湘工信信軟〔2020〕425號
各市州工信局�,有關工業(yè)企業(yè):
為貫徹落實《中華人民共和國網(wǎng)絡安全法》、《國家網(wǎng)絡安全事件應急預案》���、《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》相關要求���,指導做好全省工業(yè)控制系統(tǒng)信息安全事件應急工作�,保障工業(yè)控制系統(tǒng)信息安全,特制定《湖南省工業(yè)控制系統(tǒng)信息安全事件應急預案》?��,F(xiàn)印發(fā)你們�����,請結合實際遵照執(zhí)行。
湖南省工業(yè)和信息化廳
2020年11月4日
湖南省工業(yè)控制系統(tǒng)信息安全事件應急預案
1總則
1.1編制目的
加強湖南省工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)應急工作管理���,建立健全工控安全應急工作機制,提高應對工控安全事件的組織協(xié)調(diào)和應急處置能力���,預防和減少工控安全事件造成的損失和危害����,保障工業(yè)生產(chǎn)正常運行�,維護經(jīng)濟安全和人民生命財產(chǎn)安全�。
1.2編制依據(jù)
《中華人民共和國網(wǎng)絡安全法》《中華人民共和國突發(fā)事件應對法》《國家網(wǎng)絡安全事件應急預案》《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》等法規(guī)政策和《GB/T 20986-2007信息安全技術 信息安全事件分類分級指南》《GB/T 36324-2018信息安全技術 工業(yè)控制系統(tǒng)信息安全分級規(guī)范》等標準規(guī)范��。
1.3適用范圍
本預案所指工控安全事件是指由于人為����、軟硬件缺陷或故障、自然災害等原因,對工業(yè)控制系統(tǒng)(以下簡稱工控系統(tǒng))及其中的數(shù)據(jù)造成或者可能造成危害���,影響正常工業(yè)生產(chǎn)的事件。
本預案適用于湖南省工業(yè)和信息化主管部門(以下簡稱工信部門)��、工業(yè)企業(yè)開展工控安全事件應急管理工作。
1.4工作原則
堅持政府指導����、企業(yè)主體,堅持預防為主����、平戰(zhàn)結合�,堅持快速反應���、科學處置����,充分發(fā)揮各方力量,共同做好工控安全事件的應急管理工作����。
2組織機構與職責
2.1領導機構職責
湖南省工業(yè)和信息化廳(以下簡稱省工信廳)成立由主要領導任組長的廳工控安全應急領導小組�����,負責貫徹國家有關應急工作的法規(guī)政策�,指導全省工控安全事件應急工作�����,決策應急過程中的重大事項。
廳工控安全應急領導小組辦公室(以下簡稱廳應急辦)設在信息化和軟件服務業(yè)處��。廳應急辦在廳工控安全應急領導小組的領導下���,統(tǒng)籌協(xié)調(diào)全省工控安全事件應急工作,負責信息搜集�����、處理與協(xié)調(diào)發(fā)布�,制定應急預案及配套文件,組建應急技術機構和專家隊伍����,編制重點工業(yè)企業(yè)目錄清單��,指導各市(州)工信部門�、工業(yè)企業(yè)做好工控安全應急工作����。
廳應急辦負責建立工控安全應急工作機制�����。各市(州)工信部門、應急技術機構���、重點工業(yè)企業(yè)須指定工控安全應急工作聯(lián)系人,報廳應急辦備案����。廳應急辦根據(jù)工作需要組織召開應急工作會議���。
2.2各市(州)職責
各市(州)工信部門參照省工信廳組建相應應急組織�����,指導本地區(qū)工控安全應急管理工作��,編制工控安全應急預案��,抓深抓實本地區(qū)工控安全事件的預防�����、監(jiān)測、報告和應急處置等工作���。
2.3省級工控安全應急技術機構和應急專家?guī)鞂<衣氊?/span>
省級工控安全應急技術機構負責開展工控安全監(jiān)測、態(tài)勢研判����、威脅預警�、應急處置���、事件調(diào)查與評估等工作,為廳應急辦提供技術支撐���。省級應急專家?guī)鞂<覟楣た匕踩录念A防和處置提供技術咨詢和決策建議。
2.4各工業(yè)企業(yè)職責
各工業(yè)企業(yè)對本單位工控安全負主體責任����。負責做好本單位的工控安全應急管理工作,建立健全工控安全責任制���,編制應急預案���,部署有效安全防護手段,落實人財物保障。
3事件分級
工控安全事件分為四級:特別重大工控安全事件、重大工控安全事件��、較大工控安全事件���、一般工控安全事件。
(1)符合下列情形之一的�,為特別重大工控安全事件:
①重點領域的工控系統(tǒng)遭受特別重大損害�����,造成系統(tǒng)大面積癱瘓,喪失業(yè)務處理能力���。
②重點領域的工控系統(tǒng)關鍵數(shù)據(jù)的保密性���、完整性�、可用性遭到嚴重破壞,恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價十分巨大���。
③事件影響全省或大部分地區(qū)�����,對經(jīng)濟建設�、社會秩序�、公共利益��、環(huán)境安全和人員生命造成特別嚴重損害�。
(2)符合下列情形之一且未達到特別重大工控安全事件的,為重大工控安全事件:
①重點領域的工控系統(tǒng)遭受重大損害,造成系統(tǒng)長時間中斷或局部癱瘓�,業(yè)務處理能力受到極大影響��。
②重點領域的工控系統(tǒng)關鍵數(shù)據(jù)的保密性�����、完整性、可用性遭到破壞�,恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價巨大�。
③事件影響省內(nèi)多個地市����,對經(jīng)濟建設��、社會秩序、公共利益�、環(huán)境安全和人員生命造成嚴重損害��。
(3)符合下列情形之一且未達到重大工控安全事件的���,為較大工控安全事件:
①一般領域的工控系統(tǒng)遭受重大損害,或者重點領域的工控系統(tǒng)遭受損害�����,造成系統(tǒng)中斷�����,明顯影響系統(tǒng)效率,業(yè)務處理能力受到影響。
②一般或重點領域的工控系統(tǒng)重要數(shù)據(jù)的保密性����、完整性、可用性遭到破壞����,恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價較大。
③事件影響在一個地市以內(nèi)�����,對公民、企業(yè)和其他組織的合法權益及重要財產(chǎn)造成嚴重損害,或者對經(jīng)濟建設�����、社會秩序、公共利益�、環(huán)境安全和人員生命造成損害�����。
(4)符合下列情形之一且未達到較大工控安全事件的,為一般工控安全事件:
①一般領域的工控系統(tǒng)遭受損害�����,造成系統(tǒng)短暫中斷�,影響系統(tǒng)效率�����,使系統(tǒng)業(yè)務處理能力受到影響���。
②一般領域的工控系統(tǒng)重要數(shù)據(jù)的保密性、完整性�、可用性遭到影響�����,恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價較小�����。
③事件影響在一個工業(yè)企業(yè)以內(nèi)��,對公民、企業(yè)和其他組織的合法權益及重要財產(chǎn)造成損害�,但未損害社會秩序、公共利益�、環(huán)境安全和人員生命。
重點領域的工控系統(tǒng)是指與國計民生緊密相關的工業(yè)生產(chǎn)領域中的工控系統(tǒng),如核設施����、鋼鐵����、有色、化工�、石油石化、電力��、天然氣、先進制造�、水利樞紐���、環(huán)境保護��、鐵路、城市軌道交通�����、民航�、城市供水供氣供熱等����。一般領域的工控系統(tǒng)是指上述重點領域之外的其他工業(yè)生產(chǎn)領域中的工控系統(tǒng)。
4監(jiān)測預警
4.1預警分級
工控安全事件預警等級分為四級:由高到低依次用紅色�、橙色���、黃色和藍色表示�,分別對應發(fā)生或可能發(fā)生特別重大、重大�、較大和一般工控安全事件����。
4.2安全監(jiān)測
廳應急辦依托工控安全應急技術機構�、湖南省工業(yè)控制系統(tǒng)信息安全態(tài)勢感知監(jiān)測平臺等,對全省重點工業(yè)企業(yè)�����、工控系統(tǒng)和網(wǎng)絡關鍵節(jié)點開展安全監(jiān)測,在可控范圍內(nèi)共享工控安全相關威脅情報信息���。
各市(州)工信部門組織開展本地區(qū)工控安全監(jiān)測工作,并定期將重要監(jiān)測信息報廳應急辦�。
各工業(yè)企業(yè)組織開展本單位工控安全監(jiān)測工作����,根據(jù)相關政策法規(guī)要求,可將安全監(jiān)測數(shù)據(jù)接入湖南省工業(yè)控制系統(tǒng)信息安全態(tài)勢感知監(jiān)測平臺等經(jīng)廳應急辦認可的重要安全監(jiān)測平臺��,定期將重要監(jiān)測信息報當?shù)毓ば挪块T。
4.3預警發(fā)布
廳應急辦根據(jù)工控安全監(jiān)測情況���,適時召開安全形勢分析會,發(fā)現(xiàn)可能影響全省工控安全的重大漏洞和風險后�����,確定和發(fā)布紅色或橙色預警��,對可能發(fā)生特別重大及以上工控安全事件的信息及時向工業(yè)和信息化部(以下簡稱工信部)報告��。
各市(州)工信部門根據(jù)本地區(qū)工控安全監(jiān)測情況�,發(fā)現(xiàn)可能影響本地區(qū)工控安全的重大漏洞和風險后,確定和發(fā)布黃色及以下預警���,并向有關工業(yè)企業(yè)通報情況,認為可能超出本地區(qū)應對能力范圍的�����,應及時上報廳應急辦。
預警通報信息內(nèi)容包括:事件的類別�、起始時間�、可能影響范圍����、警示事項�、應采取的措施和時限要求�����、發(fā)布機關等。
4.4預警響應
(1)紅色預警響應
①廳應急辦立即啟動應急預案,聯(lián)系有關專家�,組織應急技術機構對事態(tài)發(fā)展情況進行分析研判��,研究制定防范措施和應急工作方案,協(xié)調(diào)組織資源調(diào)度等各項應急處置準備工作。跟蹤事態(tài)發(fā)展���,并將相關信息及時向廳工控安全應急領導小組和工信部相關管理部門報告��。
②有關市(州)工信部門實行24小時值班,相關人員保持通信聯(lián)絡暢通����。組織指導應急技術機構����、有關工業(yè)企業(yè)開展應急處置準備工作����,加強工控安全事件監(jiān)測和事態(tài)發(fā)展信息搜集���,及時將事態(tài)發(fā)展情況報廳應急辦���。
③各省級應急技術機構進入待命狀態(tài)���,針對預警信息研究制定應對方案��,檢查應急車輛、設備����、軟件工具等���,確保處于良好狀態(tài)。
④各工業(yè)企業(yè)要保持聯(lián)絡暢通���,接到工信部門預警通報后�����,要積極落實工信部門要求,制定應急方案和防范措施����,組織技術力量開展應急處置準備、風險評估和控制工作����。
(2)橙色預警響應
①廳應急辦立即啟動應急預案����,組織應急技術機構對事態(tài)發(fā)展情況進行分析研判����,研究制定防范措施和應急工作方案�,協(xié)調(diào)組織資源調(diào)度等各項應急處置準備工作����。密切關注事態(tài)發(fā)展��,并將相關信息向廳工控安全應急領導小組報告,有關重大事項及時通報相關市(州)和工業(yè)企業(yè)���。
②有關市(州)工信部門相關人員保持通信聯(lián)絡暢通����。組織指導應急技術機構����、有關工業(yè)企業(yè)開展應急處置準備工作�,加強工控安全事件監(jiān)測和事態(tài)發(fā)展信息搜集�,及時將事態(tài)發(fā)展情況報廳應急辦�。
③各市級應急技術機構保持聯(lián)絡暢通,檢查應急車輛����、設備��、軟件工具等,確保處于良好狀態(tài)����。
④各工業(yè)企業(yè)要保持聯(lián)絡暢通��,接到工信部門預警通報后,要積極落實工信部門要求�,制定應急方案和防范措施�,組織技術力量開展應急處置準備��、風險評估和控制工作�����。
(3)黃色�、藍色預警響應
①有關市(州)工信部門啟動相應應急預案�,組織開展應急處置準備工作���。
②各工業(yè)企業(yè)要保持聯(lián)絡暢通����,接到工信部門預警通報后��,要積極落實工信部門要求,制定應急方案和防范措施�,組織技術力量開展應急處置準備、風險評估和控制工作���。
4.4預警解除
預警發(fā)布部門根據(jù)實際情況解除預警��,并及時發(fā)布預警解除信息。
5應急處置
5.1事件報告
工控安全事件發(fā)生后,事發(fā)工業(yè)企業(yè)應立即啟動應急預案��,并在2小時以內(nèi)報告當?shù)毓ば挪块T。事發(fā)地工信部門立即組織工業(yè)企業(yè)先期處置��,控制事態(tài),消除隱患�,同時組織研判,保存證據(jù)�����。
對于初判為重大工控安全及以上事件的�,事發(fā)地工信部門應在2小時內(nèi)報告廳應急辦。對于初判為特別重大工控安全及以上事件的����,廳應急辦應在2小時以內(nèi)報告工信部。后續(xù)處置應對情況也應及時報送,直至處置完畢����。
需由省工信廳進行回應的相關信息,由廳工控安全應急領導小組指定授權人進行回應�,其他人員不得隨意發(fā)布和轉發(fā)相關信息��。
報告信息主要包括:事發(fā)工業(yè)企業(yè)名稱����、工控系統(tǒng)名稱以及事件發(fā)生時間���、地點�、原因���、來源����、類型、性質(zhì)、危害�����、影響范圍��、發(fā)展趨勢、處置措施等��。
5.2應急響應
工控安全事件應急響應分為四級���,分別對應特別重大����、重大�、較大和一般工控安全事件�����。I級為最高響應級別����。
(1)Ⅰ級響應
屬特別重大工控安全事件的�,由廳應急辦報廳工控安全應急領導小組批準后�����,啟動I級響應����。
①廳工控安全應急領導小組成立應急指揮部�����,履行應急處置工作的統(tǒng)一領導�、指揮和協(xié)調(diào)職責�����,24小時值班。組織應急技術機構和專家隊伍提供技術支援����。掌握事件動態(tài),收集匯總有關情況�����,及時將事件情況報告工信部�����,并對應對工作進行決策部署����。
②事發(fā)市(州)工信部門進入應急狀態(tài)�,在指揮部的統(tǒng)一領導下���,負責組織本地區(qū)應急處置和支援保障工作��,24小時值班�。跟蹤事態(tài)發(fā)展�����,檢查影響范圍��,及時將事態(tài)發(fā)展情況上報應急指揮部����。
③事發(fā)工業(yè)企業(yè)及時采用口頭���、書面報告的形式�,將事態(tài)發(fā)展變化情況�����、處置進展情況報告當?shù)毓ば挪块T����。在當?shù)毓ば挪块T的組織下��,迅速實施應急處置�����,開展原因分析��,保留網(wǎng)絡攻擊���、網(wǎng)絡入侵或網(wǎng)絡病毒的證據(jù)等相關信息,盡快就工控安全事件中暴露出的網(wǎng)絡弱點和缺陷制定有效措施,對網(wǎng)絡設施和信息系統(tǒng)進行整改加固�����,解決安全問題��,恢復受破壞系統(tǒng)的正常運行���,減少危害和不良影響���。
(2)Ⅱ級響應
屬重大工控安全事件的���,由廳應急辦啟動Ⅱ級響應���。
①廳應急辦進入應急狀態(tài),組織事發(fā)市(州)的工信部門開展應急處置工作���,將相關事項及時通報有關地區(qū)和工業(yè)企業(yè),防止造成更大范圍的影響和損失�。處置中需要其他市(州)工信部門和省級應急技術機構配合支持的���,廳應急辦予以協(xié)調(diào)�����。
②事發(fā)市(州)工信部門負責做好本地區(qū)應急處置和支援保障工作,并及時將事態(tài)發(fā)展變化情況上報廳應急辦����。
③事發(fā)工業(yè)企業(yè)及時將情況上報當?shù)毓ば挪块T�����,迅速實施應急處置�,盡快恢復受破壞工控系統(tǒng)的正常運行。
(3)Ⅲ級響應
屬較大工控安全事件的,由事發(fā)市(州)工信部門啟動Ⅲ級響應���。
①事發(fā)市(州)工信部門按相關應急預案組織做好應急處置工作����。
②事發(fā)工業(yè)企業(yè)及時將情況上報當?shù)毓ば挪块T����,保持聯(lián)絡暢通����,積極實施應急處置���,恢復受破壞工控系統(tǒng)的正常運行�。
(4)Ⅳ級響應
屬一般工控安全事件的����,由事發(fā)工業(yè)企業(yè)啟動Ⅳ級響應�����。
事發(fā)工業(yè)企業(yè)啟動本企業(yè)應急預案����,組織實施應急處置工作���,并將處置情況報當?shù)毓ば挪块T��。
5.3應急結束
(1)Ⅰ級響應結束
廳應急辦向廳工控安全應急領導小組提出建議,經(jīng)同意后�����,及時將Ⅰ級響應結束信息通報有關市(州)和工業(yè)企業(yè)���。
(2)Ⅱ級響應結束
由廳應急辦決定�����,并及時將Ⅱ響應結束信息通報有關相關市(州)和工業(yè)企業(yè)。
(3)Ⅲ級響應結束
由事發(fā)市(州)決定���,并及時將Ⅲ級響應結束信息通報有關工業(yè)企業(yè)��。
(4)Ⅳ級響應結束
由事發(fā)工業(yè)企業(yè)決定并宣布Ⅳ級響應結束�。
6調(diào)查與評估
重大及以上工控安全事件由廳應急辦組織有關市(州)和工業(yè)企業(yè)進行調(diào)查處理和總結評估。較大及以下工控安全事件由事發(fā)市(州)工信部門和工業(yè)企業(yè)自行組織調(diào)查處理和總結評估���?�?偨Y調(diào)查報告應客觀公正����,具備專業(yè)性����,對事件的起因、性質(zhì)�、影響����、責任等進行分析評估并提出處理意見和改進措施。
事件的調(diào)查處理和總結評估工作,原則上在應急響應結束后30天內(nèi)完成���。
7預防工作
7.1日常管理
各市(州)工信部門、各工業(yè)企業(yè)按職責做好工控安全事件日常預防工作�����,制定和完善相關應急預案,做好工控安全檢查����、隱患排查�����、風險評估和容災備份�,健全工控安全信息通報機制����,及時采取有效措施,減少和避免工控安全事件的發(fā)生及危害�,提高應對工控安全事件的能力���。
7.2演練
廳應急辦協(xié)調(diào)有關單位根據(jù)工作需要組織演練��,檢驗和完善預案�,提高實戰(zhàn)能力���。
各市(州)工信部門��、各重點工業(yè)企業(yè)定期組織預案演練�,并將演練情況報廳應急辦����。
7.3檢查
廳應急辦組織省級應急技術機構��,定期對重點工業(yè)企業(yè)工控系統(tǒng)開展安全檢查�,發(fā)現(xiàn)安全問題,通報安全情況��,提出整改措施����,提升安全事件應對能力��。
各市(州)工信部門定期組織工控安全檢查���,發(fā)現(xiàn)安全問題并敦促整改�,如發(fā)現(xiàn)重大安全事件苗頭性問題,必須報廳應急辦�。
各重點工業(yè)企業(yè)每年應開展1次以上工控安全自查,及時發(fā)現(xiàn)和排除安全隱患��,并將自查報告報屬地工信部門,如有必要可報廳應急辦�����。
7.4宣傳
各級工信部門應充分利用各種傳播媒介及其他有效的宣傳形式,加強突發(fā)工控安全事件預防和處置的有關法律�����、法規(guī)和政策的宣貫�,開展工控安全基本知識和技能����、工控安全事件典型案例的宣傳活動��。
7.5培訓
廳應急辦每年組織1次以上工控安全知識培訓。
各市(州)工信部門��、各工業(yè)企業(yè)要將工控安全事件的應急知識列為領導干部和有關人員的培訓內(nèi)容����,積極利用線下培訓班���、線上課程等多種形式開展工控安全管理和技能培訓�����,加強應急預案的培訓和宣貫,深化對預案中職責��、流程和各項基本要求的了解����,提高防范意識和技能��。
7.6重要活動期間的預防措施
在國家、省級重要活動�、會議期間��,廳工控安全應急領導小組統(tǒng)籌協(xié)調(diào)工控安全保障工作�����,加強工控安全監(jiān)測預警、事件防范和應急響應���。有關市(州)工信部門加強工控安全監(jiān)測和分析研判,及時預警可能造成重大影響的風險和隱患����,重點部門���、重點崗位保持24小時值班,及時發(fā)現(xiàn)和處置工控安全事件隱患����。相關工業(yè)企業(yè)應加強對工控系統(tǒng)的巡查巡檢�,原則上不在敏感時期對工控系統(tǒng)進行調(diào)整或升級。
8保障措施
8.1應急技術機構和專家?guī)?/span>
廳應急辦每年遴選發(fā)布一批省級應急技術機構��。各市(州)工信部門可建立本級應急技術機構�����。
廳應急辦組織建立省級應急專家?guī)臁8魇校ㄖ荩┕ば挪块T可建立本級工控安全應急專家?guī)?����。各工業(yè)企業(yè)應配備必要的工控安全專家和專業(yè)技術人才�,并加強與各級應急技術機構的溝通��、協(xié)調(diào)����,建立必要的工控安全信息共享機制。
8.2經(jīng)費和物資保障
各級工信部門應充分利用現(xiàn)有政策和資金渠道��,申請新增預算���,支持應急技術機構�����、應急專家?guī)旌突A平臺等建設��,支持監(jiān)測預警����、預案演練�、安全檢查�����、應急物資保障等工作地開展���。
各工業(yè)企業(yè)應為工控安全監(jiān)測����、應急工作提供必要的經(jīng)費保障�����,加強對工控安全監(jiān)測��、應急裝備和工具的儲備,及時調(diào)整�����、升級軟件硬件工具����,不斷增強應急技術支撐能力�。
8.3落實工作責任
各級工信部門、各工業(yè)企業(yè)要按照“誰主管誰負責�,誰運營誰負責”的原則,建立健全應急工作機制����,把工作責任落實到具體部門�����、具體崗位和相關責任人身上����。
8.4責任與獎懲
工控安全事件應急處置工作實行責任追究制���。
廳工控安全應急領導小組對工控安全基礎好�、工作標準高��、工控安全事件應急工作表現(xiàn)優(yōu)異的企業(yè)�����,將在申報工信部相關試點示范和省級工控安全試點示范時予以積極推薦,并優(yōu)先列入省移動互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展專項資金支持范圍����。
廳工控安全應急領導小組對在應急管理工作中出現(xiàn)失職、瀆職行為的�����,依照相關規(guī)定對企業(yè)給予處罰�����,對有關責任人給予處分�����,構成犯罪的���,依法追究刑事責任��。
9附則
9.1預案解釋
本預案由省工信廳負責解釋���。
9.2預案實施時間
本預案自印發(fā)之日起實施�����。
附件:1.監(jiān)測預警和應急處置流程圖.docx
??????2.預警通報信息單.docx
??????3.事件報告單.docx
原文鏈接:http://gxt.hunan.gov.cn/gxt/xxgk_71033/tzgg/202011/t20201104_13950716.html
公安備案號 :