1、內經信信安字2015108號內蒙古自治區經濟和信息化委員會關于開展全區重要工業控制系統基本情況調查的通知各盟市經濟和信息化委員會，二連浩特市、滿洲里市經濟和信息化委員會： 為貫徹落實工業和信息化部關于加強工業控制系統信息安全管理的通知（工信部協2011451號）精神，自治區經濟和信息化委員會將在全區范圍內組織開展重要工業控制系統基本情況調查，在此基礎上開展全區工業控制系統信息安全試點示范工作。現將有關事項通知如下：一、調查對象 主要針對鋼鐵、有色、化工、電力、天然氣、裝備制造、環境保護、城市供水供氣供熱以及其他與國計民生緊密相關的領域中應用的重要工業控制系統。二、工作要求 （一）要認真組織實施

2、。摸清重要工業控制系統基本情況，是發現安全風險、堵塞安全漏洞，提高工業控制系統安全防護能力的前提和基礎。本次調查工作，主要按照屬地化管理的原則，由盟市經信委具體負責本地區行政范圍內重要工業控制系統基本情況的組織和調查。各盟市經信委要高度重視、嚴密組織、認真實施、逐一排查，確保調查工作不留遺漏，確保調查數據真實、準確。要加強統籌與協調，督促相關單位嚴格按照工作要求按時保質地完成調查任務。 （二）要做好分析匯總。各盟市經信委要做好本地區重要工業控制系統基本情況的整理匯總、統計分析和總結工作（包括被調查的運營單位數量、重要工業控制系統數量、主要工業控制產品的品牌、系統國產化率等情況，詳見附件）。以各

3、盟市為單位，建立本地區重要工業控制系統基本情況數據庫。 （三）要加強保密管理。各盟市經信委要重視并做好工業控制系統基本情況調查過程中的信息保密工作，填寫表格、匯總及上報過程，要按照國家相關保密規定妥善管理。 （四）報送材料事項。報送材料包括重要工業控制系統基本情況調查工作總結、重要工業控制系統匯總表及所有重要工業控制系統基本情況調查表。各盟市請于2015年5月15日前，將報送材料以紙質和光盤兩種形式報送自治區經信委網絡和信息安全協調處。內部資料，不得上網傳輸。三、聯系方式聯系人：巴特爾13314898801 陳 疆18604711190郵

4、寄地址：呼和浩特市新華大街63號1103室郵編：010055附件：重要工業控制系統基本情況調查表 2015年4月13日 附件：重要工業控制系統基本情況調查表填表單位： （蓋章） 填報日期 ： 年 月 日填 報 說 明一、調查范圍 本調查表中的重要工業控制系統是指在鋼鐵、有色、化工、電力、天然氣、裝備制造、環境保護、城市供水供氣供熱以及其他與國計民生緊密相關的領域中建設應用，采用數據采集監控、分布式控制、過程控制、可編程邏輯控制等技術，對生產設備進行狀態監測、調度控制的系統。對于一旦出現問題，可能導致等級安全事故的工業控制系統為本次調查對象。其中，以可能導致以下后果之一的工業控制系統為主要調查對

5、象。 1. 3人以上死亡或10人以上重傷； 2. 1000萬元以上直接經濟損失； 3. 影響10萬人（含）以上正常生活； 4. 對國家安全、社會秩序、經濟建設和公共利益產生重大影響和嚴重后果。5. 影響本單位正常生產經營活動產生無法有效提供產品、服務等嚴重后果。 二、保密要求 根據填寫內容敏感程度確定是否涉密，并在調查表上明確標識。 三、填報要求 1. 工業控制系統因在各行業的應用場景不同而類型不同。填表單位僅填寫自身運營的工業控制系統相關情況，無某系統類型則調查表二中相應類型的表格可不填寫。 2. 表格中下劃線表示需要填寫的詳細情況，可出格填寫或另外附紙。 3. 報送材料需加蓋單位公章。 工

6、業控制系統信息安全管理情況調查表一一、運營單位基本情況單位信息單位全稱法人代表通訊地址盟 市 旗縣（區） 鄉（街） 單位網址郵政編碼所屬行業12014年度銷售收入經濟類型國有事業單位2國有及國有控股企業3（中央 地方）股份制企業外商及港澳臺投資企業4集體企業民營企業其他 聯系人姓 名職 務所屬部門工作電話電子郵箱傳 真系統小計系統類型系統數量數據采集與監控（SCADA）系統套分布式控制系統（DCS)套可編程控制器（PLC)套其他： 套其他： 其他： 1按照國民經濟行業分類（GB/T4754-2011)規定填寫。2按照事業單位登記管理暫行條例登記的，為社會公益目的、由國家機關舉辦或者其他組織利用

7、國有資產舉辦的，從事教育、科技、文化、衛生等活動的社會服務組織。3按照中華人民共和國企業法人登記管理條例登記注冊的三類經濟組織：（1）全部資產歸國家所有的（非公司制）國有企業；（2）全部資產歸國家所有的國有獨資有限責任公司；（3）由國有資本占控制地位的有限責任公司和股份有限公司，此處稱國有控股公司。4包括港、澳、臺資本和其他地區外資資本設立的獨資或控股的獨資公司、有限責任公司和股份有限公司。 11 工業控制系統信息安全管理情況調查表二二、工業控制系統情況（一）數據采集與監控（SCADA)系統 影響程度5： 特大 重大 較大 一般基本信息系統名稱功能描述使用部門及啟用時間集成商運維商設備情況SC

8、ADA系統硬件廠商及型號：1、 2、 控制軟件廠商及版本： 數據服務器硬件廠商及型號： 數據庫軟件廠商及版本： 通信設備廠商及型號： 通信協議： 遠程終端設備（RTU)硬件廠商及型號：1、 2、 組網情況簡況完全物理隔離：是 否，與 網絡連接通信協議： 無線接入：是 否系統結構（請另附頁）注：多套系統可復印分別填寫（二）分布式控制系統（DCS) 影響程度5： 特大 重大 較大 一般基本信息系統名稱功能描述使用部門及啟用時間運維商設備情況DCS硬件廠商及型號1、 2、 控制軟件廠商及版本： 組網情況簡況完全物理隔離：是 否，與 網絡連接通信協議： 無線接入：是 否系統結構（請另附頁）注：多套系統

9、可復印分別填寫。工業控制系統信息安全管理情況調查表二（三）可編程控制器(PLC) 影響程度5： 特大 重大 較大 一般基本信息系統名稱功能描述使用部門及啟用時間運維商情況設備可編程控制器（PLC)設備廠商及型號、臺套數1、 2、 情況組網簡況通信協議： 無線接入：是 否系統結構（請另附頁）注：多套系統可復印分別填寫。（四）其他系統 影響程度5： 特大 重大 較大 一般基本信息系統名稱功能描述使用部門及啟用時間集成商運維商情況設備系統設備1.設備類型與名稱： 2.設備型號與臺套數： 組網情況簡況完全物理隔離：是 否，與 網絡連接通信協議： 無線接入： 是 否系統結構（請另附頁）注：多套系統可復印

10、分別填寫。（五）工業控制系統網絡拓撲結構圖（含與之相連網絡的連接情況）請另附頁影響程度5： 特大，指可能造成30人以上死亡，或者100人以上重傷（包括急性工業中毒，下同）；或者1億元以上直接經濟損失；或者影響500萬人以上正常生活；或者對國家安全、社會秩序、經濟建設和公共利益產生特大影響。 重大，指可能造成10人以上30人以下死亡，或者50人以上100人以下重傷；或者5000萬元以上1億元以下直接經濟損失；或者影響100萬人以上500萬人以下正常生活；或者對國家安全、社會秩序、經濟建設和公共利益產生重大影響。 較大，指可能造成3人以上10人以下死亡，或者10人以上50人以下重傷；或者1000萬

11、元以上5000萬元以下直接經濟損失；或者影響10萬人以上100萬人以下正常生活；或者對國家安全、社會秩序、經濟建設和公共利益產生較大影響。 一般，指可能造成3人以下死亡，或者10人以下重傷；或者1000萬元以下直接經濟損失；或者影響10萬人以下正常生活；或者對國家安全、社會秩序、經濟建設和公共利益產生一定影響。 其中“以上”包括本數，“以下”不包括本數。工業控制系統信息安全管理情況調查表三三、工業控制系統信息安全管理情況（一）連接管理 序號 調查項 調查要點 1工業控制系統網絡與公共網絡的連接管理 與工業控制系統網絡相連的網絡： 內部局域網 互聯網 企業管理網 其它網絡 不與任何網絡相連2連接

12、方式 直接相連 采取隔離措施后連接，采取的隔離措施為防火墻 網卡網閘等單向隔離設備 其它措施： 3連接時間 始終連接 有需要時連接 其它： 4連接后身份認證方式 口令 數字認證技術 其它： 連接管理制度 審批備案 定期檢查 風險評估 隔離措施有效性驗證5其它： 6合法系統間互聯的識別和認證技術措施： 7存儲介質使用管理移動存儲介質使用管理制度 有： 無1.工業控制系統網絡和公共網之間交叉使用移動存儲介質 禁止未禁止 未要求2.工業控制系統與其他系統之間專用的安全信息交換途徑： 3.工業控制系統主機的存儲介質使用情況檢查 定期： 不定期 不檢查4.移動存儲介質銷毀處置流程： 5.移動存儲介質自動

13、播放功能 明文禁止： 未禁止 未要求8接入的便攜式計算機的管理工控系統中接入便攜式計算機 允許 不允許9對接入的便攜式計算機的管理措施 使用審批制度： 標識接入計算機，標識規定： 安全性評估 其它： （二）組網管理 序號 調查項 調查要點 10工業控制系統信息安全生命周期管理工業控制系統安全實施、維護、升級、廢棄等方面制度 有： 無 1.工業控制系統建設規劃中關于信息安全防護內容 有： 無2.驗收時對實際系統與規劃一致性的檢驗和信息安全防護措施有效性驗證 有 無3.維護過程信息安全操作規范 有： 無4.一線操作人員信息安全操作規范 有： 無5.升級改造后的安全性評估 有 無 6.其它： 11工

14、業控制系統數據安全保障 工業控制系統數據安全保障制度 有： 無1.敏感數據信息安全分級及相應的傳輸要求 有： 無2.敏感數據的保密性措施 有： 無3.敏感數據的完整性措施 有： 無 4.針對工業控制系統的關鍵鏈路設置備份方式 有： 無5.鏈路備份措施演練等有效性檢查 定期： 不定期 無12工業控制系統遠端設備安全保障 工業控制系統遠端設備的安全保障制度 有： 無1.遠端設備維護身份認證 有，認證方式是： 無2.為防止非法設備接入而進行的遠端設備型號和標識檢查定期 不定期 無3.遠端維護設備接入規則和限制性要求 有： 無4.遠端設備接入行為監測 有，監測方法是： 無5.遠程系統登錄身份認證 有，

15、認證方式是： 無6.接入控制的技術條件 有，條件是： 無工業控制系統信息安全管理情況調查表三（三）配置管理序號 調查項 調查要點 13工業控制系統關鍵設備的安全配置與審計 工業控制系統關鍵設備的安全配置和審計制度有： 無1.關鍵設備實際配置與規定配置的一致性檢驗有： 無2.關鍵設備的配置保存備份 有，備份方式： 無3.關鍵設備的審計流程與規范有： 無4.審計中發現問題的應對措施和方法有： 無14工業控制系統用戶權限管理 工業控制系統用戶權限管理制度有： 無1.對工業控制系統用戶采用統一管理方式 是 否2.按照工作需要劃分用戶權限 是 否3.賬戶檢查和清理 定期： 不定期 未進行4.用戶權限變更

16、審批備案流程： 15工業控制系統口令管理口令管理制度 有 無1.對口令長度、復雜度等要求： 2.口令變更管理要求： 3.空口令和默認口令用戶登錄系統： 禁止 未禁止4.設備安裝時的預設密碼 已變更 未變更5.密碼更新 定期 不定期 不變更16工業控制系統配置管理 工業控制系統配置檢查制度有： 無 1.設備賬戶檢查及不必要用戶和管理員賬戶處理 定期 不定期 未檢查處理2.設備端口使用情況檢查及對未使用端口通信阻斷定期 不定期 未檢查處理3.操作系統端口檢查并停止無用后臺程序和進程，關閉業務無關端口是 否 4.在工業控制系統主機上允許安裝的軟件明文規定： 未規定5.用戶登錄事件檢查分析定期： 不定

17、期無6.設備提供服務情況檢查，并關閉不必要服務定期： 不定期無（四）設備選擇與升級管理 序號 調查項 調查要點 17工業控制系統供應商管理 通過選型測試確定產品采購范圍 是 否18工業控制系統設備選擇時，對產品安全性提出的要求 是： 否19采購合同中明確設備供應商承擔的主要信息安全責任與義務 是 否20在合同中明確系統集成商所承擔的主要信息安全責任與義務 是 否21工業控制系統遠程運維管理工業控制系統遠程運維管理安全規定有： 無1.指定專人或專門部門對各設備進行定期維護 是 否2.設備選型、采購、發放等各個選用環節采取審批控制 是 否3.關鍵服務器安全日志管理制度有： 無22工業控制系統軟件漏

18、洞防護管理 軟件升級管理制度 有： 無23漏洞和補丁管理制度有： 無1.系統安裝安全補丁程序定期： 不定期 視需要2.補丁安裝方式方法的相關制度有： 無3.由專業技術機構對補丁進行安全評估和驗證 是 否4.網絡和主機惡意代碼定期檢測定期： 不定期 無24設備測試驗收管理 設備測試驗收的信息安全管理規范有： 無25根據設計方案或合同要求在系統正式運行前指定專門部門測試驗收 是 否26設備交付管理 專門部門按照手續辦理系統或設備交付工作是，部門為： 無1.規定系統交付清單中必須包含所有軟件工程文檔 是 否2.要求系統建設實施方對運維技術人員進行過培訓 是 否3.由內部人員獨立運行維護目前設備 是

19、否工業控制系統信息安全管理情況調查表三（五）數據管理序號 調查項 調查要點 27數據管理規范根據工業控制系統數據敏感性對數據的分級 是，分級情況： 否28在采集、傳輸、存儲和應用階段的數據安全規范措施 有： 無數據采集管理 為確保設備物理安全，對敏感數據采集環節部署的專用安全防護技術 29 為確保設備物理安全，對敏感數據采集環節制定的特別管理要求： 30 31敏感數據采集設備日志審計 定期： 不定期 否32為保證敏感數據流向的合法性在敏感數據采集設備和接收設備間建立的身份鑒別機制有： 無33數據傳輸管理在敏感數據傳輸過程中采用符合國家規定的加密算法 是 否34在敏感數據傳輸過程中采用符合國家規定的完整性保障技術 是 否35數據存儲與備份管理 對敏感數據的存儲采用加密文件系統或者第三方的數據保護軟件 是 否36對敏感數據采用符合國家規定的災備措施進行備份，并定期演練 是 否37備份數據的訪問和恢復控制機制 有 無38敏感數據的存儲介質與公共網隔離措施 有： 無39敏感數據可用性保障措施 有： 無40敏感數據合法訪問控制措施 自主訪問 強制訪問 基于角色的訪問控制