政策解讀：《工業控制系統網絡安全防護指南》

近日，工業和信息化部印發了《工業控制系統網絡安全防護指南》（以下簡稱《防護指南》）。現將有關內容解讀如下：

一、《防護指南》出台的背景和意義是什么？

工業控制系統作爲工業生產運行的基礎核心，其網絡安全事關企業運營和生產安全、事關產業鏈供應鏈安全穩定、事關經濟社會運行和國家安全。2016年，工業和信息化部出台《工業控制系統信息安全防護指南》，對有效指導工業企業开展工控安全防護工作發揮了積極作用。2017年以來，我國相繼頒布了《網絡安全法》《數據安全法》《密碼法》等法律法規及行業應用方面的部門規章，現有政策文件未能充分銜接相關法律法規要求。與此同時，工業企業數字化轉型步伐加快，工業控制系統开放互聯趨勢明顯，工業企業面臨的網絡安全風險與日俱增，工業企業加強網絡安全防護需求迫切。

爲做好《防護指南》編制工作，工業和信息化部結合新形勢新要求，系統全面調研，深入分析新時期工控安全風險和企業安全防護需求，廣泛徵集地方工信主管部門、行業協會、部屬單位、工控廠商、工業企業、安全企業、專家學者等各方意見。《防護指南》將有效滿足當前和未來一個時期工控系統安全防護需求，指導工業企業切實提升工業控制系統網絡安全基线防護水平，推動企業數字化轉型發展。

二、《防護指南》適用對象有哪些？

《防護指南》適用於使用、運營工業控制系統的企業。防護對象包括工業控制系統以及被網絡攻擊後可直接或間接影響生產運行的其他設備和系統。

三、《防護指南》的定位和總體考慮是什么？

《防護指南》定位於面向工業企業做好網絡安全防護的指導性文件，堅持統籌發展和安全，圍繞安全管理、技術防護、安全運營、責任落實四方面，提出三十三項指導性安全防護基线要求，推動解決走好新型工業化道路過程中工業控制系統網絡安全面臨的突出問題。

一是堅持與時俱進。結合推進新型工業化背景下的新形勢、新任務、新要求，針對性研究制定防護條款，在落實2016年以來我國在網絡和數據安全領域新出台的法律法規的同時，聚焦新時期工業控制系統的新應用趨勢及新安全風險。二是強調技管結合。從安全管理、技術防護、安全運營、責任落實四方面提出防護要求，堅持技術和管理措施並重，督促企業落實工控安全主體責任。三是注重實操實踐。針對工業控制系統應用現狀、運行特點和安全需求，結合企業現有技術能力基礎，提出可落地實操的明確安全要求，並通過實施基线安全防護等系列措施，切實提升工業企業安全防護水平。

四、《防護指南》如何指導企業做好網絡安全防護？

一是聚焦安全風險管控，突出管理重點對象，提升工業企業工控安全管理能力。圍繞工業控制系統資產、配置、供應鏈、人員四大管理重點提出安全要求，在理清系統資產底數、保障系統基本運行安全的基礎上，避免網絡安全風險引入工業控制系統，減少網絡安全事件的可能性。二是聚焦安全薄弱關鍵環節，強化技術應對策略，提升工業企業工控安全防護能力。在保障工業主機和終端設備自身安全的基礎上，進一步防範來自內外部網絡的入侵攻擊，強調上雲上平台新型場景下的設備與業務安全，同時規範軟件和服務安全使用，落實數據安全分類分級保護。三是聚焦易發網絡安全風險，增強威脅發現及處置能力，提升工業企業安全運營能力。圍繞網絡安全事件的事前、事中、事後環節，提出部署網絡安全監測手段、建設網絡安全運營中心和做好應急處置等安全措施，並要求做好定期網絡安全風險評估和防護能力評估，开展日常系統漏洞排查並實施安全加固。四是聚焦工業企業資源保障，堅持統籌發展和安全，督促企業落實網絡安全責任。圍繞建立工控安全管理制度，明確工控安全保護責任，確保安全技術措施與工業控制系統建設同步推進等方面提出安全要求。

五、下一步如何推進《防護指南》落實？

爲更好指導各方落實《防護指南》相關要求，下一步將從政策宣貫、試點推廣、生態培育等方面，深入推進工控安全防護工作。

一是做好政策宣貫培訓，組織开展系列宣傳活動，面向地方主管部門、工業企業等做好文件解讀和宣貫培訓，切實提升企業工控安全防護意識。二是推進安全評估試點，組織开展工業控制系統網絡安全防護能力評估試點工作，完善評估機制、流程和方式，形成一批可復制、可推廣的工控安全解決方案。三是探索重要系統識別認定，梳理研究重要工業控制系統的界定方法、判定規則等，研究制定重要工業控制系統識別認定相關文件。四是推進產業生態培育，依托試點示範、專項項目等，面向典型工業場景和工控安全防護需求，突破一批工控安全防護關鍵技術，提升工控安全產品供給能力。

相關政策：《工業控制系統網絡安全防護指南》

---

標題：政策解讀：《工業控制系統網絡安全防護指南》

地址：https://www.utechfun.com/post/326948.html