各單位 :
為加強企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全工作�����,提升企業(yè)工業(yè)控制系統(tǒng)安全管理和技術(shù)防護水平��,根據(jù)《陜西省工業(yè)和信息化廳關(guān)于印發(fā)<2015年工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查工作方案>的通知》(陜工信發(fā)[2015]491號)要求,集團公司決定開展2015年工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全檢查工作�,具體內(nèi)容如下:
一 、檢查范圍
檢查范圍包括各單位制造執(zhí)行���、監(jiān)視控制與數(shù)據(jù)采集����、分布式控制/過程控制�����、可編程邏輯控制器�����、智能電子設(shè)備等工業(yè)控制系統(tǒng)��。
二�����、檢查依據(jù)
1. 《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)〔2012〕23號)
2. 《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號)
3. 《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》(GB/T 26333-2010)
4. 《工業(yè)控制系統(tǒng)信息安全 第1部分 評估規(guī)范》(GB/T 30976.1-2014)
5. 《關(guān)于印發(fā)<2015年國家網(wǎng)絡(luò)安全檢查工作指南>的通知》(中網(wǎng)辦發(fā)文〔2015〕4號)
二����、檢查內(nèi)容
(一)網(wǎng)絡(luò)安全管理
按照國家網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)規(guī)范要求,建立健全工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度及落實情況�����。重點檢查工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)�����、管理機構(gòu)和工作人員履職情況�,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全責(zé)任制落實及事故責(zé)任追究情況,人員���、資產(chǎn)�、采購�����、外包服務(wù)等日常安全管理情況����,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全規(guī)劃制定情況,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全運維情況�、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全從業(yè)人員情況,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全經(jīng)費保障情況等。
(二)安全技術(shù)防護
按照國家網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)規(guī)范要求���,建立健全工業(yè)控制系統(tǒng)技術(shù)防護體系及安全防護情況�。重點檢查工業(yè)控制系統(tǒng)防病毒���、防攻擊���、防篡改、防癱瘓�����、防泄密措施及有效性����;工業(yè)控制系統(tǒng)網(wǎng)絡(luò)邊界防護措施、網(wǎng)絡(luò)分區(qū)分域管理��、無線網(wǎng)絡(luò)安全防護策略�����;工業(yè)控制系統(tǒng)服務(wù)器���、網(wǎng)絡(luò)設(shè)備����、安全設(shè)備等安全策略配置��,應(yīng)用系統(tǒng)安全功能及有效性�;工業(yè)控制系統(tǒng)終端計算機、移動存儲介質(zhì)安全防護措施����;工業(yè)控制系統(tǒng)重要數(shù)據(jù)傳輸、存儲的安全防護措施等��。
(三)應(yīng)急工作
按照國家及省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案要求�����,建立健全工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急工作體系情況�����。重點檢查工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案制修訂情況����、應(yīng)急演練情況;應(yīng)急技術(shù)支撐隊伍、災(zāi)難備份措施建設(shè)情況�����;工業(yè)控制系統(tǒng)重大網(wǎng)絡(luò)安全事件處置情況等����。
(四)宣傳教育培訓(xùn)
重點檢查工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全宣傳教育、領(lǐng)導(dǎo)干部及各級人員網(wǎng)絡(luò)安全基礎(chǔ)培訓(xùn)�、網(wǎng)絡(luò)安全人員專業(yè)技術(shù)培訓(xùn)等情況。
(五)密碼使用
重點檢查工業(yè)控制系統(tǒng)中密碼技術(shù)��、產(chǎn)品和服務(wù)的使用情況及其安全策略配置情況��。
三�、檢查方式
本次檢查工作各單位自查為主,集團政策法規(guī)部將選取部分企業(yè)進行抽查��。
(一)安全自查
各單位結(jié)合實際組織開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全自查工作�����,制定檢查實施方案����,明確檢查范圍�、工作安排和任務(wù)要求����,周密計劃���,精心部署����,認真實施�。為確保工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查工作取得實效,可依托專業(yè)技術(shù)隊伍進行檢查���。
自查工作完成后�,各企業(yè)要對工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查情況進行全面匯總總結(jié)���,填寫檢查結(jié)果統(tǒng)計表�����,認真梳理存在的主要問題���,分析評估安全風(fēng)險����,編寫工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查總結(jié)報告�����。檢查總結(jié)報告內(nèi)容主要包括網(wǎng)絡(luò)安全狀況總體評價��、2015年網(wǎng)絡(luò)安全工作情況��、檢查發(fā)現(xiàn)的主要問題及整改情況�����、對工業(yè)行業(yè)網(wǎng)絡(luò)安全工作的意見建議等��。根據(jù)檢查結(jié)果填寫《企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全檢查表》(見附件)�����。
(二)安全抽查
采用現(xiàn)場檢查方式��,主要采取人員訪談���、文檔查閱���、現(xiàn)場核查��、人工檢查等方法��,對被抽查企業(yè)進行現(xiàn)場檢查并記錄檢查結(jié)果。
四���、時間安排
2015年12月29日完成自查工作����,各企業(yè)將自查總結(jié)報告和《企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全檢查表》報送集團政策法規(guī)部��。
五�����、工作要求
(一)加強組織和協(xié)調(diào)
各單位要明確檢查工作的主管領(lǐng)導(dǎo)和工作機構(gòu)��,優(yōu)化進度安排�����,掌握工作進展�,及時報送總結(jié)材料��,確保檢查工作有落實��。
(二)加強專家咨詢指導(dǎo)
可根據(jù)工作需要成立專家組或邀請專家對檢查工作進行咨詢指導(dǎo)��,幫助分析工作中遇到的困難和問題�,評估���、研判安全檢查結(jié)果�,提高工作質(zhì)量����。
(三)加強工作總結(jié)和整改落實
對檢查工作進行全面總結(jié),認真撰寫工作總結(jié)報告�����。組織對檢查工作中發(fā)現(xiàn)的問題進行研究���,采取有效措施加以整改���,切實提高工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護水平。
聯(lián)系人:陳明遠 電 話:029-88325187
郵 箱:[email protected] 傳 真:029-88325187
附件: 企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全檢查表(點擊可下載)
陜西有色集團
2015年12月23日