关于印发《湖南省工业控制系统信息安全事件应急预案》的通知

发布时间:2020年11月05日

来源:工信

阅读:81次

湘工信信软〔2020〕425号

各市州工信局,有关工业企业: 
    为贯彻落实《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《工业控制系统信息安全事件应急管理工作指南》相关要求,指导做好全省工业控制系统信息安全事件应急工作,保障工业控制系统信息安全,特制定《湖南省工业控制系统信息安全事件应急预案》。现印发你们,请结合实际遵照执行。

 

 

湖南省工业和信息化厅  
    2020年11月4日     


湖南省工业控制系统信息安全事件应急预案

 

    1总则 
    1.1编制目的 
    加强湖南省工业控制系统信息安全(以下简称工控安全)应急工作管理,建立健全工控安全应急工作机制,提高应对工控安全事件的组织协调和应急处置能力,预防和减少工控安全事件造成的损失和危害,保障工业生产正常运行,维护经济安全和人民生命财产安全。 
    1.2编制依据 
    《中华人民共和国网络安全法》《中华人民共和国突发事件应对法》《国家网络安全事件应急预案》《加强工业互联网安全工作的指导意见》《工业控制系统信息安全事件应急管理工作指南》等法规政策和《GB/T 20986-2007信息安全技术 信息安全事件分类分级指南》《GB/T 36324-2018信息安全技术 工业控制系统信息安全分级规范》等标准规范。 
    1.3适用范围 
    本预案所指工控安全事件是指由于人为、软硬件缺陷或故障、自然灾害等原因,对工业控制系统(以下简称工控系统)及其中的数据造成或者可能造成危害,影响正常工业生产的事件。 
    本预案适用于湖南省工业和信息化主管部门(以下简称工信部门)、工业企业开展工控安全事件应急管理工作。 
    1.4工作原则 
    坚持政府指导、企业主体,坚持预防为主、平战结合,坚持快速反应、科学处置,充分发挥各方力量,共同做好工控安全事件的应急管理工作。 
    2组织机构与职责 
    2.1领导机构职责 
    湖南省工业和信息化厅(以下简称省工信厅)成立由主要领导任组长的厅工控安全应急领导小组,负责贯彻国家有关应急工作的法规政策,指导全省工控安全事件应急工作,决策应急过程中的重大事项。 
    厅工控安全应急领导小组办公室(以下简称厅应急办)设在信息化和软件服务业处。厅应急办在厅工控安全应急领导小组的领导下,统筹协调全省工控安全事件应急工作,负责信息搜集、处理与协调发布,制定应急预案及配套文件,组建应急技术机构和专家队伍,编制重点工业企业目录清单,指导各市(州)工信部门、工业企业做好工控安全应急工作。 
    厅应急办负责建立工控安全应急工作机制。各市(州)工信部门、应急技术机构、重点工业企业须指定工控安全应急工作联系人,报厅应急办备案。厅应急办根据工作需要组织召开应急工作会议。 
    2.2各市(州)职责 
    各市(州)工信部门参照省工信厅组建相应应急组织,指导本地区工控安全应急管理工作,编制工控安全应急预案,抓深抓实本地区工控安全事件的预防、监测、报告和应急处置等工作。 
    2.3省级工控安全应急技术机构和应急专家库专家职责 
    省级工控安全应急技术机构负责开展工控安全监测、态势研判、威胁预警、应急处置、事件调查与评估等工作,为厅应急办提供技术支撑。省级应急专家库专家为工控安全事件的预防和处置提供技术咨询和决策建议。 
    2.4各工业企业职责 
    各工业企业对本单位工控安全负主体责任。负责做好本单位的工控安全应急管理工作,建立健全工控安全责任制,编制应急预案,部署有效安全防护手段,落实人财物保障。 
    3事件分级 
    工控安全事件分为四级:特别重大工控安全事件、重大工控安全事件、较大工控安全事件、一般工控安全事件。 
    (1)符合下列情形之一的,为特别重大工控安全事件: 
    ①重点领域的工控系统遭受特别重大损害,造成系统大面积瘫痪,丧失业务处理能力。 
    ②重点领域的工控系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大。 
    ③事件影响全省或大部分地区,对经济建设、社会秩序、公共利益、环境安全和人员生命造成特别严重损害。 
    (2)符合下列情形之一且未达到特别重大工控安全事件的,为重大工控安全事件: 
    ①重点领域的工控系统遭受重大损害,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。 
    ②重点领域的工控系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大。 
    ③事件影响省内多个地市,对经济建设、社会秩序、公共利益、环境安全和人员生命造成严重损害。 
    (3)符合下列情形之一且未达到重大工控安全事件的,为较大工控安全事件: 
    ①一般领域的工控系统遭受重大损害,或者重点领域的工控系统遭受损害,造成系统中断,明显影响系统效率,业务处理能力受到影响。 
    ②一般或重点领域的工控系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大。 
    ③事件影响在一个地市以内,对公民、企业和其他组织的合法权益及重要财产造成严重损害,或者对经济建设、社会秩序、公共利益、环境安全和人员生命造成损害。 
    (4)符合下列情形之一且未达到较大工控安全事件的,为一般工控安全事件: 
    ①一般领域的工控系统遭受损害,造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响。 
    ②一般领域的工控系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。 
    ③事件影响在一个工业企业以内,对公民、企业和其他组织的合法权益及重要财产造成损害,但未损害社会秩序、公共利益、环境安全和人员生命。 
    重点领域的工控系统是指与国计民生紧密相关的工业生产领域中的工控系统,如核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等。一般领域的工控系统是指上述重点领域之外的其他工业生产领域中的工控系统。 
    4监测预警 
    4.1预警分级 
    工控安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般工控安全事件。 
    4.2安全监测 
    厅应急办依托工控安全应急技术机构、湖南省工业控制系统信息安全态势感知监测平台等,对全省重点工业企业、工控系统和网络关键节点开展安全监测,在可控范围内共享工控安全相关威胁情报信息。 
    各市(州)工信部门组织开展本地区工控安全监测工作,并定期将重要监测信息报厅应急办。 
    各工业企业组织开展本单位工控安全监测工作,根据相关政策法规要求,可将安全监测数据接入湖南省工业控制系统信息安全态势感知监测平台等经厅应急办认可的重要安全监测平台,定期将重要监测信息报当地工信部门。 
    4.3预警发布 
    厅应急办根据工控安全监测情况,适时召开安全形势分析会,发现可能影响全省工控安全的重大漏洞和风险后,确定和发布红色或橙色预警,对可能发生特别重大及以上工控安全事件的信息及时向工业和信息化部(以下简称工信部)报告。 
    各市(州)工信部门根据本地区工控安全监测情况,发现可能影响本地区工控安全的重大漏洞和风险后,确定和发布黄色及以下预警,并向有关工业企业通报情况,认为可能超出本地区应对能力范围的,应及时上报厅应急办。 
    预警通报信息内容包括:事件的类别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。 
    4.4预警响应 
    (1)红色预警响应 
    ①厅应急办立即启动应急预案,联系有关专家,组织应急技术机构对事态发展情况进行分析研判,研究制定防范措施和应急工作方案,协调组织资源调度等各项应急处置准备工作。跟踪事态发展,并将相关信息及时向厅工控安全应急领导小组和工信部相关管理部门报告。 
    ②有关市(州)工信部门实行24小时值班,相关人员保持通信联络畅通。组织指导应急技术机构、有关工业企业开展应急处置准备工作,加强工控安全事件监测和事态发展信息搜集,及时将事态发展情况报厅应急办。 
    ③各省级应急技术机构进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。 
    ④各工业企业要保持联络畅通,接到工信部门预警通报后,要积极落实工信部门要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。 
    (2)橙色预警响应 
    ①厅应急办立即启动应急预案,组织应急技术机构对事态发展情况进行分析研判,研究制定防范措施和应急工作方案,协调组织资源调度等各项应急处置准备工作。密切关注事态发展,并将相关信息向厅工控安全应急领导小组报告,有关重大事项及时通报相关市(州)和工业企业。 
    ②有关市(州)工信部门相关人员保持通信联络畅通。组织指导应急技术机构、有关工业企业开展应急处置准备工作,加强工控安全事件监测和事态发展信息搜集,及时将事态发展情况报厅应急办。 
    ③各市级应急技术机构保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。 
    ④各工业企业要保持联络畅通,接到工信部门预警通报后,要积极落实工信部门要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。 
    (3)黄色、蓝色预警响应 
    ①有关市(州)工信部门启动相应应急预案,组织开展应急处置准备工作。 
    ②各工业企业要保持联络畅通,接到工信部门预警通报后,要积极落实工信部门要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。 
    4.4预警解除 
    预警发布部门根据实际情况解除预警,并及时发布预警解除信息。 
    5应急处置 
    5.1事件报告 
    工控安全事件发生后,事发工业企业应立即启动应急预案,并在2小时以内报告当地工信部门。事发地工信部门立即组织工业企业先期处置,控制事态,消除隐患,同时组织研判,保存证据。 
    对于初判为重大工控安全及以上事件的,事发地工信部门应在2小时内报告厅应急办。对于初判为特别重大工控安全及以上事件的,厅应急办应在2小时以内报告工信部。后续处置应对情况也应及时报送,直至处置完毕。 
    需由省工信厅进行回应的相关信息,由厅工控安全应急领导小组指定授权人进行回应,其他人员不得随意发布和转发相关信息。 
    报告信息主要包括:事发工业企业名称、工控系统名称以及事件发生时间、地点、原因、来源、类型、性质、危害、影响范围、发展趋势、处置措施等。 
    5.2应急响应 
    工控安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般工控安全事件。I级为最高响应级别。 
    (1)Ⅰ级响应 
    属特别重大工控安全事件的,由厅应急办报厅工控安全应急领导小组批准后,启动I级响应。 
    ①厅工控安全应急领导小组成立应急指挥部,履行应急处置工作的统一领导、指挥和协调职责,24小时值班。组织应急技术机构和专家队伍提供技术支援。掌握事件动态,收集汇总有关情况,及时将事件情况报告工信部,并对应对工作进行决策部署。 
    ②事发市(州)工信部门进入应急状态,在指挥部的统一领导下,负责组织本地区应急处置和支援保障工作,24小时值班。跟踪事态发展,检查影响范围,及时将事态发展情况上报应急指挥部。 
    ③事发工业企业及时采用口头、书面报告的形式,将事态发展变化情况、处置进展情况报告当地工信部门。在当地工信部门的组织下,迅速实施应急处置,开展原因分析,保留网络攻击、网络入侵或网络病毒的证据等相关信息,尽快就工控安全事件中暴露出的网络弱点和缺陷制定有效措施,对网络设施和信息系统进行整改加固,解决安全问题,恢复受破坏系统的正常运行,减少危害和不良影响。 
    (2)Ⅱ级响应 
    属重大工控安全事件的,由厅应急办启动Ⅱ级响应。 
    ①厅应急办进入应急状态,组织事发市(州)的工信部门开展应急处置工作,将相关事项及时通报有关地区和工业企业,防止造成更大范围的影响和损失。处置中需要其他市(州)工信部门和省级应急技术机构配合支持的,厅应急办予以协调。 
    ②事发市(州)工信部门负责做好本地区应急处置和支援保障工作,并及时将事态发展变化情况上报厅应急办。 
    ③事发工业企业及时将情况上报当地工信部门,迅速实施应急处置,尽快恢复受破坏工控系统的正常运行。 
    (3)Ⅲ级响应 
    属较大工控安全事件的,由事发市(州)工信部门启动Ⅲ级响应。 
    ①事发市(州)工信部门按相关应急预案组织做好应急处置工作。 
    ②事发工业企业及时将情况上报当地工信部门,保持联络畅通,积极实施应急处置,恢复受破坏工控系统的正常运行。 
    (4)Ⅳ级响应 
    属一般工控安全事件的,由事发工业企业启动Ⅳ级响应。 
    事发工业企业启动本企业应急预案,组织实施应急处置工作,并将处置情况报当地工信部门。 
    5.3应急结束 
    (1)Ⅰ级响应结束 
    厅应急办向厅工控安全应急领导小组提出建议,经同意后,及时将Ⅰ级响应结束信息通报有关市(州)和工业企业。 
    (2)Ⅱ级响应结束 
    由厅应急办决定,并及时将Ⅱ响应结束信息通报有关相关市(州)和工业企业。 
    (3)Ⅲ级响应结束 
    由事发市(州)决定,并及时将Ⅲ级响应结束信息通报有关工业企业。 
    (4)Ⅳ级响应结束 
    由事发工业企业决定并宣布Ⅳ级响应结束。 
    6调查与评估 
    重大及以上工控安全事件由厅应急办组织有关市(州)和工业企业进行调查处理和总结评估。较大及以下工控安全事件由事发市(州)工信部门和工业企业自行组织调查处理和总结评估。总结调查报告应客观公正,具备专业性,对事件的起因、性质、影响、责任等进行分析评估并提出处理意见和改进措施。 
    事件的调查处理和总结评估工作,原则上在应急响应结束后30天内完成。 
    7预防工作 
    7.1日常管理 
    各市(州)工信部门、各工业企业按职责做好工控安全事件日常预防工作,制定和完善相关应急预案,做好工控安全检查、隐患排查、风险评估和容灾备份,健全工控安全信息通报机制,及时采取有效措施,减少和避免工控安全事件的发生及危害,提高应对工控安全事件的能力。 
    7.2演练 
    厅应急办协调有关单位根据工作需要组织演练,检验和完善预案,提高实战能力。 
    各市(州)工信部门、各重点工业企业定期组织预案演练,并将演练情况报厅应急办。 
    7.3检查 
    厅应急办组织省级应急技术机构,定期对重点工业企业工控系统开展安全检查,发现安全问题,通报安全情况,提出整改措施,提升安全事件应对能力。 
    各市(州)工信部门定期组织工控安全检查,发现安全问题并敦促整改,如发现重大安全事件苗头性问题,必须报厅应急办。 
    各重点工业企业每年应开展1次以上工控安全自查,及时发现和排除安全隐患,并将自查报告报属地工信部门,如有必要可报厅应急办。 
    7.4宣传 
    各级工信部门应充分利用各种传播媒介及其他有效的宣传形式,加强突发工控安全事件预防和处置的有关法律、法规和政策的宣贯,开展工控安全基本知识和技能、工控安全事件典型案例的宣传活动。 
    7.5培训 
    厅应急办每年组织1次以上工控安全知识培训。 
    各市(州)工信部门、各工业企业要将工控安全事件的应急知识列为领导干部和有关人员的培训内容,积极利用线下培训班、线上课程等多种形式开展工控安全管理和技能培训,加强应急预案的培训和宣贯,深化对预案中职责、流程和各项基本要求的了解,提高防范意识和技能。 
    7.6重要活动期间的预防措施 
    在国家、省级重要活动、会议期间,厅工控安全应急领导小组统筹协调工控安全保障工作,加强工控安全监测预警、事件防范和应急响应。有关市(州)工信部门加强工控安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置工控安全事件隐患。相关工业企业应加强对工控系统的巡查巡检,原则上不在敏感时期对工控系统进行调整或升级。 
    8保障措施 
    8.1应急技术机构和专家库 
    厅应急办每年遴选发布一批省级应急技术机构。各市(州)工信部门可建立本级应急技术机构。 
    厅应急办组织建立省级应急专家库。各市(州)工信部门可建立本级工控安全应急专家库。各工业企业应配备必要的工控安全专家和专业技术人才,并加强与各级应急技术机构的沟通、协调,建立必要的工控安全信息共享机制。 
    8.2经费和物资保障 
    各级工信部门应充分利用现有政策和资金渠道,申请新增预算,支持应急技术机构、应急专家库和基础平台等建设,支持监测预警、预案演练、安全检查、应急物资保障等工作地开展。 
    各工业企业应为工控安全监测、应急工作提供必要的经费保障,加强对工控安全监测、应急装备和工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。 
    8.3落实工作责任 
    各级工信部门、各工业企业要按照“谁主管谁负责,谁运营谁负责”的原则,建立健全应急工作机制,把工作责任落实到具体部门、具体岗位和相关责任人身上。 
    8.4责任与奖惩 
    工控安全事件应急处置工作实行责任追究制。 
    厅工控安全应急领导小组对工控安全基础好、工作标准高、工控安全事件应急工作表现优异的企业,将在申报工信部相关试点示范和省级工控安全试点示范时予以积极推荐,并优先列入省移动互联网产业发展专项资金支持范围。 
    厅工控安全应急领导小组对在应急管理工作中出现失职、渎职行为的,依照相关规定对企业给予处罚,对有关责任人给予处分,构成犯罪的,依法追究刑事责任。 
    9附则 
    9.1预案解释 
    本预案由省工信厅负责解释。 
    9.2预案实施时间 
    本预案自印发之日起实施。 

    附件:1.监测预警和应急处置流程图
          2.预警通报信息单
          3.事件报告单