《上海市工业控制系统信息安全行动计划（2018—2020年）》 聚焦电力等行业技术攻关

近日，上海经信委公布《上海市工业控制系统信息安全行动计划（2018—2020年）》

有关单位：

为落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》（国发〔2017〕50号）、《工业和信息化部关于印发〈工业控制系统信息安全行动计划（2018—2020年）〉的通知》（工信部信软〔2017〕316号）要求，加快推进本市工业控制系统信息安全保障体系建设，全面提升工业互联网安全防护能力，促进工业信息安全产业发展，全力支撑服务“上海制造”品牌打响，特制订《上海市工业控制系统信息安全行动计划（2018—2020年）》。现印发给你们，请结合实际，认真贯彻落实。

上海市经济和信息化委员会

2018年4月18日

上海市工业控制系统信息安全行动计划

（2018—2020年）

工业控制（以下简称工控）系统信息安全是实施制造强国和网络强国战略的重要保障。工控系统已广泛应用于工业经济、城市关键基础设施等重要领域，在沟通信息虚拟环境与现实物理世界，实现自动化、智能化上发挥着基础支撑作用，保障工控系统安全已经成为推进制造业与互联网深度融合发展，工业互联网创新应用急需突破的关键瓶颈问题。上海作为全国重要的工业城市，工控安全需求广泛，工控系统研发、设计、制造、集成、安全等产业链相对完整，并在多个行业实施系统安全评估与加固示范，开展行业性的规划研究，在全国率先成立工控系统信息安全技术服务联盟，建设工控系统安全研发与转化功能型平台，具备推进工控系统信息安全工作，打造技术产业高地的现实基础。

为落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》（国发〔2017〕50号）、《工业和信息化部关于印发〈工业控制系统信息安全行动计划（2018—2020年）〉的通知》（工信部信软〔2017〕316号），全面提升工控系统安全防护能力，促进工业信息安全产业发展，支撑服务全力打响“上海制造”品牌，特制订本行动计划。

一、指导思想和基本原则

（一）指导思想

全面贯彻党的十九大精神，以习近平新时代中国特色社会主义思想为指导，深入贯彻习近平总书记“四个新作为”重要指示，坚持国家总体安全观和网络强国、制造强国战略，围绕“加快发展先进制造业，推动互联网、大数据、人工智能和实体经济深度融合”新需求，以推进《中华人民共和国网络安全法》实施，落实企业主体责任为关键，着力提升全市工控系统信息安全综合管理、安全防护、技术支撑、产业发展能力，加快建设工控系统信息安全保障体系，打造辐射全国、影响全球的工业信息安全技术与产业高地，保障上海实体经济安全稳定发展，当好新时代全国改革开放排头兵、创新发展先行者。

（二）基本原则

1.坚持安全与发展并重。树立正确的网络安全观，以安全保发展，以发展促安全，确保信息安全同信息化与工业化融合统一谋划、统一部署、统一推进、统一实施。

2.坚持企业主体、政府引导。强化企业在工控系统安全保障的主体责任，建立健全安全责任制，把工控系统信息安全作为安全生产的重要组成部分，深化技术、管理措施落实。政府部门同步加强工作统筹，强化政策、法规和标准的制定和实施。

3.坚持市区联动、分类推进。加强市区两级政府部门的工作联动，做好规模以上工业企业工控系统信息安全的管理服务。依托行业主管部门和企业集团，分行业推进工控系统信息安全解决方案落实，切实提高企业工控安全防护针对性和有效性。

二、发展目标

到2020年，基本建成本市工控系统信息安全保障体系，综合管理、安全防护、技术支撑、产业发展四大能力明显提升。综合管理上，基本形成部门协同、市区联动的工作机制，检查、评估、监测、应急等工作制度全面落实，工控安全服务规范有序。安全防护上，形成服务联络千家企业、督促指导百家重点企业的工作网络，在全市树立10家工控安全体系化标杆企业，打造40家安全评估示范工厂，企业工控安全防护能力全面提升。技术支撑上，引进国家级专业机构和产业联盟，重点培育3-5家本地技术支撑机构，建成工控系统安全综合管理系统，建设完善试验验证、仿真测试、攻防靶场等共性技术平台。产业发展上，创建国家级工业信息安全主题产业园，引进和培育一批影响力大、竞争力强的龙头骨干企业，实施一批技术创新和成果转化项目，打造工控系统信息安全技术产业高地。

三、主要任务

围绕工控系统信息安全保障需求，强化管理工作体系化建设和制度落实，促进防护能力全面提升，充分依托市场推动技术支撑和产业发展，形成工控系统信息安全保障体系。

（一）聚焦监管服务，实施综合管理能力提升工程

1.落实企业主体责任制。按照分级负责、属地管理的原则，全面梳理工控系统企业、系统和资产清单，指导企业贯彻落实《中华人民共和国网络安全法》，明确法人代表、经营负责人第一责任，落实工作机构，完善管理制度。加强经信、安全生产等部门的联动，规范年度工控系统安全检查，持续监督工控安全责任和相关管理、技术要求落实。（市经济信息化委、市安全监管局、各区政府）

2.完善协同管理机制。加强网信、公安、经信等有关部门的协同联动，合力推进实施关键信息基础设施重点保护、网络安全等级保护、工控系统信息安全防护等有关制度要求。各区政府要完善区域内重点企业、重要工控系统管理服务机制，完善检查、监测、应急等服务保障能力建设。充分依托行业主管部门与大企业集团管理职能和服务功能，分行业、分系统完善安全制度，支持形成行业级、企业级工控系统信息安全解决方案和标准规范。（市委网信办、市公安局、市经济信息化委、各区政府、各行业主管部门）

3.规范社会安全服务。以《工业控制系统信息安全防护指南》深入实施为抓手，大力促进安全咨询、整改加固、产品认证、风险评估等工控系统安全服务发展，统筹开展试点示范，促进工控安全服务的普及化。指导支持相关行业组织按照国家政策标准，结合上海实际，制定综合企业信用、产品性能、服务能力等多环节的产品与服务评价标准，开展工控安全产品、服务的安全审查和评估，完善相关产品和服务的推荐机制，规范工控安全服务有序开展。（市经济信息化委）

（二）聚焦运行安全，实施安全防护能力提升工程

4.完善千家企业安全指导。加强与“两化融合”、“企业上云”等工作协调联动，指导千家企业贯彻落实《工业控制系统信息安全防护指南》等政策标准，依托互联网平台开展年度工控安全自评估工作，指导企业合理确定系统网络安全等级，完善网络、平台、数据等管理制度和技术措施。建立千家企业工控安全联络员工作网络，每年开展不少于一次的安全责任人、联络员业务培训，更好促进相关工作要求落实。（市经济信息化委、各区政府）

5.落实百家企业重点防护。围绕城市运行和生产安全保障要求，重点督导百家城市生命线和重点工业企业。在督促落实网络安全等级保护、工控系统安全防护等要求基础上，强化专业岗位持证上岗、重要数据重点防护、产品服务采购审查等关键信息基础设施合规要求。同时，加强工控系统信息安全检查评估、安全监测、信息通报、应急管理、攻防演练等制度落实，确保重要工控系统安全稳定运行。（市经济信息化委、市委网信办、市公安局等）

6.打造十家示范标杆企业。加强标杆企业示范带动，在全市范围内遴选十家基础较好的企业集团，开展工控系统信息安全保障体系化设计，完善企业设备、控制、网络、平台和数据安全管理制度规范，形成一体化的企业级工业信息安全保障体系框架。按照国家政策和技术标准，在工业互联网、智能制造等创新应用领域，结合两化融合管理体系贯标工作推进，启动40家标杆工厂防护能力评估和加固示范工程，并通过国家级专业机构的检查评估验证。（市经济信息化委）

专栏一：工控系统信息安全“千百十”行动

2020年前，完成上海工业企业工控系统信息安全“千百十”行动：围绕千家重要规模以上工业企业、两化融合重点跟踪企业和生产性服务业企业，以指导贯标为重点，推动企业开展年度自评估，树立工业信息安全意识，完善系统安全防护，更好应用工业互联网、工业云等制造业与互联网融合新技术、新应用。聚焦百家供电供水供气、城市轨道交通等城市生命线企业，以及钢铁、化工、汽车、装备制造等对城市经济安全有重大影响的重要工业企业，综合推进目前国家已出台的相关管理和技术规范标准落实，满足安全防护基线要求，并通过加强监管实施重点保护。打造10家示范引领的集团公司，围绕工业互联网不同层级的安全需求提出企业工业信息安全保障的体系化建设思路框架并贯彻实施；同时通过持续推进评估加固试点，力争有40家制造工厂通过国家评估，形成示范带动。