解读《工业控制系统信息安全防护指南》.pdf

解读《工业控制系统信息安全防护指南》.pdf

  1. 1、本文档共12页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

解读《工业控制系统信息安全防备指南》拟订《指南》的背景

通知中明确“为贯彻落实《国务院对于深入制造业与互联网交融发展的指导建议》

(国发〔2016〕28号),保障工业公司工业控制系统信息安全,工业和信息

化部拟订《工业控制系统信息安全防备指南》。”能够看出,《工业控制系统信

息安全防备指南》是依据《建议》拟订的。《建议》中有关要求

《建议》“七大任务”中特意有一条“提高工业信息系统安全水平”。

工信部依据《十三五规划大纲》、《中国制造2025》和《建议》等要求编制的《工

业和信息化部对于印发信息化和工业化交融发展规划(2016-2020年)》中进一步

明确,在十三五时期,我国两化交融面对的机会和挑战第四条就是“工业领域信息

安全局势日趋严重,对两化交融发展提出新要求”,其“七大任务”中也提到要

“逐渐完美工业信息安全保障系统”,“六大要点工程”中之一就

是“工业信息安全保障工程”。

以上这些,就是政策层面的指导思想和要求。

《指南》条款详尽解读

《指南》整体思路借鉴了等级保护的思想,详细提出了十一条三十款要求,贴

近实质工业公司真切状况,求实可落地。我们从《指南》要求的主体、客体和方

法将十一条分为三大类:

a、针对主体目标(法人或人)的要求,包含第十条供给链管理、第十一条人

员责任:

1.10供给链管理

(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先

考虑具备工控安全防备经验的企事业单位,以合同样方式明确服务商应肩负的

信息安全责任和义务。

解读:工业控制系统的全生产周期的安全管理过程中,采纳合适于工业控制环

境的管理和服务方式,要求服务商拥有丰富的安全服务经验、熟习工业控制系

统工作流程和特色,且对安全防备系统和工业控制系统安全防备的有关法律法

例要有深入的理解和解读,保证相应法律法例的有效落实,并以合同的方式商

定服务商在服务过程中应该肩负的责任和义务。

(二)以保密协议的方式要求服务商做好保密工作,防备敏感信息外泄。

解读:与工业控制系统安全服务方签订保密协议,要求服务商及其服务人员严

格做好保密工作,特别对工业控制系统内部的敏感信息(如工艺文件、设施参

数、系统管理数据、现场及时数据、控制指令数据、程序上传/下载数据、监控数

据等)进行要点保护,防备敏感信息外泄。

1.11落实责任

经过成立工控安全管理体制、成立信息安全协调小组等方式,明确工控安全管

理责任人,落实工控安全责任制,部署工控安全防备举措。

解读:建立工业控制系统安全管理工作的职能部门,负责工业控制系统全生命

周期的安全防备系统建设和管理,明确安全管理机构的工作范围、责任及工作

人员的职责,拟订工业控制系统安全管理目标,连续实行和改良工业控制系统

的安全防备能力,不停提高工业控制系统防攻击和抗扰乱的水平。

b、针对客体目标(被保护的财富或数据)的安全要求,包含第八条财富安全、

第九条数据安全:

1.8财富安全

(一)建设工业控制系统财富清单,明确财富责任人,以及财富使用及处理原

则。

解读:为实现和保持对组织机构财富的合适保护,保证全部财富可查,应建设

工业控制系统财富清单,并明确财富使用及处理原则,配置财富清单,按期更

新清单库,并对财富进行分类。

全部财富应指定责任人,而且明确责任人的职责,明确财富使用权。拟订财富

在生产、调试、运转、保护、报废等过程中的处理原则。

(二)对要点主机设施、网络设施、控制组件等进行冗余配置。

解读:在系统运转过程中,可能出现的宕机、中止、死机、病毒攻击、自然灾

害等财富被损害的事件发生,致使系统没法正常工作,给公司和社会带来损失,

甚至威迫到职工生命和财富安全。对要点主机设施、网络设施、控制组件等进行冗

余配置,防备重要安全事件的发生。

1.9数据安全

(一)对静态储存数据和动向传输过程中的重要工业数据进行保护,依据风险

评估结果对数据信息进行分级分类管理。

解读:在数据创立、使用、散发、共享、销毁的整个生命周期中,对重要数据

如工艺文件、设施参数、系统管理数据、现场及时数据、控制指令数据、程序

上传/下载数据、监控数据等应进行保护,如加密技术、安全储存介质等。数据

遭到损坏时及时采纳必需的恢复举措。

风险评估对数据的分类分级原则应包含对公司经济影响、生产稳固性影响、人

身安全、法律风险、声誉度损失等角度展开,依据数据的重要程度在信息储存、

信息传输、信息互换、信息使用等过程中采纳相应的防备举措。

(二)按期备份要点业务数据。

您可能关注的文档

文档评论(0)

***** + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档