【儀表網(wǎng) 儀表標(biāo)準(zhǔn)】由中國(guó)和平利用軍工技術(shù)協(xié)會(huì)組織起草的《工業(yè)控制系統(tǒng)信息安全應(yīng)急演練方法》、《工業(yè)數(shù)據(jù)安全事件應(yīng)急預(yù)案編制指南》和《工業(yè)信息安全漏洞分類分級(jí)指南》3項(xiàng)團(tuán)體標(biāo)準(zhǔn)現(xiàn)已完成征求意見(jiàn)稿，根據(jù)《中國(guó)和平利用軍工技術(shù)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)工作管理辦法(試行)》有關(guān)規(guī)定，為保證標(biāo)準(zhǔn)的科學(xué)性、嚴(yán)謹(jǐn)性和適用性，現(xiàn)公開(kāi)征求意見(jiàn)。
 

　　《工業(yè)控制系統(tǒng)信息安全應(yīng)急演練方法》
 

　　本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件規(guī)定了軍工、制造、石油化工、鋼鐵、有色、電力、水務(wù)等典型行業(yè)的工業(yè)控制系統(tǒng)信息安全應(yīng)急演練的目的、原則、形式、規(guī)劃、準(zhǔn)備、實(shí)施過(guò)程、評(píng)估總結(jié)和改進(jìn)的要求。本文件適用于針對(duì)典型行業(yè)工業(yè)控制系統(tǒng)信息安全事件開(kāi)展的應(yīng)急演練活動(dòng)。
 

　　應(yīng)急演練目的包括下列內(nèi)容：
 

　　a) 檢驗(yàn)預(yù)案：發(fā)現(xiàn)應(yīng)急預(yù)案中存在的問(wèn)題，完善應(yīng)急預(yù)案內(nèi)容，提高應(yīng)急預(yù)案的科學(xué)性、實(shí)用性和可操作性。
 

　　b) 完善準(zhǔn)備：檢查應(yīng)對(duì)工業(yè)控制系統(tǒng)信息安全事件所需應(yīng)急隊(duì)伍、物資、裝備、技術(shù)等方面的準(zhǔn)備情況，發(fā)現(xiàn)不足并及時(shí)予以調(diào)整補(bǔ)充。
 

　　c) 磨合機(jī)制：明確行業(yè)管理部門、相關(guān)單位和人員的職責(zé)任務(wù)，理順工作流程，完善各關(guān)聯(lián)方之間的應(yīng)急聯(lián)動(dòng)機(jī)制，提升協(xié)調(diào)配合能力。
 

　　d) 鍛煉隊(duì)伍：增強(qiáng)應(yīng)急演練管理部門、指揮機(jī)構(gòu)、參演機(jī)構(gòu)和人員等對(duì)應(yīng)急預(yù)案的熟悉程度，鍛煉應(yīng)急處置需要的技能，加強(qiáng)配合，提高其應(yīng)急處置能力。
 

　　e) 宣傳教育：普及應(yīng)急知識(shí)，不斷增強(qiáng)信息安全管理的專業(yè)化程度，提高全員工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)防范意識(shí)。
 

　　《工業(yè)數(shù)據(jù)安全事件應(yīng)急預(yù)案編制指南》
 

　　當(dāng)前，工業(yè)數(shù)據(jù)日益成為經(jīng)濟(jì)社會(huì)發(fā)展的重要基礎(chǔ)性資源和生產(chǎn)要素，工業(yè)數(shù)據(jù)驅(qū)動(dòng)的創(chuàng)新正成為新發(fā)展階段構(gòu)建新發(fā)展格局和實(shí)現(xiàn)高質(zhì)量發(fā)展的重要戰(zhàn)略議題，工業(yè)數(shù)據(jù)進(jìn)入合理開(kāi)發(fā)、高效運(yùn)用的歷性機(jī)遇期。與此同時(shí)，工業(yè)數(shù)據(jù)跨境流動(dòng)引發(fā)數(shù)據(jù)安全隱憂和國(guó)家安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)攻擊導(dǎo)致工業(yè)數(shù)據(jù)失竊與泄露事件多發(fā)，工業(yè)數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)與日俱增，切實(shí)保護(hù)工業(yè)數(shù)據(jù)安全已成為關(guān)乎國(guó)家和企業(yè)安全與發(fā)展利益的重大挑戰(zhàn)。
 

　　工業(yè)領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案有助于科學(xué)規(guī)范工業(yè)領(lǐng)域數(shù)據(jù)安全事件應(yīng)急處置工作，合理配置工業(yè)領(lǐng)域數(shù)據(jù)安全事件的應(yīng)急資源，提高應(yīng)急決策的科學(xué)性和及時(shí)性。制定本文件可為規(guī)范工業(yè)數(shù)據(jù)安全事件應(yīng)急預(yù)案編制程序和內(nèi)容、提高應(yīng)急預(yù)案編制水平、優(yōu)化應(yīng)急工作機(jī)制、強(qiáng)化工業(yè)領(lǐng)域數(shù)據(jù)安全事件應(yīng)對(duì)工作提供支撐，預(yù)防和減少工業(yè)數(shù)據(jù)安全事件造成的損失和危害。
 

　　本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。參考了GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法；GB/T 24363—2009 信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范；GB/T 38645 信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南等技術(shù)文件中的部分內(nèi)容。
 

　　本文件提出了工業(yè)數(shù)據(jù)安全事件應(yīng)急預(yù)案的編制程序、應(yīng)急預(yù)案主要內(nèi)容以及附則信息。本文件適用于軍工、機(jī)械制造、電力、石油石化、鋼鐵、有色、軌道交通等行業(yè)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)工業(yè)數(shù)據(jù)安全事件總體應(yīng)急預(yù)案的編制工作，其他行業(yè)、領(lǐng)域及與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的工業(yè)數(shù)據(jù)安全事件總體應(yīng)急預(yù)案編制工作可參照?qǐng)?zhí)行。
 

　　應(yīng)急預(yù)案編制前宜開(kāi)展資料收集，從中篩選出對(duì)預(yù)案編寫工作具有價(jià)值的信息，作為預(yù)案編制的依據(jù)和參考。收集的資料包括：a) 與應(yīng)急預(yù)案編制、工業(yè)數(shù)據(jù)保護(hù)工作相關(guān)的法律法規(guī)、部門規(guī)章、技術(shù)標(biāo)準(zhǔn)；b) 與本單位、本行業(yè)、本地區(qū)工業(yè)數(shù)據(jù)相關(guān)的規(guī)章制度、技術(shù)資料、應(yīng)急資源等有關(guān)資料；c) 國(guó)內(nèi)外工業(yè)數(shù)據(jù)安全事件及應(yīng)對(duì)相關(guān)資料；d) 本行業(yè)、本地區(qū)工業(yè)數(shù)據(jù)安全相關(guān)的應(yīng)急預(yù)案；e) 同類企業(yè)工業(yè)數(shù)據(jù)安全相關(guān)的應(yīng)急預(yù)案。
 

　　《工業(yè)信息安全漏洞分類分級(jí)指南》
 

　　本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件提供了工業(yè)信息安全漏洞的分類方法、分級(jí)指標(biāo)及可行的分級(jí)方法等建議。
 

　　本文件適用于工業(yè)領(lǐng)域的軟硬件產(chǎn)品提供者、工業(yè)信息安全漏洞收集組織、工業(yè)信息安全漏洞應(yīng)急組織在漏洞管理、技術(shù)研發(fā)等活動(dòng)中的漏洞分類和分級(jí)評(píng)估，工業(yè)領(lǐng)域產(chǎn)品提供者、工業(yè)領(lǐng)域產(chǎn)品運(yùn)營(yíng)者的漏洞分類和漏洞分級(jí)可參照使用。
 

　　工業(yè)信息安全漏洞分級(jí)方法：
 

　　工業(yè)信息安全漏洞分級(jí)過(guò)程主要包括最初的指標(biāo)賦值、指標(biāo)分級(jí)、最終分級(jí)三個(gè)步驟，指標(biāo)賦值是根據(jù)具體漏洞信息對(duì)其各類指標(biāo)進(jìn)行人工賦值；指標(biāo)分級(jí)是根據(jù)指標(biāo)賦值結(jié)果計(jì)算產(chǎn)生分級(jí)結(jié)果；最終分級(jí)是將指標(biāo)分級(jí)計(jì)算生成通用分級(jí)和現(xiàn)場(chǎng)分級(jí)的結(jié)果，其中通用分級(jí)是選取基礎(chǔ)指標(biāo)、輔助因素指標(biāo)兩類指標(biāo)計(jì)算產(chǎn)生，現(xiàn)場(chǎng)分級(jí)由基礎(chǔ)指標(biāo)、輔助因素指標(biāo)和環(huán)境因素指標(biāo)三類指標(biāo)計(jì)算產(chǎn)生。
 

　　工業(yè)信息安全漏洞通用分級(jí)和現(xiàn)場(chǎng)分級(jí)均分為超危、高危、中危和低危四個(gè)等級(jí)，見(jiàn)附錄E和附錄F，具體內(nèi)容如下：
 

　　a) 超危：工業(yè)信息安全漏洞可以非常容易地對(duì)受影響實(shí)體以及其關(guān)聯(lián)的物理世界(國(guó)家、社會(huì)秩序、公共利益、人員安全、生產(chǎn)流程等)造成特別嚴(yán)重后果。
 

　　b) 高危：工業(yè)信息安全漏洞可以容易地對(duì)受影響實(shí)體以及其關(guān)聯(lián)的物理世界(國(guó)家、社會(huì)秩序、公共利益、人員安全、生產(chǎn)流程等)造成嚴(yán)重后果。
 

　　c) 中危：工業(yè)信息安全漏洞可以對(duì)受影響實(shí)體造成一般后果，或者比較困難地對(duì)受影響實(shí)體以及其關(guān)聯(lián)的物理世界(國(guó)家、社會(huì)秩序、公共利益、人員安全、生產(chǎn)流程等)造成嚴(yán)重后果。
 

　　d) 低危：工業(yè)信息安全漏洞可以對(duì)受影響實(shí)體以及其關(guān)聯(lián)的物理世界(國(guó)家、社會(huì)秩序、公共利益、人員安全、生產(chǎn)流程等)造成輕微后果，或者比較困難地對(duì)受影響實(shí)體以及其關(guān)聯(lián)的物理世界造成一般嚴(yán)重后果，或者非常困難地對(duì)受影響實(shí)體以及其關(guān)聯(lián)的物理世界造成嚴(yán)重后果。