北京市经济和信息化委员会 文件 北京市人民政府国有资产监督管理委员会 京经信委发〔2015〕41 号 北京市经济和信息化委员会 北京市人民政府国有资产监督管理委员会 关于加强北京市属国有企业工业控制系统 信息安全管理工作的通知 各市属国有企业： 为切实做好北京市工业控制系统信息安全管理工作，按照 工业和信息化部《关于加强工业控制系统信息安全管理的通 知》（工信部协〔2011〕451 号）和 2014 年全国工业控制系统 — 1 — 信息安全工作会议要求，现将有关事项通知如下： 一、充分认识加强工业控制系统信息安全管理的重要性和 紧迫性 工业控制系统（ICS）是数据采集与监控系统（SCADA）、 分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控 制器（PLC）等多种类型控制系统的总称，广泛运用于工业、 能源、交通、水利以及市政等领域，实现设施自动化运行和业 务流程管理与监控。一旦工业控制系统信息安全出现问题，将 对工业生产运行和国家经济安全造成重大隐患。 随着信息技术的发展和两化融合的不断深入推进，现代工 业控制系统正逐渐使用通用协议、通用硬件和通用软件，以各 种方式与互联网等公共网络连接，病毒、木马等威胁正在向工 业控制系统扩散，工业控制系统信息安全问题日益突出。近年 来由“震网”病毒、“火焰”病毒和“Havex”病毒等引起的工 业控制系统信息安全事件频发，充分反映出工业控制系统信息 安全面临的严峻形势。与此同时，我国工业控制系统信息安全 管理工作中仍存在不少问题，主要是对工业控制系统信息安全 重视不够，管理制度不健全，相关标准规范缺失，技术防护措 施不到位，安全防护能力和应急处置能力不高等，严重威胁着 我国工业生产安全和社会正常运转。 — 2 — 对此，各市属国有企业务必高度重视工业控制系统信息安 全工作，增强风险意识、责任意识和紧迫感，切实加强工业控 制系统信息安全管理。 二、加强工业控制系统信息安全管理 （一）组织制度要求。 应建立健全本单位工业控制系统信息安全保障工作的组 织机构和工作机制，明确本单位工业控制系统信息安全工作的 主管领导、管理执行机构和人员，落实安全责任制。 管理执行机构的组成人员应掌握工业自动化、信息安全相 关的政策和基本的知识、技能。 （二）分域防护要求。 应根据工业控制系统的重要程度、发生各类事故时可能造 成的危害，从可用性、完整性、保密性等三个方面进行评估， 对工业控制系统进行分类分级，确定安全保障目标，形成本单 位工业控制系统资产台账。 应明确工业控制系统安全边界，并根据安全责任主体、安 全保障目标的不同，为工业控制系统划分安全区域，对安全区 域实行安全隔离。 （三）连接管理要求。 断开工业控制系统同公共网络之间的所有不必要连接。对 — 3 — 确实需要的连接，系统运营单位要逐一进行登记，在充分评估 的基础上以白名单方式建立严格的访问控制策略，并在边界处 部署防火墙、单向隔离、监测和审计等措施加以防护，并定期 进行风险评估，不断完善防范措施，实现工业控制系统和其他 网络之间的边界保护。 应严格限制工业控制系统内部、工业控制系统与其他网络 之间的无线连接，对于确需采用无线方式连接的，应对其需求 的范围、技术架构、安全风险、应对措施进行分析评估，并对 无线接入的网络和节点采取强认证方式。 严格控制在工业控制系统和公共网络之间交叉使用移动 存储介质以及便携式计算机，严格禁止移动存储介质以及便携 式计算机的未授权接入和未按规定接入等行为。 （四）账户管理要求。 应根据工业控制系统管理、维护、使用的需要，依照最小 权限原则建立健全账户管理和权限分配制度。 应建立口令管理策略和制度，对口令的复杂程度、使用周 期进行规定，严格杜绝多个账户使用相同口令的情况。 （五）产品选用要求。 应对组成工业控制系统的各个组件进行安全评估，并在供 货合同中或以其他方式明确供应商、集成商应承担的信息安全 — 4 — 责任和义务，确保产品安全可控。 应密切关注产品漏洞和补丁发布，建立严格的软件升级、 补丁安装管理制度，严防病毒、木马等恶意代码侵入。关键工 业控制系统软件升级、补丁安装前应进行安全性评估和验证。 （六）服务管理要求。 应选择具有相应资质的外包服务机构，并通过合同或协议 加强对工业控制系统信息技术服务外包的安全管理，明确外包 服务机构的安全界线和安全责任。 应严格限制对工业控制系统进行远程在线管理，对于确需 远程在线管理的工业控制系统，应进行安全性评估并对远程在 线管理的行为进行审计。 （七）应急管理要求。 应按照我市网络与信息安全事件应急管理的法律法规、市 级预案和本单位总体预案的要求，制订本单位工业控制系统信 息安全事件应急预案并组织宣贯培训和演练。 应急预案应定期修订完善，应急演练的频率应不低于每年 一次。 （八）培训管理要求。 应建立完善的工业控制系统信息安全培训机制，制定切实 有效的培训方案，定期进行工业控制系统信息安全培训，培训 — 5 — 频率应不低于每年一次。 （九）安全评估要求。 应结合本单位所辖工业控制系统的安全需求，从管理和技 术两个方面开展安全风险自评估，对自评估发现的管理和技术 隐患及时整改，并形成常态化的风险评估和整改工作机制。 （十）安全检查要求。 应对本单位工业控制系统信息安全保障工作现状进行检 查，及时掌握本单位相关工作开展情况，并向主管部门上报。 安全检查的频率应不低于每年一次。 三、开展工业控制系统信息安全调查 为加强对工业控制系统信息安全管理工作的指导和督促， 市经济信息化委将会同市国资委对我市国有企业工业控制系 统信息安全基本情况进行摸底调查。具体安排如下： （一）开展自查。 各单位要高度重视，对照安全管理要求，认真组织开展本 单位工业控制系统及信息安全保障基本情况自查，指定本单位 信息化部门和生产部门填写调查情况报告表（详见附件），于 10 月 20 日之前反馈加盖单位公章的纸质报告表和电子版报告 表（刻光盘）。市经济信息化委、市国资委将组织专业技术队 伍对调查报告表的填写进行跟踪和指导。 — 6 — （二）组织现场调查。 市经济信息化委、市国资委将对各单位报送的调查表进行 汇总，选择重点工业控制系统进行现场调查。具体现场调查单 位名单及时间另行通知。 附件： 工业控制系统信息安全基本情况调查报告表 北京市经济和信息化委员会 北京市人民政府国有资产监督管理委员会 2015 年 8 月 31 日 （联系人：刘云；联系电话：57587210，13911990886； 徐昕；联系电话：83978448，13720056195） — 7 —