工業控制系統資訊安全防護能力評估工作管理辦法
在這個網絡化資訊化的時代,資訊安全的重要性顯而易見,爲了提升工業領域的資訊安全防護能力評估工作水平,工業和資訊化部頒佈了《工業控制系統資訊安全防護能力評估工作管理辦法》。
頒佈單位:工業和資訊化部
文 號:工信部信軟〔2017〕188號
頒佈時間:2017-07-31
實施時間:2017-09-01
時 效 性:現行有效
效力級別:部門規章
第一章 總 則
第一條爲規範工業控制系統資訊安全(以下簡稱工控安全)防護能力評估工作,切實提升工控安全防護水平,根據《中華人民共和國網絡安全法》《國務院關於深化製造業與互聯網融合發展的指導意見》(國發〔2016〕28號),制定本辦法。
第二條 本辦法適用於規範針對工業企業開展的工控安全防護能力評估活動。
本辦法所指的防護能力評估,是對工業企業工業控制系統規劃、設計、建設、執行、維護等全生命週期各階段開展安全防護能力綜合評價。
第三條 工業和資訊化部負責指導和監督全國工業企業工控安全防護能力評估工作。
第二章 評估管理組織
第四條 設立全國工控安全防護能力評估專家委員會(以下簡稱評估專家委員會),負責定期抽查與複覈工控安全防護能力評估報告,並對評估工作提供建議和諮詢。
第五條設立全國工控安全防護能力評估工作組(以下簡稱評估工作組),負責具體管理工控安全防護能力評估相關工作,制訂完善評估工作流程和方法,管理評估機構及評估人員,並審覈評估過程中生成的檔案和記錄。評估工作組下設祕書處,祕書處設在國家工業資訊安全發展研究中心。
第三章 評估機構和人員要求
第六條 評估工作組委託符合條件的第三方評估機構從事工控安全防護能力評估工作。
第七條 評估機構應具備的基本條件:
(一)具有獨立的事業單位法人資格。
(二)具有不少於25名工控安全防護能力評估專職人員。
(三)具有工控安全防護能力評估所需的工具和設備。
第八條評估機構應建立並有效執行評估工作體系,完善評估監督和責任機制,以確保所從事的工控安全評估活動符合本辦法的規定。評估機構應對其出具的評估報告負責。
第九條對於違反本辦法、相關法律法規及不遵守評估工作組管理要求的評估機構,評估工作組有權暫停或撤銷其從事工控安全評估活動的委託。被撤銷委託的機構,5年內不得重新申請。
第十條評估人員須遵守相關的法律、法規和規章,按照所在評估機構確定的工作程序和作業指導從事評估活動,對評估報告的真實性承擔相應責任,並應對評估活動中接觸到的資訊履行保密義務。
第四章 評估工具要求
第十一條 評估過程中使用的相關評估專用軟硬件工具需符合相關可靠性和安全性要求。
第十二條 評估工具需由評估工作組委託國家相關質檢機構進行檢測和校驗,未透過檢測和校驗的評估工具不得應用於評估工作。
第五章 評估工作程序
第十三條 受理評估申請。評估工作組承擔工業和資訊化主管部門的專項評估任務,各評估機構可自行受理市場化的評估工作委託,並在評估工作組備案。
第十四條 組建評估技術隊伍。評估機構組建評估項目組,原則上每個評估項目組由不少於5名專職評估人員(含1名組長)組成。
第十五條 制定評估工作計劃。評估機構在實施評估前,應與被評估企業充分協調,梳理清晰企業工業控制系統基本情況,並參照《工業控制系統資訊安全防護能力評估方法》(見附件)形成書面評估工作計劃。評估工作計劃的內容至少應包括:評估工作計劃名稱和編號、評估範圍、評估具體任務與方案、評估工作日程安排、應急預案等。
第十六條 開展現場評估工作。評估項目組按照評估工作計劃,在現場對被評估企業實施工控安全防護能力評估。
第十七條 現場評估情況反饋。現場評估工作結束後,評估項目組應對現場評估工作形成書面的現場評估情況反饋表,描述存在的安全問題並提出相應的整改建議。
第十八條 企業自行整改。企業應在收到反饋表後30日內自行開展整改工作,根據整改情況申請複評估。
第十九條 開展複評估工作。評估項目組在收到企業複評估的請求後,根據需要對現場評估反饋表中的問題進行確認。需要時,開展現場複評估。
第二十條形成評估報告。評估項目組在總結現場評估和複評估工作後,出具企業工控安全防護能力評估結論,經由被評估企業確認後,形成評估報告,報工業和資訊化部備案。
第六章 監督管理
第二十一條 評估工作組建立國家工控安全防護能力評估工作管理平臺,透過平臺定期公示評估機構、評估人員、評估工具和評估報告。
第二十二條評估工作組不定期委託評估專家委員會對評估報告開展必要的抽查與複覈,經抽查與複覈發現評估報告不符合本辦法有關規定、標準的,應當要求企業限期改正或者重新評估,並在30日內提交評估材料。
第二十三條 評估工作組受理針對違反本辦法、相關法律法規及不遵守評估工作組管理要求的評估機構和人員的舉報和投訴。
第七章 附則
第二十四條 本辦法自2017年9月1日起實施。
