关于印发《新形势下进一步做好工业控制系统网络安全防护工作方案》的通知
山西综改示范区管委会,各市工业和信息化局,有关企事业单位:
根据《工业和信息化部关于印发工业控制系统网络安全防护指南的通知》(工信部网安〔2024〕14号),为有效应对新的网络安全形势对工业控制系统网络安全带来的影响和危害,指导我省范围内使用、运营工业控制系统的企业切实落实工控安全主体责任,扎实做好安全管理、技术防护和安全运营等相关工作,进一步提升工业和信息化领域网络安全防护能力水平,护航全省新型工业化建设,我厅研究制定了《新形势下进一步做好工业控制系统网络安全防护工作方案》,现印发给你们,请结合实际抓好落实。
山西省工业和信息化厅
2024年3月5日
新形势下进一步做好工业控制系统网络安全防护工作方案
为有效应对工业企业数字化转型新形势对工业控制系统网络安全带来的风险挑战,督促工业企业工控安全主体责任落实,指导工业企业按照《工业控制系统网络安全防护指南》做好相关防护工作,夯实工业企业网络安全防护能力水平,有力支撑新型工业化,制定本方案。
一、总体要求
(一)指导思想
坚持以习近平新时代中国特色社会主义思想为指导,认真学习贯彻习近平总书记关于网络安全的重要指示精神,立足全省推进新型工业化大局,坚持总体国家安全观,以全面系统落实《工业控制系统网络安全防护指南》为抓手,以提升企业工控安全认识和能力水平为基础,以落实工控安全主体责任为关键,紧密围绕新型工业化发展需求,不断夯实全省工业企业工控安全防护能力,护航企业数字化转型,助力全省工业经济高质量发展。
(二)基本原则
坚持与时俱进,强化统筹衔接。结合推进新型工业化与全省制造业振兴升级背景下的新形势、新任务、新要求,聚焦新时期工业控制系统的新应用趋势及新安全风险,针对性开展工控安全防护工作。强化与《网络安全法》《数据安全法》《密码法》等法律法规及部门规章间的统筹衔接,切实提升工业企业安全防护水平。
坚持典型示范,带动全面提升。聚焦工业互联网企业、智能制造企业、智慧矿山、智能工厂等大量应用联网工控设备的企业,培育树选一批示范性强、可复制推广的典型案例,提炼试点示范经验,以点带面,带动全省工控安全能力提升。
坚持技管结合,压实主体责任。坚持技术和管理措施并重,推动建立安全防护手段、健全安全管理体制机制、完善应急处置措施方案,构建风险监测、安全评估、问题处置等流程机制,压实企业工控安全防护主体责任。
坚持生态培育,推动供需互促。面向典型工业场景和工控安全防护需求,支持企业开发满足市场和应用需求的产品、服务和解决方案,强化安全产业生态合作,促进供给质量和需求优化协调共进,推动工控安全向更高水平跃升。
(三)主要目标
到2025年,50家重点工业企业完成重要工业控制系统识别认定,形成我省重要工控系统防护清单。工业控制系统网络安全评估机制、流程和方式基本确立,完成50家重点企业工控系统安全防护评估诊断工作。一批成效显著、典型代表的工控安全防护方案,获评国家级典型案例、试点示范。
到2030年,全省工业企业工控安全防护意识明显提高、管理能力显著提升、防护水平大幅加强、运营基础不断夯实。
工控安全产品供给能力、服务质量明显提升,对工控安全支撑能力显著增强,检测评估、安全运维、应急服务等实现更高水平协同发展。
二、工作任务
(一)构建服务体系,做好支撑保障
建立贯通“省-市-县-企业”四级的上下联动、政企协同的工控安全工作体系。结合国家评估要求,试行开展工控安全评估机制建设,建立完善我省评估流程和标准。遴选建立省级工控安全技术服务支撑队伍,组建工控安全专家组、技术人才库。鼓励和支持省内工控安全机构、工业企业开展工控安全企业标准、地方标准的研制工作。
(二)摸清情况底数,明确管理重点
组织开展全省工控系统摸底排查工作,全面掌握全省工控系统资产底数。按照国家重要工控系统识别认定标准,认定我省重要工控系统,形成重要工控系统清单。并实行动态分级管理,明确重要工控系统防护责任,对重要工控系统定期巡检并予以企业技术支持,确保我省重要工控系统平稳运行。
(三)强化政策宣贯培训,提升安全意识
组织开展系列宣讲活动,以《工业控制系统网络安全防护指南》为重点,科学设置培训内容,以行业主管部门、工业企业等有关各方为重点,举办工控安全专题培训、主体论坛、沙龙活动等形势,做好国家法律法规和部门规范的宣贯解读,切实提升企业工控安全防护意识。组织开展工控安全防护现场教学观摩,根据典型工控系统生产实际,有针对性地开展教学和演示,直观展现典型工控系统安全防护要求,提升企业工控安全防护水平。
(四)组织攻防对抗演练,强化应急处置
组织开展工控安全攻防对抗及应急演练,搭建仿真工控生产场景,组建攻防队伍,聚焦安全薄弱关键环节,模拟真实环境下工控系统面临的网络安全风险,强化技术应对策略,直观展现工控系统遭受网络攻击的形式,以及监测预警、应急处置、风险评估、漏洞修复、生产恢复等处置流程,提升工业企业工控安全防护和应急处置能力。
(五)加强风险监测预警,降低安全隐患
加强对全省联网工控系统的监测预警,及时向属地工信部门通报监测发现安全风险信息,跟踪处置进展,及时跟进技术指导与服务,督促企业开展自查整改工作,切实消除安全隐患。同时,利用好工信部、省委网信办、省公安厅发布的风险信息资源,定期发布全省工控安全情况信息,为各级管理部门、相关企业工控安全管理及防护工作提供决策依据。
(六)开展评估诊断,夯实监管基础
结合工信领域网络与数据安全工作安排部署,统筹安排全省重点工业企业工控系统安全防护情况评估诊断工作,鼓励地市工信部门加强与集团公司合作,联合开展评估诊断,一对一“把脉问诊”企业工控安全防护情况,督促企业做好风险防范和处置。根据评估情况,开展现场抽查诊断,对现场评估和风险处置工作进行现场核查。
(七)压实主体责任,筑牢安全防线
按照“谁运营谁负责、谁主管谁负责”的原则,压实企业工控安全主体责任。坚持统筹发展和安全,落实好防护指南三十三项安全防护基线要求,坚持技术和管理措施并重,督促企业建立工控安全管理制度,明确工控安全保护责任,强化企业资源保障力度,确保安全技术措施与工业控制系统建设同步规划、同步建设、同步使用。
(八)选树优秀典型,增强示范引领
鼓励企业结合行业领域生产实际和工控系统运行使用情况,设计构建具有典型行业特点的工控安全防护策略,落地部署整体安全防护方案,培育树选一批示范性强、可复制推广的典型案例,利用好省级数字经济资金奖励引导机制,推荐参评国家级安全类典型案例和试点示范,提炼试点示范经验,以点带面,增强示范引领作用,带动全省工控安全能力提升。
(九)注重人才培养,加强队伍建设
鼓励企业建立企业级工控安全靶场,为安全技术人员提供安全测试、演练和研究的仿真环境,适时遴选授牌省级工控安全学院、安全靶场。组织开展工控系统安全赛事、赛项,通过学习、演练、竞赛,提升工控网络安全人员和运维人员的综合技术水平,提升工控安全应急能力。
(十)构建产业生态,推动供需互促
发挥山西省工业控制系统与安全产业联盟等相关组织的桥梁作用,积极推进山西省工业控制系统信息安全产业发展,加快构建我省工控安全产业发展生态,支持工控厂商与信息安全、商用密码等企业融合协作,面向企业应用需求,持续扩大优质、专业、先进的产品和服务供给,以更好的产品创新推动需求更新,实现良性循环。
三、工作要求
(一)提高思想认识。随着物联网、工业互联网、5G等新一代信息技术与工业领域的深度结合,工业控制系统开放互联趋势加快,面临的网络安全风险日益严峻。作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。各级、各有关部门一定要将思想认识迅速统一到工信部的工作部署上来,认真研究,扎实推动做好相关系列工作。
(二)加强组织领导。各级工信部门要从推进新型工业化的高度,加强对工控安全的组织领导,明确专门部门、专门人员承担工控安全工作,根据工信部指南和省厅方案部署,研究制定本地区、本部门、本单位行动计划和落实举措,加强上下协同配合,确保工作落实落细。
(三)加大政策支持。各级工信部门要充分运用好政策资源,为工控安全工作有效推进匹配政策、资金、人员、服务等各类保障,研究推动将工控安全工作纳入本地新型工业化和制造业振兴升级政策体系,纳入技术改造资金、数字经济发展资金以保障,为工作开展提供坚强政策及资金保障。
(四)扎实开展工作。各级工信部门要坚持目标导向、结果导向,统筹推进工控安全系列工作。面向工业企业组织开展政策宣贯培训、摸清企业工控系统使用和运行情况、扎实开展监督检查等相关工作,推动工控安全迈上新的台阶。
(五)强化考核评比。将工控安全工作作为全面乃至今后一段时期网络安全考核工作的一项重点内容,对各市工作进行打分排名,对工作成效突出的地市予以表彰,对工作拖沓导致辖区发生工控安全事件的地市予以通报,并在制造业专项考核中深化结果运用。扫一扫在手机打开当前页面