工業控制系統信息安全分級規劃什麼時候實施

❶ 工業控制系統信息安全分級規劃什麼時候開始實施

2019年1月1日，《信息安全技術—工業控制系統信息安全分級規范》實施。

❷ 關鍵信息基礎設施安全保護條例施行時間

一、《關鍵信息基礎設施安全保護條例》自2021年9月1日起施行。
《關鍵信息基礎設施安全保護條例》旨在建立專門保護制度，明確各方責任，提出保障促進措施 ，保障關鍵信息基礎設施安全及維護網路安全，根據《中華人民共和國網路安全法》，制定的條例。
關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或帆吵者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
二、關鍵信息基礎設施分為哪三大類
關鍵信息基礎設施通常區分為網站類、平台類、生產業務類三大類。
關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
關鍵信息基礎設施定義：面向公眾提供網路信息服務或支撐能源、通信、金融、交通、公共事業等重要行業運行的信息系統或工業控制系統；這些系統、服務、網路和基礎設施要麼提供基本商品和服務，要麼構成其他關鍵基礎設施的基礎平台。
它們被視為重要的信息基礎設施，因為它們的中斷或破壞將對重要的社會功能產生嚴重影響。這些系統一旦宏轎塌發生網路安全事故，會影響重要行業正常運行，對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。
法律依據
《中華人民共和國網路安全法》第三十九條 國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施：
（一）對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估；
（二）定期組織關鍵信息基礎設施的運蔽圓營者進行網路安全應急演練，提高應對網路安全事件的水平和協同配合能力；
（三）促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享；
（四）對網路安全事件的應急處置與網路功能的恢復等，提供技術支持和協助。第三十八條 關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估，並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。《關鍵信息基礎設施安全保護條例》第五條 國家對關鍵信息基礎設施實行重點保護，採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。
任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動，不得危害關鍵信息基礎設施安全。

❸ 工業控制系統信息安全分級規范發布單位是什麼

國家標准化管理委員會
中華人民共和國國家標准化管理委員會是中華人民共和國國務院授權履行行政管理職能、統一管理全國標准化工作的主管機構，正式成立於2001年10月。2018年3月，根據第十三屆全國人民代表大會第一次會議批準的國務院機構改革方案，將中華人民共和國國家標准化管理委員會職責劃入國家市場監督管理總局，對外保留牌子。
國家 標准化管理委員會是國務院授權履行行政管理職能，統一管理全國標准化工作的主管機構。國務院有關行政主管部門和有關行業協會也設有標准化管理機構，分工管理本部門本行業的標准化工作。各省、自治區、直轄市及市、縣 質量技術監督局統一管理本行政區域的標准化工作。各省、自治區、直轄市和市、縣政府部門也設有標准化管理機構。國家標准化管理委員會對省、自治區、直轄市質量技術監督局的標准化工作實行業務領導。國家標准化管理委員會的英文名稱是：'sRepublicofChina，簡稱：SAC。中國是ISO的正式成員，代表中國的組織為中國國家標准化管理委員會（，簡稱SAC）。


工業控制系統信息安全（以下簡稱「工控安全」）是國家網路和信息安全的重要組成部分，是推動中國製造2025、製造業與互聯網融合發展的基礎保障。2016年10月，工業和信息化部印發《工業控制系統信息安全防護指南》（以下簡稱《指南》），指導工業企業開展工控安全防護工作。工控安全事關經濟發展、社會穩定和國家安全。近年來，隨著信息化和工業化融合的不斷深入，工業控制系統從單機走向互聯，從封閉走向開放，從自動化走向智能化。在生產力顯著提高的同時，工業控制系統面臨著日益嚴峻的信息安全威脅。

工業控制系統信息安全等級是基於工業控制系統存在的信息安全風險劃分的，由工業控制系統資產重要程度、受侵害後潛在影響程度、需抵禦的信息安全威脅程度等三個定級要素決定。工業控制系統的分級，與網路安全等級保護的分級還是存在一定差異性的。二者都會注重國家安全、公共利益和社會秩序以及公民法人的合法權益等，而工業控制系統在此基礎上還需要考慮工業生產運行安全、工業控制系統及其相關生產裝置安全等事項。所以等級保護測評師，在進行工業控制系統等級測評過程中，也應該對此有所了解，懷著敬畏之心去接觸工業控制系統，去做測評。

❹ 我國政府哪個部門，何時印發 關於加強工業控制系統信息安全管理的通知

工信部協[2011]451號
二〇一一年九月二十九日

關於加強工業控制系統信息安全管理的通知
工信部協[2011]451號
各省、自治區、直轄市人民政府，國務院有關部門，有關國有大型企業：
工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全，為切實加強工業控制系統信息安全管理，經國務院同意，現就有關事項通知如下：
一、充分認識加強工業控制系統信息安全管理的重要性和緊迫性
數據採集與監控（SCADA）、分布式控制系統（DCS）、過程式控制制系統（PCS）、可編程邏輯控制器（PLC）等工業控制系統廣泛運用於工業、能源、交通、水利以及市政等領域，用於控制生產設備的運行。一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患。隨著計算機和網路技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地採用通用協議、通用硬體和通用軟體，以各種方式與互聯網等公共網路連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。2010年發生的「震網」病毒事件，充分反映出工業控制系統信息安全面臨著嚴峻的形勢。與此同時，我國工業控制系統信息安全管理工作中仍存在不少問題，主要是對工業控制系統信息安全問題重視不夠，管理制度不健全，相關標准規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等，威脅著工業生產安全和社會正常運轉。對此，各地區、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業控制系統信息安全管理。
二、明確重點領域工業控制系統信息安全管理要求
加強工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進製造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。各地區、各部門、各單位要結合實際，明確加強工業控制系統信息安全管理的重點領域和重點環節，切實落實以下要求。
（一）連接管理要求。
1. 斷開工業控制系統同公共網路之間的所有不必要連接。
2. 對確實需要的連接，系統運營單位要逐一進行登記，採取設置防火牆、單向隔離等措施加以防護，並定期進行風險評估，不斷完善防範措施。
3. 嚴格控制在工業控制系統和公共網路之間交叉使用移動存儲介質以及攜帶型計算機。
（二）組網管理要求。
1. 工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施。
2. 採取虛擬專用網路（VPN）、線路冗餘備份、數據加密等措施，加強對關鍵工業控制系統遠程通信的保護。
3. 對無線組網採取嚴格的身份認證、安全監測等防護措施，防止經無線網路進行惡意入侵，尤其要防止通過侵入遠程終端單元（RTU）進而控制部分或整個工業控制系統。
（三）配置管理要求。
1. 建立控制伺服器等工業控制系統關鍵設備安全配置和審計制度。
2. 嚴格賬戶管理，根據工作需要合理分類設置賬戶許可權。
3. 嚴格口令管理，及時更改產品安裝時的預設口令，杜絕弱口令、空口令。
4. 定期對賬戶、口令、埠、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的後台程序和進程，關閉無關的埠和服務。
（四）設備選擇與升級管理要求。
1. 慎重選擇工業控制系統設備，在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務，確保產品安全可控。
2. 加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止採取遠程在線服務。
3. 密切關注產品漏洞和補丁發布，嚴格軟體升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟體升級、補丁安裝前要請專業技術機構進行安全評估和驗證。
（五）數據管理要求。
地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的採集、傳輸、存儲、利用等，要採取訪問許可權控制、數據加密、安全審計、災難備份等措施加以保護，切實維護個人權益、企業利益和國家信息資源安全。
（六）應急管理要求。
制定工業控制系統信息安全應急預案，明確應急處置流程和臨機處置許可權，落實應急技術支撐隊伍，根據實際情況採取必要的備機備件等容災備份措施。
三、建立工業控制系統安全測評檢查和漏洞發布制度
（一）加強重點領域工業控制系統關鍵設備的信息安全測評工作。全國信息安全標准化技術委員會抓緊制定工業控制系統關鍵設備信息安全規范和技術標准，明確設備安全技術要求。重點領域的有關單位要請專業技術機構對所使用的工業控制系統關鍵設備進行安全測評，檢測安全漏洞，評估安全風險。工業和信息化部會同有關部門對重點領域使用的工業控制系統關鍵設備進行抽檢。
（二）建立工業控制系統信息安全檢查制度。工業控制系統運營單位要從實際出發，定期組織開展信息安全檢查，排查安全隱患，堵塞安全漏洞。工業和信息化部適時組織專業技術力量對重點領域工業控制系統信息安全狀況進行抽查，及時通報發現的問題。
（三）建立信息安全漏洞信息發布制度。開展工業控制系統信息安全漏洞信息的收集、匯總和分析研判工作，及時發布有關漏洞、風險和預警信息。
四、進一步加強工業控制系統信息安全工作的組織領導
各地區、各部門、各單位要將工業控制系統信息安全管理作為信息安全工作的重要內容，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，建立健全信息安全責任制。各級政府工業和信息化主管部門要加強對工業控制系統信息安全工作的指導和督促檢查。有關行業主管或監管部門、國有資產監督管理部門要加強對重點領域工業控制系統信息安全管理工作的指導監督，結合行業實際制定完善相關規章制度，提出具體要求，並加強督促檢查確保落到實處。有關部門要加快推動工業控制系統信息安全防護技術研究和產品研製，加大工業控制系統安全檢測技術和工具研發力度。國有大型企業要切實加強工業控制系統信息安全管理的領導，健全工作機制，嚴格落實責任制，將重要工業控制系統信息安全責任逐一落實到具體部門、崗位和人員，確保領導到位、機構到位、人員到位、措施到位、資金到位。

二〇一一年九月二十九日

❺ 工業控制系統信息安全分級規劃什麼時候開始

工業控制系統信息安全分級規劃是2019年1月1日開始的。

等保2.0相比1.0主要有四大方面的變化：

（1）名稱上的變化

名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。

（2）法律效力不同

《網路安全法》第21條規定「國家實行網路安全等級保護制度，要求網路運營者應當按照網路安全等級保護制度要求，履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。

（3）保護對象有擴展

等保1.0主要是信息系統。而等保2.0將網路基礎設施（廣電網、電信網、專用通信網路等）、雲計算平台／系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。

工業控制系統：

工業控制系統是對諸如圖像、語音信號等大數據量、高速率傳輸的要求，又催生了當前在商業領域風靡的乙太網與控制網路的結合。

這股工業控制系統網路化浪潮又將諸如嵌入式技術、多標准工業控制網路互聯、無線技術等多種當今流行技術融合進來，從而拓展了工業控制領域的發展空間，帶來新的發展機遇。

❻ 工業控制系統信息安全等級分為幾級

工業控制系統信息安全等級分為三級。

工業控制系統信息安全中第一級威脅最大。信息安全服務級別分為一級、二級、三級，其中一級最高，三級最低。一共可以分為8個不同的方向，分別是：安全集成、安全運維、應急處理、風險評估、災難備份與恢復、安全軟體開發、網路安全審計、工業控制系統安全。

工業控制系統和信息化技術的融合，對國計民生的影響至關重要，這個已經不言而喻了。

1、工業控制系統(ICS)是由各種自動化控制組件以及對實時數據進行採集、監測的過程式控制制組件，共同構成的確保工業基礎設施自動化運行、過程式控制制與監控的業務流程管控系統。

2、工業控制系統信息安全等級是基於工業控制系統存在的信息安全風險劃分的，由工業控制系統資產重要程度、受侵害後潛在影響程度 、需抵禦的信息安全威脅程度等三個定級要素決定。

3、工業控制系統基本構成可以分為工業控制系統組成、工業控制系統控制過程、工業控制系統結構層次、工業控制系統安全區域等。