关于加强工业控制系统信息安全管理的通知

工业和信息化部关于印发《工业控制系统信息安全行动计划（2018-2020年）》的通知文章属性•【制定机关】工业和信息化部•【公布日期】2017.12.12•【文号】工信部信软〔2017〕316号•【施行日期】2017.12.12•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】电子信息正文工业和信息化部关于印发《工业控制系统信息安全行动计划（2018-2020年）》的通知工信部信软〔2017〕316号各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门，有关中央企业：为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等文件精神，加快我国工业控制系统信息安全保障体系建设，提升工业企业工业控制系统信息安全防护能力，促进工业信息安全产业发展，制定《工业控制系统信息安全行动计划（2018-2020年）》。

现印发你们，请结合实际，抓好贯彻落实。

附件：工业信息安全行动计划（2018-2020年）工业和信息化部2017年12月12日附件工业控制系统信息安全行动计划（2018-2020年）工业控制系统信息安全（以下简称工控安全）是实施制造强国和网络强国战略的重要保障。

近年来，随着中国制造全面推进，工业数字化、网络化、智能化加快发展，我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。

为全面落实国家安全战略，提升工业企业工控安全防护能力，促进工业信息安全产业发展，加快我国工控安全保障体系建设，制定本行动计划。

一、总体要求（一）指导思想全面贯彻落实党的十九大精神，以习近平新时代中国特色社会主义思想为指引，坚持总体国家安全观，以落实企业主体责任为关键，紧紧围绕新时期两化深度融合发展需求，重点提升工控安全态势感知、安全防护和应急处置能力，促进产业创新发展，建立多级联防联动工作机制，为制造强国和网络强国战略建设奠定坚实基础。

内蒙古自治区工业和信息化厅关于印发《内蒙古自治区工业领域网络安全工作指南》的通知文章属性•【制定机关】内蒙古自治区工业和信息化厅•【公布日期】2017.06.08•【字号】内经信发〔2017〕68号•【施行日期】2017.06.08•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】工业和信息化管理综合规定正文内蒙古自治区工业和信息化厅关于印发《内蒙古自治区工业领域网络安全工作指南》的通知各盟市经济和信息化委员会：为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）和工信部关于印发《工业控制系统信息安全防护指南》的通知（工信部信软〔2016〕338号），保障工业企业工业控制系统信息安全，制定《内蒙古自治区工业领域网络安全工作指南》，现印发你们。

自治区经济和信息化委员会指导和管理全区工业企业工控安全防护和保障工作，并根据实际情况对此工作指南进行修订。

2017年6月8日内蒙古自治区工业领域网络安全工作指南一、背景及意义在传统的工业信息安全问题依然存在的情况下，“工业4.0”、“工业互联网”、“中国制造2025”等概念正推动着工业控制系统向数字化、网络化、开放化、集成化的工业互联方向发展，广泛而深度的互联使得工业控制系统将面临更加复杂的信息安全威胁。

2011年9月工信部发布《关于加强工业控制系统信息安全管理的通知》（[2011]451号文），标志着中国工业控制系统信息安全工作正式启动。

从习近平总书记在2016年4月19日的网络安全和信息化工作座谈会的讲话，到2016年10月工业和信息化部印发《工业控制系统信息安全防护指南》；从2014年12推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》正式推出到2016年11月《中华人民共和国网络安全法》正式发布，显示了中国各个层面对工业控制系统信息安全的日益重视。

2015年4月13日，内蒙古自治区经济和信息化委员会印发《关于开展全区重要工业控制系统基本情况调查的通知》（内经信信安字[2015]108号文），在全区范围内组织开展重要工业控制系统基本情况调查，在此基础上开展全区工业控制系统信息安全试点示范工作。

《关于加强工业控制系统信息安全管理的通知》关于加强工业控制系统信息安全管理的通知工信部协[2011]451号各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

二、明确重点领域工业控制系统信息安全管理要求加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

各地区、各部门、各单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求。

工业和信息化部关于印发工业控制系统网络安全防护指南的通知文章属性•【制定机关】工业和信息化部•【公布日期】2024.01.19•【文号】工信部网安〔2024〕14号•【施行日期】2024.01.19•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】工业和信息化管理综合规定正文工业和信息化部关于印发工业控制系统网络安全防护指南的通知工信部网安〔2024〕14号各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，有关企事业单位：现将《工业控制系统网络安全防护指南》印发给你们，请认真抓好落实。

工业和信息化部2024年1月19日工业控制系统网络安全防护指南工业控制系统是工业生产运行的基础核心。

为适应新时期工业控制系统网络安全（以下简称工控安全）形势，进一步指导企业提升工控安全防护水平，夯实新型工业化发展安全根基，制定本指南。

使用、运营工业控制系统的企业适用本指南，防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。

一、安全管理（一）资产管理1.全面梳理可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监视控制系统（SCADA）等典型工业控制系统以及相关设备、软件、数据等资产，明确资产管理责任部门和责任人，建立工业控制系统资产清单，并根据资产状态变化及时更新。

定期开展工业控制系统资产核查，内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。

2.根据承载业务的重要性、规模，以及发生网络安全事件的危害程度等因素，建立重要工业控制系统清单并定期更新，实施重点保护。

重要工业控制系统相关的关键工业主机、网络设备、控制设备等，应实施冗余备份。

（二）配置管理3.强化账户及口令管理，避免使用默认口令或弱口令，定期更新口令。

遵循最小授权原则，合理设置账户权限，禁用不必要的系统默认账户和管理员账户，及时清理过期账户。

执行摘要随着工业信息化进程的快速推进，信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用，极大地提高了企业的综合效益。

为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往的封闭性：采用标准、通用的通信协议及硬软件系统，甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中。

这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁，而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中，其安全事故造成的社会影响和经济损失会更为严重。

出于政治、军事、经济、信仰等诸多目的，敌对的国家、势力以及恐怖犯罪分子都可能把工业控制系统作为达成其目的的攻击目标。

工业控制系统脆弱的安全状况以及日益严重的攻击威胁，已经引起了国家的高度重视，甚至提升到‘国家安全战略’的高度，并在政策、标准、技术、方案等方面展开了积极应对。

在明确重点领域工业控制系统信息安全管理要求的同时，国家主管部门在政策和科研层面上也在积极部署工业控制系统的安全保障工作。

近年来，以“伊朗布什尔核电站遭到‘震网病毒’攻击”为代表的一系列针对工业控制系统的信息安全事件表明：攻击者正普遍采用被称为高级持续性威胁（Advanced Persistent Threat，简称APT）的新型攻击手段。

攻击者不仅具有明确的攻击目标，而且在攻击时也多采用有组织的多攻击协同模式；显然，这种新型的攻击手段更难防御，对安全厂商及相关研究机构的安全服务能力提出了更高的挑战。

但由于国内工业控制系统及其工作环境的相对封闭性，国内安全研究团队的研究对象多集中在互联网和传统的信息系统上。

在工业控制系统安全方面自然不会有太多的研究成果和实践经验。

另一方面，工业控制系统提供商则更关注工业控制系统的可用性和实时性，对系统的安全性也是很少涉及。

在这种背景下，我们及时成立了一个有多名资深技术专家所组成的研究团队来专门从事工业控制系统的安全研究。

山西省煤炭工业厅文件晋煤办信发[ 2012]598号关于印发《山西省煤炭工业信息化发展“十二五”规划的通知》各市煤炭工业局、各国有重点煤矿集团公司、山西煤炭运销集团公司、山西煤炭进出口集团公司、平朔煤炭工业公司、山西正华实业集团公司、有关直属单位、机关有关处室：为推进我省煤炭工业机械化与信息化深度融合，提高煤炭经济各领域信息化水平，着眼于建设世界一流、全国先进的机械化、信息化、自动化、智能化、现代化矿井，实施高标准、高科技、高管理、商端化、高要求、高质量、高效益、现代文明的“七高一文明”发展新模式，率先走出转型跨越发展新路，省厅编制了《山西省煤炭工业信息化发展“十二五”规划》。

现将该《规划》印发给你们，请认真组织落实。

并强调以下几项工作：一、进一步增强信息化意识，提高两化融合认识信息化是山西煤炭工业率先走出转型跨越发展新路的必然选择和迫切要求。

各单位要进一步提高对信息化，特别是两化深度融合重要性、紧迫性、复杂性的认识。

“十二五”时期，我省煤炭工业要打造以煤为基、多元发展的新格局，煤炭企业要增强经济效益、提升核心竞争力、实现安全生产，两化融合是不可跨越的、是早晚必然要做的事情，不能用别的方式替代。

一定要从当前、长远，战略、全局、历史的高度充分认识加快信息化建设、推进两化融合的现实意义、重要意义和历史意义。

二、进一步加强领导，建立健全工作机构各市、县（区）煤炭局要成立信息化工作领导小组，由主要负责人任组长，形成省、市、县三级信息化组织保障体系，加强领导，统筹规划；要建立健全信息化工作机构，要有明确职能、编制，落实经费来源。

各集团公司、各煤矿企业，要成立由主要领导为组长、各主要业务部门负责人组成的信息化（两化融合）工作领导小组，主要负责人要直接参与信息化、两化融合工作重要决策，协调、推动信息化建设；要进一步建立健全信息化工作机构，强化统一管理职能；要建立健全信息化激励约束机制，将信息化成效列入对各部门和各成员单位工作绩效考核内容，促进责任与权利紧密结合，从组织上、制度上确保信息化工作健康发展。

关于开展工业控制系统信息安全检查工作的通知各师（市）工业和信息化主管部门，兵团国资公司：按照《工业和信息化部办公厅关于开展2017年工业控制系统信息安全检查工作的通知》（工信厅信软函〔2017〕194号）文件要求，为推动《工业控制系统信息安全防护指南》落地实施，加强对工业控制系统信息安全工作的指导和监督，我委将组织开展工业控制系统信息安全检查工作，现将有关要求通知如下。

一、加强领导，落实责任工控系统安全事关工业生产、社会稳定和国家安全。

各师要高度重视，把此次检查工作列入重要议事日程，加强组织领导，落实检查责任，领会文件要求。

明确检查工作分管领导和具体负责人，按照检查任务要求，周密计划，精心部署，认真实施。

二、全面梳理，深入检查各师要全面梳理工业控制系统应用情况，建立管理台账，督促本地区工业企业深入查找安全问题和隐患，切实摸清工控系统安全状况。

三、即查即改，确保成效对检查中发现的问题要及时整改，各师要结合工业和信息化部《工业控制系统信息安全防护指南》要求，督促各工业企业有针对性地落实管理和技术防护措施，有效提升工控系统信息安全水平。

四、严格审核、按时报送请各师对检查数据要严格审核把关，并根据要求（详见附件）做好本地区自查工作。

请于6月15日前将自查情况（附件1和附件2）反馈我委（信息化工作处）。

我委将组织专业技术队伍对相关单位开展安全抽查和深度核查，具体工作安排另行通知。

本通知及所附文件电子版可从兵团工信委网站（xx）的通知栏中下载。

联系人：xxE-mail: xx附件：1．工业控制系统信息安全自查工作报告参考格式2．工业控制系统基本情况自查表3．规模以上重点行业企业名单兵团工业和信息化委员会2017年５月11日附件1工业控制系统信息安全自查工作报告参考格式一、报告名称（各师名称）2017年工业控制系统信息安全检查总结报告。

二、报告内容要求（一）组织开展工业控制系统基本情况概述检查工作组织开展情况、所梳理的工业控制系统基本情况。