重要工業(yè)控制系統(tǒng)基本情況調(diào)查表及說(shuō)明

附件:（蓋章）重要工業(yè)控制系統(tǒng)基本情況調(diào)查表及說(shuō)明（蓋章）填表單位:填報(bào)日期：填報(bào)說(shuō)明一、調(diào)查范圍本調(diào)查表中的重要工業(yè)控制系統(tǒng)是指在鋼鐵、有色、化工、電力、天然氣、裝備制造、環(huán)境保護(hù)、城市供水供氣供熱以及其他與國(guó)計(jì)民生緊密相關(guān)的領(lǐng)域中建設(shè)應(yīng)用，采用數(shù)據(jù)采集監(jiān)控、分布式控制、過(guò)程控制、可編程邏輯控制等技術(shù)，對(duì)生產(chǎn)設(shè)備進(jìn)行狀態(tài)監(jiān)測(cè)、調(diào)度控制的系統(tǒng)。對(duì)于一旦出現(xiàn)問(wèn)題，可能導(dǎo)致等級(jí)安全事故的工業(yè)控制系統(tǒng)為本次調(diào)查對(duì)象。其中，以可能導(dǎo)致以下后果之一的工業(yè)控制系統(tǒng)為主要調(diào)查對(duì)象。3人以上死亡或10人以上重傷；1000萬(wàn)元以上直接經(jīng)濟(jì)損失；影響10萬(wàn)人（含）以上正常生活；對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生重大影響和嚴(yán)重后果。影響本單位正常生產(chǎn)經(jīng)營(yíng)活動(dòng)產(chǎn)生無(wú)法有效提供產(chǎn)品、服務(wù)等嚴(yán)重后果。二、保密要求根據(jù)填寫(xiě)內(nèi)容敏感程度確定是否涉密，并在調(diào)查表上明確標(biāo)識(shí)。三、填報(bào)要求工業(yè)控制系統(tǒng)因在各行業(yè)的應(yīng)用場(chǎng)景不同而類型不同。填表單位僅填寫(xiě)自身運(yùn)營(yíng)的工業(yè)控制系統(tǒng)相關(guān)情況，無(wú)某系統(tǒng)類型則調(diào)查表二中相應(yīng)類型的表格可不填寫(xiě)。表格中下劃線表示需要填寫(xiě)的詳細(xì)情況，可出格填寫(xiě)或另外附紙。報(bào)送材料需加蓋單位公章。以下填報(bào)材料涂紅部分屬于填報(bào)重點(diǎn)，圖黃部分是填報(bào)重點(diǎn)說(shuō)明。此次調(diào)查的范圍：鋼鐵、有色、化工、電力、天然氣、裝備制造、環(huán)境保護(hù)、城市供水供氣供熱以及其他與國(guó)計(jì)民生緊密相關(guān)的領(lǐng)域中應(yīng)用的重要工業(yè)控制系統(tǒng)。

工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表一、運(yùn)營(yíng)單位基本情況單位信息單位全稱法人代表通訊地址盟市旗縣（區(qū)）鄉(xiāng)（街）單位網(wǎng)址郵政編碼所屬行業(yè)12014年度銷售收入經(jīng)濟(jì)類型□國(guó)有事業(yè)單位2□國(guó)有及國(guó)有控股企業(yè)3（□中央□地方）口股份制企業(yè)□外商及港澳臺(tái)投資企業(yè)4口集體企業(yè)口民營(yíng)企業(yè)□其他聯(lián)系人姓名此處填寫(xiě)生產(chǎn)部門(mén)相關(guān)信息職務(wù)所屬部門(mén)此處填寫(xiě)生產(chǎn)部門(mén)相關(guān)信息工作電話電子郵箱此處填寫(xiě)生產(chǎn)部門(mén)相關(guān)信息傳真系統(tǒng)小計(jì)系統(tǒng)類型系統(tǒng)數(shù)量數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)套分布式控制系統(tǒng)（DCS）套可編程控制器（PLC）套其他（如FCS、PCS、生產(chǎn)輔助系統(tǒng)等）：套其他：其他：1按照《國(guó)民經(jīng)濟(jì)行業(yè)分類》（GB/T4754-2011）規(guī)定填寫(xiě)。2按照《事業(yè)單位登記管理暫行條例》登記的，為社會(huì)公益目的、由國(guó)家機(jī)關(guān)舉辦或者其他組織利用國(guó)有資產(chǎn)舉辦的，從事教育、科技、文化、衛(wèi)生等活動(dòng)的社會(huì)服務(wù)組織。3按照《中華人民共和國(guó)企業(yè)法人登記管理?xiàng)l例》登記注冊(cè)的三類經(jīng)濟(jì)組織：（1）全部資產(chǎn)歸國(guó)家所有的（非公司制）國(guó)有企業(yè)；（2）全部資產(chǎn)歸國(guó)家所有的國(guó)有獨(dú)資有限責(zé)任公司；（3）由國(guó)有資本占控制地位的有限責(zé)任公司和股份有限公司，此處稱國(guó)有控股公司。4包括港、澳、臺(tái)資本和其他地區(qū)外資資本設(shè)立的獨(dú)資或控股的獨(dú)資公司、有限責(zé)任公司和股份有限公司。工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表二此表由生產(chǎn)部門(mén)（如生產(chǎn)部、設(shè)備部、調(diào)度等）填寫(xiě)相關(guān)信息二、工業(yè)控制系統(tǒng)情況（一）數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)影響程度5□特大口重大口較大口一般系統(tǒng)名稱功能描述（此處主要描述該SCADA系統(tǒng)主要用于哪類生產(chǎn)的哪項(xiàng)生產(chǎn)工藝）本信使用部門(mén)及啟用時(shí)間息集成商運(yùn)維商設(shè)備情況SCADA系統(tǒng)硬件廠商及型號(hào)：1、2、控制軟件廠商及版本：數(shù)據(jù)服務(wù)器硬件廠商及型號(hào)：數(shù)據(jù)庫(kù)軟件廠商及版本：通信設(shè)備（此處指工業(yè)以太網(wǎng)中使用的交換機(jī)）廠商及型號(hào)：通信協(xié)議：遠(yuǎn)程終端設(shè)備（RTU）硬件廠商及型號(hào)：1、2、0情1X)t1簡(jiǎn)況（此處主要填寫(xiě)SCADA系統(tǒng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接狀況）完全物理隔離:□是□否，與—；—網(wǎng)絡(luò)（主要指企業(yè)生產(chǎn)管理網(wǎng)，或企業(yè)信息化網(wǎng)絡(luò)以及其他輔助系統(tǒng)）連接通信協(xié)議（主要填寫(xiě)工業(yè)現(xiàn)場(chǎng)總線協(xié)議）：無(wú)線接入（包括無(wú)線AP、USB上網(wǎng)卡、數(shù)傳電臺(tái)等）：口是□否系統(tǒng)結(jié)構(gòu)（請(qǐng)另附頁(yè)）（此處請(qǐng)?zhí)峁㏒CADA系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖）注：多套系統(tǒng)可復(fù)印分別填寫(xiě)

（二）分布式控制系統(tǒng)（DCS）影響程度5□特大口重大口較大口一般系統(tǒng)名稱基功能描述（此處主要描述該DCS系統(tǒng)主要用于哪類生產(chǎn)的哪項(xiàng)生產(chǎn)工藝）本信111使用部門(mén)及啟用時(shí)間運(yùn)維商設(shè)備情況DCS（此處填寫(xiě)DCS控制器設(shè)備相關(guān)信息）硬件廠商及型號(hào)1、2、控制軟件廠商及版本：簡(jiǎn)況（此處主要填寫(xiě)DCS系統(tǒng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接狀況）完全物理隔離：口是□否，與網(wǎng)絡(luò)（主情1X)t要指企業(yè)生產(chǎn)管理，或企業(yè)信息化網(wǎng)絡(luò)以及其他輔助系統(tǒng)）連接通信協(xié)議（主要填寫(xiě)工業(yè)現(xiàn)場(chǎng)總線協(xié)議）：無(wú)線接入（包括無(wú)線AP、USB上網(wǎng)卡等））：口是□否況系統(tǒng)結(jié)構(gòu)（請(qǐng)另附頁(yè)）（此處請(qǐng)?zhí)峁〥CS系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖）注：多套系統(tǒng)可復(fù)印分別填寫(xiě)。工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表二（三）可編程控制器（PLC）影響程度5：□特大口重大口較大口一般基本信息系統(tǒng)名稱功能描述（此處主要描述該P(yáng)LC系統(tǒng)主要用于哪類生產(chǎn)的哪項(xiàng)生產(chǎn)工藝）使用部門(mén)及啟用時(shí)間運(yùn)維商設(shè)情備況可編程控制器（PLC）（此處填寫(xiě)PLC控制器設(shè)備相關(guān)信息）設(shè)備廠商及型號(hào)、臺(tái)套數(shù)1、2、組情網(wǎng)況簡(jiǎn)況（此處主要填寫(xiě)PLC系統(tǒng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接狀況）通信協(xié)議（主要填寫(xiě)工業(yè)總線協(xié)議）：無(wú)線接入（包括無(wú)線AP、CDMA、GPRS、數(shù)傳電臺(tái)等）：口是□否系統(tǒng)結(jié)構(gòu)（請(qǐng)另附頁(yè)）（此處請(qǐng)?zhí)峁〥CS系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖）注：多套系統(tǒng)可復(fù)印分別填寫(xiě)。（四）其他系統(tǒng)影響程度5：□特大口重大口較大口一般基系統(tǒng)名稱功能描述（此處主要描述該控制系統(tǒng)主要用于哪類生產(chǎn)的哪項(xiàng)生產(chǎn)工藝）本信息使用部門(mén)及啟用時(shí)間集成商運(yùn)維商（此處填寫(xiě)系統(tǒng)集成商、設(shè)備供應(yīng)商、獨(dú)立第三方機(jī)構(gòu)單位名稱）設(shè)情備況系統(tǒng)設(shè)備設(shè)備類型與名稱：設(shè)備型號(hào)與臺(tái)套數(shù)：簡(jiǎn)況完全物理隔離：口是□否，與網(wǎng)絡(luò)（主01要指企業(yè)生產(chǎn)管理，或企業(yè)信息化網(wǎng)絡(luò)以及其他輔助系統(tǒng)）連接情X)t通信協(xié)議（主要填寫(xiě)工業(yè)現(xiàn)場(chǎng)總線協(xié)議）：無(wú)線接入（包括無(wú)線AP、USB上網(wǎng)卡等））：口是□否系統(tǒng)結(jié)構(gòu)（請(qǐng)另附頁(yè)）注：多套系統(tǒng)可復(fù)印分別填寫(xiě)。（五）工業(yè)控制系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖（含與之相連網(wǎng)絡(luò)的連接情況）請(qǐng)另附頁(yè)影響程度5：特大，指可能造成30人以上死亡，或者100人以上重傷（包括急性工業(yè)中毒，下同）；或者1億元以上直接經(jīng)濟(jì)損失；或者影響500萬(wàn)人以上正常生活；或者對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生特大影響。重大，指可能造成10人以上30人以下死亡，或者50人以上100人以下重傷；或者5000萬(wàn)元以上1億元以下直接經(jīng)濟(jì)損失；或者影響100萬(wàn)人以上500萬(wàn)人以下正常生活；或者對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生重大影響。較大，指可能造成3人以上10人以下死亡，或者10人以上50人以下重傷；或者1000萬(wàn)元以上5000萬(wàn)元以下直接經(jīng)濟(jì)損失；或者影響10萬(wàn)人以上100萬(wàn)人以下正常生活；或者對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生較大影響。—8—一般，指可能造成3人以下死亡，或者10人以下重傷；或者1000萬(wàn)元以下直接經(jīng)濟(jì)損失；或者影響10萬(wàn)人以下正常生活；或者對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生一定影響。其中“以上”包括本數(shù)，“以下”不包括本數(shù)。工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表三此部分請(qǐng)生產(chǎn)相關(guān)（如生產(chǎn)部、設(shè)備部、調(diào)度等）部門(mén)主導(dǎo)填寫(xiě)，信息化部門(mén)輔助填寫(xiě)，紅色字

體內(nèi)容為重點(diǎn)調(diào)研內(nèi)容三、工業(yè)控制系統(tǒng)信息安全管理情況（一）連接管理[10調(diào)查項(xiàng)調(diào)查要點(diǎn)1工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與公共網(wǎng)絡(luò)的連接管理與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)相連的網(wǎng)絡(luò)：口內(nèi)部局域網(wǎng)（主要指生產(chǎn)部門(mén)的管理網(wǎng)絡(luò)）□互聯(lián)網(wǎng)（主要指企業(yè)生產(chǎn)管理、調(diào)度以及企業(yè)信息化網(wǎng)絡(luò)）口企業(yè)管理網(wǎng)（主要指企業(yè)生產(chǎn)管理、企業(yè)信息化網(wǎng)絡(luò)）□其它網(wǎng)絡(luò)口不與任何網(wǎng)絡(luò)相連2連接方式口直接相連口采取隔離措施后連接，采取的隔離措施為□防火墻口網(wǎng)卡（主要指雙網(wǎng)卡類型的網(wǎng)關(guān)類設(shè)備，如OPC服務(wù)器）口網(wǎng)閘等單向隔離設(shè)備□其它措施：3連接時(shí)間□始終連接口有需要時(shí)連接□其它：4連接后身份認(rèn)證方式口口令□數(shù)字認(rèn)證技術(shù)□其它：連接管理制度□審批備案□定期檢查□風(fēng)險(xiǎn)評(píng)估□隔離措施有效性驗(yàn)證□其它：56合法系統(tǒng)間互聯(lián)的識(shí)別和認(rèn)證技術(shù)措施：7存儲(chǔ)介質(zhì)使用移動(dòng)存儲(chǔ)介質(zhì)使用管理制度□有：口無(wú)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和公共網(wǎng)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)□禁止□未禁止口未要求工業(yè)控制系統(tǒng)與其他系統(tǒng)之間專用的安全信息交換途徑（專用調(diào)試計(jì)算機(jī)設(shè)備、專用移動(dòng)介質(zhì)等）：管理3.工業(yè)控制系統(tǒng)主機(jī)（上位機(jī)、調(diào)度主機(jī)、歷史數(shù)據(jù)庫(kù)等）的存儲(chǔ)介質(zhì)使用情況檢查□定期：□不定期□不檢查移動(dòng)存儲(chǔ)介質(zhì)銷毀處置流程：移動(dòng)存儲(chǔ)介質(zhì)自動(dòng)播放功能□明文禁止：□未禁止口未要求8工控系統(tǒng)中接入便攜式計(jì)算機(jī)口允許□不允許接入的對(duì)接入的便攜式計(jì)算機(jī)的管理措施便攜式口使用審批制度：9計(jì)算機(jī)口標(biāo)識(shí)接入計(jì)算機(jī)，標(biāo)識(shí)規(guī)定：的管理口安全性評(píng)估（定期殺毒、升級(jí)調(diào)試時(shí)使用的便攜式計(jì)算機(jī)）□其它：

（二）組網(wǎng)管理此部分請(qǐng)生產(chǎn)相關(guān)（如生產(chǎn)部、設(shè)備部、調(diào)度等）部門(mén)主導(dǎo)填寫(xiě)，信息化部門(mén)輔助填寫(xiě)調(diào)查項(xiàng)調(diào)查要點(diǎn)10工業(yè)控制系統(tǒng)信息安全生命周期管理工業(yè)控制系統(tǒng)安全實(shí)施、維護(hù)、升級(jí)、廢棄等方面制度□有：□無(wú)工業(yè)控制系統(tǒng)建設(shè)規(guī)劃中關(guān)于信息安全防護(hù)內(nèi)容□有：口無(wú)驗(yàn)收時(shí)對(duì)實(shí)際系統(tǒng)與規(guī)劃一致性的檢驗(yàn)和信息安全防護(hù)措施有效性驗(yàn)證□有口無(wú)維護(hù)過(guò)程信息安全操作規(guī)范□有：口無(wú)一線操作人員信息安全操作規(guī)范□有：口無(wú)升級(jí)改造后的安全性評(píng)估□有口無(wú)其它：11工業(yè)控制系統(tǒng)數(shù)據(jù)安全保障工業(yè)控制系統(tǒng)數(shù)據(jù)安全保障制度□有：口無(wú)敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）信息安全分級(jí)及相應(yīng)的傳輸要求□有：口無(wú)敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）的保密性（相關(guān)數(shù)據(jù)泄露后對(duì)生產(chǎn)造成影響）措施□有：口無(wú)敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）的完整性（相關(guān)指令、數(shù)據(jù)被篡改后對(duì)生產(chǎn)造成影響）措施□有：口無(wú)針對(duì)工業(yè)控制系統(tǒng)的關(guān)鍵鏈路設(shè)置備份方式□有：口無(wú)鏈路備份措施演練等有效性檢查□定期：□不定期口無(wú)12工業(yè)控制系統(tǒng)遠(yuǎn)端設(shè)備安全保障工業(yè)控制系統(tǒng)遠(yuǎn)端設(shè)備（主要指SCADA系統(tǒng)中的RTU設(shè)備）的安全保障制度口有：口無(wú)遠(yuǎn)端設(shè)備（主要指SCADA系統(tǒng)中的RTU設(shè)備）維護(hù)身份認(rèn)證□有，認(rèn)證方式是：口無(wú)為防止非法設(shè)備接入而進(jìn)行的遠(yuǎn)端設(shè)備（主要指SCADA系統(tǒng)中的RTU設(shè)備）型號(hào)和標(biāo)識(shí)檢查□定期□不定期□無(wú)遠(yuǎn)端維護(hù)設(shè)備（主要指SCADA系統(tǒng)中的RTU設(shè)備）接入規(guī)則和限制性要求口有：口無(wú)遠(yuǎn)端設(shè)備（主要指SCADA系統(tǒng)中的RTU設(shè)備）接入行為監(jiān)測(cè)□有，監(jiān)測(cè)方法是：口無(wú)遠(yuǎn)程系統(tǒng)登錄身份認(rèn)證□有，認(rèn)證方式是：口無(wú)接入控制的技術(shù)條件□有，條件是：口無(wú)

工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表三（三）配置管理此部分請(qǐng)生產(chǎn)相關(guān)（如生產(chǎn)部、設(shè)備部、調(diào)度等）部門(mén)主導(dǎo)填寫(xiě)，信息化部門(mén)輔助填寫(xiě)調(diào)查項(xiàng)調(diào)查要點(diǎn)工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備（DCS、RTU、PLC控制器）的安全配置和審計(jì)制度□有：口無(wú)工業(yè)控1.關(guān)鍵設(shè)備（DCS、RTU、PLC控制器）實(shí)際配置與規(guī)定配置的一致性檢驗(yàn)□有：制系統(tǒng)口無(wú)13關(guān)鍵設(shè)備的安2.關(guān)鍵設(shè)備（DCS、RTU、PLC控制器）的配置保存?zhèn)浞荨跤?，備份方式：—口無(wú)全配置3.關(guān)鍵設(shè)備（DCS、RTU、PLC控制器）的審計(jì)流程與規(guī)范□有：與審計(jì)口無(wú)4.審計(jì)中發(fā)現(xiàn)問(wèn)題的應(yīng)對(duì)措施和方法□有：口無(wú)工業(yè)控制系統(tǒng)（組態(tài)應(yīng)用軟件中）用戶權(quán)限管理制度□有：口無(wú)工業(yè)控制系統(tǒng)用戶權(quán)限管理1.對(duì)工業(yè)控制系統(tǒng)（組態(tài)應(yīng)用軟件中）用戶采用統(tǒng)一管理方式口是□否142.按照工作需要（將組態(tài)應(yīng)用軟件中用戶）劃分用戶權(quán)限口是□否（組態(tài)應(yīng)用軟件中）賬戶檢查和清理□定期：口不定期□未進(jìn)行用戶權(quán)限變更審批備案流程：15工業(yè)控制系統(tǒng)口令管理口令（組態(tài)應(yīng)用軟件的）管理制度□有口無(wú)對(duì)口令長(zhǎng)度、復(fù)雜度等要求：口令變更管理要求：空口令和默認(rèn)口令用戶登錄系統(tǒng)：口禁止□未禁止設(shè)備安裝時(shí)的預(yù)設(shè)密碼□已變更□未變更密碼更新□定期□不定期□不變更工業(yè)控制系統(tǒng)（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)、組態(tài)軟件、歷史數(shù)據(jù)庫(kù)等）配置檢查制度□有：口無(wú)1.設(shè)備（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)等）賬戶檢查及不必要用戶和管理員賬戶處理□定期□不定期□未檢查處理工業(yè)控2.設(shè)備（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)等）端口使用情況檢查及對(duì)未使用16制系統(tǒng)端口通信阻斷□定期□不定期□未檢查處理配置管理3.操作系統(tǒng)（包含上位機(jī)、下位機(jī)、歷史數(shù)據(jù)庫(kù)等）端口檢查并停止無(wú)用后臺(tái)程序和進(jìn)程，關(guān)閉業(yè)務(wù)無(wú)關(guān)端口口是□否4.在工業(yè)控制系統(tǒng)主機(jī)（主要指上位機(jī)、歷史數(shù)據(jù)庫(kù)等）上允許安裝的軟件口明文規(guī)定：□未規(guī)定5.用戶（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)、組態(tài)軟件、歷史數(shù)據(jù)庫(kù)等）登錄事件檢查分析□定期：□不定期□無(wú)

設(shè)備（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)等）提供服務(wù)情況檢查，并關(guān)閉不必要服務(wù)□定期：口不定期□無(wú)（四）設(shè)備選擇與升級(jí)管理調(diào)查項(xiàng)調(diào)查要點(diǎn)17工業(yè)控制系統(tǒng)供應(yīng)商管理通過(guò)選型測(cè)試確定產(chǎn)品（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)、組態(tài)軟件、歷史數(shù)據(jù)庫(kù)等）采購(gòu)范圍□是□否18工業(yè)控制系統(tǒng)設(shè)備（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)、組態(tài)軟件、歷史數(shù)據(jù)庫(kù)等）選擇時(shí)，對(duì)產(chǎn)品安全性提出的要求□是：□否19采購(gòu)合同中明確設(shè)備（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)、組態(tài)軟件、歷史數(shù)據(jù)庫(kù)等）供應(yīng)商承擔(dān)的主要信息安全責(zé)任與義務(wù)□是□否20在合同中明確系統(tǒng)集成商所承擔(dān)的主要信息安全責(zé)任與義務(wù)□是□否21工業(yè)控制系統(tǒng)遠(yuǎn)程運(yùn)維管理工業(yè)控制系統(tǒng)（主要指DCS、RTU、PLC等控制器）遠(yuǎn)程運(yùn)維管理安全規(guī)定□有：口無(wú)指定專人或?qū)ｉT(mén)部門(mén)對(duì)各設(shè)備（主要指DCS、RTU、PLC等控制器）進(jìn)行定期維護(hù)口是□否設(shè)備（包含上位機(jī)、下位機(jī)、工業(yè)交換機(jī)、組態(tài)軟件、歷史數(shù)據(jù)庫(kù)等）選型、采購(gòu)、發(fā)放等各個(gè)選用環(huán)節(jié)采取審批控制□是□否關(guān)鍵服務(wù)器（主要指實(shí)時(shí)數(shù)據(jù)路和歷史數(shù)據(jù)庫(kù)）安全日志管理制度□有：—口無(wú)22工業(yè)控制系統(tǒng)軟件漏洞防護(hù)管理軟件（包含上位機(jī)、下位機(jī)、組態(tài)軟件、歷史數(shù)據(jù)庫(kù)、DCS控制器、RTU控制器、PLC控制器等）升級(jí)管理制度□有：口無(wú)23漏洞和補(bǔ)丁管理制度□有：口無(wú)系統(tǒng)安裝安全補(bǔ)丁程序□定期：□不定期□視需要補(bǔ)丁安裝方式方法的相關(guān)制度□有：口無(wú)由專業(yè)技術(shù)機(jī)構(gòu)（主要指控制系統(tǒng)軟件和控制器設(shè)備提供廠商）對(duì)補(bǔ)丁進(jìn)行安全評(píng)估和驗(yàn)證□是□否網(wǎng)絡(luò)（工業(yè)以太網(wǎng)）和主機(jī)（上位機(jī)）惡意代碼定期檢測(cè)□定期：口不定期□無(wú)24設(shè)備測(cè)試驗(yàn)收管理設(shè)備（包含上位機(jī)、下位機(jī)、組態(tài)軟件、歷史數(shù)據(jù)庫(kù)、DCS控制器、RTU控制器、PLC控制器等）測(cè)試驗(yàn)收的信息安全管理規(guī)范□有：口無(wú)25根據(jù)設(shè)計(jì)方案或合同要求在系統(tǒng)正式運(yùn)行前指定專門(mén)部門(mén)測(cè)試驗(yàn)收口是□否26設(shè)備交付管理專門(mén)部門(mén)按照手續(xù)辦理系統(tǒng)或設(shè)備交付工作□是，部門(mén)為：□無(wú)規(guī)定系統(tǒng)交付清單中必須包含所有軟件工程文檔□是□否要求系統(tǒng)建設(shè)實(shí)施方對(duì)運(yùn)維技術(shù)人員進(jìn)行過(guò)培訓(xùn)□是□否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)目前設(shè)備□是□否—14—工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表三（五）數(shù)據(jù)管理序號(hào)調(diào)查項(xiàng)調(diào)查要點(diǎn)八、、27數(shù)據(jù)管理規(guī)范根據(jù)工業(yè)控制系統(tǒng)數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）敏感性對(duì)數(shù)據(jù)的分級(jí)□是，分級(jí)情況：□否28在采集、傳輸、存儲(chǔ)和應(yīng)用階段的數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）安全規(guī)范措施□有：口無(wú)數(shù)據(jù)采集管理為確保設(shè)備物理安全，對(duì)敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）采集環(huán)節(jié)部署的專用安全防護(hù)技術(shù)29為確保設(shè)備物理安全，對(duì)敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）采集環(huán)節(jié)制定的特別管理要求：3031敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）采集設(shè)備日志審計(jì)□定期：□不定期□否32為保證敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）流向的合法性在敏感數(shù)據(jù)采集設(shè)備（傳感器）和接收設(shè)備（控制器）間建立的身份鑒別機(jī)制□有：—口無(wú)33數(shù)據(jù)傳輸管理在敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）傳輸過(guò)程中采用符合國(guó)家規(guī)定的加密算法□是□否34在敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）傳輸過(guò)程中采用符合國(guó)家規(guī)定的完整性保障技術(shù)□是□否35數(shù)據(jù)存儲(chǔ)與備份管理對(duì)敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）的存儲(chǔ)采用加密文件系統(tǒng)或者第三方的數(shù)據(jù)保護(hù)軟件□是□否36對(duì)敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）采用符合國(guó)家規(guī)定的災(zāi)備措施進(jìn)行備份，并定期演練□是□否37備份數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）的訪問(wèn)和恢復(fù)控制機(jī)制口有口無(wú)38敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）的存儲(chǔ)介質(zhì)與公共網(wǎng)隔離措施□有：口無(wú)39敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）可用性保障措施□有：口無(wú)40敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）合法訪問(wèn)控制措施口自主訪問(wèn)□強(qiáng)制訪問(wèn)□基于角色的訪問(wèn)控制□其它：41數(shù)據(jù)審計(jì)管理在敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）應(yīng)用過(guò)程中的安全日志記錄功能□開(kāi)啟□未開(kāi)啟42敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）的應(yīng)用日志審計(jì)□定期：口不定期□否43針對(duì)敏感數(shù)據(jù)（生產(chǎn)工藝、工藝參數(shù)、產(chǎn)品配方、調(diào)度數(shù)據(jù)等）安全日志的審計(jì)結(jié)果處理的應(yīng)對(duì)措施□有口無(wú)

（