工业控制系统信息安全自查表格
工业控制系统安全服务资质认证自评估表(注明行业)【模板】
20.
服务规划阶段-组建服务团队
应考虑服务项目的目标、内容、范围等组建团队。
已完成项目的实施方案中对安全服务实施团队成员及团队构架的介绍。
队成员应由管理层、相关业务骨干、IT技术人员、熟悉生产系统业务人员等角色组成。
21.
选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求,熟悉工业控制系统业务流程,能与工业控制系统运行人员进行有效沟通。
已完成项目的实施方案,包含对运控制系统搭建临时模拟环境验证方案的证明材料。
18.
仅二级/一级要求:安全服务技术方案和实施方案应经过评审,并与客户达成一致。
已完成项目的实施方案经过客户评审的证明材料
19.
仅一级要求:确定实施过程的备份机制和应急处理方案,并与客户充分沟通,预测应急处理方案可能造成的影响。
22.
仅二级/一级要求:团队成员必须包括所服务业务领域工业控制系统专业知识人员,熟悉工业控制系统工作原理和业务流程。
已完成项目的实施方案中对安全服务实施团队人员中须包括所服务业务领域控制系统专业知识人员。
23.
仅一级要求:团队成员必须配备能够对工业控制系统进行应急处理服务人员。
已完成项目的实施方案中对安全服务实施团队人员中须包括对工业控制系统进行应急处理服务人员。
28.
仅二级/一级要求:结合项目需要,编制安全服务项目施工手册和作业指导书。
已实施项目中,有施工手册和作业指导书。
29.
仅二级/一级要求:对团队成员进行安全服务技能培训和工业控制系统业务知识的培训。
项目实施前的服务技能和工控系统业务Fra bibliotek识培训的证明材料。
30.
网络安全检查自查表
□是 □否
重要应用是否有备份恢复措施?
□是 □否
是否对系统重要数据采取加密措施?
□是 □否
12
数据安全保护
是否对系统重要数据采取校验措施保障数据的完 整性?
□是 □否
是否对系统重要数据的应用、流转等情况进行管
理?
□是 □否
是否制定信息系统网络安全事件(事故)处置操 作手册?
□是 □否
安全事件处
13
置、报告、追 责情况
姓名 办公电话
职务/职称 移动电话
责任部门联系人
姓名 办公电话
职务/职称 移动电话
单位信息系统 总数
第四级系统数 第二级系统数
第三级系统数 未定级系统数
单位信息系统 等级测评总数
第四级系统数 第二级系统数
第三级系统数 未测评系统数
单位信息系统 安全建设整改总数
第四级系统数 第二级系统数
第三级系统数 未整改系统数
是否要求信息系统发生网络安全事件(事故)第 一时间向公安机关报告?
□是 □否
是否制定安全事件责任制度?
□是 □否
是否建立了应急联络方式?
14
应急队伍建设 检查
是否建立了应急技术支援队伍?
是否与相关单位建立了应急协调机制?
是否已制定了网络安全应急预案?
本年度是否已开展了应急演练?
15
应急预案和演 练
系统互联情况
□与其他行业系统连接□与本行业其他单位系统连接 □与本单位其他系统连接□其它_____
系统经费投入情况
系统建设投入 _____万元;系统安全建设投入__年___月 ___日
二、国家级重要信息系统安全保护情况
是否指定专人负责资产管理,并明确责任人职 责?
关于信息安全检查表格填写常见问题
1、本单位需要填的信息系统是什么?答:(1)信息系统是指有本单位·自行发起购买或开发的信息系统·。
如:医院的HIS、PACS、LIS等,由本单位自行填写。
(2)由上级统一配发使用的,如:新农合系统、国家疾病预防控制系统、桂妇儿、广西人口计生管理服务信息平台等,由上级部门填写。
2、有什么单位或机构需要填写上报?3、为什么我填完了,导出还是不行?请确认是否填写完整,处备案表编号意外,没有则填‘0’或‘无’。
4、导出的文件在哪?在C盘---网络安全自查采集工具---export目录下。
5、信息系统运维单位表格怎么填写?请根据提示填写,提示基本结构为:执行项目+数量。
例图:6、如果没有系统或网站怎么填?7、行业主管部门表怎么填?表格的逻辑校验:8、网站表格怎么填写?无论什么性质网站,只要能通过域名访问80端口,且存在CMS(网站后台内容管理),就必须填写。
如果网站不为自己建设,根据表格填写要求与建设方联系获取相关信息,网站备案号可在‚ICP备案查询网‛进行查询。
9、表格内容看不到怎么办?系统版本过低导致无法识别脚本,如果安装了,还是无法查看,建议换一台机器在尝试。
10、说明怎么写?说明要注明系统、网站、工控系统的有无,附带介绍本单位信息化情况,如正在使用信息系统等,要有落款。
具体参考可咨询当地卫计局,以单位所在地区卫计局提供参考为准(因为信息会由当地卫计局上交至自治区)。
附带:《针对基层医疗卫生机构信息安全检查表问题的统一回答》下的回答内容:以下为针对基层医疗卫生机构(包括:社区卫生服务中心(站)、乡镇(街道)卫生院、村卫生室、门诊部、诊所(医务室))1、基层医疗卫生机构需要填写的表格。
基层医疗卫生机构填写表格标准:原则上四个表格均要填写,但由于各基层医疗卫生机构的具体情况不同,需要填写的情况为:(1)如果本机构存在自行发起购买、建设的信息系统的情况,需要填写“信息系统运营使用单位”下的表格;例如:自行发起购买或建设的门诊系统(HIS)、影像系统(PACS)、实验室系统(LIS)等。
信息安全等级保护工作自查表(精)
4-2是否建立防范计算机病毒、网络入侵和攻击破坏等技术措施
□是 □否
4-3是否建立系统运行和用户日志记录保存在60日以上措施
□是 □否
4-4使用内部IP地址,通过网络地址转换技术上网的用户,上网日志应包括上下网时间,用户名,网卡地址、内外地址的对应关系等
□是 □否
五、信息安全产品选择和使用情况
信息安全等级保护工作自查表
01单位名称
02单位地址
省(自治区、直辖市)地(区、市、州、盟)
县(区、市、旗)
03邮政编码
04单位
负责人
姓名
职务/职称
办公电话
电子邮件
05责任部门
06责任部门
联系人
姓 名
职务/职称
办公电话
电子邮件
移动电话
07隶属关系
1中央2省(自治区、直辖市)3地(区、市、州、盟)
4县(区、市、旗)9其他
7-1是否组织本单位的安全管理人员进行培训
□是 □否
7-2安全管理人员是否经过公安机关培训(不少于2人)
□是 □否
八、其它应当检查的情况
情况说明
(单位印章)
年月日
单位主管人员(签名)
5-1选择使用的信息安全产品是否经过公安部许可,省公安厅备案
□是 □否
六、定期自查情况
6-1是否定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。
□是 □否
6-2经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位是否进一步进行安全建设整改
□是 □否
七、信息安全知识和技能培训情况
三、信息安全管理制度建立和落实情况
3-1是否建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度
信息安全系统自查表附件
第三级系统数 未整改系统数
单位信息系统 安全自查总数
第四级系统数 第二级系统数
第三级系统数 未自查系统数
文案大全
实用文档
二、信息系统运营使用单位网络安全工作情况 1、单位网络安全等级保护工作的组织领导情况 (重点包括:单位网络安全领导机构或网络安全等级保护工作领导机构成立情况;单位网络 安全或网络安全等级保护工作的职责部门和具体职能情况;单位网络安全等级保护工作部署 情况等。)
文案大全
实用文档
附件 3
2017年重点单位网络安全自查表
表一:行业主管部门填写
一、行业主管部门基本情况
行业主管部门名称 单位地址
网络安全分管领导
姓名
职务 / 职称
网络安全责任部门
责任部门负责人
姓名 办公电话
职务 / 职称 移动电话
姓名
职务 / 职称
责任部门联系人
办公电话
移动电话
传真
邮箱地址
全行业信息系统 总数
第四级系统数 第二级系统数
第三级系统数 未定级系统数
全行业信息系统 等级测评总数
第四级系统数 第二级系统数
第三级系统数 未测评系统数
全行业信息系统 安全建设整改总数
第四级系统数 第二级系统数
第三级系统数 未整改系统数
本级单位信息系统 总数
第四级系统数 第二级系统数
第三级系统数 未整改系统数
文案大全
实用文档
12、行业新技术、新应用安全保护情况 (重点包括:行业大数据、云计算、物联网、工业控制系统等应用情况;是否开展等级保护 工作情况;新技术、新应用网络安全保护等情况。)
文案大全
实用文档
表二:信息系统运营使用单位填写
工业控制系统信息安全自查工作报告
工业控制系统信息安全自查工作报告
附件2
工业控制系统信息安全自查工作报告参考格式
一、报告名称
×××(单位名称)2018年工业控制系统信息安全检查总结报告。
二、报告内容要求
(一)组织开展工业控制系统基本情况
概述检查工作组织开展情况、所梳理的工业控制系统基本情况。
(二)检查发现的主要问题和面临的威胁分析
1.发现的主要问题和薄弱环节
2.面临的安全风险与威胁分析
3.整体安全状况的基本判断
(三)2018年工业控制系统安全主要工作情况
详述本单位2018年在工业控制系统信息安全管理、技术防护、应急管理、宣传教育等方面计划开展或已开展的工作情况。
(四)改进措施与整改效果
1.改进措施
2.整改效果
(五)关于加强工业控制系统信息安全工作的意见和建议
(六)附各下属单位的《工业控制系统运营单位基本情况表》和《工业控制系统信息安全自查表》。
3。
企业工业控制系统信息安全自查报告
******企业工业控制系统信息安全自查总结报告一、企业工业控制系统基本情况结合《工业控制系统信息安全自查情况表》中所提及的工业控制系统信息安全内容,我公司从相应的管理制度、应急预案,到工业控制软件系统、硬件设备,再到网络安全设备、安全防护系统等方面,进行自查自纠。
目前,生产厂区的工控系统,采用孤网运行,各厂区及生产线网络单独运行,工业控制系统DCS层级的控制较多。
我公司工业控制系统的信息安全方面,主要存在问题如下,一是整体防控手段比较薄弱,二是信息网络安全体系尚未完善,三是工业控制系统安全防护设备没有配备,四是系统安全教育培训仍需加强。
二、企业中存在的主要问题及风险(一)工业控制系统潜在的风险1. 操作系统的安全漏洞问题由于考虑到工控软件与操作系统补丁兼容性的问题,系统开机后一般不会对Windows平台打补丁,导致系统带着风险运行。
2. 杀毒软件安装及升级更新问题用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
3. 使用U盘、光盘导致的病毒传播问题。
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。
4. 设备维修时笔记本电脑的随便接入问题工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。
5. 存在工业控制系统被有意或无意控制的风险问题如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。
6. 工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。
(二)工控系统采用通用软硬件带来的风险工业控制系统向工业以太网结构发展,开放性越来越强。
网络安全检查自查表
第三级系统数 未测评系统数 2
单位信息系统 1
安全建设整改总数
第四级系统数 第二级系统数
第三级系统数 未整改系统数 1
单位信息系统 1
安全自查总数
第四级系统数 第二级系统数
第三级系统数 未自查系统数 1
二、信息系统运营使用单位网络安全工作情况 1、单位信息安全等级保护工作的组织领导情况
重点包括:单位网络安全领导机构或信息安全等级保护工作领导机构成立情况;单位网络安全或 信息安全等级保护工作的职责部门和具体职能情况;单位信息安全等级保护工作部署情况等..
6、单位网络安全管理制度的制定和实施情况
重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单 位人员管理;信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包 等管理制度的建设情况;管理制度的监督保障和运行情况等..
我公司制定了相关工作规范和有效的技术方案; 确保本公司信息系统建设和网络安全能够 “同步规划、同步建设、同步运行”;为保障网络安全工作的实施;建立了人员管理制度、 信息系 统设备管理制度等管理制度;我单位对工作人员严格要求;对违反制度的人员进行严肃处理;保证制 度的有效实施..
网络安全分管领导
姓名
石锦生
职务/职称 总经理
网络安全责任部门 办公室
责任部门负责人
姓名 办公电话
石锦生
职务/职称 移动电话
总经理
责任部门联系人
姓名 办公电话
马海霞
职务/职称 移动电话
文员
单位信息系统
2
第四级系统数
第三级系统数
总数
第二级系统数
未定级系统数 2
单位信息系统 2
工控系统自查报告
工控系统自查报告工业控制系统信息安全一、工业控制系统安全分析工业控制系统,是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。
其组件包括数据采集与监控系统、分布式控制系统、可编程逻辑控制器、远程终端、智能电子设备,以及确保各组件通信的接口技术。
典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。
工业控制系统潜在的风险1. 操作系统的安全漏洞问题由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。
2. 杀毒软件安装及升级更新问题用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
3. 使用U盘、光盘导致的病毒传播问题。
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。
4. 设备维修时笔记本电脑的随便接入问题工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。
5. 存在工业控制系统被有意或无意控制的风险问题如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。
6. 工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。
“两化融合”给工控系统带来的风险工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。
重要信息系统安全执法检查自查表
重要信息系统安全执法检查自查表一、信息系统运营使用单位基本情况单位名称单位地址网络安全分管领导姓名职务 /职称网络安全责任部门姓名职务 /职称责任部门负责人办公电话移动电话姓名职务 /职称责任部门联系人办公电话移动电话第四级系统数第三级系统数单位信息系统总数第二级系统数未定级系统数第四级系统数第三级系统数单位信息系统等级测评总数第二级系统数未测评系统数第四级系统数第三级系统数单位信息系统安全建设整改总数第二级系统数未整改系统数第四级系统数第三级系统数单位信息系统安全自查总数第二级系统数未自查系统数二、信息系统运营使用单位网络安全工作情况1、单位网络安全等级保护工作的组织领导情况(重点包括:单位网络安全领导机构或网络安全等级保护工作领导机构成立情况;单位网络安全或网络安全等级保护工作的职责部门和具体职能情况;单位网络安全等级保护工作部署情况等。
)2、单位对网络安全等级保护工作的保障情况(重点包括:单位网络安全等级保护工作年度考核情况;单位组织开展网络安全自查情况;单位网络安全工作经费是否纳入年度预算 ?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。
)3、单位网络安全责任追究制度执行情况(重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况。
)4、单位信息系统定级备案工作情况(重点包括:单位信息系统是否全部定级备案?单位系统调整是否及时进行备案变更?单位新建信息系统是否落实定级备案等工作。
)5、单位信息系统安全测评和安全建设整改工作情况(重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情况;单位网络安全保护状况的了解掌握等情况。
)6、单位网络安全管理制度的制定和实施情况(重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单位人员管理,信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况;管理制度的监督保障和运行情况等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件工业控制系统信息安全自查表(填表说明(一、构成构造(本表包含三个分表:(1〕工业控制系统信息安全检查状况汇总表(2〕工业控制系统营运单位根本状况表(3〕工业控制系统信息安全自查表二、填写对象(各分表填写责任人以下:(1〕工业控制系统信息安全检查状况汇总表:由各地经济和信息化主管部门指定专人负责汇总填写。
(2〕工业控制系统营运单位根本状况表:由各工业控制系统运(营单位指定专人负责填写。
(3〕工业控制系统信息安全自查表:由工业控制系统营运单位的各工业控制系统负责人填写。
表1工业控制系统信息安全检查状况汇总表市州名称根本重要工业控制系统1营运单位总数:家状况重要工业控制系统总数:套种类设备国内品牌外国品牌可逻辑编程控制器〔PLC〕台台散布式控制系统〔DCS〕台台工业生远程终端设备〔RTU〕台台产控制数控机床台台设备工业机器人台台智能仪表台台其余台台工业网工业互换机台台工业路由器台台络通信串口效力器台台设备系统其余台台构成工业主机2台台状况工业主组态软件&数据收集与监控系统套套〔SCADA〕软件机设备工业数据库套套其余台台工业生制造履行系统〔MES〕套套ERP管理系统套套产信息工业云套套系统其余套套工业网工业防火墙台台工业网闸台台络安全主机安全防备设备台台设备其余台台1、安装防病毒软件或应用程序白名单软件的重要工业控制系统数目:安全软套件选择2、病毒库或白名单规那么实时更新的重要工业控制系统数目:与管理套状况3、按期对工业控制系统进行查杀的重要工业控制系统数目:套4、已成立防病毒和歹意软件入侵管理体制的重要工业控制系统数目:套1、已成立工业控制网络安全配置策略的重要工业控制系统数目:套、已成立工业主机安全配置策略的重要工业控制系统数目:套3、已成立工业控制设备安全配置策略的重要工业控制系统数目:配置和套补丁管4、已成立工业控制系统配置清单的重要工业控制系统数目:理状况套5、按期对配置清单进行更新和保护的重要工业控制系统数目:套6、实时修复重要工控安全破绽的重要工业控制系统数目:套1、直接与公司网连结的重要工业控制系统数目:套2、直接与互联网连结的重要工业控制系统数目:界限安套全防备3、对工业控制系统进行安全地区区分的重要工业控制系统数目:状况套4、对工业控制系统安全地区实行逻辑隔绝的重要工业控制系统数目:套1、已明确区分要点物理安全防备地区并成立物理安全防备举措的重要工业控制系统数量:物理和套环境安2、撤掉或封闭工业主机上不用要外设接口的重要工业控制系统数目:全防备套状况3、使用外设安全管理技术手段管理外设接口的重要工业控制系统数量:套1、使用身份认证管理手段的重要工业控制系统数目:套身份认2、以最小特权原那么分派账户权限的重要工业控制系统数目:证状况套3、未使用默认口令或弱口令的重要工业控制系统数目:套4、按期更新口令的重要工业控制系统数目:套1、面向互联网开通HTTP、FTP等网络效力的重要工业控制系统数目:套2、使用数据单向接见控制等策略进行安全加固的重要工业控制系统远程访数目:套问安全3、使用VPN等远程接入方式的重要工业控制系统数目:状况套4、保留工业控制系统有关接见日记的重要工业控制系统数目:套1、在工业控制网络部署网络安全监测设备的重要工业控制系统数目:套2、在重要工业控制设备前端已部署具备深度包剖析和过滤功能防备安全监设备的重要工业控制系统数量:测和应套急方案3、已拟订工控安全事件应急响应方案的重要工业控制系统营运单位操练情数目:家况4、按期对应急方案进行操练的重要工业控制系统营运单位数目:家5、对应急响应方案进行订正的重要工业控制系统营运单位数目:家1、成立工业控制系统财产清单的重要工业控制系统数目:套、对要点主机设备进行冗余配置的重要工业控制系统数目:财产安套全状况3、对网络设备进行冗余配置的重要工业控制系统数目:套4、对控制组件进行冗余配置的重要工业控制系统数目:套1、对静态储存的重要工业数据进行保护的重要工业控制系统数目:套数据安2、对动向传输的重要工业数据进行保护的重要工业控制系统数目:全状况套3、按期备份要点业务数据的重要工业控制系统数目:套4、对测试数据进行保护的重要工业控制系统数目:套1、合同中已商定效力商在效力过程中应该担当的信息安全责任和义供应链务的重要工业控制系统数量:管理情套况2、与效力商签署保密协议的重要工业控制系统数目:1套2落实责1、成立工控安全管理体制的重要工业控制系统营运单位数目:3任状况家456重要工业控制系统是指与国家安全、国家经济安全、国计民生密切有关的,如钢铁、有色、化工、装备制造、电子信息、核设备、石油石化、电力、天然气、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等工业生产领域中的工业控制系统。
7工业主机是指工业生产控制各业务环节波及组态、操作、监控、数据收集与储存等功能的主机设备载体,包含工程师站、操作员站、历史站等。
表2工业控制系统营运单位根本状况表单位全称法人代表通信地点组织机构代码单位网址邮政编码单所属行业销售收入1位□国有事业单位2信□国有及国有控制公司3〔□中央□地息方〕经济种类□股份制公司□外商及港澳台投资企业4□集体公司□民营公司□其余:联姓名职务系所属部门工作人电子邮件工工业控制系统总数目控系统名称系统简介系统基本情况工 1.工控安全事件应急响应方案:业□已拟订,包含:□应急方案策略和规程安应急方案□应急方案培训全□应急方案测试与操练操练状况管□应急办理流程理□事件监控举措情□应急事件报告流程况□应急支持资源□应急响应方案□其余:□未拟订2.急方案操练状况:□按期展开,操练周期:□今年度已展开□将操练状况报网络安全主管部门□未将操练状况报网络安全主管部门□应急操练结束后对应急方案进行了评估和合用性订正□应急操练结束后未对应急预案进行了评估和合用性订正□今年度未展开□未按期展开1.工控安全管理体制:□已成立,包含:□成立了工业控制系统安全管理制度落实责任状况□成立了工业控制系统信息安全协调小组□明确了工控安全管理责任人□其余:□未成立注1:工控系统根本状况可另附表说明。
注2:此处工业控制系统的区分原那么为1〕详细的完好的工业控制系统:以公司工业自动化生产过程为根基,属于公司的一个自动化生产全过程或一个工业自动化生产装置;或许是2〕工业控制系统中相对独立的一局部:以公司工业自动化生产过程的局部环节为根基,属于公司的一个自动化生产全过程或一个工业自动化生产装置的工业控制系统中的相对独立的且物理界限清楚的某个安全地区或通信网络。
4依据?公民经济行业分类?〔GB/T4745-2021〕规定填写。
5依据?事业单位登记管理暂行条例?登记的,为社会公益目的、由国家机关举办或许其余组织组织利用国有财产举办的,从事教育、科6技、文化、卫生等活动的社会效力组织。
73依据?中华人民共和国公司法人登记管理条例?登记注册的三类经济组织:〔1〕所有财产回国家所有的〔非公司制〕国有公司;〔2〕所有财产回国家所有的国有独资有限责任公司;〔3〕由国有资本占控制地位的有限责任公司和股份,此处称国有控股公司。
8包含港、澳、台资本和其余地域外资资本投资建立的独资或控股的独资公司、有限责任公司和股份。
表3工业控制系统信息安全自查表系统名称1000t聚己内酯DCS控制系统姓名职务负责人所属部门工作〔描绘该系统的功能、业务流程〕1、设备运转工艺参数监控、调整。
2、现场设备安全运转状况监控、报警。
功能描绘〔描绘与其余工业控制系统、上层监控系统、MES系统互联状况〕无业务互联〔描绘该工业控制系统的构成状况、网络拓扑图等〕该系统由熔融罐、中间罐、反应器、脱挥器、水下切粒机及其余隶属设备构成。
系统构成构造系统构成状况种类国内品外国品牌设备牌工业生可逻辑编程控制器台台产控制〔PLC〕设备散布式控制系统〔DCS〕1套台远程终端设备〔RTU〕台台数控机床台台工业机器人台台智能仪表假定干台台其余台台工业网工业互换机2台台工业路由器台台络通信串口效力器台台设备其余台台工业主机12台台组态软件&数据收集与工业主监控系统〔SCADA〕软1套套机设备件工业数据库1套套其余台台制造履行系统〔MES〕套套工业生ERP管理系统套套产信息工业云套套系统其余套套工业网工业防火墙台台工业网闸台台络安全主机安全防备设备台台设备其余台台工业主机防备设备〔如防病毒软件、应用程序白名单软件〕:□已安装,防备设备名称:■未安装安全软件2.实时进行歹意代码库或白名单规那么库更新升级:选择与管□是,当前库版本号:理状况3.□否,当前库版本号:4.按期进行系统查杀:□是,查杀时间间隔:配置和补丁管理情况界限安全防备状况■未进行按期查杀防病毒和歹意软件入侵管理体制:□已成立,包含:□按期扫描病毒和歹意软件□按期更新病毒库□查杀暂时接入设备〔如暂时接入U盘、挪动终端外设〕■未成立工业控制网络安全配置策略:■已成立,包含:■网络分区分域■非必需端口禁用□其余:□未成立工业主机安全配置策略:■已成立,包含:■远程控制管理禁用■封闭默认账户□最小效力配置■封闭非必需文件共享■启用登录口令复杂度要求□其余:□未成立工业控制设备安全配置策略:□已成立,包含:□口令策略合规性□其余:■未成立工业控制系统配置清单:■已成立,包含:■设备名称■设备编号■配置策略■配置时间□其余:□未成立按期进行配置清单的更新和保护:□是,保护时间间隔:更新时间间隔:■局部是,按期更新和保护的配置清单:时间间隔:半年□否6.实时修复重要工控安全破绽:■是□否直接与公司内网连结:□是■否,组网方式〔单项选择〕:■独立□使用防备设备进行隔离,防备设备名称及生产厂商:□其余:直接与互联网连结:□是■否,组网方式〔单项选择〕:■独立□使用防备设备进行隔离,防备设备名称及生产厂商:□经过公司网连结□其余:对工业控制系统网络进行安全域区分:□是,区分原那么:□安全域重要性□业务需求□其余:□■否各安全域之间进行逻辑隔绝:□是,隔绝举措:□防火墙□网闸□其余:■否物理安全防备地区防备举措:□无■门禁系统□专人值守■视频监控□其余:撤掉或封闭工业主机外设接口:■是物理和环□否,未撤掉或封闭的外设接口包含:□USB□光驱境安全防□无线□其余:护状况 3.使用外设安全管理技术手段进行安全管理:□是,方式:□主机外设一致管理设备〔或软件〕:□隔绝寄存有外设接口的工业主机□其余:■否1.使用身份认证管理手段:■是,包含:■口令密码□USB-Key□智能卡□生物指纹□其余:2.最小权限原那么分派账户权限:■是□否身份认证3.工业控制系统口令使用:状况■采纳默认口令□采纳弱口令□其余:〔口令策略要求〕4.按期更新口令:□是,更新周期:■否远程接见安全状况安全监测状况财产安全状况数据安全状况面向互联网开统统用网络效力:□是,包含:□HTTP□FTP□Telnet□其余:■否使用远程接见:□是,安全加固策略:□无□采纳数据单向接见控制□其余:■否使用远程保护:□是,安全加固策略:□无□采纳虚构专用网络〔VPN〕□其余:■否工业控制系统有关接见日记:□保存,保存期:■未保存工业控制系统网络部署网络安全监测设备:■是,网络安全监测设备型号及生产商:□否重要工业控制设备前端部署具备深度包剖析和过滤功能的防备设备:□是,防备设备型号及生产商:□否工业控制系统财产清单:■已成立,包含:■设备名称■设备编号■设备型号■设备种类■生产厂商■设备重要程度/密级■设备版本□启用时间■责任部门■责任人■使用状态□其余:□未成立2.要点主机设备能否进行硬件冗余:■是□否3.网络设备能否进行硬件冗余:■是□否4.控制组件能否进行硬件冗余:■是□否对静态储存的重要工业数据进行保护:■是,保护举措:■数据加密■隔绝寄存□接见权限控制1.□其余:2.□否3.对动向传输的重要工业数据进行保护:4.■是,保护举措:■数据加密□数据隔绝□其余:□否5.6.按期备份要点业务数据:7.■是,备份周期:半年□否8.9.对测试数据进行保护:10.■是,保护举措:■数据加密□数据销毁■隔绝寄存11.□接见权限控制□其余:12.□否13.效力商在效力过程中应该担当的信息安全责任和义务:供应链管理状况■已商定,包含:售后保护□未商定12.效力商签署保密协议状况:■已签署□未签署2注:多套系统可复印分别填写。