工业控制新版系统信息安全行动专题计划.docx

工业控制系统信息安全行动计划 （-） 工业控制系统信息安全（以下简称工控安全）是实施制造强国和网络强国战略关键保障。多年来，伴随中国制造2025全方面推进，工业数字化、网络化、智能化加紧发展，中国工控安全方面临安全漏洞不停增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。为全方面落实国家安全战略，提升工业企业工控安全防护能力，促进工业信息安全产业发展，加紧中国工控安全保障体系建设，制订本行动计划。 一、总体要求 （一）指导思想 全方面落实落实党十九大精神，以习近平新时代中国特色社会主义思想为指导，坚持总体国家安全观，以落实企业主体责任为关键，紧紧围绕新时期两化深度融合发展需求，关键提升工控安全态势感知、安全防护和应急处理能力，促进产业创新发展，建立多级联防联动工作机制，为制造强国和网络强国战略建设奠定坚实基础。 （二）基础标准 坚持安全和发展同时推进。树立正确网络安全观，坚持以安全保发展，以发展促安全，安全和发展并重。确保信息安全和信息化建设同时计划、同时建设、同时运行。 坚持落实企业主体责任。确立企业工控安全主体责任地位，强化责任意识，把工控安全作为工业生产安全关键组成部分，将安全要求纳入企业生产、经营、管理各步骤。 坚持因地制宜分类指导。正确把握工控安全在不一样行业、不一样地域发展基础和特征，结合工控安全威胁多样性和复杂性，分类别、分层次、分步骤正确施策。 坚持技术和管理并重。统筹技术防护和安全管理，充足利用优异技术提升工控安全防护能力，创新企业安全管理机制，全方面落实安全管理制度。 （三）关键目标 到，全系统工控安全管理工作体系基础建立，全社会工控安全意识显著增强。建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（一网一库三平台），态势感知、安全防护、应急处理能力显著提升。培育一批影响力大、竞争力强龙头骨干企业，创建3-5个国家新型工业化产业示范基地（工业信息安全），产业创新发展能力大幅提升。 二、关键行动 （一）安全管理水平提升 落实企业主体责任。企业依据《中国网络安全法》建立工控安全责任制，明确企业法人代表、经营责任人第一责任者责任，组建管理机构，完善管理制度。落实落实《工业控制系统信息安全防护指南》安全要求，连续加大工控安全投入，落实防护技术改造和隐患治理专题经费，主动开展防护能力评定。 落实监督管理责任。工业和信息化部统筹制订工控安全政策标准，开展宣贯培训，定时组织全国检验评定，对纳入审查范围工业控制系统产品和服务实施安全审查。地方工业和信息化主管部门加紧工控安全地方性法规建设，建立关键工业控制系统目录清单，加强日常监督管理，安排专题资金推进地方监测、预警、应急等保障能力建设，连续完善地方工控安全保障体系。 （二）态势感知能力提升 建设全国工控安全监测网络。支持国家级工业信息安全技术机构连续完善主动监测、被动诱捕、威胁情报获取等工控安全在线监测手段，扩展工业控制系统资产识别种类，提升识别正确度和搜索效率。建设以国家工控安全在线监测平台为中心，涵盖省级关键节点监测网络，实现对全国关键工业控制系统运行状态、风险隐患实时感知、正确研判和科学决议。 实施信息共享工程。激励行业主管部门、企业、科研院所、联盟协会等机构和个人主动参与信息共享工作，建立共享清单，明确共享内容，推进形成政府引导、企业主体、社会参与、利益共享工作机制。充足利用云计算、大数据等技术手段，建设国家工控安全信息共享平台，实现信息安全、可靠、立即共享。 （三）安全防护能力提升 加强防护技术研究。支持建设工控安全靶场、仿真测试等共性技术平台，研发工控安全防护技术工具集，加强分区隔离、安全交换、协议管控等关键技术攻关。开展防护能力建设试点示范，形成可复制、可推广安全防护整体处理方案。探索工业云、工业大数据等新兴应用安全架构设计，开展工业互联网安全防护技术研究和创新。 建立健全标准体系。制订工控安全分级、安全要求、安全实施、安全测评类标准，加紧工控安全防护能力评定、工业控制系统设备产品安全、工业互联网平台安全等急用先行标准公布和应用，激励企业、科研院所、行业组织等参与国际标准化工作。 （四）应急处理能力提升 开展信息通报预警。制订《工业信息安全信息报送和通报管理措施》，建立信息通报员、日常信息通报、应急信息通报、风险预警等制度。建设工控安全信息通报预警平台，立即公布风险预警信息，跟踪风险防范工作进展，形成快速高效、各方联动信息通报预警体系。 建设国家应急资源库。根据《国家网络安全事件应急预案》总体要求，支持国家级工业信息安全技术机构建设应急资源库，实现信息采集、辅助决议、预案演练等功效。在突发工业信息安全事件时，支撑行业主管部门协调技术教授和专业队伍对事件开展分析研判，并调动相关应急资源立即有效开展处理工作。 （五）产业发展能力提升 培育龙头骨干企业。面向工控安全领域产业发展需求，加紧培育一批技术水平高、业务规模大、竞争能力强工业控制系统生产企业和安全服务商，支持龙头骨干企业突破关键技术，研发关键产品、提升服务能力、创新商业模式，联合工业企业开展优异产品及处理方案示范，推进行业应用。 创建国家新型工业化产业示范基地（工业信息安全）。选择工业基础雄厚、产业链条完备、聚集效应显著地域建设国家新型工业化产业示范基地（工业信息安全）。围绕工业控制系统技术研发、应用示范、产融合作、人才培养等关键步骤，探索产业发展路径，促进产业集聚发展，发挥先行先试和示范带动作用。 三、保障方法 （一）加强组织协调 在国家制造强国建设领导小组统一领导下，加强工控安全保障体系重大决议、重大工程和重大问题统筹协调，全方面落实施动计划各项任务。各地工业和信息化主管部门要加强当地域统筹管理，做好行动计划落实落实和组织保障。 （二）加大政策支持 坚持政府引导和市场运作相结合，充足调动社会力量支持工控安全保障体系建设。支持有条件地方设置专题，加大对工控安全基础设施建设、关键技术验证测试平台建设、产业创新发展支持力度。利用国家政策性信贷资金支持工业信息安全产业示范基地建设。 （三）加紧人才培养 激励工业企业加强和院校合作，联合培养工控安全专业人才。打造国家工控安全高端智库，为工控安全战略布署、计划制订、决议咨询、重大问题提供智力支持和技术支撑，培养一支门类齐全、技术精湛工控安全专业人才队伍。 （四）激励社会参与 充足发挥行业协会、产业联盟等中介组织主动作用，支持开展技术研发、技能竞赛、标准推广、公共服务、国际合作等工作，促进技术交流、加强信息沟通，形成政产学研用高效联动发展格局。