贵州省工业控制系统

1、贵州省工业控制系统信息安全事件应急预案贵州省工业和信息化厅2020年11月目录一、总则- 1 -（一）编制目的。- 1 -（二）编制依据。- 1 -（三）适用范围。- 1 -（四）工作原则。- 2 -（五）事件分级。- 3 -二、组织体系- 4 -（一）组织机构与职责。- 4 -（二）联络机制。- 5 -（三）应急值守机制。- 5 -（四）专家咨询机构。- 5 -三、监测与预警- 6 -（一）预警分级。- 6 -（二）预警监测。- 6 -（三）信息通报。- 7 -四、敏感时期应急管理- 7 -五、应急处置- 8 -（一）事件报告。- 8 -（二）应急处置。- 8 -（三）处置要求。- 9 -（

2、四）舆情引导。- 9 -（五）事后处置及监测。- 10 -（六）安全加固和整改。- 10 -（七）安全事件总结及汇报。- 10 -六、预防工作- 10 -（一）日常管理。- 10 -（二）应急演练。- 11 -（三）培训。- 11 -（四）风险评估检查。- 11 -七、保障措施- 12 -（一）物资保障。- 12 -（二）专家保障。- 12 -（三）经费保障。- 12 -八、附则- 12 -（一）预案管理。- 12 -（二）预案实施时间。- 13 -II一、总则（一）编制目的。为贯彻落实国家相关法律法规，切实做好贵州省工业控制系统信息安全突发事件的防范和应急处理工作，规范工业控制系统信息安全事

3、件的应急管理和应急响应程序，提高贵州省工业控制系统预防和控制网络与信息安全突发事件的能力和水平，及时有效地实施应急处置工作，最大程度地减少减轻或消除突发事件的危害和影响，确保贵州省工业控制系统网络与信息安全，维持正常的安全生产秩序，结合工作实际，制定本预案。（二）编制依据。中华人民共和国突发事件应对法、中华人民共和国网络安全法、国家网络安全事件应急预案、工业控制系统信息安全事件应急管理工作指南、GB/T 20986-2007信息安全技术 信息安全事件分类分级指南和GB/T 36324-2018信息安全技术 工业控制系统信息安全分级规范等相关规定。（三）适用范围。本预案所指工业控制系统信息安全事

4、件是指由于人为、软硬件缺陷或故障、自然灾害等原因，对工业控制系统、工业控制系统数据造成或者可能造成严重危害，影响正常工业生产的事件。人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。事件灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。自然灾害是指地震、台风、雷电、火灾、洪水等。本预案适用于贵州省工业和信息化主管部门、工业企业开展工控安全应急管理工作。（四）工作原则。政府指导、企业主体。政府通过完善政策措施、加强监督管理，指导企业树立工控安全主体责任意识，督促企业将工控安全作为生产安全的重要组成部分，做好工控安全应急相关工作，加快提升工控安全事件应急能力。预防为主

5、、平战结合。按照系统化、科学化管理思想，加强工控安全监测与风险预判，及时掌握工控安全态势，畅通信息传输渠道，充分发挥各方力量，将预防与消减有机结合，积极做好工控安全事件的预防和消减工作。快速反应、科学处置。建立感知快、研判快、处置快、消减快的工控安全快速反应体系，不断强化工控安全事件应急队伍的整体应急水平和快速反应能力，科学管理、指挥有力，妥善处置工控安全事件，坚持预防为主、平战结合，坚持快速反应、科学处置，充分发挥各方力量，共同做好工控安全事件的预防和处置工作。（五）事件分级。网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。1、符合下列情形之

6、一的，为特别重大网络安全事件：（1）重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。（2）国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。（3）其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。2、符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：（1）重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。（2）国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。（3

7、）其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。3、符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：（1）重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。（2）国家秘密信息、重要敏感信息和关键数据取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。（3）其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。4、除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。二、组织体系（一）组织机构与职责。省

8、工业和信息化厅统筹指导省内工控安全应急管理工作，指导第三方工控安全应急技术机构协助工业企业开展工控安全风险监测、态势研判、威胁预警、事件处置等工作。各市（自治州）工业和信息化主管部门指导下辖各县（区）工业和信息化主管部门、工业企业做好工控安全应急管理工作。各县（区）工业和信息化主管部门负责指导本地区工业企业做好工控安全应急管理工作。工业企业负有工控安全主体责任，应建立健全工控安全责任制，负责本单位工控安全应急管理工作，落实人财物保障。（二）联络机制。省工业和信息化厅指导全省工业和信息化主管部门、工业企业、工控安全应急技术机构建立工控安全联络机制，下辖各县（区）工业和信息化主管部门、工业企业、工

9、控安全应急技术机构要配备工控安全工作联络员，并报省工业和信息化厅以及各市（自治州）工业和信息化主管部门，联络员和联络方式发生变化时需及时上报。省工业和信息化厅、各市（自治州）工业和信息化主管部门根据工作需要不定期组织召开联络员会议。工控安全工作联络员要做好工控安全风险、威胁、事件信息日常监测和报告，检查各项保障措施落实情况等工作。（三）应急值守机制。各市（自治州）及下辖各县（区）工业和信息化主管部门指导本地区工业企业建立工控安全应急值守机制，在紧急状态下，实行“7x24”小时值守。加强信息监测、收集与研判，做好信息跟踪报告。（四）专家咨询机构。省工业和信息化厅负责组建处置工控安全事件专家咨询组

10、，为处置工控安全事件提供技术咨询和决策支持。三、监测与预警（一）预警分级。网络安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。（二）预警监测。省工业和信息化厅指导第三方工控安全应急技术机构，组织开展全省工控安全风险监测、预警通报等工作，提升信息搜集、态势分析、风险评估和信息共享能力。各市（自治州）工业和信息化主管部门组织开展全市（自治州）工控安全风险监测、预警通报等工作，提升情报搜集、预判分析、风险评估和信息共享能力。各县（区）工业和信息化主管部门组织开展本地区工控安全风险监测工作。各企业按照企业主体责任的要求，

11、组织对本企业建设运行的工业控制网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各县（区）工业和信息化主管部门、工业企业定期将重要监测信息报各市（自治州）工业和信息化主管部门，各市（自治州）工业和信息化主管部门负责汇总、整理、分析、研判，并将结果报省工业和信息化厅；针对可能超出本地区应对能力范围的安全风险和事件信息，及时上报，必要时争取上一级工业和信息化主管部门和工控安全应急技术机构提供技术支持。（三）信息通报。省工业和信息化厅对可能影响我省工业控制系统的重大漏洞和风险，及时向有关行业、地区和工业企业发布情况通报。各市（自治州）工业和信息化主管部门及

12、时将省工业和信息化厅发布的对可能影响各市（自治州）工业控制系统的重大漏洞和风险情况向有关行业、县（区）和工业企业转发通报。四、敏感时期应急管理在国家、省、各市（自治州）有重要活动、会议等敏感时期，省工业和信息化厅指导各市（自治州）工业和信息化主管部门、工控安全应急技术机构、工业企业开展工控安全事件预防和应急管理工作。各市（自治州）工业和信息化主管部门、工业企业加强工控安全监测和风险研判，对可能造成重大影响的风险和事件信息应及时上报。重点单位、重要部门应实施24小时值守，保持通信联络畅通。相关工业企业应加强对工业控制系统的巡检巡查，原则上不在敏感时期对工业控制系统进行调整或升级。五、应急处置对于

13、可能发生或已经发生的工控安全事件，工业企业应立即开展应急处置，采取科学有效方法及时施救，力争将损失降到最小，尽快恢复受损工业控制系统的正常运行。当事发工业企业应急处置力量不足时，可请求上级主管部门协调应急技术机构提供支援。（一）事件报告。工控安全事件发生后，事发工业企业应立即启动应急预案，实施处置并及时报送信息。各县（区）工业和信息化主管部门应立即组织先期处置，控制事态，消除隐患，同时组织研判，注意保存证据，做好信息通报工作。对于初判为特别重大、重大级别的工控安全事件或特殊情况，应立即报告省工业和信息化厅。报告信息一般包括以下要素：事件涉及的工业控制系统名称及运营管理单位、时间、地点、原因、来

14、源、类型、性质、危害、影响范围、发展趋势、处置措施等。（二）应急处置。工业和信息化主管部门指导、督促事发企业开展应急处置工作，必要时派出工作组赴现场指挥协调应急处置工作，协调应急技术机构提供技术支援。工业企业发生工控安全事件后，应立即启动上报流程并启动本企业应急预案，迅速组织力量采取相关应急技术措施，减少危害和不良影响，尽快恢复受破坏系统的正常运行和网上不良信息的扩散和传播，开展原因分析，注意保留网络攻击，网络入侵或网络病毒的证据等相关信息。当事发工业企业应急处置力量不足时，可请求上级主管部门协调应急技术机构提供支援。（三）处置要求。（1）各市（自治州）工业和信息化主管部门根据各自职责，指导、

15、督促和支持当事工业企业开展应急处置工作，并视情况协调从网络安全专家库中抽调相应专家或协调工控安全应急技术机构，协助当事工业企业进行应急处置。（2）对于发生计算机病毒疫情和大规模网络攻击事件，采取其他措施无法有效消除影响时，由当事工业企业提出意见，上报各市（自治州）工业和信息化主管部门，可协调各互联网运营单位临时中断相关地区（相关企业）的互联网连接。（3）各市（自治州）工业和信息化主管部门和工业企业应急处置人员应保持联系方式畅通，及时通报事态发展变化情况和事件处置进展情况。当事工业企业要做好应急处置的相关记录，保留有关证据，积极稳妥地进行应急处置。（四）舆情引导。对于工控安全事件性质、起因、范围

16、、损失等，各级工业和信息化主管部门和相关人员应做好舆论宣传和引导工作。（五）事后处置及监测。事发工业企业在工控安全事件应急处置完成后，应加强监测受损系统至少4周，确认工控系统不再出现异常或者类似现象，并将监测记录上报本地工业和信息化主管部门。（六）安全加固和整改。事发工业企业就工控安全事件中暴露出的IT、OT以及IT/OT连接处网络弱点和缺陷应尽快制定整改措施，对网络设施和信息系统进行安全加固，消除安全隐患，并根据该次应急工作的经验和教训进一步完善修订各自的网络威胁场景式应急预案，改进应急工作部署，使其在今后能够更加有效地发挥作用。（七）安全事件总结及汇报。应急处置结束、系统恢复运行后，相关工

17、业企业应尽快消除事件造成的不良影响，做好事件分析总结工作，总结报告应在25天内以书面形式逐级上报至省工业和信息化厅。六、预防工作（一）日常管理。各市（自治州）、县（区）工业和信息化主管部门指导当地工业企业做好工业控制系统信息安全事件日常预防工作，制定和完善应急预案，做好工业控制系统信息安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。（二）应急演练。各市（自治州）、县（区）工业和信息化主管部门应协调、督促工业企业定期组织应急演练，检验和完善预案，提高实战能力。各企业每两年应至少组织一次预案演练。演

18、练结束形成演练总结报告，对演练的结果进行总结和评估，对演练中暴露出的问题和不足应及时解决，并将演练总结报告报各市（自治州）工业和信息化主管部门。（三）培训。省工业和信息化主管部门应每年组织工业控制系统信息安全相关知识培训，提高各级工业和信息化主管部门和工业企业相关工作人员风险防范意识及技能水平。工业企业要加强工业控制系统信息安全特别是应急预案的培训工作。（四）风险评估检查。省工业和信息化厅每年根据实际情况，组织第三方工控安全应急技术机构，对贵州省内工业企业的工业控制系统安全进行随机抽查和风险评估检查，以检查促改，以检查促安全。七、保障措施（一）物资保障。加强对工控安全事件应急装备和工具的储备，及时调整、升级软硬件工具，建设完善工控安全事件应急技术服务平台，不断增强应急技术支撑能力。（二）专家保障。鼓