佛山市工业控制系统信息安全事件应急管理工作指引（暂行）.docx

《佛山市工业控制系统信息安全事件应急管理工作指引（暂行）.docx》由会员分享，可在线阅读，更多相关《佛山市工业控制系统信息安全事件应急管理工作指引（暂行）.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、附件佛山市工业控制系统信息安全事件应急管理工作指引（暂行）对于工控安全事件性质、起因、范围、损失等，市工业和 信息化局、各区经济和科技促进局（经济促进局）、市区相关 部门配合，企业做好内部管控、并协调其关联方，共同做好舆 论宣传和引导工作。（五）后期处置事发工业企业在工控安全事件应急处置完成后，应加强监 测受损系统至少4周，确认工控系统不再出现异常或者类似现 象，并将监测记录上报区经济和科技促进局（经济促进局）。（六）安全加固和整改事发工业企业就工控安全事件中暴露出的网络弱点和缺陷应尽快制定整改措施，对网络设施和信息系统进行安全加 固，消除安全隐患，并根据该次应急工作的经验和教训进一步 完善修

2、订各自的网络威胁场景式应急预案，改进应急工作部 署，使其在今后能够更加有效地发挥作用。（七）情况汇报及总结应急处置结束、系统恢复运行后，相关工业企业应尽快消 除事件造成的不良影响，做好事件分析总结工作，总结报告应 在15天内以书面形式逐级上报至市工业和信息化局。七、预防工作（一）日常管理各区经济和科技促进局（经济促进局）指导、催促当地工 业企业做好工业控制系统信息安全事件日常预防工作，包括： 制定和完善应急预案，开展工业控制系统信息安全业务培训、 安全检查、隐患排查、风险评估和容灾备份，指导和推动辖区内工业数据分类分级工作，健全工业控制系统信息安全信息通 报机制，做好工业控制系统信息安全信息宣

3、传工作，及时采取 有效措施，减少和防止工业控制系统信息安全事件的发生及危 害，提高应对工业控制系统信息安全事件的能力。（二）安全自查市工业和信息化局、各区经济和科技促进局（经济促进局） 应建立工控安全重点工业企业数据库，每年组织工业企业开展 工控安全自查工作。（三）应急演练各区经济和科技促进局（经济促进局）催促工业企业组织 应急演练，检验和完善预案，提高实战能力。重点工业企业每 年组织至少一次应急预案演练，演练结束形成演练总结报告， 应及时解决，并将演练总结报告各区经济和科技促进局（经济 促进局）。对演练的结果进行总结和评估,对演练中暴露出的问题和缺乏八、保障措施（一）技术与人才保障鼓励相关企

4、业加大工控安全投入，加强关键技术攻关，探 索新兴应用的安全架构设计，开展工业互联网安全防护技术研 究和创新，推广安全可信的工控安全产品和服务。鼓励工控安 全应急技术机构加强人才队伍建设，努力扩大专家队伍规模， 提升专家技术水平，充分发挥专家队伍在工控安全应急处置工 作中的作用。（二）物资与经费保障加强对工控安全事件应急装备和工具的调度能力，与省级 工控安全管理部门、市级通信运营商、专业协会（机构）形成 工作和技术联动，不断增强应急技术支撑能力。市工业和信息 化局、各区经济和科技促进局（经济促进局）应积极利用现有 政策和资金渠道，支持工控安全应急技术机构建设、基础平台 建设、技术研发、应急演练、

5、物资保障等，为工控安全应急管 理工作提供必要的经费支持。九、附那么（一）工作指引管理本工作指引根据实际执行情况适时修订，修订工作由市工 业和信息化局负责。各区经济和科技促进局（经济促进局）、 各工业企业要根据本工作指引制定或修订本地区、本企业的工 控系统信息安全事件应急预案。（二）工作指引实施时间本工作指引自印发之日起实施。附件：佛山市工控安全事件应急管理工作流程图10附件佛山市工控安全事件应急管理工作流程图（总结评估）一、 总贝lj 1（一）编制目的1（二）编制依据1（三）适用范围1（四）工作原那么1二、组织体系2（一）组织机构与职责2（二）联络机制2（三）应急机制2三、事件分级3（一）特别

6、重大工控安全事件（I级） 3（二）重大工控安全事件（H级） 3（三）较大工控安全事件（in级） 4（四）一般工控安全事件（IV级） 4四、监测与通报5（一）工控安全风险监测5（二）信息通报5五、敏感时期应急管理5六、应急处置6（一）事件报告6（二）应急处置6（三）处置要求7（四）舆情引导7（五）后期处置8（六）安全加固和整改8（七）情况汇报及总结8七、预防工作8（一）日常管理8（二）安全自查9（三）应急演练9八、保障措施9（一）技术与人才保障9（二）物资与经费保障9九、附贝IJ 10（一）工作指引管理10（二）工作指引实施时间 10附件：佛山市工控安全事件应急管理工作流程图11一、总那么（一）

7、编制目的为加强佛山市工业控制系统信息安全（以下简称工控安 全）应急工作管理，建立健全工控安全应急工作机制，提高应 对工业控制系统信息安全事件的组织协调和应急处置能力，预 防和减少工控安全事件造成的损失和危害，保障工业生产正常 运行，制定本工作指引。（二）编制依据中华人民共和国突发事件应对法中华人民共和国网 络安全法中华人民共和国数据安全法国家网络安全事 件应急预案工业控制系统信息安全事件应急管理工作指南 广东省工业控制系统信息安全事件应急管理工作指南等法 规政策和GB/T 20986-2007信息安全技术信息安全事件分类 分级指南GB/T 36324-2018信息安全技术工业控制系统信 息安全

8、分级规范等标准规范。（三）适用范围本指引所称工业控制系统信息安全事件是指由于人为、软 硬件缺陷或故障、自然灾害等原因，对工业控制系统、工业控 制系统数据造成或者可能造成危害，影响正常工业生产的事 件。本工作指引适用于佛山市各区经济和科技促进局（经济促 进局）、工业企业开展工业控制系统信息安全应急管理工作。（四）工作原那么坚持政府指导、企业主体，坚持预防为主、平战结合，坚 持快速反响、科学处置，充分发挥各方力量，共同做好工控安 全事件的预防和处置工作。二、组织体系（一）组织机构与职责市工业和信息化局指导各区经济和科技促进局（经济促进 局）、工业企业做好工控安全应急管理工作。各区经济和科技 促进局

9、（经济促进局）负责指导本区工控安全应急管理工作。 工业企业负有工控安全主体责任，应建立健全工控安全责任 制，负责本单位工控安全应急管理工作，编制应急预案，部署 有效安全防护手段，落实人财物保障。（二）联络机制市工业和信息化局建立市级工控安全联络机制，沟通协调 全市工控安全应急管理工作。各区经济和科技促进局（经济促 进局）、市级通信运营商、工业企业要配备工控安全工作联络 员，并报市工业和信息化局，联络员和联络方式发生变化时需 及时上报。市工业和信息化局根据工作需要组织召开联络员会 议，并保持与网信、公安等市级部门，以及上级工业和信息化 部门的工控安全信息交互。工业企业工控安全工作联络员要做 好工

10、控安全风险、威胁、事件信息日常监测和报告，检查各项 保障措施落实情况等工作。市级通信运营商要配合市工业和信 息化局做好应急处置工作。（三）应急机制各区经济和科技促进局（经济促进局）指导本地区工业企 业建立工控安全应急值守机制，做好工控安全风险、威胁、事 件信息日常监测和报告工作。应急响应状态下，实行“7X24” 小时值守。加强信息监测、收集与研判，做好信息跟进报告。三、事件分级工控安全事件分为四级：特别重大工控安全事件（I级）、 重大工控安全事件（n级）、较大工控安全事件（in级）、 一般工控安全事件（IV级）。（一）特别重大工控安全事件（I级）符合以下情形之一的，为特别重大工控安全事件（I级

11、）：重点领域的工控系统遭受特别重大损害，造成系统大面 积瘫痪，丧失业务处理能力。重点领域的工控系统关键数据的保密性、完整性、可用 性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响 所需付出的代价十分巨大。事件影响全市或大局部地区，对经济建设、社会秩序、 公共利益、环境安全和人员生命造成特别严重损害。（二）重大工控安全事件（H级）符合以下情形之一且未到达特别重大工控安全事件的，为 重大工控安全事件（H级）：重点领域的工控系统遭受重大损害，造成系统长时间中 断或局部瘫痪，业务处理能力受到极大影响。重点领域的工控系统关键数据的保密性、完整性、可用 性遭到破坏，恢复系统正常运行和消除安全事件负面

12、影响所需 付出的代价巨大。事件影响市内多个地区，对经济建设、社会秩序、公共 利益、环境安全和人员生命造成严重损害。（三）较大工控安全事件（III级）符合以下情形之一且未到达重大工控安全事件的，为较大 工控安全事件（in级）：一般领域的工控系统遭受重大损害，或者重点领域的工 控系统遭受损害，造成系统中断，明显影响系统效率，业务处 理能力受到影响。一般或重点领域的工控系统重要数据的保密性、完整 性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面 影响所需付出的代价较大。事件对公民、企业和其他组织的合法权益及重要财产造 成严重损害，或者对经济建设、社会秩序、公共利益、环境安 全和人员生命造成损害

13、。（四）一般工控安全事件（IV级）符合以下情形之一且未到达较大工控安全事件的，为一般 工控安全事件（IV级）：一般领域的工控系统遭受损害，造成系统短暂中断，影 响系统效率，使系统业务处理能力受到影响。一般领域的工控系统重要数据的保密性、完整性、可用 性遭到影响，恢复系统正常运行和消除安全事件负面影响所需 付出的代价较小。事件影响在一个工业企业以内，对公民、企业和其他组 织的合法权益及重要财产造成损害，但未损害社会秩序、公共 利益、环境安全和人员生命。重点领域的工控系统是指与国计民生紧密相关的工业生 产领域中的工控系统，除重点领域之外的其他工业生产领域中 的工控系统，为一般领域的工控系统。四、监

14、测与通报（一）工控安全风险监测市工业和信息化局在省工业和信息化厅和省通信管理局 的指导下，依托“广东省工业互联网安全监测与态势感知平 台”等，开展市级工控安全风险监测、预警通报等工作，提升 预判分析、风险评估和信息共享能力。各区经济和科技促进局 （经济促进局）组织开展本地区工控安全风险监测工作，工业 企业组织开展本单位工控安全风险监测工作。（二）信息通报市工业和信息化局及时将省工业和信息化厅（或省通信管 理局）发布的可能影响我市工业控制系统的重大漏洞和风险情 况向区和工业企业转发通报，并加强整改闭环管理；工业企业 在自身安全监测中发现安全漏洞和风险的，逐级向工信主管部 门报告，同时加强安全防护

15、。各区经济和科技促进局（经济促进局）、工业企业定期将 重要监测信息和整改情况报市工业和信息化局，市工业和信息 化局负责汇总、整理、分析、研判，并将工作情况报省工业和 信息化厅；针对可能超出本辖区应对能力范围的安全风险和事 件信息，及时上报，必要时争取上一级工业和信息化主管部门 和第三方工控安全应急技术机构提供技术支持。五、敏感时期应急管理在国家重要节日、活动、会议等敏感时期，市工业和信息 化局指导各区经济和科技促进局（经济促进局）和工业企业开 展工控安全事件预防和应急管理工作。各区经济和科技促进局 （经济促进局）和工业企业要加强工控安全监测和风险研判， 对可能造成重大影响的风险和事件信息应及时

16、上报。必要时， 工业企业重要部门应实施24小时值守，保持通信联络畅通。相 关工业企业应加强对工业控制系统的巡检巡查，原那么上不在敏 感时期对工业控制系统进行调整或升级。六、应急处置对于可能发生或已经发生的工控安全事件，工业企业应立 即开展应急处置，采取科学有效方法及时施救，力争将损失降 到最小，尽快恢复受损工业控制系统的正常运行。（一）事件报告工控安全事件发生后，事发工控企业应立即启动应急预 案，先行开展应急措施，并及时向所在区的经济和科技促进局 （经济促进局）、网信、公安等部门报告。各区经济和科技促 进局（经济促进局）应组织先期处置，控制事态，同时组织研 判，催促企业保存证据，做好信息通报工

17、作。对于初判为特别 重大、重大级别的工控安全事件或特殊情况，必须立即报告市 工业和信息化局。报告信息一般包括以下要素：事件涉及的工业控制系统名 称及运营管理单位、时间、地点、原因、来源、类型、性质、 危害、影响范围、开展趋势、处置措施等。（二）应急处置各区经济和科技促进局（经济促进局）指导、催促事发企 业开展应急处置工作，必要时请求上级派出工作组赴现场指挥 协调应急处置工作，协调应急技术机构提供技术支援。工业企业发生工控安全事件后，应立即启动上报流程并启 动本企业应急预案，迅速组织力量采取相关应急技术措施，使 受破坏的系统尽快恢复正常运行，减少网上不良信息的扩散和 传播，开展原因分析，注意保存

18、网络攻击、网络入侵或网络病 毒的证据等相关信息。当事发工业企业应急处置力量缺乏时， 可请求上级主管部门协调应急技术机构提供支援。（三）处置要求（1）各区经济和科技促进局（经济促进局）根据各自职 责，指导、催促和支持当事工业企业开展应急处置工作，并视 情况请求省、市主管部门协调从专家库中抽调相应专家或协调 工控安全应急技术机构，协助当事工业企业进行应急处置。（2）对于发生计算机病毒和大规模网络攻击事件，采取 其他措施无法有效消除影响时，由当事工业企业提出意见，上 报市工业和信息化局，协调市级通信运营商临时中断相关辖区 （相关企业）的互联网连接。（3）市工业和信息化局、各区经济和科技促进局（经济 促进局）和工业企业工控安全事件应急处置人员应保持联系方 式畅通，及时通报事态开展变化情况和事件处置进展情况。当 事工业企业要做好应急处置的相关记录，保存有关证据，积极 稳妥地进行应急处置。（四）舆情引导7