各单位 :
为加强企业工业控制系统网络安全工作,提升企业工业控制系统安全管理和技术防护水平,根据《陕西省工业和信息化厅关于印发<2015年工业行业网络安全检查工作方案>的通知》(陕工信发[2015]491号)要求,集团公司决定开展2015年工业控制系统网络安全检查工作,具体内容如下:
一 、检查范围
检查范围包括各单位制造执行、监视控制与数据采集、分布式控制/过程控制、可编程逻辑控制器、智能电子设备等工业控制系统。
二、检查依据
1. 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)
2. 《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)
3. 《工业控制网络安全风险评估规范》(GB/T 26333-2010)
4. 《工业控制系统信息安全 第1部分 评估规范》(GB/T 30976.1-2014)
5. 《关于印发<2015年国家网络安全检查工作指南>的通知》(中网办发文〔2015〕4号)
二、检查内容
(一)网络安全管理
按照国家网络安全政策和标准规范要求,建立健全工业控制系统网络安全管理制度及落实情况。重点检查工业控制系统网络安全主管领导、管理机构和工作人员履职情况,工业控制系统网络安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,工业控制系统网络安全规划制定情况,工业控制系统网络安全运维情况、工业控制系统网络安全从业人员情况,工业控制系统网络安全经费保障情况等。
(二)安全技术防护
按照国家网络安全政策和标准规范要求,建立健全工业控制系统技术防护体系及安全防护情况。重点检查工业控制系统防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性;工业控制系统网络边界防护措施、网络分区分域管理、无线网络安全防护策略;工业控制系统服务器、网络设备、安全设备等安全策略配置,应用系统安全功能及有效性;工业控制系统终端计算机、移动存储介质安全防护措施;工业控制系统重要数据传输、存储的安全防护措施等。
(三)应急工作
按照国家及省网络与信息安全事件应急预案要求,建立健全工业控制系统网络安全应急工作体系情况。重点检查工业控制系统网络安全事件应急预案制修订情况、应急演练情况;应急技术支撑队伍、灾难备份措施建设情况;工业控制系统重大网络安全事件处置情况等。
(四)宣传教育培训
重点检查工业控制系统网络安全宣传教育、领导干部及各级人员网络安全基础培训、网络安全人员专业技术培训等情况。
(五)密码使用
重点检查工业控制系统中密码技术、产品和服务的使用情况及其安全策略配置情况。
三、检查方式
本次检查工作各单位自查为主,集团政策法规部将选取部分企业进行抽查。
(一)安全自查
各单位结合实际组织开展工业控制系统网络安全自查工作,制定检查实施方案,明确检查范围、工作安排和任务要求,周密计划,精心部署,认真实施。为确保工业行业网络安全检查工作取得实效,可依托专业技术队伍进行检查。
自查工作完成后,各企业要对工业行业网络安全检查情况进行全面汇总总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,编写工业行业网络安全检查总结报告。检查总结报告内容主要包括网络安全状况总体评价、2015年网络安全工作情况、检查发现的主要问题及整改情况、对工业行业网络安全工作的意见建议等。根据检查结果填写《企业工业控制系统网络安全检查表》(见附件)。
(二)安全抽查
采用现场检查方式,主要采取人员访谈、文档查阅、现场核查、人工检查等方法,对被抽查企业进行现场检查并记录检查结果。
四、时间安排
2015年12月29日完成自查工作,各企业将自查总结报告和《企业工业控制系统网络安全检查表》报送集团政策法规部。
五、工作要求
(一)加强组织和协调
各单位要明确检查工作的主管领导和工作机构,优化进度安排,掌握工作进展,及时报送总结材料,确保检查工作有落实。
(二)加强专家咨询指导
可根据工作需要成立专家组或邀请专家对检查工作进行咨询指导,帮助分析工作中遇到的困难和问题,评估、研判安全检查结果,提高工作质量。
(三)加强工作总结和整改落实
对检查工作进行全面总结,认真撰写工作总结报告。组织对检查工作中发现的问题进行研究,采取有效措施加以整改,切实提高工业控制系统网络安全防护水平。
联系人:陈明远 电 话:029-88325187
邮 箱:zcfgb@yousergroup.com 传 真:029-88325187
附件: 企业工业控制系统网络安全检查表(点击可下载)
陕西有色集团
2015年12月23日