各县区工信委，市属有关企业：

为进一步加强全省工业控制系统信息安全管理，切实提升全省工业控制系统信息安全防护能力，河南省工信委制定了《河南省工业控制系统信息安全管理工作指南》，现转发你们，请遵照执行。 

附件：河南省工业控制系统信息安全管理工作指南    

                                                                             2018年8月8日  

河南省工业控制系统信息安全管理工作指南  

第一条  为加强全省工业控制系统信息安全（以下简称工控安全）管理，提升工控安全防护水平，促进经济发展和社会稳定，根据《中华人民共和国网络安全法》和《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全行动计划（2018—2020年）》等有关规定，结合我省实际，制定本指南。

第二条  工业控制系统是指对工业生产过程安全、信息安全和可靠运行产生作用和影响的人员、硬件、策略和软件的集合。包括但不限于：可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监控系统（SCADA）等工业生产控制系统；紧急停车系统（ESD）、安全仪表系统（SIS）等工业控制过程安全保护系统；制造执行系统（MES）、企业资源计划系统（ERP）等工业生产调度与信息管理系统；工业云平台、工业大数据平台等工业服务应用系统。

第三条  工控安全事件是指由于人为、软硬件缺陷或故障、自然灾害等原因，对工业控制系统、工业控制系统数据造成或者可能造成严重危害，影响正常工业生产的事件。

第四条  工控安全管理应坚持“谁主管谁负责，谁运营谁负责，谁使用谁负责”的原则，注重技术与管理并重，着力构建全系统工控安全管理工作体系。

第五条  本指南用于指导河南省各级工业和信息化主管部门，以及企业和相关行业服务机构开展工控安全管理有关工作。

第二章 组织管理

第六条  各级工业和信息化主管部门是工控安全的监督管理部门，企业是工控安全的责任主体，科研院所、行业协会和联盟等机构是工控安全的技术支撑和服务单位。

第七条  省工业和信息化委员会负责指导全省工控安全管理工作，检查和监督全省各级各单位工控安全管理工作落实情况。具体如下：

（一）落实国家关于工控安全的法律法规和工作要求，研究制定全省关于工控安全的地方性法规、政策、规定和标准体系，指导各级各单位完善工控安全管理制度，健全工作机制；

（二）组织开展全省工控安全宣传教育，强化全社会加强工控安全管理的意识，加强工控安全管理和技术队伍建设；

（三）统筹安排全省工控安全应急管理工作，指导、协调和处理全省工控安全应急事件；

（四）定期组织全省工控安全检查评估，指导各级各单位开展工控安全自查和抽查；

（五）组织开展工控安全工作交流、技术研究，鼓励和扶持工控安全相关服务产业发展；

（六）其他有关工作。

第八条  地方各级工业和信息化主管部门在上级主管部门的指导下，开展本行政区域内工控安全管理工作。具体如下：

（一）指导本行政区域内各企业单位建立和完善工控安全管理制度，健全工作机制；

（二）组织本行政区域内企业和有关单位，接受上级主管部门的工控安全检查，定期组织所属企业开展工控安全检查评估；

（三）统筹安排本行政区域工控安全应急管理工作，指导、协调和处理所属工控安全应急事件；

（四）在本行政区域组织开展工控安全宣传教育，加强工控安全管理和技术队伍建设，指导开展工按安全技术研究和相关产业发展；

（五）其他有关工作。

第九条  企业应依据《工业控制系统信息安全行动计划（2018—2020年）》，建立工控安全责任制，建立健全工控安全管理制度和工作机制。贯彻落实《工业控制系统信息安全防护指南》的要求，持续加大工控安全投入，落实防护技术改造和隐患治理专项经费，积极开展防护能力评估。

第十条  相关科研院所、行业协会、联盟和安全测评服务等机构，在主管部门的领导下，或接受主管部门和企业单位委托，开展工控安全技术研究和安全测评，指导行业企业开展工控安全技术保障和服务工作。

第三章 企业管理

第十一条  工业企业是工业控制系统的拥有者和使用者，是工控安全的责任主体，应严格实施工业控制系统全生命周期安全防护，把工控安全作为工业生产安全的重要组成部分，纳入企业生产、经营、管理各环节。

企业建设工业控制系统时，应结合工业控制系统的具体特点，同步规划建设和运行相应的安全防护系统，选择并确定行之有效的工控安全技术措施和策略，确保所建工控系统安全可靠运行。

第十二条  企业应建立健全工控安全管理制度，成立信息安全协调小组，明确工控安全管理责任人，落实工控安全责任制。

企业应依据工控系统分类，严格实行备案管理，建立工控系统管理台帐。

企业应完善各类工控安全技术规范和制度，及时部署和升级工控安全防护措施。

第十三条  企业应定期开展工控安全自查，可委托第三方测评服务机构开展工控安全测评和风险评估工作。

组织自查时，应突出安全软件管理、安全配置策略、边界安全防护措施、物理和环境安全防护、身份认证应用与管理、远程访问控制、安全监测、资产管理、供应链管理等环节，具体内容参照《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》等有关规定。

企业应针对发现的问题及时制定整改措施，尽快堵塞安全漏洞，重大问题应及时向主管部门报告，根据需要提请主管部门给予技术支持。

第十四条  企业应主动接受并积极配合工控安全主管部门组织的工控安全监督检查，如实填写检查内容、报告有关情况。

第四章 监督检查

第十五条  各级工业和信息化主管部门应加强工控安全指导和监督，督促下一级主管部门和所属企业做好工控安全有关工作。

第十六条  各级工业和信息化主管部门应认真落实上级主管部门关于工控安全的工作部署，定期开展工控安全检查，制定检查计划，通报发现的问题，督促并验收整改情况。检查完成后撰写检查总结并报上级主管部门。

第十七条  各级工业和信息化主管部门结合辖区工控安全形势和具体情况，可灵活采取全面检查和抽样检查的方式开展安全检查，检查时应突出管理和技术并重，确保检查全面、彻底、到位。

管理类检查应突出组织建设、制度建设、工业控制系统人员安全管理、开发管理、运维管理、应急管理和风险评估等方面。

技术类检查应突出网络安全、设备安全、工业控制主机安全、工业控制应用软件安全、数据与通信安全、物理安全和控制设备安全等方面。

第十八条  各级工业和信息化主管部门应加强对本地区工控安全的日常监管，建立健全符合国家规定的信息通报员、日常信息通报、应急信息通报、风险预警等制度，及时收集整理和通报工控安全信息，形成快速高效、各方联动的信息通报预警体系。

各级工业和信息化主管部门应组织开展本地区工控安全风险监测工作，及时收集、研判工控安全风险信息，反馈并指导企业检查处置工控安全风险隐患。

对可能超出本地区应对能力范围的安全风险和事件信息应及时上报，必要时可向上级主管部门申请技术支持。

第十九条  各级工业和信息化主管部门应主动接受上级主管部门的工控安全指导和监督检查，积极协调安排相关工作。

第五章  应急管理

第二十条  各级工业和信息化主管部门应加强工控安全应急管理，按照政府指导、企业主体、预防为主、平战结合的原则，建立健全工控安全应急管理体系，制定应急预案，组织应急演练，做好工控安全事件的预防和应急处置工作。

第二十一条  省工业和信息化委员会指导全省各级工业和信息化主管部门、应急技术机构、企业等单位落实国家工控安全联络员机制。

第二十二条  省工业和信息化委员会指导应急技术机构、企业等单位落实国家工控安全应急值守机制，做好工控安全风险、威胁、事件信息日常监测和报告工作。应急响应状态下，实行“7×24”小时值守，加强信息监测、收集与研判，做好信息跟踪报告。

第二十三条  省工业和信息化委员会指导地方各级工业和信息化主管部门、工控安全技术机构、企业等单位组织做好工控安全应急处置工作。

（一）对于可能发生或已经发生的工控安全事件，企业应立即开展应急处置，尽快恢复受损工业控制系统的正常运行。事发企业应急处置力量不足时，可请求上级主管部门协调应急技术机构提供支援；

（二）各级工业和信息化主管部门和企业应及时报告事态发展变化情况和事件处置进展情况。报告信息一般包括以下要素：事件涉及的工业控制系统名称及运营管理单位、时间、地点、原因、来源、类型、性质、危害、影响范围、发展趋势、处置措施等；

（三）各级工业和信息化主管部门协调应急技术机构，指导、协助事发企业开展应急处置工作；

（四）应急处置结束、系统恢复运行后，相关企业应做好事件分析总结工作，尽快消除不良影响，按要求上报总结报告。工业和信息化主管部门和相关人员应做好工控安全事件的舆论宣传和引导工作。

第二十四条  工控安全应急的保障措施

（一）各级工业和信息化主管部门、所属企业应制定本部门本单位工控安全事件应急预案，定期组织应急演练，工控安全服务机构应积极参与各项工作；

（二）各级工业和信息化主管部门应组建省工控安全应急专家组，加强对应急管理工作的技术支持；

（三）各级各单位应建立健全应急技术保障队伍，加强技术培训，保证应急管理有充足的资源和技术储备。

第六章  服务与支持

第二十五条  各科研院所、信息安全企业、行业协会和联盟、信息安全测评等服务机构应积极参与工控安全管理、技术研发、推广应用和技术服务等工作，接受主管部门和企业单位委托，开展各类工控安全技术检测、专题研究和安全服务等工作。

第二十六条  工控安全服务机构受主管部门和企业单位委托，应重点做好以下工作：

（一）协助制定内部安全管理制度和操作规程，确定网络安全负责人，落实工控安全保护责任；

（二）检测防范计算机病毒和网络攻击、网络侵入等危害工控安全行为的漏洞，并协助完善技术措施；

（三）监测、记录网络运行状态、工控安全事件的技术策略，并按照规定留存相关的网络日志不少于六个月；

（四）采取分析数据分类保存、重要数据备份和加密等措施应用情况；

（五）法律、行政法规规定的其他义务。

第二十七条  企业应参照工业和信息化部会同国家有关部门发布的工业控制系统关键设备和网络安全专用产品目录，选购符合国家相关要求和行业标准的工业控制系统与安全专用产品。

第二十八条  鼓励企业、科研院所加大工控安全投入，建设工控安全靶场、仿真测试等共性技术平台，加强关键技术攻关，探索新兴应用的安全架构设计，开展工业互联网安全防护技术研究和创新，推广安全可信的工控安全产品和服务。

第二十九条  各级工业和信息化主管部门应加快推动工控安全社会化服务体系建设，鼓励有关企业、机构开展工控安全认证、检测和风险评估等安全服务，做大做强工控安全服务产业。

第三十条  积极推进国家工控安全在线监测网络河南省级分中心建设。河南省级分中心建成后，具备监控全省重要工业控制系统运行状态、风险隐患实时感知、精准研判和科学决策等功能。

第三十一条  本指南自发布之日起施行。