關于開展2018年工業(yè)控制系統(tǒng)信息安全檢查工作的通知

欄目:政策法規(guī) 發(fā)布時間:2018-06-28
分享到:
關于開展2018年工業(yè)控制系統(tǒng)信息安全檢查工作的通知

閩經(jīng)信信息〔2018〕43號

 

 

福建省經(jīng)濟和信息化委員會關于開展2018年

工業(yè)控制系統(tǒng)信息安全檢查工作的通知

 

各設區(qū)市經(jīng)信委(經(jīng)信局),平潭綜合實驗區(qū)經(jīng)發(fā)局,有關省屬企業(yè):

隨著“中國制造2025”全面推進,工業(yè)數(shù)字化、網(wǎng)絡化、智能化加快發(fā)展,新形勢下工控安全工作的重要性和緊迫性更加突顯。近期網(wǎng)絡安全事件頻發(fā),對工業(yè)控制系統(tǒng)、工業(yè)云等安全防護工作形成潛在影響。為及時掌握工業(yè)信息安全防護總體情況,做好工業(yè)控制系統(tǒng)信息安全檢查工作,現(xiàn)將有關事項通知如下:

請各單位按照工信部辦公廳《關于開展2018年工業(yè)控制系統(tǒng)信息安全檢查工作的通知》(工信廳信軟函〔2017〕642號)、《關于切實做好2018年度工業(yè)控制系統(tǒng)信息安全檢查工作的通知》(工信軟函〔2018〕88號)要求,認真梳理統(tǒng)計本地區(qū)、本部門規(guī)模以上工業(yè)企業(yè),指定專人負責該項工作,指導有關企業(yè)補充填報工業(yè)云安全防護情況,做好工業(yè)控制系統(tǒng)和工業(yè)云信息安全自查工作,并形成自查情況報告,填寫《工業(yè)控制系統(tǒng)及工業(yè)云信息安全自查表》(見附件),于3月30日前將自查情況報告及自查表(電子版和紙質版各1份)報送我委。

聯(lián)系人:蘇奇(0591-87430181)

電子郵箱:sq@fjetc.gov.cn

 

附件:工業(yè)控制系統(tǒng)及工業(yè)云信息安全自查表

 

 

 

             福建省經(jīng)濟和信息化委員會

                   2018年26    

 

附件:

 

工業(yè)控制系統(tǒng)信息安全自查表

 

   

一、組成結構

本表包含四個分表:

1)各設區(qū)市及省屬企業(yè)工業(yè)控制系統(tǒng)信息安全自查情況匯總表

    2)工業(yè)控制系統(tǒng)運營單位基本情況表

    3)工業(yè)控制系統(tǒng)運營單位自查情況匯總表

4)工業(yè)控制系統(tǒng)信息安全自查表

二、填寫對象

各分表填寫責任人如下:

1)各設區(qū)市及省屬企業(yè)工業(yè)控制系統(tǒng)信息安全自查情況匯總表:由各地經(jīng)信委及省屬企業(yè)指定專人負責匯總填寫。

2)工業(yè)控制系統(tǒng)運營單位基本情況表:由各工業(yè)控制系統(tǒng)運營單位指定專人負責填寫。

3)工業(yè)控制系統(tǒng)運營單位自查情況匯總表:由各工業(yè)控制系統(tǒng)運營單位指定專人負責填寫。

4)工業(yè)控制系統(tǒng)信息安全自查表:由工業(yè)控制系統(tǒng)運營單位的各工業(yè)控制系統(tǒng)負責人填寫。


1  設區(qū)市及省屬企業(yè)工業(yè)控制系統(tǒng)信息安全自查情況匯總表

設區(qū)市或省屬企業(yè)名稱


聯(lián)系人姓名


聯(lián)系人電話


基本

情況

重要工業(yè)控制系統(tǒng)運營單位1總數(shù):                 

重要工業(yè)控制系統(tǒng)總數(shù):                         

系統(tǒng)

構成

情況

類型

設備

國內品牌

國外品牌

工業(yè)生產控制設備

可編程邏輯控制器(PLC

分布式控制系統(tǒng)(DCS

遠程終端設備(RTU

數(shù)控機床

工業(yè)機器人

智能儀表

其它

工業(yè)網(wǎng)絡通信設備

工業(yè)交換機

工業(yè)路由器

串口服務器

其它

工業(yè)主機設備

工業(yè)主機2

組態(tài)軟件&數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)軟件

工業(yè)數(shù)據(jù)庫

其它

工業(yè)生產信息系統(tǒng)

制造執(zhí)行系統(tǒng)(MES

ERP管理系統(tǒng)

工業(yè)云

其它

工業(yè)網(wǎng)絡安全設備

工業(yè)防火墻

工業(yè)網(wǎng)閘

主機安全防護設備

其它

安全軟件選擇與管理情況

1、安裝防病毒軟件或應用程序白名單軟件的重要工業(yè)控制系統(tǒng)數(shù)量:        

2、病毒庫或白名單規(guī)則及時更新的重要工業(yè)控制系統(tǒng)數(shù)量:                

3、定期對工業(yè)控制系統(tǒng)進行查殺的重要工業(yè)控制系統(tǒng)數(shù)量:                

4、已建立防病毒和惡意軟件入侵管理機制的重要工業(yè)控制系統(tǒng)數(shù)量:        

配置和補丁管理情況

1、已建立工業(yè)控制網(wǎng)絡安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量:            

2、已建立工業(yè)主機安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量:                

3、已建立工業(yè)控制設備安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量:            

4、已建立工業(yè)控制系統(tǒng)配置清單的重要工業(yè)控制系統(tǒng)數(shù)量:                

5、定期對配置清單進行更新和維護的重要工業(yè)控制系統(tǒng)數(shù)量:              

6、及時修復重大工控安全相關漏洞和可能影響工控安全的主機軟硬件漏洞的重要工業(yè)控制系統(tǒng)數(shù)量:                                               

邊界安全防護情況

1、直接與企業(yè)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:                          

2、與企業(yè)網(wǎng)進行物理隔離的重要工業(yè)控制系統(tǒng)數(shù)量:                      

3、直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:                          

4、與互聯(lián)網(wǎng)進行物理隔離的重要工業(yè)控制系統(tǒng)數(shù)量:                     

5、對工業(yè)控制系統(tǒng)進行安全區(qū)域劃分的重要工業(yè)控制系統(tǒng)數(shù)量:            

6、對工業(yè)控制系統(tǒng)安全區(qū)域實施邏輯隔離的重要工業(yè)控制系統(tǒng)數(shù)量:        

物理和環(huán)境安全防護情況

1、已明確劃分重點物理安全防護區(qū)域并建立物理安全防護措施的重要工業(yè)控制系統(tǒng)數(shù)量:                                                         

2、拆除或封閉工業(yè)主機上不必要外設接口的重要工業(yè)控制系統(tǒng)數(shù)量:       

3、使用外設安全管理技術手段管理外設接口的重要工業(yè)控制系統(tǒng)數(shù)量:      

身份認證情況

1、使用身份認證管理手段的重要工業(yè)控制系統(tǒng)數(shù)量:                      

2、以最小特權原則分配賬戶權限的重要工業(yè)控制系統(tǒng)數(shù)量:                

3、未使用默認口令或弱口令的重要工業(yè)控制系統(tǒng)數(shù)量:                    

4、定期更新口令的重要工業(yè)控制系統(tǒng)數(shù)量:                              

遠程訪問安全情況

1、面向互聯(lián)網(wǎng)開通HTTPFTP等網(wǎng)絡服務的重要工業(yè)控制系統(tǒng)數(shù)量:         

2、使用數(shù)據(jù)單向訪問控制等策略進行安全加固的重要工業(yè)控制系統(tǒng)數(shù)量:    

3、無遠程訪問的重要工業(yè)控制系統(tǒng)數(shù)量:                                

4、使用VPN等遠程接入方式的重要工業(yè)控制系統(tǒng)數(shù)量:                    

5、無遠程維護的重要工業(yè)控制系統(tǒng)數(shù)量:                                

6、保留工業(yè)控制系統(tǒng)相關訪問日志的重要工業(yè)控制系統(tǒng)數(shù)量:              

安全監(jiān)測和應急預案演練情況

1、在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備的重要工業(yè)控制系統(tǒng)數(shù)量:        

2、在重要工業(yè)控制設備前端已部署具備深度包分析和過濾功能防護設備的重要工業(yè)控制系統(tǒng)數(shù)量:                                                  

3、已制定工控安全事件應急響應預案的重要工業(yè)控制系統(tǒng)運營單位數(shù)量:    

4、定期對應急預案進行演練的重要工業(yè)控制系統(tǒng)運營單位數(shù)量:            

5、對應急響應預案進行修訂的重要工業(yè)控制系統(tǒng)運營單位數(shù)量:            

資產安全情況

1、建立工業(yè)控制系統(tǒng)資產清單的重要工業(yè)控制系統(tǒng)數(shù)量:                  

2、對關鍵主機設備進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量:                

3、對網(wǎng)絡設備進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量:                    

4、對控制組件進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量:                    

數(shù)據(jù)安全情況

1、對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量:          

2、對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量:          

3、定期備份關鍵業(yè)務數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量:                      

4、對測試數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量:                        

5、無測試環(huán)境的重要工業(yè)控制系統(tǒng)數(shù)量:                                

供應鏈

管理情況

1、合同中已約定服務商在服務過程中應當承擔的信息安全責任和義務的重要工業(yè)控制系統(tǒng)數(shù)量:                                                   

2、與服務商簽訂保密協(xié)議的重要工業(yè)控制系統(tǒng)數(shù)量:                      

落實責任情況

1、建立工控安全管理機制的重要工業(yè)控制系統(tǒng)運營單位數(shù)量:              

1重要工業(yè)控制系統(tǒng)運營單位總數(shù)應大于或等于檢查情況匯總數(shù)據(jù)中重要工業(yè)控制系統(tǒng)運營單位總數(shù)

2重要工業(yè)控制系統(tǒng)總數(shù)應大于或等于檢查情況匯總數(shù)據(jù)中重要工業(yè)控制系統(tǒng)總數(shù)

                                            

重要工業(yè)控制系統(tǒng)是指與國家安全、國家經(jīng)濟安全、國計民生緊密相關的,如鋼鐵、有色、化工、裝備制造、電子信息、核設施、石油石化、電力、天然氣、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱等工業(yè)生產領域中的工業(yè)控制系統(tǒng)。

工業(yè)主機是指工業(yè)生產控制各業(yè)務環(huán)節(jié)涉及組態(tài)、操作、監(jiān)控、數(shù)據(jù)采集與存儲等功能的主機設備載體,包括工程師站、操作員站、歷史站等。


2  工業(yè)控制系統(tǒng)運營單位基本情況表

單位全稱


法人代表


通訊地址

               縣(區(qū))

單位網(wǎng)址


郵政編碼


所屬行業(yè)1


銷售收入


經(jīng)濟類型

 國有事業(yè)單位2

 國有及國有控制企業(yè)3 (□ 中央      地方)

 股份制企業(yè)          外商及港澳臺投資企業(yè)4

 集體企業(yè)            民營企業(yè)

 其他:                         

聯(lián)

姓名


職務


所屬部門


工作電話


電子郵件


傳真


統(tǒng)

工業(yè)控制系統(tǒng)總數(shù)量


系統(tǒng)名稱

系統(tǒng)簡介









工業(yè)安全管理情況

應急預案演練情況

1.工控安全事件應急響應預案:

  □已制定,包括:□應急計劃策略和規(guī)程

□應急計劃培訓

□應急計劃測試與演練

□應急處理流程

□事件監(jiān)控措施

□應急事件報告流程

□應急支持資源

□應急響應計劃

                  □其它:                 

  □未制定

2.急預案演練情況:

  □定期開展,演練周期:                

            □本年度已開展,演練時間:             

                □將演練情況報網(wǎng)絡安全主管部門

                □未將演練情況報網(wǎng)絡安全主管部門

                □應急演練結束后對應急預案進行了評估和適用性修訂

                □應急演練結束后未對應急預案進行了評估和適用性修訂

            □本年度未開展

□未定期開展

落實責任情況

1.工控安全管理機制:

□已建立,包括:□建立了工業(yè)控制系統(tǒng)安全管理制度

                □成立了工業(yè)控制系統(tǒng)信息安全協(xié)調小組

                □明確了工控安全管理責任人

                □其它:                  

□未建立

1工控系統(tǒng)基本情況可另附表說明。

2此處工業(yè)控制系統(tǒng)的劃分原則為1)具體的完整的工業(yè)控制系統(tǒng):以企業(yè)工業(yè)自動化生產過程為基礎,屬于企業(yè)的一個自動化生產全過程或一個工業(yè)自動化生產裝置;或者是2)工業(yè)控制系統(tǒng)中相對獨立的一部分:以企業(yè)工業(yè)自動化生產過程的局部環(huán)節(jié)為基礎,屬于企業(yè)的一個自動化生產全過程或一個工業(yè)自動化生產裝置的工業(yè)控制系統(tǒng)中的相對獨立的且物理邊界清晰的某個安全區(qū)域或通信網(wǎng)絡。

3每個工控系統(tǒng)均應填寫1個工業(yè)控制系統(tǒng)信息安全自查表。

                              

按照《國民經(jīng)濟行業(yè)分類》(GB/T4745-2011)規(guī)定填寫。

按照《事業(yè)單位登記管理暫行條例》登記的,為社會公益目的、由國家機關舉辦或者其他組織組織利用國有資產舉辦的,從事教育、科技、文化、衛(wèi)生等活動的社會服務組織。

按照《中華人民共和國企業(yè)法人登記管理條例》登記注冊的三類經(jīng)濟組織:(1)全部資產歸國家所有的(非公司制)國有企業(yè);(2)全部資產歸國家所有的國有獨資有限責任公司;(3)由國有資本占控制地位的有限責任公司和股份有限公司,此處稱國有控股公司。

包括港、澳、臺資本和其他地區(qū)外資資本投資設立的獨資或控股的獨資公司、有限責任公司和股份有限公司。


3  工業(yè)控制系統(tǒng)運營單位自查情況匯總表

運營單位名稱


基本情況

重要工業(yè)控制系統(tǒng)總數(shù):                         

系統(tǒng)

構成

情況

類型

設備

國內品牌

國外品牌

工業(yè)生產控制設備

可編程邏輯控制器(PLC

分布式控制系統(tǒng)(DCS

遠程終端設備(RTU

數(shù)控機床

工業(yè)機器人

智能儀表

其它

工業(yè)網(wǎng)絡通信設備

工業(yè)交換機

工業(yè)路由器

串口服務器

其它

工業(yè)主機設備

工業(yè)主機

組態(tài)軟件&數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)軟件

工業(yè)數(shù)據(jù)庫

其它

工業(yè)生產信息系統(tǒng)

制造執(zhí)行系統(tǒng)(MES

ERP管理系統(tǒng)

工業(yè)云

其它

工業(yè)網(wǎng)絡安全設備

工業(yè)防火墻

工業(yè)網(wǎng)閘

主機安全防護設備

其它

安全軟件選擇與管理情況

1、安裝防病毒軟件或應用程序白名單軟件的重要工業(yè)控制系統(tǒng)數(shù)量:        

2、病毒庫或白名單規(guī)則及時更新的重要工業(yè)控制系統(tǒng)數(shù)量:                

3、定期對工業(yè)控制系統(tǒng)進行查殺的重要工業(yè)控制系統(tǒng)數(shù)量:                

4、已建立防病毒和惡意軟件入侵管理機制的重要工業(yè)控制系統(tǒng)數(shù)量:        

配置和補丁管理情況

1、已建立工業(yè)控制網(wǎng)絡安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量:            

2、已建立工業(yè)主機安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量:                

3、已建立工業(yè)控制設備安全配置策略的重要工業(yè)控制系統(tǒng)數(shù)量:            

4、已建立工業(yè)控制系統(tǒng)配置清單的重要工業(yè)控制系統(tǒng)數(shù)量:                

5、定期對配置清單進行更新和維護的重要工業(yè)控制系統(tǒng)數(shù)量:              

6、及時修復重大工控安全相關漏洞和可能影響工控安全的主機軟硬件漏洞的重要工業(yè)控制系統(tǒng)數(shù)量:                                               

邊界安全防護情況

1、直接與企業(yè)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:                          

2、與企業(yè)網(wǎng)進行物理隔離的重要工業(yè)控制系統(tǒng)數(shù)量:                      

3、直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量:                          

4、與互聯(lián)網(wǎng)進行物理隔離的重要工業(yè)控制系統(tǒng)數(shù)量:                     

5、對工業(yè)控制系統(tǒng)進行安全區(qū)域劃分的重要工業(yè)控制系統(tǒng)數(shù)量:            

6、對工業(yè)控制系統(tǒng)安全區(qū)域實施邏輯隔離的重要工業(yè)控制系統(tǒng)數(shù)量:        

物理和環(huán)境安全防護情況

1、已明確劃分重點物理安全防護區(qū)域并建立物理安全防護措施的重要工業(yè)控制系統(tǒng)數(shù)量:                                                         

2、拆除或封閉工業(yè)主機上不必要外設接口的重要工業(yè)控制系統(tǒng)數(shù)量:       

3、使用外設安全管理技術手段管理外設接口的重要工業(yè)控制系統(tǒng)數(shù)量:      

身份認證情況

1、使用身份認證管理手段的重要工業(yè)控制系統(tǒng)數(shù)量:                      

2、以最小特權原則分配賬戶權限的重要工業(yè)控制系統(tǒng)數(shù)量:                

3、未使用默認口令或弱口令的重要工業(yè)控制系統(tǒng)數(shù)量:                    

4、定期更新口令的重要工業(yè)控制系統(tǒng)數(shù)量:                              

遠程訪問安全情況

1、面向互聯(lián)網(wǎng)開通HTTP、FTP等網(wǎng)絡服務的重要工業(yè)控制系統(tǒng)數(shù)量:         

2、使用數(shù)據(jù)單向訪問控制等策略進行安全加固的重要工業(yè)控制系統(tǒng)數(shù)量:    

3、無遠程訪問的重要工業(yè)控制系統(tǒng)數(shù)量:                                

4、使用VPN等遠程接入方式的重要工業(yè)控制系統(tǒng)數(shù)量:                    

5、無遠程維護的重要工業(yè)控制系統(tǒng)數(shù)量:                                

6、保留工業(yè)控制系統(tǒng)相關訪問日志的重要工業(yè)控制系統(tǒng)數(shù)量:              

安全監(jiān)測和應急預案演練情況

1、在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備的重要工業(yè)控制系統(tǒng)數(shù)量:        

2、在重要工業(yè)控制設備前端已部署具備深度包分析和過濾功能防護設備的重要工業(yè)控制系統(tǒng)數(shù)量:                                                  

3、已制定工控安全事件應急響應預案的重要工業(yè)控制系統(tǒng)運營單位數(shù)量:    

4、定期對應急預案進行演練的重要工業(yè)控制系統(tǒng)運營單位數(shù)量:            

5、對應急響應預案進行修訂的重要工業(yè)控制系統(tǒng)運營單位數(shù)量:            

資產安全情況

1、建立工業(yè)控制系統(tǒng)資產清單的重要工業(yè)控制系統(tǒng)數(shù)量:                  

2、對關鍵主機設備進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量:                

3、對網(wǎng)絡設備進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量:                    

4、對控制組件進行冗余配置的重要工業(yè)控制系統(tǒng)數(shù)量:                    

數(shù)據(jù)安全情況

1、對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量:          

2、對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量:          

3、定期備份關鍵業(yè)務數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量:                      

4、對測試數(shù)據(jù)進行保護的重要工業(yè)控制系統(tǒng)數(shù)量:                        

5、無測試環(huán)境的重要工業(yè)控制系統(tǒng)數(shù)量:                                

供應鏈

管理情況

1、合同中已約定服務商在服務過程中應當承擔的信息安全責任和義務的重要工業(yè)控制系統(tǒng)數(shù)量:                                                   

2、與服務商簽訂保密協(xié)議的重要工業(yè)控制系統(tǒng)數(shù)量:                      

落實責任情況

1、建立工控安全管理機制的重要工業(yè)控制系統(tǒng)運營單位數(shù)量:              

 


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

   福建省經(jīng)濟和信息化委員會辦公室           2018年2月6日印發(fā)