工业控制系统信息安全自查表

工控系统信息安全防护能力评估检查表
严格安全测试
定变更计划并进行影响分
安全防护
（4项 6.5分）
应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证
应急预案演练（7项 10分）
（9项 11分）
据进行保护，根据风险评估结果对数据信息进行分级分类管理
（3项 9分）制、成立信息安全协调小组等方式，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施
检查人：经办人：
部门领导：。

附件：重要工业控制系统基本情况调查表及说明填表单位：（盖章）填报日期：年月日填报说明一、调查范围本调查表中的重要工业控制系统是指在钢铁、有色、化工、电力、天然气、装备制造、环境保护、城市供水供气供热以及其他与国计民生紧密相关的领域中建设应用，采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术，对生产设备进行状态监测、调度控制的系统。

对于一旦出现问题，可能导致等级安全事故的工业控制系统为本次调查对象。

其中，以可能导致以下后果之一的工业控制系统为主要调查对象。

1. 3人以上死亡或10人以上重伤；2. 1000万元以上直接经济损失；3. 影响10万人（含）以上正常生活；4. 对国家安全、社会秩序、经济建设和公共利益产生重大影响和严重后果。

5. 影响本单位正常生产经营活动产生无法有效提供产品、服务等严重后果。

二、保密要求根据填写内容敏感程度确定是否涉密，并在调查表上明确标识。

三、填报要求1. 工业控制系统因在各行业的应用场景不同而类型不同。

填表单位仅填写自身运营的工业控制系统相关情况，无某系统类型则调查表二中相应类型的表格可不填写。

2. 表格中下划线表示需要填写的详细情况，可出格填写或另外附纸。

3. 报送材料需加盖单位公章。

以下填报材料涂红部分属于填报重点，图黄部分是填报重点说明。

工业控制系统信息安全管理情况调查表一一、运营单位基本情况2按照《事业单位登记管理暂行条例》登记的，为社会公益目的、由国家机关举办或者其他组织利用国有资产举办的，从事教育、科技、文化、卫生等活动的社会服务组织。

3按照《中华人民共和国企业法人登记管理条例》登记注册的三类经济组织：（1）全部资产归国家所有的（非公司制）国有企业；（2）全部资产归国家所有的国有独资有限责任公司；（3）由国有资本占控制地位的有限责任公司和股份有限公司，此处称国有控股公司。

4包括港、澳、台资本和其他地区外资资本设立的独资或控股的独资公司、有限责任公司和股份有限公司。

附件工业控制系统信息安全自查表填表说明一、组成结构本表包含三个分表：（1）工业控制系统信息安全检查情况汇总表（2）工业控制系统运营单位基本情况表（3）工业控制系统信息安全自查表二、填写对象各分表填写责任人如下：（1）工业控制系统信息安全检查情况汇总表：由各地经济和信息化主管部门指定专人负责汇总填写。

（2）工业控制系统运营单位基本情况表：由各工业控制系统运营单位指定专人负责填写。

（3）工业控制系统信息安全自查表：由工业控制系统运营单位的各工业控制系统负责人填写。

表1 工业控制系统信息安全检查情况汇总表1 重要工业控制系统是指与国家安全、国家经济安全、国计民生紧密相关的，如钢铁、有色、化工、装备制造、电子信息、核设施、石油石化、电力、天然气、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等工业生产领域中的工业控制系统。

2 工业主机是指工业生产控制各业务环节涉及组态、操作、监控、数据采集与存储等功能的主机设备载体，包括工程师站、操作员站、历史站等。

表2 工业控制系统运营单位基本情况表注1：工控系统基本情况可另附表说明。

注2：此处工业控制系统的划分原则为1）具体的完整的工业控制系统：以企业工业自动化生产过程为基础，属于企业的一个自动化生产全过程或一个工业自动化生产装置；或者是2）工业控制系统中相对独立的一部分：以企业工业自动化生产过程的局部环节为基础，属于企业的一个自动化生产全过程或一个工业自动化生产装置的工业控制系统中的相对独立的且物理边界清晰的某个安全区域或通信网络。

1 按照《国民经济行业分类》（GB/T4745-2011）规定填写。

2 按照《事业单位登记管理暂行条例》登记的，为社会公益目的、由国家机关举办或者其他组织组织利用国有资产举办的，从事教育、科技、文化、卫生等活动的社会服务组织。

3 按照《中华人民共和国企业法人登记管理条例》登记注册的三类经济组织：（1）全部资产归国家所有的（非公司制）国有企业；（2）全部资产归国家所有的国有独资有限责任公司；（3）由国有资本占控制地位的有限责任公司和股份有限公司，此处称国有控股公司。

工业控制系统信息安全调查问卷企业名称单位负责人通讯地址省市县（区）邮政编码企业网址联系电话经济类型1所属行业2填表人所在部门职务电话电子邮件填表时间注释:1企业经济类型:按国有事业单位、国有及国有控股企业、股份制企业、外商及港澳台投资企业、集体企业、民营企业等填写。

2所属行业：按照《国民经济行业分类》（GB/T4754-2011）规定填写。

3应用场所、控制对象是指所在分厂、生产车间、所控制的生产工艺加工过程、生产机械与装备。

4信息安全防护：产品中采用的信息安全技术与系统中集成的信息安全相关产品分别填写，可参考备注中的内容填写编号，备注中没有的内容请用文字填写。

1、企业主要工控系统应用基本情况主要工控系统数据采集监控系统(SCADA)分布式控制系统(DCS/FCS)工业PC机(IPC)数控系统(CNC)安装数量、投资情况目前总数_______台套总投资________万元2015年预计_____台套总投资________万元目前总数_______台套总投资________万元2015年预计_____台套总投资________万元目前总数_______台套总投资________万元2015年预计_____台套总投资________万元目前总数_______台套总投资________万元2015年预计_____台套总投资________万元产品来源 (国产品牌）供应商名称1、_________________数量：________台套2、_________________数量：________台套3、_________________数量：________台套供应商名称1、_________________数量：________台套2、_________________数量：________台套3、_________________数量：________台套供应商名称1、_________________数量：________台套2、_________________数量：________台套3、_________________数量：________台套供应商名称1、_________________数量：________台套2、_________________数量：________台套3、_________________数量：________台套产品来源(国外品牌）供应商名称1、_________________数量：________台套2、_________________数量：________台套3、_________________数量：________台套供应商名称1、_________________数量：________台套2、_________________数量：________台套3、_________________数量：________台套供应商名称1、_________________数量：________台套2、_________________数量：________台套3、_________________数量：________台套供应商名称1、_________________数量：________台套2、_________________数量：________台套3、_________________数量：________台套应用场所、控制对象3组网情况□不可联网□接入控制系统内部网络□无线接入□与管理信息系统连接□连入企业信息网□其它：_________□不可联网□接入控制系统内部网络□无线接入□与管理信息系统连接□连入企业信息网□其它：_________□不可联网□接入控制系统内部网络□无线接入□与管理信息系统连接□连入企业信息网□其它：_________□不可联网□接入控制系统内部网络□无线接入□与管理信息系统连接□连入企业信息网□其它：_________信息安全防护4系统中采用的信息安全防护技术硬件：_______________软件：_______________其它：_______________系统中采用的信息安全防护技术硬件：_______________软件：_______________其它：_______________系统中采用的信息安全防护技术硬件：_______________软件：_______________其它：_______________系统中采用的信息安全防护技术硬件：_______________软件：_______________其它：_______________ 系统中集成的信息安全产品1、_________________2、_________________系统中集成的信息安全产品1、_________________2、_________________系统中集成的信息安全产品1、_________________2、_________________系统中集成的信息安全产品1、_________________2、_________________备注：可参考以下信息安全防护机制、技术及产品填写：①专用操作系统、专用数据库②接入控制和身份鉴别③内容过滤④数据加密、VPN ⑤安全审计、漏洞扫描⑥防恶意软件(含病毒、蠕虫等) ⑦防火墙、防水墙与入侵检测⑧网络隔离⑨容灾备份信息安全防护存在的问题:信息安全责任约定是否已在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务？□是，主要内容包括：_____________________________________________________。

工控安全自查报告随着工业控制系统在各个行业的广泛应用，工控安全问题日益凸显。

为了保障工业生产的安全稳定运行，提高工控系统的防护能力，我们对本单位的工控安全状况进行了全面的自查。

本次自查旨在发现潜在的安全风险，评估现有安全措施的有效性，并制定相应的改进措施。

一、自查背景与目的随着信息技术的快速发展，工业控制系统逐渐与企业网络、互联网相连接，这使得工控系统面临着越来越多的安全威胁，如病毒、黑客攻击、恶意软件等。

一旦工控系统遭受攻击，可能会导致生产中断、设备损坏、数据泄露等严重后果，给企业带来巨大的经济损失和社会影响。

因此，加强工控安全防护，保障工业生产的安全稳定运行，已经成为企业面临的一项重要任务。

本次自查的目的是全面了解本单位工控系统的安全状况，发现存在的安全隐患和薄弱环节，评估现有安全措施的有效性，为制定针对性的安全策略和改进措施提供依据，提高工控系统的整体安全水平。

二、自查范围与内容本次自查涵盖了本单位所有涉及工业控制系统的部门和环节，包括生产车间、控制中心、网络设施、服务器、终端设备等。

自查内容主要包括以下几个方面：1、安全管理制度检查是否建立了完善的工控安全管理制度，包括安全策略、人员职责、操作流程等。

评估安全管理制度的执行情况，是否存在制度落实不到位的情况。

2、网络安全检查网络架构是否合理，是否存在网络分区不当、访问控制不严等问题。

检测网络设备的安全配置，如防火墙、路由器、交换机等，是否存在漏洞和风险。

评估网络通信的安全性，是否采用了加密传输、身份认证等措施。

3、主机与终端安全检查服务器、操作站、工程师站等主机的安全配置，如操作系统补丁更新、防病毒软件安装、账号管理等。

评估终端设备的接入管理，是否存在非法接入、移动存储设备滥用等问题。

4、应用系统安全检查工控应用系统的开发、测试、上线等环节是否遵循安全规范。

评估应用系统的权限管理、数据备份与恢复等功能的有效性。

5、数据安全检查数据的采集、传输、存储、使用等过程是否采取了加密、备份等安全措施。