貴州省工業(yè)控制系統(tǒng)

1、貴州省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案貴州省工業(yè)和信息化廳2020年11月目錄一、總則- 1 -（一）編制目的。- 1 -（二）編制依據(jù)。- 1 -（三）適用范圍。- 1 -（四）工作原則。- 2 -（五）事件分級。- 3 -二、組織體系- 4 -（一）組織機構(gòu)與職責。- 4 -（二）聯(lián)絡(luò)機制。- 5 -（三）應(yīng)急值守機制。- 5 -（四）專家咨詢機構(gòu)。- 5 -三、監(jiān)測與預(yù)警- 6 -（一）預(yù)警分級。- 6 -（二）預(yù)警監(jiān)測。- 6 -（三）信息通報。- 7 -四、敏感時期應(yīng)急管理- 7 -五、應(yīng)急處置- 8 -（一）事件報告。- 8 -（二）應(yīng)急處置。- 8 -（三）處置要求。- 9 -（

2、四）輿情引導。- 9 -（五）事后處置及監(jiān)測。- 10 -（六）安全加固和整改。- 10 -（七）安全事件總結(jié)及匯報。- 10 -六、預(yù)防工作- 10 -（一）日常管理。- 10 -（二）應(yīng)急演練。- 11 -（三）培訓。- 11 -（四）風險評估檢查。- 11 -七、保障措施- 12 -（一）物資保障。- 12 -（二）專家保障。- 12 -（三）經(jīng)費保障。- 12 -八、附則- 12 -（一）預(yù)案管理。- 12 -（二）預(yù)案實施時間。- 13 -II一、總則（一）編制目的。為貫徹落實國家相關(guān)法律法規(guī)，切實做好貴州省工業(yè)控制系統(tǒng)信息安全突發(fā)事件的防范和應(yīng)急處理工作，規(guī)范工業(yè)控制系統(tǒng)信息安全事

3、件的應(yīng)急管理和應(yīng)急響應(yīng)程序，提高貴州省工業(yè)控制系統(tǒng)預(yù)防和控制網(wǎng)絡(luò)與信息安全突發(fā)事件的能力和水平，及時有效地實施應(yīng)急處置工作，最大程度地減少減輕或消除突發(fā)事件的危害和影響，確保貴州省工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與信息安全，維持正常的安全生產(chǎn)秩序，結(jié)合工作實際，制定本預(yù)案。（二）編制依據(jù)。中華人民共和國突發(fā)事件應(yīng)對法、中華人民共和國網(wǎng)絡(luò)安全法、國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南、GB/T 20986-2007信息安全技術(shù) 信息安全事件分類分級指南和GB/T 36324-2018信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級規(guī)范等相關(guān)規(guī)定。（三）適用范圍。本預(yù)案所指工業(yè)控制系統(tǒng)信息安全事

4、件是指由于人為、軟硬件缺陷或故障、自然災(zāi)害等原因，對工業(yè)控制系統(tǒng)、工業(yè)控制系統(tǒng)數(shù)據(jù)造成或者可能造成嚴重危害，影響正常工業(yè)生產(chǎn)的事件。人為破壞是指人為破壞網(wǎng)絡(luò)線路、通信設(shè)施、黑客攻擊、病毒攻擊、恐怖襲擊等事件。事件災(zāi)難是指電力中斷、網(wǎng)絡(luò)損壞或者是軟件、硬件設(shè)備故障等。自然災(zāi)害是指地震、臺風、雷電、火災(zāi)、洪水等。本預(yù)案適用于貴州省工業(yè)和信息化主管部門、工業(yè)企業(yè)開展工控安全應(yīng)急管理工作。（四）工作原則。政府指導、企業(yè)主體。政府通過完善政策措施、加強監(jiān)督管理，指導企業(yè)樹立工控安全主體責任意識，督促企業(yè)將工控安全作為生產(chǎn)安全的重要組成部分，做好工控安全應(yīng)急相關(guān)工作，加快提升工控安全事件應(yīng)急能力。預(yù)防為主

5、、平戰(zhàn)結(jié)合。按照系統(tǒng)化、科學化管理思想，加強工控安全監(jiān)測與風險預(yù)判，及時掌握工控安全態(tài)勢，暢通信息傳輸渠道，充分發(fā)揮各方力量，將預(yù)防與消減有機結(jié)合，積極做好工控安全事件的預(yù)防和消減工作。快速反應(yīng)、科學處置。建立感知快、研判快、處置快、消減快的工控安全快速反應(yīng)體系，不斷強化工控安全事件應(yīng)急隊伍的整體應(yīng)急水平和快速反應(yīng)能力，科學管理、指揮有力，妥善處置工控安全事件，堅持預(yù)防為主、平戰(zhàn)結(jié)合，堅持快速反應(yīng)、科學處置，充分發(fā)揮各方力量，共同做好工控安全事件的預(yù)防和處置工作。（五）事件分級。網(wǎng)絡(luò)安全事件分為四級：特別重大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全事件、較大網(wǎng)絡(luò)安全事件、一般網(wǎng)絡(luò)安全事件。1、符合下列情形之

6、一的，為特別重大網(wǎng)絡(luò)安全事件：（1）重要網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力。（2）國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成特別嚴重威脅。（3）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡(luò)安全事件。2、符合下列情形之一且未達到特別重大網(wǎng)絡(luò)安全事件的，為重大網(wǎng)絡(luò)安全事件：（1）重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴重的系統(tǒng)損失，造成系統(tǒng)長時間中斷或局部癱瘓，業(yè)務(wù)處理能力受到極大影響。（2）國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成嚴重威脅。（3

7、）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成嚴重威脅、造成嚴重影響的網(wǎng)絡(luò)安全事件。3、符合下列情形之一且未達到重大網(wǎng)絡(luò)安全事件的，為較大網(wǎng)絡(luò)安全事件：（1）重要網(wǎng)絡(luò)和信息系統(tǒng)遭受較大的系統(tǒng)損失，造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，業(yè)務(wù)處理能力受到影響。（2）國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成較嚴重威脅。（3）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成較嚴重威脅、造成較嚴重影響的網(wǎng)絡(luò)安全事件。4、除上述情形外，對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)安全事件，為一般網(wǎng)絡(luò)安全事件。二、組織體系（一）組織機構(gòu)與職責。省

8、工業(yè)和信息化廳統(tǒng)籌指導省內(nèi)工控安全應(yīng)急管理工作，指導第三方工控安全應(yīng)急技術(shù)機構(gòu)協(xié)助工業(yè)企業(yè)開展工控安全風險監(jiān)測、態(tài)勢研判、威脅預(yù)警、事件處置等工作。各市（自治州）工業(yè)和信息化主管部門指導下轄各縣（區(qū)）工業(yè)和信息化主管部門、工業(yè)企業(yè)做好工控安全應(yīng)急管理工作。各縣（區(qū)）工業(yè)和信息化主管部門負責指導本地區(qū)工業(yè)企業(yè)做好工控安全應(yīng)急管理工作。工業(yè)企業(yè)負有工控安全主體責任，應(yīng)建立健全工控安全責任制，負責本單位工控安全應(yīng)急管理工作，落實人財物保障。（二）聯(lián)絡(luò)機制。省工業(yè)和信息化廳指導全省工業(yè)和信息化主管部門、工業(yè)企業(yè)、工控安全應(yīng)急技術(shù)機構(gòu)建立工控安全聯(lián)絡(luò)機制，下轄各縣（區(qū)）工業(yè)和信息化主管部門、工業(yè)企業(yè)、工

9、控安全應(yīng)急技術(shù)機構(gòu)要配備工控安全工作聯(lián)絡(luò)員，并報省工業(yè)和信息化廳以及各市（自治州）工業(yè)和信息化主管部門，聯(lián)絡(luò)員和聯(lián)絡(luò)方式發(fā)生變化時需及時上報。省工業(yè)和信息化廳、各市（自治州）工業(yè)和信息化主管部門根據(jù)工作需要不定期組織召開聯(lián)絡(luò)員會議。工控安全工作聯(lián)絡(luò)員要做好工控安全風險、威脅、事件信息日常監(jiān)測和報告，檢查各項保障措施落實情況等工作。（三）應(yīng)急值守機制。各市（自治州）及下轄各縣（區(qū)）工業(yè)和信息化主管部門指導本地區(qū)工業(yè)企業(yè)建立工控安全應(yīng)急值守機制，在緊急狀態(tài)下，實行“7x24”小時值守。加強信息監(jiān)測、收集與研判，做好信息跟蹤報告。（四）專家咨詢機構(gòu)。省工業(yè)和信息化廳負責組建處置工控安全事件專家咨詢組

10、，為處置工控安全事件提供技術(shù)咨詢和決策支持。三、監(jiān)測與預(yù)警（一）預(yù)警分級。網(wǎng)絡(luò)安全事件預(yù)警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色表示，分別對應(yīng)發(fā)生或可能發(fā)生特別重大、重大、較大和一般網(wǎng)絡(luò)安全事件。（二）預(yù)警監(jiān)測。省工業(yè)和信息化廳指導第三方工控安全應(yīng)急技術(shù)機構(gòu)，組織開展全省工控安全風險監(jiān)測、預(yù)警通報等工作，提升信息搜集、態(tài)勢分析、風險評估和信息共享能力。各市（自治州）工業(yè)和信息化主管部門組織開展全市（自治州）工控安全風險監(jiān)測、預(yù)警通報等工作，提升情報搜集、預(yù)判分析、風險評估和信息共享能力。各縣（區(qū)）工業(yè)和信息化主管部門組織開展本地區(qū)工控安全風險監(jiān)測工作。各企業(yè)按照企業(yè)主體責任的要求，

11、組織對本企業(yè)建設(shè)運行的工業(yè)控制網(wǎng)絡(luò)和信息系統(tǒng)開展網(wǎng)絡(luò)安全監(jiān)測工作。重點行業(yè)主管或監(jiān)管部門組織指導做好本行業(yè)網(wǎng)絡(luò)安全監(jiān)測工作。各縣（區(qū)）工業(yè)和信息化主管部門、工業(yè)企業(yè)定期將重要監(jiān)測信息報各市（自治州）工業(yè)和信息化主管部門，各市（自治州）工業(yè)和信息化主管部門負責匯總、整理、分析、研判，并將結(jié)果報省工業(yè)和信息化廳；針對可能超出本地區(qū)應(yīng)對能力范圍的安全風險和事件信息，及時上報，必要時爭取上一級工業(yè)和信息化主管部門和工控安全應(yīng)急技術(shù)機構(gòu)提供技術(shù)支持。（三）信息通報。省工業(yè)和信息化廳對可能影響我省工業(yè)控制系統(tǒng)的重大漏洞和風險，及時向有關(guān)行業(yè)、地區(qū)和工業(yè)企業(yè)發(fā)布情況通報。各市（自治州）工業(yè)和信息化主管部門及

12、時將省工業(yè)和信息化廳發(fā)布的對可能影響各市（自治州）工業(yè)控制系統(tǒng)的重大漏洞和風險情況向有關(guān)行業(yè)、縣（區(qū)）和工業(yè)企業(yè)轉(zhuǎn)發(fā)通報。四、敏感時期應(yīng)急管理在國家、省、各市（自治州）有重要活動、會議等敏感時期，省工業(yè)和信息化廳指導各市（自治州）工業(yè)和信息化主管部門、工控安全應(yīng)急技術(shù)機構(gòu)、工業(yè)企業(yè)開展工控安全事件預(yù)防和應(yīng)急管理工作。各市（自治州）工業(yè)和信息化主管部門、工業(yè)企業(yè)加強工控安全監(jiān)測和風險研判，對可能造成重大影響的風險和事件信息應(yīng)及時上報。重點單位、重要部門應(yīng)實施24小時值守，保持通信聯(lián)絡(luò)暢通。相關(guān)工業(yè)企業(yè)應(yīng)加強對工業(yè)控制系統(tǒng)的巡檢巡查，原則上不在敏感時期對工業(yè)控制系統(tǒng)進行調(diào)整或升級。五、應(yīng)急處置對于

13、可能發(fā)生或已經(jīng)發(fā)生的工控安全事件，工業(yè)企業(yè)應(yīng)立即開展應(yīng)急處置，采取科學有效方法及時施救，力爭將損失降到最小，盡快恢復(fù)受損工業(yè)控制系統(tǒng)的正常運行。當事發(fā)工業(yè)企業(yè)應(yīng)急處置力量不足時，可請求上級主管部門協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供支援。（一）事件報告。工控安全事件發(fā)生后，事發(fā)工業(yè)企業(yè)應(yīng)立即啟動應(yīng)急預(yù)案，實施處置并及時報送信息。各縣（區(qū)）工業(yè)和信息化主管部門應(yīng)立即組織先期處置，控制事態(tài)，消除隱患，同時組織研判，注意保存證據(jù)，做好信息通報工作。對于初判為特別重大、重大級別的工控安全事件或特殊情況，應(yīng)立即報告省工業(yè)和信息化廳。報告信息一般包括以下要素：事件涉及的工業(yè)控制系統(tǒng)名稱及運營管理單位、時間、地點、原因、來

14、源、類型、性質(zhì)、危害、影響范圍、發(fā)展趨勢、處置措施等。（二）應(yīng)急處置。工業(yè)和信息化主管部門指導、督促事發(fā)企業(yè)開展應(yīng)急處置工作，必要時派出工作組赴現(xiàn)場指揮協(xié)調(diào)應(yīng)急處置工作，協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供技術(shù)支援。工業(yè)企業(yè)發(fā)生工控安全事件后，應(yīng)立即啟動上報流程并啟動本企業(yè)應(yīng)急預(yù)案，迅速組織力量采取相關(guān)應(yīng)急技術(shù)措施，減少危害和不良影響，盡快恢復(fù)受破壞系統(tǒng)的正常運行和網(wǎng)上不良信息的擴散和傳播，開展原因分析，注意保留網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)入侵或網(wǎng)絡(luò)病毒的證據(jù)等相關(guān)信息。當事發(fā)工業(yè)企業(yè)應(yīng)急處置力量不足時，可請求上級主管部門協(xié)調(diào)應(yīng)急技術(shù)機構(gòu)提供支援。（三）處置要求。（1）各市（自治州）工業(yè)和信息化主管部門根據(jù)各自職責，指導、

15、督促和支持當事工業(yè)企業(yè)開展應(yīng)急處置工作，并視情況協(xié)調(diào)從網(wǎng)絡(luò)安全專家?guī)熘谐檎{(diào)相應(yīng)專家或協(xié)調(diào)工控安全應(yīng)急技術(shù)機構(gòu)，協(xié)助當事工業(yè)企業(yè)進行應(yīng)急處置。（2）對于發(fā)生計算機病毒疫情和大規(guī)模網(wǎng)絡(luò)攻擊事件，采取其他措施無法有效消除影響時，由當事工業(yè)企業(yè)提出意見，上報各市（自治州）工業(yè)和信息化主管部門，可協(xié)調(diào)各互聯(lián)網(wǎng)運營單位臨時中斷相關(guān)地區(qū)（相關(guān)企業(yè)）的互聯(lián)網(wǎng)連接。（3）各市（自治州）工業(yè)和信息化主管部門和工業(yè)企業(yè)應(yīng)急處置人員應(yīng)保持聯(lián)系方式暢通，及時通報事態(tài)發(fā)展變化情況和事件處置進展情況。當事工業(yè)企業(yè)要做好應(yīng)急處置的相關(guān)記錄，保留有關(guān)證據(jù)，積極穩(wěn)妥地進行應(yīng)急處置。（四）輿情引導。對于工控安全事件性質(zhì)、起因、范圍

16、、損失等，各級工業(yè)和信息化主管部門和相關(guān)人員應(yīng)做好輿論宣傳和引導工作。（五）事后處置及監(jiān)測。事發(fā)工業(yè)企業(yè)在工控安全事件應(yīng)急處置完成后，應(yīng)加強監(jiān)測受損系統(tǒng)至少4周，確認工控系統(tǒng)不再出現(xiàn)異?；蛘哳愃片F(xiàn)象，并將監(jiān)測記錄上報本地工業(yè)和信息化主管部門。（六）安全加固和整改。事發(fā)工業(yè)企業(yè)就工控安全事件中暴露出的IT、OT以及IT/OT連接處網(wǎng)絡(luò)弱點和缺陷應(yīng)盡快制定整改措施，對網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)進行安全加固，消除安全隱患，并根據(jù)該次應(yīng)急工作的經(jīng)驗和教訓進一步完善修訂各自的網(wǎng)絡(luò)威脅場景式應(yīng)急預(yù)案，改進應(yīng)急工作部署，使其在今后能夠更加有效地發(fā)揮作用。（七）安全事件總結(jié)及匯報。應(yīng)急處置結(jié)束、系統(tǒng)恢復(fù)運行后，相關(guān)工

17、業(yè)企業(yè)應(yīng)盡快消除事件造成的不良影響，做好事件分析總結(jié)工作，總結(jié)報告應(yīng)在25天內(nèi)以書面形式逐級上報至省工業(yè)和信息化廳。六、預(yù)防工作（一）日常管理。各市（自治州）、縣（區(qū)）工業(yè)和信息化主管部門指導當?shù)毓I(yè)企業(yè)做好工業(yè)控制系統(tǒng)信息安全事件日常預(yù)防工作，制定和完善應(yīng)急預(yù)案，做好工業(yè)控制系統(tǒng)信息安全檢查、隱患排查、風險評估和容災(zāi)備份，健全網(wǎng)絡(luò)安全信息通報機制，及時采取有效措施，減少和避免網(wǎng)絡(luò)安全事件的發(fā)生及危害，提高應(yīng)對網(wǎng)絡(luò)安全事件的能力。（二）應(yīng)急演練。各市（自治州）、縣（區(qū)）工業(yè)和信息化主管部門應(yīng)協(xié)調(diào)、督促工業(yè)企業(yè)定期組織應(yīng)急演練，檢驗和完善預(yù)案，提高實戰(zhàn)能力。各企業(yè)每兩年應(yīng)至少組織一次預(yù)案演練。演

18、練結(jié)束形成演練總結(jié)報告，對演練的結(jié)果進行總結(jié)和評估，對演練中暴露出的問題和不足應(yīng)及時解決，并將演練總結(jié)報告報各市（自治州）工業(yè)和信息化主管部門。（三）培訓。省工業(yè)和信息化主管部門應(yīng)每年組織工業(yè)控制系統(tǒng)信息安全相關(guān)知識培訓，提高各級工業(yè)和信息化主管部門和工業(yè)企業(yè)相關(guān)工作人員風險防范意識及技能水平。工業(yè)企業(yè)要加強工業(yè)控制系統(tǒng)信息安全特別是應(yīng)急預(yù)案的培訓工作。（四）風險評估檢查。省工業(yè)和信息化廳每年根據(jù)實際情況，組織第三方工控安全應(yīng)急技術(shù)機構(gòu)，對貴州省內(nèi)工業(yè)企業(yè)的工業(yè)控制系統(tǒng)安全進行隨機抽查和風險評估檢查，以檢查促改，以檢查促安全。七、保障措施（一）物資保障。加強對工控安全事件應(yīng)急裝備和工具的儲備，及時調(diào)整、升級軟硬件工具，建設(shè)完善工控安全事件應(yīng)急技術(shù)服務(wù)平臺，不斷增強應(yīng)急技術(shù)支撐能力。（二）專家保障。鼓