工業和(hé / huò)信息化部關于(yú)印發《工業控制系統信息安全行動計劃（2018-2020年）》的(de)通知

工信部信軟[2017]316号
   

各省、自治區、直轄市及新疆生産建設兵團工業和(hé / huò)信息化主管部門，有關中央企業：

爲(wéi / wèi)貫徹落實《國(guó)務院關于(yú)深化制造業與互聯網融合發展的(de)指導意見》《國(guó)務院關于(yú)深化“互聯網+先進制造業”發展工業互聯網的(de)指導意見》等文件精神，加快我國(guó)工業控制系統信息安全保障體系建設，提升工業企業工業控制系統信息安全防護能力，促進工業信息安全産業發展，制定《工業控制系統信息安全行動計劃（2018-2020年）》。現印發你們，請結合實際，抓好貫徹落實。
   

附件：工業信息安全行動計劃（2018-2020年）
     

工業和(hé / huò)信息化部

2017年12月12日

附件

工業控制系統信息安全行動計劃

（2018-2020年）

工業控制系統信息安全（以(yǐ)下簡稱工控安全）是(shì)實施制造強國(guó)和(hé / huò)網絡強國(guó)戰略的(de)重要(yào / yāo)保障。近年來(lái)，随着中國(guó)制造全面推進，工業數字化、網絡化、智能化加快發展，我國(guó)工控安全面臨安全漏洞不(bù)斷增多、安全威脅加速滲透、攻擊手段複雜多樣等新挑戰。爲(wéi / wèi)全面落實國(guó)家安全戰略，提升工業企業工控安全防護能力，促進工業信息安全産業發展，加快我國(guó)工控安全保障體系建設，制定本行動計劃。

一、總體要(yào / yāo)求

（一）指導思想

全面貫徹落實黨的(de)十九大(dà)精神，以(yǐ)習近平新時(shí)代中國(guó)特色社會主義思想爲(wéi / wèi)指引，堅持總體國(guó)家安全觀，以(yǐ)落實企業主體責任爲(wéi / wèi)關鍵，緊緊圍繞新時(shí)期兩化深度融合發展需求，重點提升工控安全态勢感知、安全防護和(hé / huò)應急處置能力，促進産業創新發展，建立多級聯防聯動工作機制，爲(wéi / wèi)制造強國(guó)和(hé / huò)網絡強國(guó)戰略建設奠定堅實基礎。确保信息安全與信息化建設同步規劃、同步建設、同步運行。

堅持落實企業主體責任。确立企業工控安全主體責任地(dì / de)位，強化責任意識，把工控安全作爲(wéi / wèi)工業生産安全的(de)重要(yào / yāo)組成部分，将安全要(yào / yāo)求納入企業生産、經營、管理各環節。

堅持因地(dì / de)制宜分類指導。準确把握工控安全在(zài)不(bù)同行業、不(bù)同地(dì / de)區的(de)發展基礎和(hé / huò)特征，結合工控安全威脅的(de)多樣性和(hé / huò)複雜性，分類别、分層次、分步驟精準施策。

堅持技術和(hé / huò)管理并重。統籌技術防護與安全管理，充分運用先進技術提升工控安全防護能力，創新企業安全管理機制，全面落實安全管理制度。

（三）主要(yào / yāo)目标

到(dào)2020年，全系統工控安全管理工作體系基本建立，全社會工控安全意識明顯增強。建成全國(guó)在(zài)線監測網絡，應急資源庫，仿真測試、信息共享、信息通報平台（一網一庫三平台），态勢感知、安全防護、應急處置能力顯著提升。培育一批影響力大(dà)、競争力強的(de)龍頭骨幹企業，創建3-5個(gè)國(guó)家新型工業化産業示範基地(dì / de)（工業信息安全），産業創新發展能力大(dà)幅提高。

二、主要(yào / yāo)行動

（一）安全管理水平提升

落實企業主體責任。企業依據《中華人(rén)民共和(hé / huò)國(guó)網絡安全法》建立工控安全責任制，明确企業法人(rén)代表、經營負責人(rén)第一責任者的(de)責任，組建管理機構，完善管理制度。貫徹落實《工業控制系統信息安全防護指南》安全要(yào / yāo)求，持續加大(dà)工控安全投入，落實防護技術改造和(hé / huò)隐患治理專項經費，積極開展防護能力評估。

落實監督管理責任。工業和(hé / huò)信息化部統籌制定工控安全政策标準，開展宣貫培訓，定期組織全國(guó)檢查評估，對納入審查範圍的(de)工業控制系統産品與服務實施安全審查。地(dì / de)方工業和(hé / huò)信息化主管部門加快工控安全地(dì / de)方性法規建設，建立重要(yào / yāo)工業控制系統目錄清單，加強日常監督管理，安排專項資金推動地(dì / de)方監測、預警、應急等保障能力建設，持續完善地(dì / de)方工控安全保障體系。

（二）态勢感知能力提升

建設全國(guó)工控安全監測網絡。支持國(guó)家級工業信息安全技術機構持續完善主動監測、被動誘捕、威脅情報獲取等工控安全在(zài)線監測手段，擴展工業控制系統資産識别種類，提高識别精準度和(hé / huò)搜索效率。建設以(yǐ)國(guó)家工控安全在(zài)線監測平台爲(wéi / wèi)中心，涵蓋省級重要(yào / yāo)節點的(de)監測網絡，實現對全國(guó)重要(yào / yāo)工業控制系統運行狀态、風險隐患的(de)實時(shí)感知、精準研判和(hé / huò)科學決策。

實施信息共享工程。鼓勵行業主管部門、企業、科研院所、聯盟協會等機構和(hé / huò)個(gè)人(rén)積極參與信息共享工作，建立共享清單，明确共享内容，推動形成政府引導、企業主體、社會參與、利益共享的(de)工作機制。充分利用雲計算、大(dà)數據等技術手段，建設國(guó)家工控安全信息共享平台，實現信息的(de)安全、可靠、及時(shí)共享。

（三）安全防護能力提升

加強防護技術研究。支持建設工控安全靶場、仿真測試等共性技術平台，研發工控安全防護技術工具集，加強分區隔離、安全交換、協議管控等關鍵技術攻關。開展防護能力建設試點示範，形成可複制、可推廣的(de)安全防護整體解決方案。探索工業雲、工業大(dà)數據等新興應用的(de)安全架構設計，開展工業互聯網安全防護技術研究和(hé / huò)創新。

建立健全标準體系。制定工控安全分級、安全要(yào / yāo)求、安全實施、安全測評類标準，加快工控安全防護能力評估、工業控制系統設備産品安全、工業互聯網平台安全等急用先行标準的(de)發布和(hé / huò)應用，鼓勵企業、科研院所、行業組織等參與國(guó)際标準化工作。

（四）應急處置能力提升

開展信息通報預警。制定《工業信息安全信息報送與通報管理辦法》，建立信息通報員、日常信息通報、應急信息通報、風險預警等制度。建設工控安全信息通報預警平台，及時(shí)發布風險預警信息，跟蹤風險防範工作進展，形成快速高效、各方聯動的(de)信息通報預警體系。

建設國(guó)家應急資源庫。按照《國(guó)家網絡安全事件應急預案》總體要(yào / yāo)求，支持國(guó)家級工業信息安全技術機構建設應急資源庫，實現信息采集、輔助決策、預案演練等功能。在(zài)突發工業信息安全事件時(shí)，支撐行業主管部門協調技術專家和(hé / huò)專業隊伍對事件開展分析研判，并調動相關應急資源及時(shí)有效的(de)開展處置工作。

（五）産業發展能力提升

培育龍頭骨幹企業。面向工控安全領域産業發展需求，加快培育一批技術水平高、業務規模大(dà)、競争能力強的(de)工業控制系統生産企業和(hé / huò)安全服務商，支持龍頭骨幹企業突破核心技術，研發關鍵産品、提高服務能力、創新商業模式，聯合工業企業開展優秀産品及解決方案示範，推動行業應用。

創建國(guó)家新型工業化産業示範基地(dì / de)（工業信息安全）。選擇工業基礎雄厚、産業鏈條完備、聚集效應明顯的(de)地(dì / de)區建設國(guó)家新型工業化産業示範基地(dì / de)（工業信息安全）。圍繞工業控制系統技術研發、應用示範、産融合作、人(rén)才培養等關鍵環節，探索産業發展路徑，促進産業集聚發展，發揮先行先試和(hé / huò)示範帶動作用。

三、保障措施

（一）加強組織協調

在(zài)國(guó)家制造強國(guó)建設領導小組統一領導下，加強工控安全保障體系重大(dà)決策、重大(dà)工程和(hé / huò)重大(dà)問題的(de)統籌協調，全面落實行動計劃各項任務。各地(dì / de)工業和(hé / huò)信息化主管部門要(yào / yāo)加強本地(dì / de)區統籌管理，做好行動計劃的(de)貫徹落實和(hé / huò)組織保障。

（二）加大(dà)政策支持

堅持政府引導和(hé / huò)市場運作相結合，充分調動社會力量支持工控安全保障體系建設。支持有條件的(de)地(dì / de)方設立專項，加大(dà)對工控安全基礎設施建設、關鍵技術驗證測試平台建設、産業創新發展的(de)支持力度。利用國(guó)家政策性信貸資金支持工業信息安全産業示範基地(dì / de)建設。

（三）加快人(rén)才培養

鼓勵工業企業加強與院校合作，聯合培養工控安全專業人(rén)才。打造國(guó)家工控安全高端智庫，爲(wéi / wèi)工控安全戰略部署、規劃制定、決策咨詢、重大(dà)問題提供智力支持和(hé / huò)技術支撐，培養一支門類齊全、技術精湛的(de)工控安全專業人(rén)才隊伍。

（四）鼓勵社會參與

充分發揮行業協會、産業聯盟等中介組織的(de)積極作用，支持開展技術研發、技能競賽、标準推廣、公共服務、國(guó)際合作等工作，促進技術交流、加強信息溝通，形成政産學研用高效聯動的(de)發展格局。

來(lái)源：信息化和(hé / huò)軟件服務業司