第二堂课 工业控制系统信息安全标准体系

一、国家、部委、行业法规和通知

目前，工业控制系统信息安全已引起国际社会的广泛关注，成立专门工作组，相互协作，共同应对工业控制系统信息安全问题，对工业控制系统信息安全提出要求，建立相关国际标准。

我国也正在抓紧制定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。

（一）国家层面法规和通知

2012年6月28日，国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）明确要求：保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行安全风险和漏洞通报制度。

2016年11月7日，十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》，并于2017年6月1日起施行。网络安全法共有7章79条，内容十分丰富，归纳总结大概有6方面突出亮点：网络安全法明确了网络空间主权的原则；明确了网络产品和服务提供者的安全义务；明确了网络运营者的安全义务；进一步完善了个人信息保护规则；建立了关键信息基础设施安全保护制度；确立了关键信息基础设施重要数据跨境传输的规则。

（二）部委、行业法规和通知

2011年9月，工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》[2011]451号）明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求，并且在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理6个方面提出了明确的要求。文中明确指出：“全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。”

2013年8月12日，在国家发展和改革委员会《关于组织实施2013年国家信息安全专项有关事项的通知》中，工控安全成为四大安全专项之一，国家在政策层面给予工控安全大力支持。

电力行业已陆续发布《电力二次系统安全防护规定》、《电力二次系统安全防护总体要求》等一系列文件。

2016年10月17日，工业和信息化部发布的《工业控制系统信息安全防护指南》指出：工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面做好工控安全防护工作。

2017年5月31日，工业和信息化部印发《工业控制系统信息安全事件应急管理工作指南》的通知，对工控安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了一系列管理要求，明确了责任分工、工作流程和保障措施。

2017年7月31日，工业和信息化部印发《工业控制系统信息安全防护能力评估工作管理办法》的通知，明确了评估管理组织、评估机构和人员要求、评估工具要求、评估工作程序、监督管理和工业控制系统信息安全防护能力评估方法。

2017年12月29日，工业和信息化部印发《工业控制系统信息安全行动计划（2018—2020）》，明确提出坚持安全和发展同步推进、坚持落实企业主体责任、坚持因地制宜分类指导、坚持技术和管理并重四大基本原则，其中，因地制宜分类指导与技术和管理并重原则对于实现供给侧改革，为工业企业提供既安全又经济的工控安全解决方案，推进工业控制系统信息安全产业的可持续发展具有现实的指导意义。