工业控制系统信息安全管理制度(修订版)

第一章总则第一条为加强企业工业控制系统（工控系统）的安全管理，确保工控系统的稳定运行，保障企业生产安全和信息安全，根据国家有关法律法规和行业标准，结合本企业实际情况，制定本制度。

第二条本制度适用于企业内部所有工控系统的安全信息管理。

第三条本制度遵循以下原则：1. 预防为主、防治结合；2. 安全第一、以人为本；3. 信息共享、协同应对；4. 依法管理、规范操作。

第二章安全信息管理职责第四条企业工控安全信息管理由以下部门负责：1. 信息安全管理部门：负责工控系统的安全规划、安全评估、安全培训和应急响应等工作；2. 工控系统运维部门：负责工控系统的日常运行维护、安全监测和故障处理等工作；3. 生产管理部门：负责工控系统与生产过程的结合，确保生产安全；4. 各部门负责人：对本部门工控系统的安全信息管理负直接责任。

第五条各部门职责如下：1. 信息安全管理部门：（1）制定工控系统安全管理制度，并监督实施；（2）组织工控系统安全评估，发现安全隐患及时整改；（3）组织开展工控系统安全培训，提高员工安全意识；（4）建立健全工控系统安全应急响应机制；2. 工控系统运维部门：（1）负责工控系统的日常运行维护，确保系统稳定；（2）定期对工控系统进行安全监测，发现异常情况及时处理；（3）配合信息安全管理部门开展安全评估和应急响应；3. 生产管理部门：（1）协调工控系统与生产过程的结合，确保生产安全；（2）监督工控系统运行过程中的安全操作；（3）定期检查工控系统的安全状况，发现隐患及时报告；4. 各部门负责人：（1）组织本部门员工学习工控系统安全管理制度；（2）监督本部门员工遵守工控系统安全操作规程；（3）对本部门工控系统的安全信息管理负直接责任。

第三章安全信息管理内容第六条工控安全信息管理主要包括以下内容：1. 工控系统安全管理制度；2. 工控系统安全策略和配置；3. 工控系统安全监测数据；4. 工控系统安全事件报告；5. 工控系统安全漏洞信息；6. 工控系统安全培训资料；7. 工控系统安全应急响应预案。

工业控制系统信息安全管理制度1适用范围为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。

本制度适用于DCS及DEH系统以及辅控网DCS。

2计算机使用管理2.1工程师站严格按照权限进行操作，无关人员不准使用。

2.2工程师站、操作员站等人机接口系统应分级授权使用。

严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。

2.3每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。

口令字长应大于6个字符并由字母数字混合组成。

修改后的口令应填写《DCS系统机器密码记录》，妥善保管。

2.4计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。

如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。

2.5使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。

3软件保护3.1严禁在计算机控制系统中使用其他无关软件。

除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。

3.2禁止向DCS网络中连接系统外接计算机、手机。

3.3在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。

4软件的修改、保存及维护4.1更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。

4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》并及时做好修改后的数据备份工作。

5软件和数据库备份5.1计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。

设备检修管理制度工业控制系统信息安全管理制度1 适用范围为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。

本制度适用于DCS及DEH系统以及辅控网DCS。

2 计算机使用管理2.1 工程师站严格按照权限进行操作，无关人员不准使用。

2.2 工程师站、操作员站等人机接口系统应分级授权使用。

严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。

2.3 每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。

口令字长应大于6个字符并由字母数字混合组成。

修改后的口令应填写《DCS系统机器密码记录》，妥善保管。

2.4 计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。

如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。

2.5 使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。

3 软件保护3.1 严禁在计算机控制系统中使用其他无关软件。

除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。

3.2 禁止向DCS网络中连接系统外接计算机、手机。

3.3 在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。

4 软件的修改、保存及维护4.1 更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。

4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》，并及时做好修改后的数据备份工作。

5 软件和数据库备份5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。

工业和信息化部关于印发《工业控制系统信息安全行动计划（2018-2020年）》的通知文章属性•【制定机关】工业和信息化部•【公布日期】2017.12.12•【文号】工信部信软〔2017〕316号•【施行日期】2017.12.12•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】电子信息正文工业和信息化部关于印发《工业控制系统信息安全行动计划（2018-2020年）》的通知工信部信软〔2017〕316号各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门，有关中央企业：为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等文件精神，加快我国工业控制系统信息安全保障体系建设，提升工业企业工业控制系统信息安全防护能力，促进工业信息安全产业发展，制定《工业控制系统信息安全行动计划（2018-2020年）》。

现印发你们，请结合实际，抓好贯彻落实。

附件：工业信息安全行动计划（2018-2020年）工业和信息化部2017年12月12日附件工业控制系统信息安全行动计划（2018-2020年）工业控制系统信息安全（以下简称工控安全）是实施制造强国和网络强国战略的重要保障。

近年来，随着中国制造全面推进，工业数字化、网络化、智能化加快发展，我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。

为全面落实国家安全战略，提升工业企业工控安全防护能力，促进工业信息安全产业发展，加快我国工控安全保障体系建设，制定本行动计划。

一、总体要求（一）指导思想全面贯彻落实党的十九大精神，以习近平新时代中国特色社会主义思想为指引，坚持总体国家安全观，以落实企业主体责任为关键，紧紧围绕新时期两化深度融合发展需求，重点提升工控安全态势感知、安全防护和应急处置能力，促进产业创新发展，建立多级联防联动工作机制，为制造强国和网络强国战略建设奠定坚实基础。

工业和信息化部关于加强工业控制系统信息安全管理的通知文章属性•【制定机关】工业和信息化部•【公布日期】2011.09.29•【文号】工信部协[2011]451号•【施行日期】2011.09.29•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】劳动安全保护正文工业和信息化部关于加强工业控制系统信息安全管理的通知（工信部协[2011]451号）各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

二、明确重点领域工业控制系统信息安全管理要求加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

工业控制系统管理制度工业控制系统管理制度是企业或工厂为了保障工业控制系统正常运行、确保生产安全、防止信息泄露等方面起到重要作用的制度。

下文将以为例，就工业控制系统管理制度的制定、内容、执行等方面进行介绍。

一、制定工业控制系统管理制度的必要性随着工业技术的不断发展，工业控制系统在现代化生产中扮演着越来越重要的角色。

在工业控制系统建设过程中，确保其安全、稳定运行显得尤为重要。

然而，在实践过程中，不少企事业单位对工业控制系统的管理存在不足，出现了安全漏洞和泄露信息的情况。

因此，制定一套科学合理、可行、具有实际效果的工业控制系统管理制度，对于企业和生产的安全保障具有重要的作用。

二、工业控制系统管理制度包含的内容1.控制系统安全方面针对控制系统的可信性、可用性、可扩展性等方面展开全面的安全建设，包括系统的物理安全、网络安全、应用安全、数据安全以及控制策略的稳健性等方面。

制度体系涵盖了控制系统的安全管理、安全监控、安全测试、安全事件管理，确保控制系统的高度安全性。

2.技术安全方面从技术安全的角度出发，对控制系统的技术和设备进行进一步的优化和调整，包括设备的制造、运行、维修、更新、替换等重要环节。

同时，针对一些常见的技术问题，例如设备故障、设备误操作等方面，增加响应机制，使工业控制系统能够尽可能地保持稳定状态。

3.信息安全方面信息安全是工业控制系统管理制度的又一重点。

在信息安全指南中，针对信息管理、数据存储、网络安全等方面进行全面规划和细节补充，包括具体的信息管理实施方案、访问控制政策、数据加密方案等等。

主要目的是确保机密信息不被窃取，潜在威胁不会影响企业经营技术运营。

4.别名安全方面工业控制系统管理制度还必须覆盖别名安全方面的内容，例如授权合法身份认证、身份信息存储、身份验证等。

在这个方向，需要根据实际的网络设备行业技术要求，制定有效的安全策略和技术标准，以确保整个安全控制系统的可用性和稳健性。

三、工业控制系统管理制度的执行在制度的执行过程中，首先需要负责人带领并组织相关人员，执行这些安全制度。

工业控制系统信息安全标准工业控制系统信息安全是指通过技术手段保护工业控制系统中的信息资源，确保系统的可靠性、稳定性和安全性。

随着工业控制系统的智能化和网络化发展，信息安全问题日益突出，因此制定和实施信息安全标准显得尤为重要。

首先，工业控制系统信息安全标准应包括系统安全管理、网络安全、数据安全、应用软件安全等方面。

在系统安全管理方面，应建立完善的安全管理制度和流程，包括安全培训、安全意识教育、安全事件响应等，以保证系统的正常运行和安全性。

在网络安全方面，应采取网络隔离、访问控制、流量监测等措施，防范网络攻击和恶意入侵。

在数据安全方面，应加强数据加密、备份和恢复机制，保护系统中的重要数据不被篡改或丢失。

在应用软件安全方面，应对系统中的应用软件进行安全审计和漏洞修复，确保系统不受恶意软件的侵害。

其次，工业控制系统信息安全标准应符合国际标准和行业规范，如ISA/IEC 62443系列标准、国家信息安全等级保护标准等。

这些标准和规范对工业控制系统信息安全提出了具体要求和指导，有助于企业建立科学的信息安全管理体系，提高系统的安全性和稳定性。

另外，工业控制系统信息安全标准的制定和实施需要全员参与，包括技术人员、管理人员、安全人员等。

技术人员应了解系统的安全特性和安全漏洞，及时修复系统中存在的安全隐患；管理人员应制定和执行安全管理制度，确保安全政策得到贯彻执行；安全人员应负责安全事件的监测和响应，及时处置安全事件，保障系统的安全运行。

最后，工业控制系统信息安全标准的落实需要定期进行安全漏洞扫描、安全漏洞修复、安全事件监测等工作，保证系统的安全性和稳定性。

同时，应建立健全的安全管理体系和应急响应机制，确保在安全事件发生时能够及时有效地应对和处置，最大程度地减小安全事件对系统造成的损失。

综上所述，工业控制系统信息安全标准的制定和实施对于保障系统的安全运行和稳定性具有重要意义。

只有加强信息安全意识教育，建立完善的安全管理制度，全面提升系统的安全性和稳定性，才能更好地应对日益复杂的信息安全威胁，确保工业控制系统的正常运行。