海南省工业控制系统信息安全事件应急预案试行全文及附表.docx
- 文档编号:7826923
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:12
- 大小:165.39KB
海南省工业控制系统信息安全事件应急预案试行全文及附表.docx
《海南省工业控制系统信息安全事件应急预案试行全文及附表.docx》由会员分享,可在线阅读,更多相关《海南省工业控制系统信息安全事件应急预案试行全文及附表.docx(12页珍藏版)》请在冰豆网上搜索。
海南省工业控制系统信息安全事件应急预案试行全文及附表
附件1
海南省工业控制系统信息安全事件应急预案
(试行)
一、总则
(一)编制目的
为加强海南省工业控制系统信息安全(以下简称工控安全)应急工作管理,建立健全工控安全应急工作机制,提高应对工控安全事件的组织协调和应急处置能力,预防和减少工控安全事件造成的损失和危害,保障工业生产正常运行,维护国家经济安全和人民生命财产安全,编制此预案。
(二)编制依据
本预案依据《中华人民共和国网络安全法》《中华人民共和国突发事件应对法》《中华人民共和国数据安全法》《国家网络安全事件应急预案》《加强工业互联网安全工作的指导意见》(工信部联网安〔2019〕168号)《工业控制系统信息安全事件应急管理工作指南》(工信部信软〔2017〕122号)《海南省人民政府突发公共事件总体应急预案》(海南省人民政府令第201号)等法规政策和《GB/Z20986-2007信息安全技术信息安全事件分类分级预案》《GB/T36324-2018信息安全技术工业控制系统信息安全分级规范》等标准规范编制。
(三)适用范围
本预案适用于海南省各级工业和信息化主管部门(以下简称工信部门)、工控企业开展工控安全事件应急管理工作。
本预案所指工控安全事件是指由于人为、软硬件缺陷或故障、自然灾害等原因,对工业控制系统(以下简称工控系统)及其中的数据造成或者可能造成危害,影响正常工业生产的事件。
(四)工作原则
坚持政府指导、企业主体,坚持预防为主、平战结合,坚持快速反应、科学处置。
按照“谁主管谁负责、谁运营谁负责”的原则,建立和完善安全责任制及联动工作机制。
依据工作机制以及部门职能,各司其职,加强部门间、地区间的协调与配合,形成合力,共同做好工控安全事件的预防和处置工作。
二、组织机构与职责
(一)省工业和信息化厅
海南省工业和信息化厅(以下简称省工信厅)成立由主要领导任组长的网络安全领导小组,负责贯彻国家有关应急工作的法规政策,统筹指导全省工控安全事件应急工作,决策和协同应急处置过程中的重大事项。
省工信厅网络安全领导小组设立办公室(以下简称厅领导小组办公室),协调推进全省工控安全事件应急工作,建立健全工作机制,搜集、处理与协调发布工控安全事件信息,制订应急预案及配套文件,组织开展全省工控安全宣传教育和工作交流。
编制重点工业控制系统运营单位清单(以下简称重点工控企业),定期组织全省工控安全评估,组织开展工业控制系统安全事件预案应急演练或网络对抗演练,指导各市县工信部门、工控企业做好工控安全应急工作。
根据应急事件等级,适时组建工控安全应急支撑专家队伍,参与态势研判、威胁预警、应急处置、事件调查与评估等工作,为工控安全事件的预防和处置提供技术咨询和决策建议。
(二)市县工信部门职责
各市县工信部门参照省工信厅组建相应应急组织,在上级主管部门的指导下,指导本地区工控安全应急管理工作;指导、协调和处理本地区工控安全应急事件;编制本行政区工控安全应急预案;在本行政区域组织开展工控安全宣传教育;指导完善本行政区域内各企业工控安全管理制度;组织本行政区域内企业和有关单位接受上级主管部门的工控安全检查;组织开展本行政区域内工业控制系统安全事件预案应急演练或网络对抗演练。
(三)工控企业职责
建设运营工业控制系统的工业企业(简称工控企业)是工控安全的责任主体,应严格实施工业控制系统全生命周期安全防护,把工控安全作为工业生产安全的重要组成部分,纳入企业生产、经营、管理各环节。
建设工业控制系统时,应结合工业控制系统的具体特点,同步规划建设和运行相应的安全防护系统,确保所建工控系统安全可靠运行。
工控企业应参照《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)《工业控制系统信息安全事件应急管理工作指南》(工信部信软〔2017〕122号)等有关规定,建立健全工控安全管理制度,成立信息安全管理协调机制,明确工控安全管理责任人,落实工控安全责任制;应依据工控系统分类,建立工控系统管理台帐;应完善各类工控安全技术规范和制度,及时部署和升级工控安全防护措施。
工控企业应主动接受并积极配合工控安全主管部门组织的工控安全监督检查,如实填写检查内容、报告有关情况。
企业发现重大问题应及时向本级主管部门报告,按需组织外部技术支持。
三、常态工作
(一)机制建设
厅领导小组办公室指导各市县工信部门、应急技术机构、工控企业等建立工控安全联络员机制,根据工作需要组织召开联络员会议。
各相关单位指定工控安全应急工作联络员,联络员和联络方式发生变化时需及时报厅领导小组办公室。
厅领导小组办公室指导各市县工信部门、应急技术机构、工控企业共同建立工控安全应急值守机制,实行领导带班、专人值守工作制度,做好工控安全风险、威胁、事件信息日常监测和研判,做好信息跟踪报告。
(二)应急演练
各市县工信部门及工控企业制定本级工控安全事件应急预案,定期组织应急演练,检验和完善预案。
重点工业市县工信部门每年指导本地区的重点工控企业至少开展一次应急演练,检验预案的可操作性,并将演练情况报厅领导小组办公室和本级网信部门。
省工信厅根据工作需要,每年不定期优选有关单位组织工业控制系统安全事件预案应急演练和网络对抗演练,提高实战能力。
(三)宣传和培训
省工信厅及各市县工信部门充分利用各种传播媒介及其他有效的宣传形式,加强工业控制系统信息安全事件预防和处置的有关法律、法规和政策的宣传,开展工业控制系统信息安全基本知识和技能的宣传活动和培训工作。
尤其对于工控安全事件性质、起因、范围、损失等,省工信厅及各市县工信部门做好舆论宣传和引导工作。
(四)安全检查
省工信厅组织技术人员或委托应急技术机构,定期对重点工控企业工控系统开展安全检查,发现安全问题,通报安全情况,提出整改措施,提升安全事件应对能力。
各市县工信部门结合辖区工控安全形势和具体情况,可灵活采取全面检查或抽样检查的方式开展安全检查。
检查时应突出管理和技术并重,发现安全问题并敦促整改。
如发现重大安全事件苗头性问题,必须报厅领导小组办公室和本级网信部门。
各重点工控企业原则上每年开展一次以上工控安全自查,及时发现和排除安全隐患,并将自查报告报属地工信部门,如有必要可报省工信厅。
(五)监测预警
1.预警分级
工控安全事件预警等级分为四级:
由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般工控安全事件。
2.安全监测
省工信厅依托工控安全应急技术机构、海南省工业互联网安全态势感知平台等,组织开展对全省重点工业企业、工控系统和网络关键节点开展安全监测,在可控范围内共享工控安全相关威胁情报信息。
各市县工信部门组织开展本地区工控安全监测工作,并定期将重要监测信息报厅领导小组办公室。
各工控企业组织开展本单位工控安全监测工作,可定期将重要监测信息报当地工信部门。
3.预警发布
厅领导小组办公室根据工控安全监测情况,适时召开安全形势分析会,发现可能影响全省工控安全的重大漏洞和风险后,确定和发布红色或橙色预警,对可能发生特别重大及以上工控安全事件的信息及时向工业和信息化部(以下简称工信部)报告。
各市县工信部门根据本地区工控安全监测情况,发现可能影响本地区工控安全的重大漏洞和风险后,确定和发布黄色及以下预警,并向有关工业企业通报情况,认为可能超出本地区应对能力范围的,应及时上报厅领导小组办公室。
预警通报信息内容包括:
事件的类别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
4.预警响应
(1)红色预警响应
厅领导小组办公室立即启动应急预案,联系有关专家,组织应急技术机构对事态发展情况进行分析研判,研究制定防范措施和应急工作方案,协调组织资源调度等各项应急处置准备工作。
跟踪事态发展,并将相关信息及时向厅网络安全领导小组、省委网信办和工信部相关管理部门报告。
有关市县工信部门实行24小时值班,相关人员保持通信联络畅通。
组织指导应急技术机构、有关工业企业开展应急处置准备工作,加强工控安全事件监测和事态发展信息搜集,及时将事态发展情况报厅领导小组办公室。
各省级应急技术机构进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
各工控企业要保持联络畅通,接到工信部门预警通报后,要积极落实工信部门要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。
(2)橙色预警响应
厅领导小组办公室立即启动应急预案,组织应急技术机构对事态发展情况进行分析研判,研究制定防范措施和应急工作方案,协调组织资源调度等各项应急处置准备工作。
密切关注事态发展,并将相关信息向厅网络安全领导小组报告,有关重大事项及时通报相关市县和工业企业。
有关市县工信部门相关人员保持通信联络畅通。
组织指导应急技术机构、有关工控企业开展应急处置准备工作,加强工控安全事件监测和事态发展信息搜集,及时将事态发展情况报厅领导小组办公室。
各市县应急技术机构保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。
各工控企业要保持联络畅通,接到工信部门预警通报后,要积极落实工信部门要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。
(3)黄色、蓝色预警响应
有关市县工信部门启动相应应急预案,组织开展应急处置准备工作。
各工控企业要保持联络畅通,接到工信部门预警通报后,要积极落实工信部门要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。
5.预警解除
预警发布部门根据实际情况解除预警,并及时发布预警解除信息。
四、敏感时期应急管理
在国家和海南省重要活动、会议等敏感时期,厅领导小组办公室统筹指导组织全省工业信息安全保障工作。
各市县工信部门、各企业要加强对重要工业信息安全保护对象的安全监测、预警和风险研判,对可能造成重大影响的风险和事件信息应第一时间上报主管部门和网信部门。
必要时,实行24小时零报告制度,重点单位、重要部位实施24小时值守,保持通信联络畅通。
企业应加强对重要工业信息安全保护对象的防护和巡查,原则上不在敏感时期对工业控制系统进行调整或升级。
五、事件分级
重点领域工控系统是指与国计民生紧密相关的工业生产领域中的工控系统,如石油、天然气、化工、电力、建材、民爆、生物医药等。
一般领域工控系统是指上述重点领域之外的其他工业生产领域工控系统。
(一)Ⅰ级工控安全事件
符合下列情形之一的,为Ⅰ级工控安全事件:
重点领域工控系统遭受特别重大损害,造成系统大面积瘫痪,丧失业务处理能力。
重点领域工控系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大。
事件影响全省或大部分地区,可能对经济建设、社会秩序、公共利益、环境安全和人员生命造成特别严重损害。
(二)Ⅱ级工控安全事件
符合下列情形之一且未达到Ⅰ级工控安全事件的,为Ⅱ级工控安全事件:
重点领域工控系统遭受重大损害,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
重点领域工控系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大。
事件影响省内多个市县,可能对经济建设、社会秩序、公共利益、环境安全和人员生命造成严重损害。
(三)Ⅲ级工控安全事件
符合下列情形之一且未达到Ⅱ级工控安全事件的,为Ⅲ级工控安全事件:
一般领域工控系统遭受重大损害,或者重点领域的工控系统遭受损害,造成系统中断,明显影响系统效率,业务处理能力受到影响。
一般或重点领域的工控系统重要数据保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大。
事件影响在一个市县以内,可能对公民、企业和其他组织的合法权益及重要财产造成严重损害,或者对经济建设、社会秩序、公共利益、环境安全和人员生命造成损害。
(四)Ⅳ级工控安全事件
符合下列情形之一且未达到Ⅲ级工控安全事件的,为Ⅳ级工控安全事件:
一般领域工控系统遭受损害,造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响。
一般领域工控系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
事件影响在一个工控企业以内,可能对公民、企业和其他组织的合法权益及重要财产造成损害,但未损害社会秩序、公共利益、环境安全和人员生命。
六、应急处置
(一)事件报告
工控安全事件发生后,事发工控企业应立即启动应急预案,先行开展应急措施,并及时报告当地工信部门和网信部门。
事发地工信部门立即指导工控企业加强处置,控制事态,消除隐患,同时组织研判,保存证据,及时报告。
对于初判为Ⅳ级、Ⅲ级工控安全事件的,事发地工信部门将事件处置情况报同级网信部门。
对于初判为Ⅱ级工控安全及以上事件的,事发地工信部门应及时报告厅领导小组办公室和同级网信部门。
对于初判为Ⅰ级工控安全事件的,厅领导小组办公室应及时报告省级网信部门、省级应急管理部门和国家工信部。
后续处置应对情况也应及时报送,直至处置完毕。
报告信息主要包括:
事件涉及的工业控制系统名称及运营管理单位、时间、地点、原因、来源、类型、性质、危害、影响范围、发展趋势和处置措施等。
如在响应、处置工控安全事件时伴生或触发其它领域的安全事件,则按相关领域安全事件应急管理要求启动相应的应急预案,及时处置,并向各相关职能部门报告。
(二)应急响应
1.Ⅰ级响应
属Ⅰ级工控安全事件的,由厅领导小组办公室报厅网络安全领导小组批准后,启动I级响应。
厅网络安全领导小组成立应急指挥部,履行应急处置工作的统一领导、指挥和协调职责,24小时值班。
协调应急技术机构和专家队伍提供技术支援。
掌握事件动态,收集汇总有关情况,及时将事件情况报告省委网信办、省应急管理厅和国家工信部,并对应对工作进行决策部署。
事发市县工信部门进入应急状态,在指挥部的统一领导下,负责组织本地区应急处置和支援保障工作,24小时值班。
跟踪事态发展,检查影响范围,及时将事态发展情况上报应急指挥部。
事发工控企业及时采用口头、书面报告的形式,将事态发展变化情况、处置进展情况报告当地工信部门。
在当地工信部门的组织下,迅速实施应急处置,开展原因分析,保留网络攻击、网络入侵或网络病毒的证据等相关信息,尽快就工控安全事件中暴露出的网络弱点和缺陷制定有效措施,对网络设施和信息系统进行整改加固,解决安全问题,恢复受破坏系统的正常运行,减少危害和不良影响。
2.Ⅱ级响应
属Ⅱ级工控安全事件的,由厅领导小组办公室启动Ⅱ级响应。
厅领导小组办公室进入应急状态,组织事发市县的工信部门开展应急处置工作,将相关事项及时通报有关地区和工控企业,防止造成更大范围的影响和损失。
处置中需要其他市县工信部门和省级应急技术机构配合支持的,厅领导小组办公室予以协调。
事发市县工信部门负责做好本地区应急处置和支援保障工作,并及时将事态发展变化情况上报本级网信部门和厅领导小组办公室。
事发工控企业及时将情况上报当地工信部门,迅速实施应急处置,尽快恢复受破坏工控系统的正常运行。
3.Ⅲ级响应
属Ⅲ级工控安全事件的,由事发市县工信部门启动Ⅲ级响应。
事发市县工信部门按相关应急预案组织做好应急处置工作。
事发工控企业及时将情况上报当地工信部门和网信部门,保持联络畅通,积极实施应急处置,恢复受破坏工控系统的正常运行。
4.Ⅳ级响应
属Ⅳ级工控安全事件的,由事发工控企业启动Ⅳ级响应。
事发工控企业启动本企业应急预案,组织实施应急处置工作,并将处置情况报当地工信部门。
(三)应急结束
当工业信息安全事件应急处置已结束或事态得到全面控制时,Ⅰ级、Ⅱ级应急响应由厅领导小组办公室宣布响应终止,Ⅲ级应急响应由事发市县工信部门宣布响应终止,Ⅳ级应急响应由事发工控企业宣布响应终止。
(四)调查评估
在应急处置工作结束后,事发地市县工信部门指导事发工控企业立即组织有关人员和专家对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训。
总结调查报告应对事件涉及的工业控制系统名称及运营管理单位、时间、地点、原因、来源、类型、性质、危害、影响范围、发展趋势、处置措施等进行分析评估并提出改进措施。
Ⅱ级应急响应以上总结报告应在应急处置结束、系统恢复运行后30天内,由事发地市县工信部门以书面形式报厅领导小组办公室。
七、保障措施
(一)制度与机构保障
省工信厅、各市县工信部门及工控企业要落实工业信息安全应急工作责任制,把责任落实到具体部门,具体岗位和个人,建立健全应急工作机制。
各市县工信部门可建立本级应急技术机构。
(二)技术与人才保障
鼓励相关企业加大工控安全投入,建设工控安全靶场、仿真测试等共性技术平台,加强关键技术攻关,探索新兴应用的安全架构设计,开展工业互联网安全防护技术研究和创新,推广安全可信的工控安全产品和服务。
鼓励工控安全应急技术机构加强人才队伍建设,努力扩大专家队伍规模,提升专家技术水平,充分发挥专家队伍在工控安全应急处置工作中的作用。
(三)物资与经费保障
各工控企业加强对工控安全事件应急装备和工具的储备,及时调整、升级软硬件工具,不断增强应急技术支撑能力。
省工信厅及各市县工信部门积极利用现有政策和资金渠道,支持工控安全应急技术机构建设、基础平台建设、技术研发、应急演练、物资保障等,为工控安全应急管理工作提供必要的经费支持。
八、附则
(一)更新与管理
结合信息网络快速发展和我省经济社会发展状况,配合相关法律法规的制定、修改和完善,厅领导小组办公室适时组织修订本预案。
(二)施行时间
本预案自印发之日起施行。
附件2
监测预警和应急处置流程图
附件3
预警通报信息单
工控安全预警通报信息单
发布时间
发布机关
事件类别
警示事项
预警事项描述:
注明漏洞概述、风险来源、危害程度、影响范围、起始时间等
记录人:
时间:
建议采取的防护措施:
注明详细的防护操作、防护对象、负责企业(单位)、起始时间
拟制人:
时间:
市县工信部门意见:
签名
时间
厅领导小组办公室意见:
签名
时间
备注:
附件4
事件报告单
工控安全事件报告单
事发企业名称
事发系统名称
事发时间
事发地点
联系人
联系人电话
系统概述:
应注明事发系统业务职能、重要程度、涉及数据等
记录人:
时间:
事件概述:
应注明事件类型、来源、性质,以及目前造成的危害和影响范围
记录人:
时间:
处置措施:
应注明执行人、具体处置措施、完成时间、取得效果、后续计划等
拟制人:
时间:
事发市县工信部门审核意见:
签名
时间
厅领导小组办公室审核意见:
签名
时间
备注:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 海南省 工业 控制系统 信息 安全 事件 应急 预案 试行 全文 附表