工業控制系統信息安全事件應急管理工作指南

工業和信息化部關於印發《工業控制系統信息安全事件應急管理工作指南》的通知
工信部信軟[2017]122號

各省、自治區、直轄市及新疆生產建設兵團工業和信息化主管部門，有關中央企業：

為貫徹落實《中華人民共和國網路安全法》《國務院關於深化製造業與網際網路融合發展的指導意見》（國發〔2016〕28號），指導做好工業控制系統信息安全事件應急管理相關工作，保障工業控制系統信息安全，制定《工業控制系統信息安全事件應急管理工作指南》，現印發你們。

工業和信息化部指導和管理全國工業控制系統信息安全應急工作，並根據實際情況對指南進行修訂。地方工業和信息化主管部門根據工業和信息化部統籌安排，指導和管理本行政區域內的工業控制系統信息安全應急工作。

特此通知。

工業和信息化部

2017年5月31日

第一章 總 則

第一條 為加強工業控制系統信息安全（以下簡稱工控安全）應急工作管理，建立健全工控安全應急工作機制，提高應對工控安全事件的組織協調和應急處置能力，預防和減少工控安全事件造成的損失和危害，保障工業生產正常運行，維護國家經濟安全和人民生命財產安全,依據《中華人民共和國突發事件應對法》《中華人民共和國網路安全法》以及《國務院關於深化製造業與網際網路融合發展的指導意見》等法規政策，制定本指南。

第二條 本指南適用於工業和信息化主管部門、工業企業開展工控安全應急管理工作。

第三條 工控安全事件是指由於人為、軟硬體缺陷或故障、自然災害等原因，對工業控制系統、工業控制系統數據造成或者可能造成嚴重危害，影響正常工業生產的事件。

第四條 堅持政府指導、企業主體，堅持預防為主、平戰結合，堅持快速反應、科學處置，充分發揮各方力量，共同做好工控安全事件的預防和處置工作。

第二章 組織機構與職責

第五條 工業和信息化部指導地方工業和信息化主管部門、應急技術機構、工業企業做好工控安全應急管理工作。

第六條 地方工業和信息化主管部門負責指導本地區工控安全應急管理工作。

第七條 工控安全應急技術機構負責具體開展工控安全風險監測、態勢研判、威脅預警、事件處置等工作。

第八條 工業企業負有工控安全主體責任，應建立健全工控安全責任制，負責本單位工控安全應急管理工作，落實人財物保障。

第三章 工作機制

第九條 工業和信息化部指導地方工業和信息化主管部門、應急技術機構、工業企業等建立工控安全聯絡員機制，指定工控安全應急工作聯絡員，報工業和信息化部備案，聯絡員和聯絡方式發生變化時需及時報工業和信息化部。工業和信息化部根據工作需要組織召開聯絡員會議。

第十條 地方工業和信息化主管部門指導本地區應急技術機構、工業企業建立工控安全應急值守機制，實行領導帶班、專人值守工作制度，做好工控安全風險、威脅、事件信息日常監測和報告工作。應急回響狀態下，實行“7×24”小時值守，加強信息監測、收集與研判，做好信息跟蹤報告。

第四章 監測通報

第十一條 工業和信息化部指導國家工業信息安全發展研究中心等技術機構，組織開展全國工控安全風險監測、預警通報等工作，提升情報蒐集、態勢分析、風險評估和信息共享能力。

地方工業和信息化主管部門組織開展本地區工控安全風險監測工作。工業企業組織開展本單位工控安全風險監測工作。

第十二條 地方工業和信息化主管部門、工業企業定期將重要監測信息報國家工業信息安全發展研究中心，國家工業信息安全發展研究中心負責匯總、整理和研判，並將結果報工業和信息化部；針對可能超出本地區應對能力範圍的安全風險和事件信息，及時上報，必要時工業和信息化部協調應急技術機構提供支持。

第十三條 工業和信息化部對可能影響我國工業控制系統的重大漏洞和風險，及時向有關行業、地區和工業企業發布情況通報。

第五章 敏感時期應急管理

第十四條 在國家重要活動、會議等敏感時期，工業和信息化部指導地方工業和信息化主管部門、應急技術機構、工業企業開展工控安全事件預防和應急管理工作。

第十五條 地方工業和信息化主管部門、工業企業加強工控安全監測和風險研判，對可能造成重大影響的風險和事件信息應及時上報，必要時實行24小時零報告制度。重點單位、重要部位實施24小時值守，保持通信聯絡暢通。相關工業企業應加強對工業控制系統的巡檢巡查，原則上不在敏感時期對工業控制系統進行調整或升級。

第六章 應急處置

第十六條 對於可能發生或已經發生的工控安全事件，工業企業應立即開展應急處置，採取科學有效方法及時施救，力爭將損失降到最小，儘快恢復受損工業控制系統的正常運行。當事發工業企業應急處置力量不足時，可請求上級主管部門協調應急技術機構提供支援。

第十七條 有關地方工業和信息化主管部門和工業企業應及時向工業和信息化部報告事態發展變化情況和事件處置進展情況。報告信息一般包括以下要素：事件涉及的工業控制系統名稱及運營管理單位、時間、地點、原因、來源、類型、性質、危害、影響範圍、發展趨勢、處置措施等。

第十八條 工業和信息化部指導、督促事發企業開展應急處置工作，必要時派出工作組赴現場指揮協調應急處置工作，協調應急技術機構提供技術支援。

第十九條 應急處置結束、系統恢復運行後，相關工業企業要儘快消除事件造成的不良影響，做好事件分析總結工作，總結報告應在30天內以書面形式報工業和信息化部。

第二十條 對於工控安全事件性質、起因、範圍、損失等，工業和信息化主管部門和相關人員應做好輿論宣傳和引導工作。

第七章 保障措施

第二十一條 工業和信息化部、地方工業和信息化主管部門、工業企業制定本級工控安全事件應急預案，定期組織應急演練。

第二十二條 工業和信息化部建立國家工控安全應急專家組，為工控安全應急管理提供技術諮詢和決策支持。地方工業和信息化主管部門建立本地區工控安全應急專家組，充分發揮專家在應急管理工作中的作用。

第二十三條 加強對工控安全事件應急裝備和工具的儲備，及時調整、升級軟硬體工具，建設完善工控安全事件應急技術服務平台，不斷增強應急技術支撐能力。

第二十四條 各有關部門應積極利用現有政策和資金渠道，申請新增預算，支持工控安全應急技術機構建設、專家隊伍建設、基礎平台建設、技術研發、應急演練、物資保障等，為工控安全應急管理工作提供必要的經費支持。

第二十五條 本指南自2017年7月1日起施行。

一、《指南》的出台背景

隨著兩化融合的不斷深入，以及物聯網、雲計算和大數據等新一代信息技術的快速發展，工業控制系統智慧型化、網路化趨勢日漸明顯，病毒、木馬等威脅向工業控制系統持續擴散。近年來，工控安全事件頻頻發生，工控安全漏洞數量持續增長，工業控制系統面臨著日益嚴峻的安全形勢。國家“十三五”規劃《綱要》、網路強國、中國製造2025及“網際網路+”等一系列戰略部署的推進實施，對我國工控安全保障工作提出了更高的要求，迫切需要快速提升工控安全保障水平和事件應急處置能力，更好的支撐經濟社會健康有序發展，維護國家安全。

二、總體考慮

密切結合工控安全事件應急工作實際，以防範重大工控安全事件為重點，釐清工業和信息化部、地方工業和信息化主管部門、技術支撐隊伍和企業職責，加強工控安全事件應急管理和組織協調，提升工控安全事件應急處置能力。

（一）目的意義

一是建立健全工控安全事件應急工作機制。依據《國家網路安全事件應急預案》制定《指南》，進一步完善工控安全事件應急制度，形成有效的工控安全應急工作機制，為工控安全事件應急管理與處置工作提供依據與方法。

二是提升工控安全事件應急處置能力。《指南》明確了工控安全事件應急工作的組織機構和職責，確定了工控安全事件的監測通報、處置流程和具體措施，提出了應急隊伍、專家組、物資和經費保障等應急力量和應急資源方面的要求，為應急處置工作提供行動指南。

三是完善工控安全管理體系。《指南》的研究制定和宣貫落實，與頒布的《工業控制系統信息安全防護指南》和正在編制的《工業控制系統信息安全防護評估工作管理辦法》共同構建了工控安全管理體系。檔案中提出的安全要求和管理方法覆蓋了工業控制系統規劃、設計、建設、運行、維護等全生命周期，為加強工控安全管理奠定了堅實基礎。

（二）編制原則

政府指導、企業主體。政府通過完善政策措施、加強監督管理，指導企業樹立工控安全主體責任意識，督促企業將工控安全作為生產安全的重要組成部分，做好工控安全應急相關工作，加快提升工控安全事件應急能力。

預防為主、平戰結合。按照系統化、科學化管理思想，加強工控安全監測與風險預判，及時掌握工控安全態勢，暢通信息傳輸渠道，充分發揮各方力量，將預防與消減有機結合，積極做好工控安全事件的預防和消減工作。

快速反應、科學處置。建立感知快、研判快、處置快、消減快的工控安全快速反應體系，不斷強化工控安全事件應急隊伍的整體應急水平和快速反應能力，科學管理、指揮有力，妥善處置工控安全事件。

三、《指南》的管理要求

《指南》對工控安全風險監測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了一系列管理要求，明確了責任分工、工作流程和保障措施。

（一）加強風險監測

風險監測是掌握工控安全事件、感知風險動向的基礎性工作。《指南》要求國家工業信息安全發展研究中心等技術機構、地方工業和信息化主管部門和工業企業做好風險監測工作。其中，國家工業信息安全發展研究中心等技術機構負責組織開展全國工控安全風險監測、預警通報等工作，地方工業和信息化主管部門負責組織開展本地區工控安全風險監測工作，工業企業組織開展本單位工控安全風險監測工作。

（二）開展信息報送與通報

信息報送與通報是幫助工控安全應急相關部門及時了解風險及事件全貌的重要途徑。《指南》明確指出，地方工業和信息化主管部門、工業企業在開展風險監測的同時，要及時將重要監測信息報國家工業信息安全發展研究中心。國家工業信息安全發展研究中心負責匯總、整理和研判，並將結果報工業和信息化部。針對影響範圍大、危害程度深的風險信息，工業和信息化部及時向有關行業、地區、企業通報。此外，對於可能超出本地區應對能力範圍的安全風險和事件信息，地方工業和信息化主管部門應及時向工業和信息化部報告。

（三）做好應急處置

工控安全事件應急處置是應急工作的重中之重，做好工控安全應急處置對於維護國家安全、社會秩序、經濟建設和公眾利益都具有舉足輕重的意義。對於工控安全應急處置工作，《指南》明確了以下幾方面要求：一是工業企業應積極開展先期處置。對於可能或已經發生工控安全事件時，工業企業應採取科學有效方法及時施救，力爭將損失降到最小，儘快恢復受損工業控制系統的正常運行。二是重點做好應急處置中的信息報送。應急處置過程中，地方工業和信息化主管部門和工業企業應及時報告事態發展變化情況和事件處置進展情況。三是必要時工業和信息化部將組織現場處置。必要時，工業和信息化部將派出工作組赴現場，指揮應急處置工作，並協調應急技術機構提供技術支援。四是應急結束後及時開展總結評估。《指南》要求，應急工作結束後，相關工業企業應做好事件分析總結工作，並按時上報。

（四）保障措施

《指南》要求，建立覆蓋工業和信息化部、地方工業和信息化主管部門、工業企業三個不同層次的預案體系，促進工控安全應急管理工作規範化、制度化；通過定期組織開展應急演練，提高應對工控安全事件的技術能力；通過建立國家工控安全應急專家組和地方工控安全應急專家組，支持工控安全應急技術機構、基礎平台建設，提升應急處置基礎能力。

此外，《指南》還強調了國家重要活動、會議等重要敏感時期的應急管理要求，明確工業和信息化部做好應急指導，地方工業和信息化主管部門和工業企業加強風險監測、做好信息報送和應急值守等，確保重要敏感時期工業控制系統安全、平穩運行。