工业和信息化部关于印发《工业控制系统信息安全事件应急管理工作指南》的通知
工信部信软[2017]122号

各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门，有关中央企业：

为贯彻落实《中华人民共和国网路安全法》《国务院关于深化製造业与网际网路融合发展的指导意见》（国发〔2016〕28号），指导做好工业控制系统信息安全事件应急管理相关工作，保障工业控制系统信息安全，制定《工业控制系统信息安全事件应急管理工作指南》，现印发你们。

工业和信息化部指导和管理全国工业控制系统信息安全应急工作，并根据实际情况对指南进行修订。地方工业和信息化主管部门根据工业和信息化部统筹安排，指导和管理本行政区域内的工业控制系统信息安全应急工作。

特此通知。

工业和信息化部

2017年5月31日

第一章 总 则

第一条 为加强工业控制系统信息安全（以下简称工控安全）应急工作管理，建立健全工控安全应急工作机制，提高应对工控安全事件的组织协调和应急处置能力，预防和减少工控安全事件造成的损失和危害，保障工业生产正常运行，维护国家经济安全和人民生命财产安全,依据《中华人民共和国突发事件应对法》《中华人民共和国网路安全法》以及《国务院关于深化製造业与网际网路融合发展的指导意见》等法规政策，制定本指南。

第二条 本指南适用于工业和信息化主管部门、工业企业开展工控安全应急管理工作。

第三条 工控安全事件是指由于人为、软硬体缺陷或故障、自然灾害等原因，对工业控制系统、工业控制系统数据造成或者可能造成严重危害，影响正常工业生产的事件。

第四条 坚持政府指导、企业主体，坚持预防为主、平战结合，坚持快速反应、科学处置，充分发挥各方力量，共同做好工控安全事件的预防和处置工作。

第二章 组织机构与职责

第五条 工业和信息化部指导地方工业和信息化主管部门、应急技术机构、工业企业做好工控安全应急管理工作。

第六条 地方工业和信息化主管部门负责指导本地区工控安全应急管理工作。

第七条 工控安全应急技术机构负责具体开展工控安全风险监测、态势研判、威胁预警、事件处置等工作。

第八条 工业企业负有工控安全主体责任，应建立健全工控安全责任制，负责本单位工控安全应急管理工作，落实人财物保障。

第三章 工作机制

第九条 工业和信息化部指导地方工业和信息化主管部门、应急技术机构、工业企业等建立工控安全联络员机制，指定工控安全应急工作联络员，报工业和信息化部备案，联络员和联络方式发生变化时需及时报工业和信息化部。工业和信息化部根据工作需要组织召开联络员会议。

第十条 地方工业和信息化主管部门指导本地区应急技术机构、工业企业建立工控安全应急值守机制，实行领导带班、专人值守工作制度，做好工控安全风险、威胁、事件信息日常监测和报告工作。应急回响状态下，实行“7×24”小时值守，加强信息监测、收集与研判，做好信息跟蹤报告。

第四章 监测通报

第十一条 工业和信息化部指导国家工业信息安全发展研究中心等技术机构，组织开展全国工控安全风险监测、预警通报等工作，提升情报蒐集、态势分析、风险评估和信息共享能力。

地方工业和信息化主管部门组织开展本地区工控安全风险监测工作。工业企业组织开展本单位工控安全风险监测工作。

第十二条 地方工业和信息化主管部门、工业企业定期将重要监测信息报国家工业信息安全发展研究中心，国家工业信息安全发展研究中心负责汇总、整理和研判，并将结果报工业和信息化部；针对可能超出本地区应对能力範围的安全风险和事件信息，及时上报，必要时工业和信息化部协调应急技术机构提供支持。

第十三条 工业和信息化部对可能影响我国工业控制系统的重大漏洞和风险，及时向有关行业、地区和工业企业发布情况通报。

第五章 敏感时期应急管理

第十四条 在国家重要活动、会议等敏感时期，工业和信息化部指导地方工业和信息化主管部门、应急技术机构、工业企业开展工控安全事件预防和应急管理工作。

第十五条 地方工业和信息化主管部门、工业企业加强工控安全监测和风险研判，对可能造成重大影响的风险和事件信息应及时上报，必要时实行24小时零报告制度。重点单位、重要部位实施24小时值守，保持通信联络畅通。相关工业企业应加强对工业控制系统的巡检巡查，原则上不在敏感时期对工业控制系统进行调整或升级。

第六章 应急处置

第十六条 对于可能发生或已经发生的工控安全事件，工业企业应立即开展应急处置，採取科学有效方法及时施救，力争将损失降到最小，儘快恢复受损工业控制系统的正常运行。当事发工业企业应急处置力量不足时，可请求上级主管部门协调应急技术机构提供支援。

第十七条 有关地方工业和信息化主管部门和工业企业应及时向工业和信息化部报告事态发展变化情况和事件处置进展情况。报告信息一般包括以下要素：事件涉及的工业控制系统名称及运营管理单位、时间、地点、原因、来源、类型、性质、危害、影响範围、发展趋势、处置措施等。

第十八条 工业和信息化部指导、督促事发企业开展应急处置工作，必要时派出工作组赴现场指挥协调应急处置工作，协调应急技术机构提供技术支援。

第十九条 应急处置结束、系统恢复运行后，相关工业企业要儘快消除事件造成的不良影响，做好事件分析总结工作，总结报告应在30天内以书面形式报工业和信息化部。

第二十条 对于工控安全事件性质、起因、範围、损失等，工业和信息化主管部门和相关人员应做好舆论宣传和引导工作。

第七章 保障措施

第二十一条 工业和信息化部、地方工业和信息化主管部门、工业企业制定本级工控安全事件应急预案，定期组织应急演练。

第二十二条 工业和信息化部建立国家工控安全应急专家组，为工控安全应急管理提供技术谘询和决策支持。地方工业和信息化主管部门建立本地区工控安全应急专家组，充分发挥专家在应急管理工作中的作用。

第二十三条 加强对工控安全事件应急装备和工具的储备，及时调整、升级软硬体工具，建设完善工控安全事件应急技术服务平台，不断增强应急技术支撑能力。

第二十四条 各有关部门应积极利用现有政策和资金渠道，申请新增预算，支持工控安全应急技术机构建设、专家队伍建设、基础平台建设、技术研发、应急演练、物资保障等，为工控安全应急管理工作提供必要的经费支持。

第二十五条 本指南自2017年7月1日起施行。

一、《指南》的出台背景

随着两化融合的不断深入，以及物联网、云计算和大数据等新一代信息技术的快速发展，工业控制系统智慧型化、网路化趋势日渐明显，病毒、木马等威胁向工业控制系统持续扩散。近年来，工控安全事件频频发生，工控安全漏洞数量持续增长，工业控制系统面临着日益严峻的安全形势。国家“十三五”规划《纲要》、网路强国、中国製造2025及“网际网路+”等一系列战略部署的推进实施，对我国工控安全保障工作提出了更高的要求，迫切需要快速提升工控安全保障水平和事件应急处置能力，更好的支撑经济社会健康有序发展，维护国家安全。

二、总体考虑

密切结合工控安全事件应急工作实际，以防範重大工控安全事件为重点，釐清工业和信息化部、地方工业和信息化主管部门、技术支撑队伍和企业职责，加强工控安全事件应急管理和组织协调，提升工控安全事件应急处置能力。

（一）目的意义

一是建立健全工控安全事件应急工作机制。依据《国家网路安全事件应急预案》制定《指南》，进一步完善工控安全事件应急制度，形成有效的工控安全应急工作机制，为工控安全事件应急管理与处置工作提供依据与方法。

二是提升工控安全事件应急处置能力。《指南》明确了工控安全事件应急工作的组织机构和职责，确定了工控安全事件的监测通报、处置流程和具体措施，提出了应急队伍、专家组、物资和经费保障等应急力量和应急资源方面的要求，为应急处置工作提供行动指南。

三是完善工控安全管理体系。《指南》的研究制定和宣贯落实，与颁布的《工业控制系统信息安全防护指南》和正在编制的《工业控制系统信息安全防护评估工作管理办法》共同构建了工控安全管理体系。档案中提出的安全要求和管理方法覆盖了工业控制系统规划、设计、建设、运行、维护等全生命周期，为加强工控安全管理奠定了坚实基础。

（二）编制原则

政府指导、企业主体。政府通过完善政策措施、加强监督管理，指导企业树立工控安全主体责任意识，督促企业将工控安全作为生产安全的重要组成部分，做好工控安全应急相关工作，加快提升工控安全事件应急能力。

预防为主、平战结合。按照系统化、科学化管理思想，加强工控安全监测与风险预判，及时掌握工控安全态势，畅通信息传输渠道，充分发挥各方力量，将预防与消减有机结合，积极做好工控安全事件的预防和消减工作。

快速反应、科学处置。建立感知快、研判快、处置快、消减快的工控安全快速反应体系，不断强化工控安全事件应急队伍的整体应急水平和快速反应能力，科学管理、指挥有力，妥善处置工控安全事件。

三、《指南》的管理要求

《指南》对工控安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了一系列管理要求，明确了责任分工、工作流程和保障措施。

（一）加强风险监测

风险监测是掌握工控安全事件、感知风险动向的基础性工作。《指南》要求国家工业信息安全发展研究中心等技术机构、地方工业和信息化主管部门和工业企业做好风险监测工作。其中，国家工业信息安全发展研究中心等技术机构负责组织开展全国工控安全风险监测、预警通报等工作，地方工业和信息化主管部门负责组织开展本地区工控安全风险监测工作，工业企业组织开展本单位工控安全风险监测工作。

（二）开展信息报送与通报

信息报送与通报是帮助工控安全应急相关部门及时了解风险及事件全貌的重要途径。《指南》明确指出，地方工业和信息化主管部门、工业企业在开展风险监测的同时，要及时将重要监测信息报国家工业信息安全发展研究中心。国家工业信息安全发展研究中心负责汇总、整理和研判，并将结果报工业和信息化部。针对影响範围大、危害程度深的风险信息，工业和信息化部及时向有关行业、地区、企业通报。此外，对于可能超出本地区应对能力範围的安全风险和事件信息，地方工业和信息化主管部门应及时向工业和信息化部报告。

（三）做好应急处置

工控安全事件应急处置是应急工作的重中之重，做好工控安全应急处置对于维护国家安全、社会秩序、经济建设和公众利益都具有举足轻重的意义。对于工控安全应急处置工作，《指南》明确了以下几方面要求：一是工业企业应积极开展先期处置。对于可能或已经发生工控安全事件时，工业企业应採取科学有效方法及时施救，力争将损失降到最小，儘快恢复受损工业控制系统的正常运行。二是重点做好应急处置中的信息报送。应急处置过程中，地方工业和信息化主管部门和工业企业应及时报告事态发展变化情况和事件处置进展情况。三是必要时工业和信息化部将组织现场处置。必要时，工业和信息化部将派出工作组赴现场，指挥应急处置工作，并协调应急技术机构提供技术支援。四是应急结束后及时开展总结评估。《指南》要求，应急工作结束后，相关工业企业应做好事件分析总结工作，并按时上报。

（四）保障措施

《指南》要求，建立覆盖工业和信息化部、地方工业和信息化主管部门、工业企业三个不同层次的预案体系，促进工控安全应急管理工作规範化、制度化；通过定期组织开展应急演练，提高应对工控安全事件的技术能力；通过建立国家工控安全应急专家组和地方工控安全应急专家组，支持工控安全应急技术机构、基础平台建设，提升应急处置基础能力。

此外，《指南》还强调了国家重要活动、会议等重要敏感时期的应急管理要求，明确工业和信息化部做好应急指导，地方工业和信息化主管部门和工业企业加强风险监测、做好信息报送和应急值守等，确保重要敏感时期工业控制系统安全、平稳运行。