工信部工业行业网络安全检查

合集下载

工信部通信企业安全检查要求

工信部于近期组织对我国通信企业进行了一次全面的安全检查，其主要目的是通过了

解企业的安全状况，切实提高通信网络的安全运行水平，为中国互联网产业的健康发展提

供保障。根据通信企业安全检查的要求，本文就相关内容进行了详细阐述。

一、安全风险自查

通信企业应当在自查的过程中，重点关注自身业务的敏感性、安全的可信度、治理的

有效性以及网络的控制性等方面。自查结果须详细记录，以方便日后跟踪追溯。同时，通

信企业应当重点加强检查常用操作系统的安全性、网络设备的防护能力以及数据库的安全

性等方面，以便及时发现和处理存在的安全问题。

二、网络安全防护

通信企业还需加强网络安全防护，对网络加密、网络监测、访问控制等方面进行全面

加固。随着移动互联网的发展，通信企业还需要重点关注移动网络的安全风险，加强安全

防护、加密加固、隔离网络风险，以确保用户的网络通信安全。

三、保密管理

通信企业的保密管理是非常重要的，因此在通信企业安全检查中，保密管理也是一项

必要的内容，通信企业应当加强保密管控，防止重要信息外泄，保护客户隐私。通信企业

还应加强对员工的教育和管理，确保员工不会在业务处理过程中有任何保密方面的失误，

确保企业和客户的保密信息得到妥善地保护和管理。

四、协同治理

通信企业还需与国家安全机构和当地政府部门展开紧密的合作，切实进行协同治理。

企业应当遵守国家有关安全法律法规，共同维护信息安全、网络安全，规范企业经营行为。并在发现安全问题时及时向相关部门报告，共同处理网络安全威胁。

总的来说，通信企业安全检查是一项必要的内容，只有加强安全自查，增强网络安全

工信部2015年工业行业网络安全检查(完整资料).doc

【最新整理，下载后即可编辑】

工信部2015年工业行业网络安全检查

试点工作方案

一、目的与依据

为落实工业信息安全监测和风险评估工作，加强对企业工业控制系统网络安全工作的指导和督促检查，提升企业工业控制系统安全管理和技术防护水平，通过检查工作试点积累经验，形成较完善的工业行业信息安全检查工作制度并逐步推广，依据《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）、《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）要求，参照《工业控制网络安全风险评估规范》（GB/T 26333-2010）、《工业控制系统信息安全第1部分评估规范》（GB/T 30976.1-2014）等国家信息安全技术标准规范以及《关于印发<2015年国家网络安全检查工作指南>的通知》（中网办发文〔2015〕4号）内容，制定本工作方案。

二、试点工作范围

本次工业行业网络安全检查试点工作重点面向石化化工、装备制造、有色金属、钢铁等行业，检查范围包括工业行业重点企业1的制造执行、监视控制与数据采集、分布式控制/过程控制、可编程逻辑控制器、智能电子设备等工业控制系统。根据国内产业现状，本次试点工作选取15家央企（其中7家央企进行自查，对其余8家央企开展抽查，央企名单详见附件1），以及在钢铁、有色金属、石化化工、装备制造等行业具有代表性的河北、辽宁、吉林、黑龙江、安徽、福建、山东、河南、湖南、广西、四川、陕西12个省份。

三、检查内容

（一）网络安全管理

按照国家网络安全政策和标准规范要求，建立健全工业控制系统网络安全管理制度及落实情况。重点检查工业控制系统网络安全主管1重点企业指企业的工业控制系统发生重大安全事件，致使系统出现严重故障后，可能导致10人以上死亡或50人以

工业和信息化领域数据安全风险排查和防护指导手册

工业和信息化领域数据安全风险排查和防护指导手册是一个指导企业在工业和信息化领域进行数据安全风险排查和防护的手册。以下是一个可能的手册内容大纲：

1. 引言

1.1 手册目的和范围

1.2 数据安全的重要性和风险

1.3 手册结构和使用方法

2. 数据安全风险分析

2.1 数据安全风险评估方法和步骤

2.2 数据受威胁的常见方式和途径

2.3 潜在的数据安全风险和影响因素

2.4 风险等级划分和优先级排序

3. 数据安全防护措施

3.1 物理层面的数据安全防护

3.1.1 建筑和设施安全

3.1.2 访问控制和权限管理

3.1.3 安全监控和防护设备

3.2 网络层面的数据安全防护

3.2.1 防火墙和入侵检测系统

3.2.2 安全认证和加密技术

3.2.3 网络安全监测和响应机制

3.3 应用层面的数据安全防护

3.3.1 软件和系统安全设置

3.3.2 数据备份和恢复机制

3.3.3 人员安全意识培训和教育

4. 数据安全管理和监控

4.1 数据安全政策和规程

4.2 数据安全风险管理体系

4.3 数据安全事件处理和应急预案 4.4 数据安全合规性和审计

5. 数据安全技术和工具

5.1 数据加密和解密技术

5.2 身份验证和访问控制技术

5.3 安全监测和防护工具

5.4 数据备份和恢复工具

6. 数据安全人员培养与评估

6.1 数据安全人员招聘和培养策略 6.2 数据安全知识和技能评估

6.3 数据安全团队建设和管理

7. 数据安全案例分析和经验总结 7.1 典型数据安全事故案例分析 7.2 数据安全防护经验和教训总结

工业企业网络安全风险评估与防控

工业企业网络安全风险评估与防控随着互联网和信息技术的迅猛发展，工业企业越来越依赖于网络技

术来支撑生产和管理。然而，与此同时，网络安全问题也日益突出，

工业企业面临诸多的网络安全风险。为了保障工业企业的正常运营和

信息资产的安全，进行网络安全风险评估与防控变得尤为重要。

一、网络安全风险评估

网络安全风险评估是对工业企业网络系统中的漏洞和威胁进行识别、评估和整理，以便采取相应的防控措施。常见的网络安全风险包括：

1. 数据泄露：未经授权的访问或恶意攻击可能导致用户数据、商业

机密等敏感信息的泄露。

2. 恶意软件：工业企业网络可能会受到病毒、木马、蠕虫等恶意软

件的攻击，导致系统瘫痪或数据丢失。

3. 网络攻击：黑客、竞争对手或其他不法分子可能通过网络渗透、

拒绝服务攻击等手段对工业企业网络进行攻击，影响正常运营。

4. 物理入侵：未经授权的人员进入关键设施，通过物理方式获取敏

感信息或操控系统，对工业企业造成威胁。

为了评估网络安全风险，工业企业可以使用多种方法和工具。例如，可以进行安全漏洞扫描、网络流量分析、安全事件日志分析等技术手段，以发现潜在的安全风险。

二、网络安全风险防控

网络安全风险评估的目的是为了采取相应的防控措施，从而减少潜

在风险对工业企业造成的影响。以下是一些常见的网络安全风险防控

措施：

1. 建立网络安全策略：制定明确的网络安全策略和管理制度，明确

权限和责任，确保网络安全的持续性和稳定性。

2. 强化身份认证：采用多重身份认证方式，确保只有经过授权的人

员才能访问关键系统和数据。

3. 更新和维护设备：定期更新软件和硬件设备的补丁和固件，及时

工业企业网络安全管理的网络安全审计与评估

工业企业网络安全管理的网络安全审计与评

估

随着信息技术的快速发展和工业企业网络的普及应用，网络安全问题日益突出。为了确保网络安全，工业企业需进行网络安全审计与评估。本文将探讨工业企业网络安全管理的网络安全审计与评估的重要性、流程以及具体方法。

一、网络安全审计与评估的重要性

网络安全审计与评估是工业企业网络安全管理的重要环节。通过对网络系统的全面检查，及时发现并解决潜在的网络安全风险。具体来说，网络安全审计与评估具有以下重要性：

提高安全性：通过对网络系统的审计与评估，可以查明网络系统中存在的漏洞和风险，及时采取相应的措施加以纠正和修复，提高网络的安全性。

保护重要资源：工业企业的网络系统中存储了大量重要的数据和机密信息。网络安全审计与评估有助于保护这些重要资源，避免信息被窃取、篡改或破坏。

提升业务连续性：网络安全审计与评估可以帮助工业企业识别和解决网络系统中可能导致业务中断的问题，确保业务的连续性和稳定运行。

二、网络安全审计与评估的流程

网络安全审计与评估的流程包括准备阶段、风险评估阶段、系统测

试阶段和报告阶段。以下将对每个阶段进行详细介绍。

1. 准备阶段：确定审计与评估的目标和范围，收集必要的信息和准

备工具，制定工作计划。

2. 风险评估阶段：对网络系统中可能存在的风险进行评估和分类，

建立风险等级。同时，对网络系统的安全策略和控制措施进行检查和

评估。

3. 系统测试阶段：对网络系统进行渗透测试、漏洞扫描、安全设备

配置等实际操作，验证网络安全的强弱点。

4. 报告阶段：根据测试结果编写详细的审计报告，包括发现的问题、建议的解决方案和改进措施。

工业互联网中安全漏洞检测与排查

随着信息化时代的到来，工业互联网的应用日益广泛，但是工业领域的网络安

全问题也日益凸显。由于检测和排查工业互联网中的安全漏洞需要较高的技术和人力成本，因此许多企业在这一方面存在缺陷，导致过多的信息泄漏和数据损害。本文将从工业互联网中的安全漏洞出发，深入探讨安全漏洞检测和排查的重要性，并提出一些相关建议。

一、工业互联网安全漏洞的种类和影响

工业互联网的安全漏洞包括但不限于：系统漏洞、网络攻击、数据泄漏等方面。其中，系统漏洞是最常见的安全漏洞之一。由于企业在选用网络设备和组件时，往往会考虑价格和品牌等因素，而忽略了这些设备或组件本身存在的安全漏洞。此外，网络攻击也是一种常见的安全漏洞。恶意黑客通过攻击企业网络中的弱点，侵入企业网络系统，获取敏感信息或控制企业的数据流向。数据泄漏也会给企业带来巨大的损失。攻击者通过盗取企业数据，不仅会泄露企业的商业机密，还会泄露客户数据，造成严重后果。

安全漏洞不仅会对企业造成直接损失，还会对企业的商誉造成影响，给企业的

信誉和利益带来极大的威胁。因此，检测和排查安全漏洞十分必要。

二、工业互联网中安全漏洞的检测与排查方法

当前，工业互联网中安全漏洞的检测与排查主要采用的方法有漏洞扫描和漏洞

测试两种。

1. 漏洞扫描法

漏洞扫描是一种较为简单的检测方法，适用于对设备和系统日常安全状况的检测。漏洞扫描分为被动扫描和主动扫描两种。被动扫描通过收集网络设备信息、分析网络流量和数据包等方式了解网络设备和应用程序的安全状况。主动扫描则是主

动发送探测包向网络设备发起攻击，检测是否存在安全漏洞。由于被动扫描无需被扫描对象的配合，因此适用范围较广，但是其检测结果具有一定的局限性，不能对所有安全漏洞进行检测。

工业企业网络安全管理的合规性要求与措施

工业企业网络安全管理的合规性要求与措施工业企业网络安全对于企业的正常运营和信息资产的保护至关重要。随着信息化程度的提高和网络威胁的不断增加，工业企业需要遵守一

系列合规性要求并采取相应的措施来确保网络安全。本文将讨论工业

企业网络安全管理的合规性要求与措施。

一、合规性要求

1. 法律法规合规性要求

工业企业在网络安全管理中应遵守国家和地方相关的法律法规要求。例如，需要遵守《网络安全法》、《信息安全技术个人信息安全规范》等法律法规。企业应建立健全与之相关的制度、规程和流程，确保网

络安全工作符合法律法规的要求。

2. 行业标准合规性要求

不同工业行业可能存在专门的网络安全管理标准和规范，企业应遵

守相关行业标准的要求。例如，工控系统领域的企业应遵守ISA-62443

标准。合规性要求可能涵盖网络设备的配置、访问控制、登录认证、

事件处理等方面。

3. 客户合规性要求

工业企业通常与各种客户有业务合作，某些客户可能对网络安全管

理提出特定的合规性要求。企业应根据客户要求进行评估，制定相应

的安全策略和措施，确保满足客户的合规性要求。

二、措施

1. 安全策略制定与宣贯

根据合规性要求，工业企业应制定相应的网络安全策略，并将其宣贯到全体员工。策略应明确企业对网络安全的重视程度、安全目标、责任分工、管理流程等内容，以确保每个员工都能理解和遵守相应的规定。

2. 访问控制与身份认证

合规性要求中普遍要求企业实施严格的访问控制和身份认证机制。工业企业可以通过引入单点登录、多因素认证、访问权限管理等技术手段来确保合规性要求的满足。

3. 事件响应和漏洞管理

工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见

工业和信息化部关于加强电信和互联网行业网络安全

工作的指导意见

文章属性

•【制定机关】工业和信息化部

•【公布日期】2014.08.28

•【文号】工信部保[2014]368号

•【施行日期】2014.08.28

•【效力等级】部门规范性文件

•【时效性】现行有效

•【主题分类】通信业

正文

工业和信息化部关于加强电信和互联网行业网络安全工作的

指导意见

（工信部保〔2014〕368号2014年8月28日）各省、自治区、直辖市通信管理局，中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司，国家计算机网络应急技术处理协调中心，工业和信息化部电信研究院、通信行业职业技能鉴定指导中心，中国通信企业协会、中国互联网协会，各互联网域名注册管理机构，有关单位：

近年来，各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求，在加强网络基础设施建设、促进网络经济快速发展的同时，不断强化网络安全工作，网络安全保障能力明显提高。但也要看到，当前网络安全形势十分严峻复杂，境内外网络攻击活动日趋频繁，网络攻击的手法更加复杂隐蔽，新技术新业务带来的网络安全问题逐渐凸显。新形势下电信和互联网行业网络安全工作存在的问题突出表现在：重发展、轻安全思想普遍存在，网络安全工作体制机制不健全，网络安全技术能力和手段不足，关键软硬件安全可控程度低等。为有效应对日益严

峻复杂的网络安全威胁和挑战，切实加强和改进网络安全工作，进一步提高电信和互联网行业网络安全保障能力和水平，提出以下意见。

一、总体要求

认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神，坚持以安全保发展、以发展促安全，坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施，坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合，坚持立足行业、服务全局，以提升网络安全保障能力为主线，以完善网络安全保障体系为目标，着力提高网络基础设施和业务系统安全防护水平，增强网络安全技术能力，强化网络数据和用户信息保护，推进安全可控关键软硬件应用，为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。

信息安全技术-工业控制系统安全检查指南

信息安全技术工业控制系统安全检查指南

随着信息技术的发展，工业控制系统的应用范围越来越广泛，与此同时，工业控制系统面临的安全威胁也越来越多。为了保证工业控制系统的安全性，进行定期的安全检查是至关重要的。本文将从信息安全技术的角度出发，介绍工业控制系统安全检查的指南。

一、物理安全检查

物理安全是保障工业控制系统安全的首要环节，主要包括以下方面的检查：

1. 确保工业控制系统的主机和服务器设备有足够的物理防护措施，如安装在专用机房或机柜中，并使用门禁等措施加强访问控制；

2. 检查工业控制系统的网络设备的物理安全性，包括交换机、路由器等设备的存放位置和防护措施；

3. 检查工业控制系统的传感器和执行器等设备的物理安全性，如是否易受到恶意人员的操控或破坏。

二、网络安全检查

网络安全是工业控制系统安全的重要方面，需要进行以下方面的检查：

1. 检查工业控制系统的网络拓扑结构，确保网络分段和隔离，防止攻击者通过网络渗透进入控制系统；

2. 检查工业控制系统的网络设备的安全配置，包括防火墙、入侵检

测系统等设备的规则设置和更新；

3. 检查工业控制系统的通信协议和数据传输方式的安全性，如是否使用加密技术来保护数据传输的机密性和完整性；

4. 检查工业控制系统的远程访问方式和权限管理，确保只有授权人员才能远程访问控制系统，并限制其权限；

5. 检查工业控制系统的网络设备和终端设备的漏洞和安全补丁的及时更新情况，避免已知漏洞被攻击者利用。

三、应用安全检查

应用安全是保障工业控制系统安全的重要环节，需要进行以下方面的检查：

1. 检查工业控制系统的操作系统和应用软件的安全配置，包括密码策略、访问控制、日志记录等；

工业和信息化领域数据安全风险排查和防护指导手册

摘要：

一、背景和意义

- 工业和信息化领域数据安全的重要性

- 风险排查和防护的必要性

二、数据安全风险排查

- 数据安全风险的概念和种类

- 风险排查的方法和流程

- 风险评估的工具和技术

三、数据安全防护措施

- 政策法规和标准的遵守

- 数据加密和访问控制技术

- 数据备份和恢复策略

- 安全监测和应急响应机制

四、实施和评估

- 防护措施的实施步骤

- 效果评估和改进

正文：

随着信息技术的高速发展，工业和信息化领域数据安全风险日益增加，对企业和个人的隐私、财产和国家安全构成了严重威胁。为了提高工业和信息化领域数据安全水平，降低安全风险，本手册提出了数据安全风险排查和防护的

指导原则和方法。

一、背景和意义

工业和信息化领域涉及众多行业，包括制造业、通信业、软件和信息技术服务业等。这些行业在研发设计、生产制造、经营管理、运行维护等过程中产生和收集大量数据，如工业数据、电信数据和无线电数据等。这些数据对于企业的运营、国家的经济发展和国防建设具有重要意义。然而，随着数据规模的不断扩大，数据安全风险也日益凸显。为了确保工业和信息化领域数据安全，有必要开展风险排查和防护工作。

二、数据安全风险排查

数据安全风险排查是防范风险的第一步，需要识别和分析可能面临的风险。风险排查主要包括以下几个方面：

1.数据安全风险的概念和种类：数据安全风险主要包括数据泄露、数据篡改、数据丢失、数据滥用等。了解这些风险种类有助于更好地开展排查工作。

2.风险排查的方法和流程：风险排查应根据企业的实际情况，制定合理的排查方案，包括数据资产识别、风险评估、风险定位等。

工业企业网络安全风险评估及防范

工业企业网络安全风险评估及防范工业企业的网络安全问题日益凸显，随着信息化进程的不断发展，网络攻击威胁正成为企业经营中重要的风险之一。为了确保企业的正常运营和信息资产的安全，工业企业迫切需要进行网络安全风险评估并采取相应的防范措施。

一、网络安全风险评估

网络安全风险评估是指对工业企业的网络安全系统进行全面检测和评估，确定潜在的网络安全风险，为制定有效的防范策略提供依据。网络安全风险评估包括以下几个步骤：

1. 收集信息：了解企业的网络架构、设备配置、应用系统及其对外联络情况，并收集历史数据、安全事件记录以及其他相关信息。

2. 发现风险点：通过对网络架构和设备进行扫描和检测，发现可能存在的漏洞和安全隐患。

3. 风险评估：对发现的风险点进行评估，确定其对企业网络安全的威胁级别，包括风险的可能性、影响程度和严重性等指标。

4. 制定风险管理方案：根据风险评估结果，制定相应的风险管理方案，包括修复漏洞、加固设备、完善网络安全策略等。

二、网络安全风险防范措施

1. 加强基础设施安全：保障网络设备的物理安全和运行稳定，确保

网络基础设施的完整性和可靠性。例如，监控网络设备的使用情况、

定期巡检设备、备份重要数据等。

2. 提升网络安全技术：采用先进的网络安全技术和设备，如防火墙、入侵检测系统、安全认证等，加强对入侵行为的监测和阻断。

3. 完善网络安全策略：制定并执行网络安全策略，明确网络使用规范，限制用户权限，加密敏感数据传输，定期更新和升级安全补丁等。

4. 增强员工安全意识：加强员工的网络安全教育培训，提高其对网

工业企业网络安全风险评估与监控

工业企业网络安全风险评估与监控工业企业在数字化时代的信息化建设中面临着越来越严峻的网络安全挑战。为了保障工业企业的正常运行和数据的安全，必须进行网络安全风险评估与监控。本文将探讨工业企业网络安全的风险评估方法以及合理有效的监控策略。

一、网络安全风险评估

网络安全风险评估是指对工业企业网络系统中存在的安全风险进行全面、系统的评估分析。通过评估，可以发现潜在的网络安全问题，及时采取相应的安全措施，保护企业的网络系统不受到威胁。

1. 渗透测试

渗透测试是一种模拟黑客攻击的方法，通过对系统进行有计划的渗透，评估系统的安全性。渗透测试可以发现系统中可能存在的漏洞和薄弱环节，并提供针对性的改进方案。

2. 漏洞评估

漏洞评估是对工业企业网络系统中潜在漏洞进行全面检测和评估的过程。通过使用漏洞扫描工具和人工审查，可以找出系统中的漏洞，帮助企业及时修补漏洞，提高系统的安全性。

3. 安全策略评估

安全策略评估是对工业企业网络安全策略进行分析和评估的过程。通过评估企业的安全策略，可以发现策略中的不足和改进点，为企业提供定制化的安全建议。

二、网络安全监控

网络安全监控是指对工业企业网络系统进行实时监测和记录，及时发现和解决系统中的安全问题。有效的网络安全监控可以帮助企业在发生安全事件时迅速作出反应，减少损失。

1. 安全事件日志监控

通过记录和分析安全事件日志，可以监测到系统中的异常行为和安全事件。安全事件日志监控可以及时发现入侵行为和异常访问，帮助企业采取相应的措施，保护网络安全。

2. 流量监控

流量监控可以实时监测工业企业网络的数据流量，检测异常流量和DDoS攻击等安全威胁。通过分析流量监控结果，可以快速识别网络安全问题，并采取相应的应对措施。

工业和信息化领域数据安全风险排查和防护指导手册

工业和信息化领域数据安全风险排查和防护指导手册工业和信息化领域数据安全风险排查和防护指导手册

1. 引言

数据安全是工业和信息化领域中一个日益重要的话题。随着数字化转

型的加速，企业面临着越来越多的数据泄露和安全威胁。为了保护企

业的核心数据和信息资产，进行数据安全风险排查和防护变得至关重要。本手册将为您提供一份详尽的指导，帮助您全面了解工业和信息

化领域的数据安全风险，并提供相应的防护措施。

2. 数据安全风险排查

数据安全风险排查是评估和发现数据安全风险的过程。我们需要对工

业和信息化领域的数据进行分类，包括个人身份信息、机密公司数据、用户数据等。接下来，我们可以通过以下的方式来进行风险排查：

2.1 内部风险

内部风险是指来自组织内部的安全威胁。员工的行为不当、密码泄露、内部人员的恶意行为等。为了排查内部风险，我们可以采取以下步骤：- 建立严格的数据访问权限，限制员工对核心数据的访问权限，并定期审查权限设置。

- 加强员工的安全意识培训，教育员工关于数据安全的重要性，并让他

们了解不当行为的后果。

- 实施内部监控机制，例如审计日志和行为分析系统，以便及时发现员工的异常行为。

2.2 外部风险

外部风险是指来自组织外部的安全威胁。黑客攻击、病毒和恶意软件等。为了排查外部风险，我们可以采取以下步骤：

- 定期进行安全漏洞扫描，及时发现和修复系统中的漏洞，以减少黑客攻击的可能性。

- 使用强大的防火墙和入侵检测系统，保护系统免受未授权访问和恶意软件的侵害。

- 建立应急响应计划，及时应对可能的外部攻击，保障数据安全。

工业和信息化部网络安全管理局国家工业信息安全发展研究中心相关领导一行调研云南白药

2023年8月31日上午，工业和信息化部网络安全管理局网络安全处肖俊芳副处长、国家工业信息安全发展研究中心保障技术所所长李俊一行，由昆明市工业和信息化局网络信息安全处处长徐进忠等陪同参观调研（）网络安全工作，云南白药集团数字战略科学家、智慧科技BU总经理李少春总等接待，参观了云南白药博物馆、牙膏智慧工厂，参观结束后进行了座谈交流。

座谈中，围绕工业控制系统网络安全专的调研专题，智慧科技BU许睿总监首先介

绍了云南白药信息安全建设情况，主要从公司信息安全建设历程、信息安全战略、信息安全顶层设计、信息安全战略建设路径、目前已完成的部分建设成果（含工控安全）和未来建设着力点进行介绍。

李少春总表示，白药非常重视信息安全建设，在数字化转型进程中将持续加强安全建设。白药的信息安全也得到昆明网信办、昆明市网安等很多部门的支持，非常感谢，也希望肖处和各位专家多多给予支持。

座谈最后，肖副处长总结表示，通过参观白药和听取专题汇报，感受到白药在战略层面非常重视，白药信息安全目标与部里的目标一致，对工业企业有非常好的借鉴作用。

近年来工信部网安局将工业领域的网络安全列为重点工作，随着数字经济发展，对制造企业机器的网联化、数字化、网络化和智能化要求越来越高，随之而来企业面临的网络安全风险越来越复杂，尤其是工业领域的网络安全更为复杂。工信部网安局顶层设计以政府主导、企业准则、行业协同的网络安全格局，工信部网安局的准则是通过制度、政策、标准“深度行”，“攻防对抗”实战演练专项行动，网络安全保

工信部工业行业网络安全检查正式版

工信部工业行业网络安全检查

正式版

工信部2021年工业行业网络安全检查

试点工作方案

一、目的与依据

为落实工业信息安全监测和风险评估工作，加强对企业工业控制系统网络安全工作的指导和督促检查，提升企业工业控制系统安全管理和技术防护水平，通过检查工作试点积累经验，形成较完善的工业行业信息安全检查工作制度并逐步推广，依据《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2021〕23号）、《关于加强工业控制系统信息安全管理的通知》（工信部协〔2021〕451号）要求，参照《工业控制网络安全风险评估规范》（GB/T 26333-2021）、《工业控制系统信息安全第1部分评估规范》（GB/T 30976.1-2021）等国家信息安全技术标准规范以及《关于印发<2021年国家网络安全检查工作指南>的通知》（中网办发文〔2021〕4号）内容，制定本工作方案。

二、试点工作范围

本次工业行业网络安全检查试点工作重点面向石化化工、装备制造、有色金属、钢铁等行业，检查范围包括工业行业重点企业1的制造执行、监视控制与数据采集、分布式控制/过程控制、可编程逻辑控制器、智能电子设备等工业控制系统。根据国内产业现状，本次试点工1重点企业指企业的工业控制系统发生重大安全事件，致使系统出现严重故障后，可能导致10人以上死亡或50人以

上重伤，或可能导致5000万元以上直接经济损失，或可能影响100万人以上正常生活，或可能对生态环境造成严重

破坏，或可能对国家安全和社会稳定产生重大影响。

作选取15家央企（其中7家央企进行自查，对其余8家央企开展抽查，央企名单详见附件1），以及在钢铁、有色金属、石化化工、装备制造等行业具有代表性的河北、辽宁、吉林、黑龙江、安徽、福建、山东、河南、湖南、广西、四川、陕西12个省份。

工信部通信企业安全检查要求

近年来，随着网络安全威胁的不断增加，通信企业的安全意识也越来越强。为了进一步加强通信企业的安全管理，工信部要求所有通信企业必须进行安全检查。以下是工信部通信企业安全检查要求：

1. 安全管理制度要求：通信企业必须建立健全的安全管理制度，包括安全责任制、安全培训制度、安全事件管理制度等，确保所有员工都能够熟知并遵守这些制度。

2. 安全基础设施要求：通信企业必须建立完善的安全基础设施，包括网络安全设备、安全防护设备等，以保证网络信息的安全。

3. 安全漏洞排查要求：通信企业必须定期进行安全漏洞的排查，及时修复发现的漏洞，确保网络安全。

4. 信息保密要求：通信企业必须加强对重要信息的保密，包括客户信息、商业机密等，确保不会泄露给未经授权的人员。

5. 应急预案要求：通信企业必须制定并定期更新应急预案，以便在网络攻击或其他安全事件发生时能够及时采取应对措施。

以上是工信部通信企业安全检查的主要要求，通信企业必须认真履行以上要求，确保网络安全，保护客户信息安全。

- 1 -