工(gōng)業控制系統信息安全行動計劃
(2018-2020年)
工(gōng)業控制系統信息安全(以下(xià)簡稱工(gōng)控安全)是實施制造強國和網絡強國戰略的重要保障。近年來,随着中(zhōng)國制造全面推進,工(gōng)業數字化、網絡化、智能化加快發展,我(wǒ)(wǒ)國工(gōng)控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段複雜(zá)多樣等新挑戰。爲全面落實國家安全戰略,提升工(gōng)業企業工(gōng)控安全防護能力,促進工(gōng)業信息安全産業發展,加快我(wǒ)(wǒ)國工(gōng)控安全保障體(tǐ)系建設,制定本行動計劃。
一(yī)、總體(tǐ)要求
(一(yī))指導思想
全面貫徹落實黨的十九大(dà)精神,以習近平新時代中(zhōng)國特色社會主義思想爲指引,堅持總體(tǐ)國家安全觀,以落實企業主體(tǐ)責任爲關鍵,緊緊圍繞新時期兩化深度融合發展需求,重點提升工(gōng)控安全态勢感知(zhī)、安全防護和應急處置能力,促進産業創新發展,建立多級聯防聯動工(gōng)作機制,爲制造強國和網絡強國戰略建設奠定堅實基礎。
(二)基本原則
堅持安全和發展同步推進。樹(shù)立正确的網絡安全觀,堅持以安全保發展,以發展促安全,安全和發展并重。确保信息安全與信息化建設同步規劃、同步建設、同步運行。
堅持落實企業主體(tǐ)責任。确立企業工(gōng)控安全主體(tǐ)責任地位,強化責任意識,把工(gōng)控安全作爲工(gōng)業生(shēng)産安全的重要組成部分(fēn),将安全要求納入企業生(shēng)産、經營、管理各環節。
堅持因地制宜分(fēn)類指導。準确把握工(gōng)控安全在不同行業、不同地區的發展基礎和特征,結合工(gōng)控安全威脅的多樣性和複雜(zá)性,分(fēn)類别、分(fēn)層次、分(fēn)步驟精準施策。
堅持技術和管理并重。統籌技術防護與安全管理,充分(fēn)運用先進技術提升工(gōng)控安全防護能力,創新企業安全管理機制,全面落實安全管理制度。
(三)主要目标
到2020年,全系統工(gōng)控安全管理工(gōng)作體(tǐ)系基本建立,全社會工(gōng)控安全意識明顯增強。建成全國在線監測網絡,應急資(zī)源庫,仿真測試、信息共享、信息通報平台(一(yī)網一(yī)庫三平台),态勢感知(zhī)、安全防護、應急處置能力顯著提升。培育一(yī)批影響力大(dà)、競争力強的龍頭骨幹企業,創建3-5個國家新型工(gōng)業化産業示範基地(工(gōng)業信息安全),産業創新發展能力大(dà)幅提高。
二、主要行動
(一(yī))安全管理水平提升
落實企業主體(tǐ)責任。企業依據《中(zhōng)華人民共和國網絡安全法》建立工(gōng)控安全責任制,明确企業法人代表、經營負責人第一(yī)責任者的責任,組建管理機構,完善管理制度。貫徹落實《工(gōng)業控制系統信息安全防護指南(nán)》安全要求,持續加大(dà)工(gōng)控安全投入,落實防護技術改造和隐患治理專項經費(fèi),積極開(kāi)展防護能力評估。
落實監督管理責任。工(gōng)業和信息化部統籌制定工(gōng)控安全政策标準,開(kāi)展宣貫培訓,定期組織全國檢查評估,對納入審查範圍的工(gōng)業控制系統産品與服務實施安全審查。地方工(gōng)業和信息化主管部門加快工(gōng)控安全地方性法規建設,建立重要工(gōng)業控制系統目錄清單,加強日常監督管理,安排專項資(zī)金推動地方監測、預警、應急等保障能力建設,持續完善地方工(gōng)控安全保障體(tǐ)系。
(二)态勢感知(zhī)能力提升
建設全國工(gōng)控安全監測網絡。支持國家級工(gōng)業信息安全技術機構持續完善主動監測、被動誘捕、威脅情報獲取等工(gōng)控安全在線監測手段,擴展工(gōng)業控制系統資(zī)産識别種類,提高識别精準度和搜索效率。建設以國家工(gōng)控安全在線監測平台爲中(zhōng)心,涵蓋省級重要節點的監測網絡,實現對全國重要工(gōng)業控制系統運行狀态、風險隐患的實時感知(zhī)、精準研判和科學決策。
實施信息共享工(gōng)程。鼓勵行業主管部門、企業、科研院所、聯盟協會等機構和個人積極參與信息共享工(gōng)作,建立共享清單,明确共享内容,推動形成政府引導、企業主體(tǐ)、社會參與、利益共享的工(gōng)作機制。充分(fēn)利用雲計算、大(dà)數據等技術手段,建設國家工(gōng)控安全信息共享平台,實現信息的安全、可靠、及時共享。
(三)安全防護能力提升
加強防護技術研究。支持建設工(gōng)控安全靶場、仿真測試等共性技術平台,研發工(gōng)控安全防護技術工(gōng)具集,加強分(fēn)區隔離(lí)、安全交換、協議管控等關鍵技術攻關。開(kāi)展防護能力建設試點示範,形成可複制、可推廣的安全防護整體(tǐ)解決方案。探索工(gōng)業雲、工(gōng)業大(dà)數據等新興應用的安全架構設計,開(kāi)展工(gōng)業互聯網安全防護技術研究和創新。
建立健全标準體(tǐ)系。制定工(gōng)控安全分(fēn)級、安全要求、安全實施、安全測評類标準,加快工(gōng)控安全防護能力評估、工(gōng)業控制系統設備産品安全、工(gōng)業互聯網平台安全等急用先行标準的發布和應用,鼓勵企業、科研院所、行業組織等參與國際标準化工(gōng)作。
(四)應急處置能力提升
開(kāi)展信息通報預警。制定《工(gōng)業信息安全信息報送與通報管理辦法》,建立信息通報員(yuán)、日常信息通報、應急信息通報、風險預警等制度。建設工(gōng)控安全信息通報預警平台,及時發布風險預警信息,跟蹤風險防範工(gōng)作進展,形成快速高效、各方聯動的信息通報預警體(tǐ)系。
建設國家應急資(zī)源庫。按照《國家網絡安全事件應急預案》總體(tǐ)要求,支持國家級工(gōng)業信息安全技術機構建設應急資(zī)源庫,實現信息采集、輔助決策、預案演練等功能。在突發工(gōng)業信息安全事件時,支撐行業主管部門協調技術專家和專業隊伍對事件開(kāi)展分(fēn)析研判,并調動相關應急資(zī)源及時有效的開(kāi)展處置工(gōng)作。
(五)産業發展能力提升
培育龍頭骨幹企業。面向工(gōng)控安全領域産業發展需求,加快培育一(yī)批技術水平高、業務規模大(dà)、競争能力強的工(gōng)業控制系統生(shēng)産企業和安全服務商(shāng),支持龍頭骨幹企業突破核心技術,研發關鍵産品、提高服務能力、創新商(shāng)業模式,聯合工(gōng)業企業開(kāi)展優秀産品及解決方案示範,推動行業應用。
創建國家新型工(gōng)業化産業示範基地(工(gōng)業信息安全)。選擇工(gōng)業基礎雄厚、産業鏈條完備、聚集效應明顯的地區建設國家新型工(gōng)業化産業示範基地(工(gōng)業信息安全)。圍繞工(gōng)業控制系統技術研發、應用示範、産融合作、人才培養等關鍵環節,探索産業發展路徑,促進産業集聚發展,發揮先行先試和示範帶動作用。
三、保障措施
(一(yī))加強組織協調
在國家制造強國建設領導小(xiǎo)組統一(yī)領導下(xià),加強工(gōng)控安全保障體(tǐ)系重大(dà)決策、重大(dà)工(gōng)程和重大(dà)問題的統籌協調,全面落實行動計劃各項任務。各地工(gōng)業和信息化主管部門要加強本地區統籌管理,做好行動計劃的貫徹落實和組織保障。
(二)加大(dà)政策支持
堅持政府引導和市場運作相結合,充分(fēn)調動社會力量支持工(gōng)控安全保障體(tǐ)系建設。支持有條件的地方設立專項,加大(dà)對工(gōng)控安全基礎設施建設、關鍵技術驗證測試平台建設、産業創新發展的支持力度。利用國家政策性信貸資(zī)金支持工(gōng)業信息安全産業示範基地建設。
(三)加快人才培養
鼓勵工(gōng)業企業加強與院校合作,聯合培養工(gōng)控安全專業人才。打造國家工(gōng)控安全高端智庫,爲工(gōng)控安全戰略部署、規劃制定、決策咨詢、重大(dà)問題提供智力支持和技術支撐,培養一(yī)支門類齊全、技術精湛的工(gōng)控安全專業人才隊伍。
(四)鼓勵社會參與
充分(fēn)發揮行業協會、産業聯盟等中(zhōng)介組織的積極作用,支持開(kāi)展技術研發、技能競賽、标準推廣、公共服務、國際合作等工(gōng)作,促進技術交流、加強信息溝通,形成政産學研用高效聯動的發展格局。