE的相關(guān)標準。國際范圍內(nèi)核電工業(yè)控制系統(tǒng)信息安全的標準、導(dǎo)則、指南包括：（1）REGULATORY GUIDE 5.71

REGULATORY GUIDE5.71（簡稱RG 5.71）是美國核能管理委員會于2008年9月29日批準發(fā)布的，目的是為核動力廠的數(shù)字計算機及通信網(wǎng)絡(luò)系統(tǒng)提供高保障，從而使其可以應(yīng)對網(wǎng)絡(luò)攻擊的威脅。RG 5.71描述了一種促進防御策略的監(jiān)管立場，防御策略由防守架構(gòu)和一系列安全控制方式構(gòu)成，這些方法基于NIST SP 800-53和NISTSP 800-82相關(guān)標準的《工業(yè)控制系統(tǒng)安全指南》。（2）REGULATORY GUIDE 1.152 RG 1.152《核電廠安全系統(tǒng)計算機使用標準》是由美國核能監(jiān)管委員會（NRC）于2004年12月發(fā)布的一項導(dǎo)則。此項規(guī)定是為使用核電廠安全系統(tǒng)中數(shù)字計算機時，促進其功能可靠性、設(shè)計質(zhì)量、信息和網(wǎng)絡(luò)安全而制定的。標準共包含四個部分：介紹、討論、監(jiān)管狀況、實施以及監(jiān)管分析。其中第三部分監(jiān)管狀況中主要為功能和設(shè)計要求、安全及相關(guān)參考三部分。

（3）ISA IEC 62443系列

ISA IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標準，其最初是由國際自動化協(xié)會（ISA）中的ISA99委員會提出。2007年，IEC/TC65/WG10與ISA99成立聯(lián)合工作組，共同制定ISAIEC 62443系列標準。2011年5月，IEC/TC65年會決定整合ISA IEC 62443標準結(jié)構(gòu)。IEC 62443系列標準目前分為通用、信息安全程序、系統(tǒng)技術(shù)和部分技術(shù)四部分，共12個文檔，每個文檔描述了工業(yè)控制系統(tǒng)信息安全的不同方面。（4）NIST SP 800-53 NIST SP 800-53為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制，標準制定目的是為信息系統(tǒng)選擇和指定安全控制提供指導(dǎo)，以支持聯(lián)邦政府執(zhí)行機構(gòu)滿足FIPS200的要求——“聯(lián)邦信息和信息系統(tǒng)的最低安全要求”。該指導(dǎo)適用于所有處理、存儲或傳輸聯(lián)邦信息的信息系統(tǒng)的組件。NISTSP 800-53包含管理、操作和技術(shù)3類安全控制措施，為機構(gòu)實施信息安全項目提供了基本信息安全控制點。（5）IEEE Std 603-2009 IEEE Std 603-2009核電站安全系統(tǒng)的標準，是IEEE標準603-1980演變而來。該標準規(guī)定的功能和設(shè)計標準，是一般性質(zhì)，它需要支持包含一般和具體的標準，包括安全系統(tǒng)的要求最小的一組標準。（6）NIST SP 800-82 NIST SP 800-82工業(yè)控制系統(tǒng)（ICS）的安全指南，其目的是為確保工業(yè)控制系統(tǒng)（ICS），包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS），以及其它系統(tǒng)的控制功能提供指導(dǎo)。文件提供了一個概述，ICS和典型系統(tǒng)拓撲結(jié)構(gòu)，確定這些系統(tǒng)的典型威脅和脆弱性，并提供建議的安全對策，以減輕相關(guān)風(fēng)險。2 我國核電信息安全標準建設(shè)

我國核安全標準體系總體呈金字塔形結(jié)構(gòu)，參見圖1，依托的國家法律主要有《中華人民共和國環(huán)境保護法》、《中華人民共和國放射性污染防治法》等；國務(wù)院行政法規(guī)為HAF系列，主要有《中華人民共和國民用核設(shè)施安全監(jiān)督管理條例》HAF001、《中華人民共和國核材料管制條例》HAF501、《核電廠核事故應(yīng)急管理條例》HAF002、《民用核安全設(shè)備監(jiān)督管理條例 500號令》等；指導(dǎo)性文件主要是核安全導(dǎo)則HAD，與核電廠數(shù)字儀控系統(tǒng)相關(guān)的有通用系列 HAF003/質(zhì)保類導(dǎo)則、HAD102/01 核電廠設(shè)計總的安全原則、HAD102/10 核電廠保護系統(tǒng)及有關(guān)設(shè)備、HAD102/14 核電廠安全有關(guān)儀表和控制系統(tǒng)、HAD102/16 核動力廠基于計算機的安全重要系統(tǒng)軟件、HAD102/17 核動力廠安全評價與驗證等。

可見，我國的核安全標準體系是較完善的、結(jié)構(gòu)化的，但是對核電廠自動化控制系統(tǒng)、數(shù)字儀控系統(tǒng)信息安全并沒有針對性的標準。同時，國內(nèi)的核安全標準體系并沒有與信息安全的標準體系有任何相互交叉。

與之相反的是，美國的RG 5.71《核設(shè)施的信息安全程序》，雖然只是美國核管會提出的核設(shè)施安全導(dǎo)則，卻從術(shù)語、定義開始大量繼承了美國聯(lián)邦法規(guī)中計算機系統(tǒng)信息安全的相關(guān)內(nèi)容。因此，可以將RG 5.71視作美國核管會根據(jù)聯(lián)邦法規(guī)中對于計算機、通信系統(tǒng)和網(wǎng)絡(luò)保護的需求，針對核電廠而制定的法規(guī)。其所有的背景與定義均來源于聯(lián)邦法規(guī)，如RG 5.71保護系統(tǒng)與網(wǎng)絡(luò)免受信息安全攻擊的需求來源于聯(lián)邦法規(guī)10CFR 73.54(a)(2)部分；其對關(guān)鍵信息資產(chǎn)（CDA，critical digital assets）的定義取自聯(lián)邦法規(guī)10 CFR73.54部分等。

現(xiàn)在，我國工業(yè)控制系統(tǒng)信息安全正處于起步階段，各主管部門都在分別編制工業(yè)控制系統(tǒng)信息安全相關(guān)標準，離標準正式出臺還有一段時間，將工控安全與等保、分保等成熟的信息安全體系結(jié)合，并非短時間內(nèi)可以完成，加之在核電領(lǐng)域，核安全有自身的標準體系，從頂層開始全局性地為核電信息安全建立標準體系短時期內(nèi)不太可行。因此，筆者認為先制定一套符合國情、適合行業(yè)特點的核設(shè)施信息安全程序?qū)t，對于實際環(huán)境中最終用戶的信息安全需求以及科研性質(zhì)的核電信息安全研究工作都很有幫助。在這方面，RG 5.71可以說是提供了一個很好的參考，如前文所述，RG 5.71介紹了一個完整的核設(shè)施的信息安全程序，提供了信息安全計劃的模板，并根據(jù)NIST SP 800-82、NIST SP800-53提出了核設(shè)施的信息安全控制項，在實際環(huán)境下，無論是對最終用戶還是科研學(xué)者都有很強的指導(dǎo)性與操作性。

RG 5.71作為美國核管會的核電安全導(dǎo)則，其實也和國內(nèi)的相關(guān)標準有著一定的同源性。RG 5.71參考了IEEE Std 7-4.3.2-2003《核電廠安全系統(tǒng)的計算機系統(tǒng)標準》，而IEEE Standard 7-4.3.2-2003為IEEE Std603.1998《核電廠安全系統(tǒng)準則》的補充標準。在我國的國標體系中，GB/T 13629-2008《核電廠安全系統(tǒng)中數(shù)字計算機的適用準則》修改采用了IEEE Std 7-4.3.2-2003；GB/T 13284.1-2008《核電廠安全系統(tǒng)第1部分：設(shè)計準則》也修改采用了IEEE Std 603.1998。

國家能源局已擬將參考RG 5.71的思路給出一個適合我國核電行業(yè)現(xiàn)狀的信息安全導(dǎo)則，在這個過程中，筆者覺得有幾點需要注意的地方。

（1）導(dǎo)則的可擴展性和可實施性。RG 5.71作為美國聯(lián)邦法規(guī)的一個分支，有很好的可擴展性和可實施性。但若將其引入國內(nèi)，作為核電廠的標準規(guī)范，則無法充分發(fā)揮這兩點的特性，并且RG 5.71直接引用、參考了美國聯(lián)邦法規(guī)，我們需要在我國的標準體系內(nèi)根據(jù)實際核電行業(yè)工控系統(tǒng)特性重新定義、描述相關(guān)內(nèi)容。（2）導(dǎo)則的適用性。RG 5.71提供了一組安全控制項，這些內(nèi)容都直接或間接參考了NIST SP 800-

53、NIST SP 800-82。NIST SP 800-82對工業(yè)控制系統(tǒng)信息安全工作有很好的參考意義，其信息安全程序與安全控制項基本適用于國內(nèi)工控系統(tǒng)現(xiàn)狀。但我國尚未出臺直接引用或參考NIST SP 800-82的標準，對參考RG5.71的適用性評價等同于NIST SP 800-82對我國工控安全工作的可操作性的間接認定。所以，從這個觀點出發(fā)，我們更需要相對謹慎地篩選、整理符合我國核電特點的信息安全程序與安全控制項。3 結(jié)語

國外核電信息安全標準化道路已經(jīng)走了一段時間，我國雖起步較晚，但是也已全方面開展了相關(guān)工作。無論最終是否借鑒RG 5.71的思路建設(shè)國內(nèi)的核電信息安全標準，核電行業(yè)工業(yè)控制系統(tǒng)的信息安全始終缺乏頂層國家法規(guī)的支持，真正要規(guī)范核電行業(yè)的信息安全、提出符合國情的安全政策，還需要整合業(yè)界資源，集思廣益，真正為“核安全”保駕護航、為“信息安全”添磚加瓦、為我國的“國家安全”大策略提供最有力的支持與保證。作者簡介

謝新勤（1975-），男，現(xiàn)任上海三零衛(wèi)士信息安全有限公司工程安全研究室總監(jiān)。長年從事信息安全工作，2010年進入工控信息安全領(lǐng)域研究，對物聯(lián)網(wǎng)、云計算和大數(shù)據(jù)如何影響工控信息安全有獨到的見解。