解讀《工業(yè)控制系統(tǒng)信息安全防護指南》

1、解讀《工業(yè)控制系統(tǒng)信息安全防護指南》制定《指南》的背景通知中明確“為貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》（國發(fā)〔2016〕28號），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部制定《工業(yè)控制系統(tǒng)信息安全防護指南》。”可以看出，《工業(yè)控制系統(tǒng)信息安全防護指南》是根據(jù)《意見》制定的?！兑庖姟分邢嚓P要求《意見》“七大任務”中專門有一條“提高工業(yè)信息系統(tǒng)安全水平”。工信部根據(jù)《十三五規(guī)劃綱要》、《中國制造2025》和《

2、意見》等要求編制的《工業(yè)和信息化部關于印發(fā)信息化和工業(yè)化融合發(fā)展規(guī)劃（20162020年）》中進一步明確，在十三五期間，我國兩化融合面臨的機遇和挑戰(zhàn)第四條就是“工業(yè)領域信息安全形勢日益嚴峻，對兩化融合發(fā)展提出新要求”，其“七大任務”中也提到要“逐步完善工業(yè)信息安全保障體系”，“六大重點工程”中之一就是“工業(yè)信息安全保障工程”。以上這些，就是政策層面的指導思想和要求?！吨改稀窏l款詳細解讀《指南》整體思路借鑒了等級保護的思想，具體提出了十一

3、條三十款要求，貼近實際工業(yè)企業(yè)真實情況，務實可落地。我們從《指南》要求的主體、客體和方法將十一條分為三大類：解讀：設立工業(yè)控制系統(tǒng)安全管理工作的職能部門，負責工業(yè)控制系統(tǒng)全生命周期的安全防護體系建設和管理，明確安全管理機構的工作范圍、責任及工作人員的職責，制定工業(yè)控制系統(tǒng)安全管理方針，持續(xù)實施和改進工業(yè)控制系統(tǒng)的安全防護能力，不斷提升工業(yè)控制系統(tǒng)防攻擊和抗干擾的水平。b、針對客體目標（被保護的資產(chǎn)或數(shù)據(jù)）的安全要求，包含第八條資產(chǎn)安全、

4、第九條數(shù)據(jù)安全：1.8資產(chǎn)安全（一）建設工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責任人，以及資產(chǎn)使用及處置原則。解讀：為實現(xiàn)和保持對組織機構資產(chǎn)的適當保護，確保所有資產(chǎn)可查，應建設工業(yè)控制系統(tǒng)資產(chǎn)清單，并明確資產(chǎn)使用及處置原則，配置資產(chǎn)清單，定期更新清單庫，并對資產(chǎn)進行分類。所有資產(chǎn)應指定責任人，并且明確責任人的職責，明確資產(chǎn)使用權。制定資產(chǎn)在生產(chǎn)、調(diào)試、運行、維護、報廢等過程中的處置原則。（二）對關鍵主機設備、網(wǎng)絡設備、控制組件等進行冗余配置。