解读《工业控制系统信息安全防护指南》制定《指南》的背景 通知中明确“为贯彻落实《国务院关于深化制造业与互联网融合发展的 指导意见》（国发【2016】28号），保障工业企业工业控制系统信息 安全，工业和信息化部制定《工业控制系统信息安全防护指南》。”可 以看出，《工业控制系统信息安全防护指南》是根据《意见》制定的。 《意见》中相关要求 《意见》“七大任务”中专门有一条“提高工业信息系统安全水平”。 工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要 求编制的《工业和信息化部关于印发信息化和工业化融合发展规划 （2016-2020年）》中进一步明确，在十三五期间，我国两化融合面 临的机遇和挑战第四条就是“工业领域信息安全形势日益严峻，对两化 融合发展提出新要求”，其“七大任务”中也提到要“逐步完善工业信 息安全保障体系”，“六大重点工程”中之一就是“工业信息安全保障 工程。 以上这些，就是政策层面的指导思想和要求。 《指南》条款详细解读 《指南》整体思路借鉴了等级保护的思想，具体提出了十一条三十款要 求，贴近实际工业企业真实情况，务实可落地。我们从《指南》要求的 主体、客体和方法将十一条分为三大类： a、针对主体目标（法人或人）的要求，包含第十条供应链管理、第十 一条人员责任： 1.10供应链管理 （一）在选择工业控制系统规划、设计、建设、运维或评估等服务商时， 优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务 商应承担的信息安全责任和义务。 控制环境的管理和服务方式，要求服务商具有丰富的安全服务经验、熟 悉工业控制系统工作流程和特点，且对安全防护体系和工业控制系统安 全防护的相关法律法规要有深入的理解和解读，保证相应法律法规的有 效落实，并以合同的方式约定服务商在服务过程中应当承担的责任和义 务。 （二）以保密协议的方式要求服务商做好保密工作，防范敏感信息外泄。 解读：与工业控制系统安全服务方签定保密协议，要求服务商及其服务 人员严格做好保密工作，尤其对工业控制系统内部的敏感信息（如工艺 文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序 上传/下载数据、监控数据等）进行重点保护，防范敏感信息外泄 1.11洛实责任 通过建立工控安全管理机制、成立信息安全协调小组等方式，明确工控 安全管理责任人，落实工控安全责任制，部署工控安全防护措施。 解读：设立工业控制系统安全管理工作的职能部门，负责工业控制系统 责任及工作人员的职责，制定工业控制系统安全管理方针，持续实施和 改进工业控制系统的安全防护能力，不断提升工业控制系统防攻击和抗 干扰的水平。