【儀表網(wǎng) 儀表標準】由中國和平利用軍工技術協(xié)會組織起草的《工業(yè)控制系統(tǒng)信息安全應急演練方法》、《工業(yè)數(shù)據(jù)安全事件應急預案編制指南》和《工業(yè)信息安全漏洞分類分級指南》3項團體標準現(xiàn)已完成征求意見稿，根據(jù)《中國和平利用軍工技術協(xié)會團體標準工作管理辦法(試行)》有關規(guī)定，為保證標準的科學性、嚴謹性和適用性，現(xiàn)公開征求意見。
 

　　《工業(yè)控制系統(tǒng)信息安全應急演練方法》
 

　　本文件按照GB/T 1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件規(guī)定了軍工、制造、石油化工、鋼鐵、有色、電力、水務等典型行業(yè)的工業(yè)控制系統(tǒng)信息安全應急演練的目的、原則、形式、規(guī)劃、準備、實施過程、評估總結和改進的要求。本文件適用于針對典型行業(yè)工業(yè)控制系統(tǒng)信息安全事件開展的應急演練活動。
 

　　應急演練目的包括下列內(nèi)容：
 

　　a) 檢驗預案：發(fā)現(xiàn)應急預案中存在的問題，完善應急預案內(nèi)容，提高應急預案的科學性、實用性和可操作性。
 

　　b) 完善準備：檢查應對工業(yè)控制系統(tǒng)信息安全事件所需應急隊伍、物資、裝備、技術等方面的準備情況，發(fā)現(xiàn)不足并及時予以調(diào)整補充。
 

　　c) 磨合機制：明確行業(yè)管理部門、相關單位和人員的職責任務，理順工作流程，完善各關聯(lián)方之間的應急聯(lián)動機制，提升協(xié)調(diào)配合能力。
 

　　d) 鍛煉隊伍：增強應急演練管理部門、指揮機構、參演機構和人員等對應急預案的熟悉程度，鍛煉應急處置需要的技能，加強配合，提高其應急處置能力。
 

　　e) 宣傳教育：普及應急知識，不斷增強信息安全管理的專業(yè)化程度，提高全員工業(yè)控制系統(tǒng)信息安全風險防范意識。
 

　　《工業(yè)數(shù)據(jù)安全事件應急預案編制指南》
 

　　當前，工業(yè)數(shù)據(jù)日益成為經(jīng)濟社會發(fā)展的重要基礎性資源和生產(chǎn)要素，工業(yè)數(shù)據(jù)驅動的創(chuàng)新正成為新發(fā)展階段構建新發(fā)展格局和實現(xiàn)高質量發(fā)展的重要戰(zhàn)略議題，工業(yè)數(shù)據(jù)進入合理開發(fā)、高效運用的歷性機遇期。與此同時，工業(yè)數(shù)據(jù)跨境流動引發(fā)數(shù)據(jù)安全隱憂和國家安全風險，網(wǎng)絡攻擊導致工業(yè)數(shù)據(jù)失竊與泄露事件多發(fā)，工業(yè)數(shù)據(jù)面臨的安全風險與日俱增，切實保護工業(yè)數(shù)據(jù)安全已成為關乎國家和企業(yè)安全與發(fā)展利益的重大挑戰(zhàn)。
 

　　工業(yè)領域數(shù)據(jù)安全事件應急預案有助于科學規(guī)范工業(yè)領域數(shù)據(jù)安全事件應急處置工作，合理配置工業(yè)領域數(shù)據(jù)安全事件的應急資源，提高應急決策的科學性和及時性。制定本文件可為規(guī)范工業(yè)數(shù)據(jù)安全事件應急預案編制程序和內(nèi)容、提高應急預案編制水平、優(yōu)化應急工作機制、強化工業(yè)領域數(shù)據(jù)安全事件應對工作提供支撐，預防和減少工業(yè)數(shù)據(jù)安全事件造成的損失和危害。
 

　　本文件按照GB/T 1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。參考了GB/T 20984 信息安全技術 信息安全風險評估方法；GB/T 24363—2009 信息安全技術 信息安全應急響應計劃規(guī)范；GB/T 38645 信息安全技術 網(wǎng)絡安全事件應急演練指南等技術文件中的部分內(nèi)容。
 

　　本文件提出了工業(yè)數(shù)據(jù)安全事件應急預案的編制程序、應急預案主要內(nèi)容以及附則信息。本文件適用于軍工、機械制造、電力、石油石化、鋼鐵、有色、軌道交通等行業(yè)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)工業(yè)數(shù)據(jù)安全事件總體應急預案的編制工作，其他行業(yè)、領域及與關鍵信息基礎設施相關的工業(yè)數(shù)據(jù)安全事件總體應急預案編制工作可參照執(zhí)行。
 

　　應急預案編制前宜開展資料收集，從中篩選出對預案編寫工作具有價值的信息，作為預案編制的依據(jù)和參考。收集的資料包括：a) 與應急預案編制、工業(yè)數(shù)據(jù)保護工作相關的法律法規(guī)、部門規(guī)章、技術標準；b) 與本單位、本行業(yè)、本地區(qū)工業(yè)數(shù)據(jù)相關的規(guī)章制度、技術資料、應急資源等有關資料；c) 國內(nèi)外工業(yè)數(shù)據(jù)安全事件及應對相關資料；d) 本行業(yè)、本地區(qū)工業(yè)數(shù)據(jù)安全相關的應急預案；e) 同類企業(yè)工業(yè)數(shù)據(jù)安全相關的應急預案。
 

　　《工業(yè)信息安全漏洞分類分級指南》
 

　　本文件按照GB/T 1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件提供了工業(yè)信息安全漏洞的分類方法、分級指標及可行的分級方法等建議。
 

　　本文件適用于工業(yè)領域的軟硬件產(chǎn)品提供者、工業(yè)信息安全漏洞收集組織、工業(yè)信息安全漏洞應急組織在漏洞管理、技術研發(fā)等活動中的漏洞分類和分級評估，工業(yè)領域產(chǎn)品提供者、工業(yè)領域產(chǎn)品運營者的漏洞分類和漏洞分級可參照使用。
 

　　工業(yè)信息安全漏洞分級方法：
 

　　工業(yè)信息安全漏洞分級過程主要包括最初的指標賦值、指標分級、最終分級三個步驟，指標賦值是根據(jù)具體漏洞信息對其各類指標進行人工賦值；指標分級是根據(jù)指標賦值結果計算產(chǎn)生分級結果；最終分級是將指標分級計算生成通用分級和現(xiàn)場分級的結果，其中通用分級是選取基礎指標、輔助因素指標兩類指標計算產(chǎn)生，現(xiàn)場分級由基礎指標、輔助因素指標和環(huán)境因素指標三類指標計算產(chǎn)生。
 

　　工業(yè)信息安全漏洞通用分級和現(xiàn)場分級均分為超危、高危、中危和低危四個等級，見附錄E和附錄F，具體內(nèi)容如下：
 

　　a) 超危：工業(yè)信息安全漏洞可以非常容易地對受影響實體以及其關聯(lián)的物理世界(國家、社會秩序、公共利益、人員安全、生產(chǎn)流程等)造成特別嚴重后果。
 

　　b) 高危：工業(yè)信息安全漏洞可以容易地對受影響實體以及其關聯(lián)的物理世界(國家、社會秩序、公共利益、人員安全、生產(chǎn)流程等)造成嚴重后果。
 

　　c) 中危：工業(yè)信息安全漏洞可以對受影響實體造成一般后果，或者比較困難地對受影響實體以及其關聯(lián)的物理世界(國家、社會秩序、公共利益、人員安全、生產(chǎn)流程等)造成嚴重后果。
 

　　d) 低危：工業(yè)信息安全漏洞可以對受影響實體以及其關聯(lián)的物理世界(國家、社會秩序、公共利益、人員安全、生產(chǎn)流程等)造成輕微后果，或者比較困難地對受影響實體以及其關聯(lián)的物理世界造成一般嚴重后果，或者非常困難地對受影響實體以及其關聯(lián)的物理世界造成嚴重后果。