工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法
發(fā)布日期:2017-12-04 來(lái)源:工業(yè)和信息化部
點(diǎn)擊數(shù):34316
工信部信軟〔2017〕188號(hào)
第一章 總 則
第一條 為規(guī)范工業(yè)控制系統(tǒng)信息安全(以下簡(jiǎn)稱工控安全)防護(hù)能力評(píng)估工作,切實(shí)提升工控安全防護(hù)水平,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國(guó)發(fā)〔2016〕28號(hào)),制定本辦法。
第二條 本辦法適用于規(guī)范針對(duì)工業(yè)企業(yè)開展的工控安全防護(hù)能力評(píng)估活動(dòng)。
本辦法所指的防護(hù)能力評(píng)估,是對(duì)工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等全生命周期各階段開展安全防護(hù)能力綜合評(píng)價(jià)。
第三條 工業(yè)和信息化部負(fù)責(zé)指導(dǎo)和監(jiān)督全國(guó)工業(yè)企業(yè)工控安全防護(hù)能力評(píng)估工作。
第二章 評(píng)估管理組織
第四條 設(shè)立全國(guó)工控安全防護(hù)能力評(píng)估專家委員會(huì)(以下簡(jiǎn)稱評(píng)估專家委員會(huì)),負(fù)責(zé)定期抽查與復(fù)核工控安全防護(hù)能力評(píng)估報(bào)告,并對(duì)評(píng)估工作提供建議和咨詢。
第五條 設(shè)立全國(guó)工控安全防護(hù)能力評(píng)估工作組(以下簡(jiǎn)稱評(píng)估工作組),負(fù)責(zé)具體管理工控安全防護(hù)能力評(píng)估相關(guān)工作,制訂完善評(píng)估工作流程和方法,管理評(píng)估機(jī)構(gòu)及評(píng)估人員,并審核評(píng)估過程中生成的文件和記錄。評(píng)估工作組下設(shè)秘書處,秘書處設(shè)在國(guó)家工業(yè)信息安全發(fā)展研究中心。
第三章 評(píng)估機(jī)構(gòu)和人員要求
第六條 評(píng)估工作組委托符合條件的第三方評(píng)估機(jī)構(gòu)從事工控安全防護(hù)能力評(píng)估工作。
第七條 評(píng)估機(jī)構(gòu)應(yīng)具備的基本條件:
(一)具有獨(dú)立的事業(yè)單位法人資格。
(二)具有不少于25名工控安全防護(hù)能力評(píng)估專職人員。
(三)具有工控安全防護(hù)能力評(píng)估所需的工具和設(shè)備。
第八條 評(píng)估機(jī)構(gòu)應(yīng)建立并有效運(yùn)行評(píng)估工作體系,完善評(píng)估監(jiān)督和責(zé)任機(jī)制,以確保所從事的工控安全評(píng)估活動(dòng)符合本辦法的規(guī)定。評(píng)估機(jī)構(gòu)應(yīng)對(duì)其出具的評(píng)估報(bào)告負(fù)責(zé)。
第九條 對(duì)于違反本辦法、相關(guān)法律法規(guī)及不遵守評(píng)估工作組管理要求的評(píng)估機(jī)構(gòu),評(píng)估工作組有權(quán)暫;虺蜂N其從事工控安全評(píng)估活動(dòng)的委托。被撤銷委托的機(jī)構(gòu),5年內(nèi)不得重新申請(qǐng)。
第十條 評(píng)估人員須遵守相關(guān)的法律、法規(guī)和規(guī)章,按照所在評(píng)估機(jī)構(gòu)確定的工作程序和作業(yè)指導(dǎo)從事評(píng)估活動(dòng),對(duì)評(píng)估報(bào)告的真實(shí)性承擔(dān)相應(yīng)責(zé)任,并應(yīng)對(duì)評(píng)估活動(dòng)中接觸到的信息履行保密義務(wù)。
第四章 評(píng)估工具要求
第十一條 評(píng)估過程中使用的相關(guān)評(píng)估專用軟硬件工具需符合相關(guān)可靠性和安全性要求。
第十二條 評(píng)估工具需由評(píng)估工作組委托國(guó)家相關(guān)質(zhì)檢機(jī)構(gòu)進(jìn)行檢測(cè)和校驗(yàn),未通過檢測(cè)和校驗(yàn)的評(píng)估工具不得應(yīng)用于評(píng)估工作。
第五章 評(píng)估工作程序
第十三條 受理評(píng)估申請(qǐng)。評(píng)估工作組承擔(dān)工業(yè)和信息化主管部門的專項(xiàng)評(píng)估任務(wù),各評(píng)估機(jī)構(gòu)可自行受理市場(chǎng)化的評(píng)估工作委托,并在評(píng)估工作組備案。
第十四條 組建評(píng)估技術(shù)隊(duì)伍。評(píng)估機(jī)構(gòu)組建評(píng)估項(xiàng)目組,原則上每個(gè)評(píng)估項(xiàng)目組由不少于5名專職評(píng)估人員(含1名組長(zhǎng))組成。
第十五條 制定評(píng)估工作計(jì)劃。 評(píng)估機(jī)構(gòu)在實(shí)施評(píng)估前,應(yīng)與被評(píng)估企業(yè)充分協(xié)調(diào),梳理清晰企業(yè)工業(yè)控制系統(tǒng)基本情況,并參照《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估方法》(見附件)形成書面評(píng)估工作計(jì)劃。評(píng)估工作計(jì)劃的內(nèi)容至少應(yīng)包括:評(píng)估工作計(jì)劃名稱和編號(hào)、評(píng)估范圍、評(píng)估具體任務(wù)與方案、評(píng)估工作日程安排、應(yīng)急預(yù)案等。
第十六條 開展現(xiàn)場(chǎng)評(píng)估工作。評(píng)估項(xiàng)目組按照評(píng)估工作計(jì)劃,在現(xiàn)場(chǎng)對(duì)被評(píng)估企業(yè)實(shí)施工控安全防護(hù)能力評(píng)估。
第十七條 現(xiàn)場(chǎng)評(píng)估情況反饋,F(xiàn)場(chǎng)評(píng)估工作結(jié)束后,評(píng)估項(xiàng)目組應(yīng)對(duì)現(xiàn)場(chǎng)評(píng)估工作形成書面的現(xiàn)場(chǎng)評(píng)估情況反饋表,描述存在的安全問題并提出相應(yīng)的整改建議。
第十八條 企業(yè)自行整改。企業(yè)應(yīng)在收到反饋表后30日內(nèi)自行開展整改工作,根據(jù)整改情況申請(qǐng)復(fù)評(píng)估。
第十九條 開展復(fù)評(píng)估工作。評(píng)估項(xiàng)目組在收到企業(yè)復(fù)評(píng)估的請(qǐng)求后,根據(jù)需要對(duì)現(xiàn)場(chǎng)評(píng)估反饋表中的問題進(jìn)行確認(rèn)。需要時(shí),開展現(xiàn)場(chǎng)復(fù)評(píng)估。
第二十條 形成評(píng)估報(bào)告。評(píng)估項(xiàng)目組在總結(jié)現(xiàn)場(chǎng)評(píng)估和復(fù)評(píng)估工作后,出具企業(yè)工控安全防護(hù)能力評(píng)估結(jié)論,經(jīng)由被評(píng)估企業(yè)確認(rèn)后,形成評(píng)估報(bào)告,報(bào)工業(yè)和信息化部備案。
第六章 監(jiān)督管理
第二十一條 評(píng)估工作組建立國(guó)家工控安全防護(hù)能力評(píng)估工作管理平臺(tái),通過平臺(tái)定期公示評(píng)估機(jī)構(gòu)、評(píng)估人員、評(píng)估工具和評(píng)估報(bào)告。
第二十二條 評(píng)估工作組不定期委托評(píng)估專家委員會(huì)對(duì)評(píng)估報(bào)告開展必要的抽查與復(fù)核,經(jīng)抽查與復(fù)核發(fā)現(xiàn)評(píng)估報(bào)告不符合本辦法有關(guān)規(guī)定、標(biāo)準(zhǔn)的,應(yīng)當(dāng)要求企業(yè)限期改正或者重新評(píng)估,并在30日內(nèi)提交評(píng)估材料。
第二十三條 評(píng)估工作組受理針對(duì)違反本辦法、相關(guān)法律法規(guī)及不遵守評(píng)估工作組管理要求的評(píng)估機(jī)構(gòu)和人員的舉報(bào)和投訴。
第七章 附則
第二十四條 本辦法自2017年9月1日起實(shí)施。
工業(yè)和信息化部
2017年7月31日