“近年来,随着两化融合发展的不断深入,安全威胁向工业控制系统加速渗透,工业领域面临严峻的信息安全挑战。”为督促工业企业做好工业控制系统信息安全(以下简称工控安全)防护工作,工信部近日印发了《工业控制系统信息安全防护能力评估工作管理办法》(以下简称《管理办法》),旨在规范工控安全防护能力评估工作,切实提升工控安全防护水平。《管理办法》的编制以我国两化融合发展时期工控安全保障需求和工控安全防护工作推进为出发点和落脚点,以规范针对工业企业开展的工控安全防护能力评估活动为重点,加强了工控安全防护能力评估机构、人员和工具管理,明确了工控安全防护能力评估工作程序。

　　据了解,工信部于去年发布了《工业控制系统信息安全防护指南》(以下简称《防护指南》),从配置和补丁管理、边界安全防护、安全监测和应急预案演练等方面,对工业企业提出了30项工控安全防护要求。为检验《防护指南》的实践效果,综合评价工业企业工控安全防护能力,工信部于年初组织编制了《管理办法(初稿)》,并选择电力、化工、汽车、有色、石化、烟草6个重点行业开展了工控安全预评估工作,对《管理办法(初稿)》的科学性、合理性和可操作性进行检验,并结合工控安全预评估工作,对《管理办法(初稿)》进行了修改完善,经专家研讨论证,最终形成了《管理办法》。

　　工控安全防护能力评估是落实《防护指南》要求的一项具体工作,是对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展的安全防护能力综合评价。工信部相关负责人就《管理办法》进行解读时指出,工控安全防护能力评估工作管理涉及管理机构、评估机构、评估人员、评估工具等各要素,《管理办法》面向各类主体,围绕工作需求提出了基线标准,以加强体系化管理。《管理办法》明确了量化指标,提出从受理评估申请、组建评估技术队伍到形成评估报告的一系列评估工作程序,提供了具体可操作的工控安全防护能力评估方法。“管理组织机构是工控安全防护能力评估工作的核心。”上述负责人介绍,《管理办法》提出设立全国工控安全防护能力评估专家委员会,负责提供建议与咨询;设立全国工控安全防护能力评估工作组,具体负责管理工控安全防护能力评估相关工作。

　　要求评估机构应具备独立的事业单位法人资格,具有不少于25名工控安全防护能力评估专职人员,拥有工控安全防护能力评估所需的工具和设备,同时还应建立并有效运行评估工作体系。评估人员须遵守相关的法律、法规和规章,按照所在评估机构确定的工作程序和作业指导从事评估活动,并遵守保密规定。评估过程中使用的工具应符合相关可靠性和安全性要求,需通过评估工作组委托的国家级质检机构的检测和校验。《管理办法》制定了工控安全防护能力评估工作程序,包括受理评估申请、组建评估技术队伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评估工作、形成评估报告,细化了各阶段工作要求。

　　为保证工控安全防护能力评估工作顺利开展,评估工作组将通过公示、抽查、复核等方式对评估机构、人员进行监督管理,确保评估报告的准确性和合理性。此外,为配套《管理办法》的实施,以附件形式提供了工控安全防护能力评估方法,提出了工控安全防护能力评估的基本概念,对评估工作每一个环节进行细化,提出详细的工作步骤和实施方法。