工信部信軟〔2017〕188號 工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統信息安全防護能力評估工作管理辦法》的通知

工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統信息安全防護能力評估工作管理辦法》的通知

工信部信軟〔2017〕188號

 

 

各省、自治區、直轄市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén)，有關(guān)中央企業(yè)：

為貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》（國發(fā)〔2016〕28號）等文件精神，督促工業(yè)企業(yè)做好工業(yè)控制系統信息安全防護工作，檢驗《工業(yè)控制系統信息安全防護指南》（工信部信軟〔2016〕338號）的實(shí)踐效果，綜合評價(jià)工業(yè)企業(yè)工業(yè)控制系統信息安全防護能力，制定《工業(yè)控制系統信息安全防護能力評估工作管理辦法》?，F印發(fā)你們，請參照執行。
 

 

工業(yè)和信息化部

2017年7月31日

 

工業(yè)控制系統信息安全防護能力評估工作管理辦法

 

第一章 總 則

第一條 為規范工業(yè)控制系統信息安全（以下簡(jiǎn)稱(chēng)工控安全）防護能力評估工作，切實(shí)提升工控安全防護水平，根據《中華人民共和國網(wǎng)絡(luò )安全法》《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》（國發(fā)〔2016〕28號），制定本辦法。

第二條 本辦法適用于規范針對工業(yè)企業(yè)開(kāi)展的工控安全防護能力評估活動(dòng)。

本辦法所指的防護能力評估，是對工業(yè)企業(yè)工業(yè)控制系統規劃、設計、建設、運行、維護等全生命周期各階段開(kāi)展安全防護能力綜合評價(jià)。

第三條 工業(yè)和信息化部負責指導和監督全國工業(yè)企業(yè)工控安全防護能力評估工作。
 

第二章 評估管理組織

第四條 設立全國工控安全防護能力評估專(zhuān)家委員會(huì )（以下簡(jiǎn)稱(chēng)評估專(zhuān)家委員會(huì )），負責定期抽查與復核工控安全防護能力評估報告，并對評估工作提供建議和咨詢(xún)。

第五條 設立全國工控安全防護能力評估工作組（以下簡(jiǎn)稱(chēng)評估工作組），負責具體管理工控安全防護能力評估相關(guān)工作，制訂完善評估工作流程和方法，管理評估機構及評估人員，并審核評估過(guò)程中生成的文件和記錄。評估工作組下設秘書(shū)處，秘書(shū)處設在國家工業(yè)信息安全發(fā)展研究中心。
 

第三章 評估機構和人員要求

第六條 評估工作組委托符合條件的第三方評估機構從事工控安全防護能力評估工作。

第七條 評估機構應具備的基本條件：

（一）具有獨立的事業(yè)單位法人資格。

（二）具有不少于25名工控安全防護能力評估專(zhuān)職人員。

（三）具有工控安全防護能力評估所需的工具和設備。

第八條 評估機構應建立并有效運行評估工作體系，完善評估監督和責任機制，以確保所從事的工控安全評估活動(dòng)符合本辦法的規定。評估機構應對其出具的評估報告負責。

第九條 對于違反本辦法、相關(guān)法律法規及不遵守評估工作組管理要求的評估機構，評估工作組有權暫?；虺蜂N(xiāo)其從事工控安全評估活動(dòng)的委托。被撤銷(xiāo)委托的機構，5年內不得重新申請。

第十條 評估人員須遵守相關(guān)的法律、法規和規章，按照所在評估機構確定的工作程序和作業(yè)指導從事評估活動(dòng)，對評估報告的真實(shí)性承擔相應責任，并應對評估活動(dòng)中接觸到的信息履行保密義務(wù)。
 

第四章 評估工具要求

第十一條 評估過(guò)程中使用的相關(guān)評估專(zhuān)用軟硬件工具需符合相關(guān)可靠性和安全性要求。

第十二條 評估工具需由評估工作組委托國家相關(guān)質(zhì)檢機構進(jìn)行檢測和校驗，未通過(guò)檢測和校驗的評估工具不得應用于評估工作。
 

第五章 評估工作程序

第十三條 受理評估申請。評估工作組承擔工業(yè)和信息化主管部門(mén)的專(zhuān)項評估任務(wù)，各評估機構可自行受理市場(chǎng)化的評估工作委托，并在評估工作組備案。

第十四條 組建評估技術(shù)隊伍。評估機構組建評估項目組，原則上每個(gè)評估項目組由不少于5名專(zhuān)職評估人員（含1名組長(cháng)）組成。

第十五條 制定評估工作計劃。 評估機構在實(shí)施評估前，應與被評估企業(yè)充分協(xié)調，梳理清晰企業(yè)工業(yè)控制系統基本情況，并參照《工業(yè)控制系統信息安全防護能力評估方法》（見(jiàn)附件）形成書(shū)面評估工作計劃。評估工作計劃的內容至少應包括：評估工作計劃名稱(chēng)和編號、評估范圍、評估具體任務(wù)與方案、評估工作日程安排、應急預案等。

第十六條 開(kāi)展現場(chǎng)評估工作。評估項目組按照評估工作計劃，在現場(chǎng)對被評估企業(yè)實(shí)施工控安全防護能力評估。

第十七條 現場(chǎng)評估情況反饋?，F場(chǎng)評估工作結束后，評估項目組應對現場(chǎng)評估工作形成書(shū)面的現場(chǎng)評估情況反饋表，描述存在的安全問(wèn)題并提出相應的整改建議。

第十八條 企業(yè)自行整改。企業(yè)應在收到反饋表后30日內自行開(kāi)展整改工作，根據整改情況申請復評估。

第十九條 開(kāi)展復評估工作。評估項目組在收到企業(yè)復評估的請求后，根據需要對現場(chǎng)評估反饋表中的問(wèn)題進(jìn)行確認。需要時(shí)，開(kāi)展現場(chǎng)復評估。

第二十條 形成評估報告。評估項目組在總結現場(chǎng)評估和復評估工作后，出具企業(yè)工控安全防護能力評估結論，經(jīng)由被評估企業(yè)確認后，形成評估報告，報工業(yè)和信息化部備案。
 

第六章  監督管理
 

第二十一條 評估工作組建立國家工控安全防護能力評估工作管理平臺，通過(guò)平臺定期公示評估機構、評估人員、評估工具和評估報告。

第二十二條 評估工作組不定期委托評估專(zhuān)家委員會(huì )對評估報告開(kāi)展必要的抽查與復核，經(jīng)抽查與復核發(fā)現評估報告不符合本辦法有關(guān)規定、標準的，應當要求企業(yè)限期改正或者重新評估，并在30日內提交評估材料。

第二十三條 評估工作組受理針對違反本辦法、相關(guān)法律法規及不遵守評估工作組管理要求的評估機構和人員的舉報和投訴。
 

第七章  附則

第二十四條 本辦法自2017年9月1日起實(shí)施。

 

附件：工 業(yè)控制系 統信息安 全防護能 力評估方 法

本文鏈接：http://www.jumpstarthappiness.com/doc/23298.html

本文關(guān)鍵詞： 工信部信軟, 工業(yè)和信息化部, 工業(yè), 控制, 系統, 信息, 安全, 防護, 能力, 評估, 管理辦法, 通知