為進(jìn)一步貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》，督促工業(yè)企業(yè)做好工業(yè)控制系統(tǒng)信息安全（以下簡(jiǎn)稱工控安全）防護(hù)工作，工業(yè)和信息化部于近日印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》（以下簡(jiǎn)稱《管理辦法》），旨在規(guī)范工控安全防護(hù)能力評(píng)估工作，切實(shí)提升工控安全防護(hù)水平。

一、編制說明

近年來，隨著兩化融合發(fā)展的不斷深入，安全威脅向工業(yè)控制系統(tǒng)加速滲透，工業(yè)領(lǐng)域面臨嚴(yán)峻的信息安全挑戰(zhàn)。我部于去年發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（以下簡(jiǎn)稱《防護(hù)指南》），從配置和補(bǔ)丁管理、邊界安全防護(hù)、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練等方面，對(duì)工業(yè)企業(yè)提出了30項(xiàng)工控安全防護(hù)要求。為檢驗(yàn)《防護(hù)指南》的實(shí)踐效果，綜合評(píng)價(jià)工業(yè)企業(yè)工控安全防護(hù)能力，我部于年初組織編制了《管理辦法（初稿）》，并選擇電力、化工、汽車、有色、石化、煙草6個(gè)重點(diǎn)行業(yè)開展了工控安全預(yù)評(píng)估工作，對(duì)《管理辦法（初稿）》的科學(xué)性、合理性和可操作性進(jìn)行檢驗(yàn)，結(jié)合工控安全預(yù)評(píng)估工作，進(jìn)一步對(duì)《管理辦法（初稿）》進(jìn)行修改完善，組織專家開展專題研討論證，最終形成《管理辦法》。

二、總體考慮

《管理辦法》的編制以我國(guó)兩化融合發(fā)展時(shí)期工控安全保障需求和工控安全防護(hù)工作推進(jìn)為出發(fā)點(diǎn)和落腳點(diǎn)，密切結(jié)合工控安全防護(hù)能力評(píng)估工作實(shí)際，以規(guī)范針對(duì)工業(yè)企業(yè)開展的工控安全防護(hù)能力評(píng)估活動(dòng)為重點(diǎn)，加強(qiáng)工控安全防護(hù)能力評(píng)估機(jī)構(gòu)、人員和工具管理，明確工控安全防護(hù)能力評(píng)估工作程序。具體來說，《管理辦法》編制的主要思路如下：

一是突出體系化管理。工控安全防護(hù)能力評(píng)估工作管理涉及管理機(jī)構(gòu)、評(píng)估機(jī)構(gòu)、評(píng)估人員、評(píng)估工具等各要素，《管理辦法》從全局出發(fā)，面向各類主體，圍繞工作需求提出基線標(biāo)準(zhǔn)，加強(qiáng)體系化管理。

二是注重管理實(shí)效。《辦法》細(xì)化各類基線標(biāo)準(zhǔn)，明確量化指標(biāo)，提出從受理評(píng)估申請(qǐng)、組建評(píng)估技術(shù)隊(duì)伍到形成評(píng)估報(bào)告的一系列評(píng)估工作程序，提供具體且可操作的工控安全防護(hù)能力評(píng)估方法。

三是強(qiáng)調(diào)全生命周期評(píng)估。工控安全防護(hù)能力評(píng)估是落實(shí)《防護(hù)指南》要求的一項(xiàng)具體工作，《管理辦法》指出防護(hù)能力評(píng)估是對(duì)工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等全生命周期各階段開展的安全防護(hù)能力綜合評(píng)價(jià)。

三、內(nèi)容詳解

（一）管理組織機(jī)構(gòu)設(shè)置

管理組織機(jī)構(gòu)是工控安全防護(hù)能力評(píng)估工作的核心?！豆芾磙k法》指出設(shè)立全國(guó)工控安全防護(hù)能力評(píng)估專家委員會(huì)，負(fù)責(zé)提供建議與咨詢；設(shè)立全國(guó)工控安全防護(hù)能力評(píng)估工作組，具體負(fù)責(zé)管理工控安全防護(hù)能力評(píng)估相關(guān)工作，工作組下設(shè)秘書處，秘書處設(shè)在國(guó)家工業(yè)信息安全發(fā)展研究中心。

（二）基本要求

評(píng)估機(jī)構(gòu)應(yīng)符合具備獨(dú)立的事業(yè)單位法人資格，具有不少于25名工控安全防護(hù)能力評(píng)估專職人員，擁有工控安全防護(hù)能力評(píng)估所需的工具和設(shè)備，同時(shí)，還應(yīng)建立并有效運(yùn)行評(píng)估工作體系，完善評(píng)估監(jiān)督和責(zé)任機(jī)制，對(duì)于不符合要求的機(jī)構(gòu)，予以撤銷評(píng)估委托。

評(píng)估人員須遵守相關(guān)的法律、法規(guī)和規(guī)章，按照所在評(píng)估機(jī)構(gòu)確定的工作程序和作業(yè)指導(dǎo)從事評(píng)估活動(dòng)，并遵守保密規(guī)定。

評(píng)估過程中使用的工具應(yīng)符合相關(guān)可靠性和安全性要求，需通過評(píng)估工作組委托的國(guó)家級(jí)質(zhì)檢機(jī)構(gòu)的檢測(cè)和校驗(yàn)。

（三）工作程序

《管理辦法》制定了工控安全防護(hù)能力評(píng)估工作程序，包括受理評(píng)估申請(qǐng)、組建評(píng)估技術(shù)隊(duì)伍、制定評(píng)估工作計(jì)劃、開展現(xiàn)場(chǎng)評(píng)估工作、現(xiàn)場(chǎng)評(píng)估情況反饋、企業(yè)自行整改、開展復(fù)評(píng)估工作、形成評(píng)估報(bào)告，細(xì)化了各階段工作要求。

（四）監(jiān)督管理

為保證工控安全防護(hù)能力評(píng)估工作順利開展，評(píng)估工作組通過公示、抽查、復(fù)核等方式對(duì)評(píng)估機(jī)構(gòu)、人員進(jìn)行監(jiān)督管理，確保評(píng)估報(bào)告的準(zhǔn)確性和合理性。

（五）評(píng)估方法

為配套《管理辦法》的實(shí)施，以附件形式提供了工控安全防護(hù)能力評(píng)估方法，提出了工控安全防護(hù)能力評(píng)估的基本概念，對(duì)評(píng)估工作每一個(gè)環(huán)節(jié)進(jìn)行細(xì)化，提出詳細(xì)的工作步驟和實(shí)施方法。