为进一步贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》，督促工业企业做好工业控制系统信息安全(以下简称工控安全)防护工作，工业和信息化部于近日印发了《工业控制系统信息安全防护能力评估工作管理办法》(以下简称《管理办法》)，旨在规范工控安全防护能力评估工作，切实提升工控安全防护水平。

　　一、编制说明

　　近年来，随着两化融合发展的不断深入，安全威胁向工业控制系统加速渗透，工业领域面临严峻的信息安全挑战。我部于去年发布了《工业控制系统信息安全防护指南》(以下简称《防护指南》)，从配置和补丁管理、边界安全防护、安全监测和应急预案演练等方面，对工业企业提出了30项工控安全防护要求。为检验《防护指南》的实践效果，综合评价工业企业工控安全防护能力，我部于年初组织编制了《管理办法(初稿)》，并选择电力、化工、汽车、有色、石化、烟草6个重点行业开展了工控安全预评估工作，对《管理办法(初稿)》的科学性、合理性和可操作性进行检验，结合工控安全预评估工作，进一步对《管理办法(初稿)》进行修改完善，组织专家开展专题研讨论证，最终形成《管理办法》。

　　二、总体考虑

　　《管理办法》的编制以我国两化融合发展时期工控安全保障需求和工控安全防护工作推进为出发点和落脚点，密切结合工控安全防护能力评估工作实际，以规范针对工业企业开展的工控安全防护能力评估活动为重点，加强工控安全防护能力评估机构、人员和工具管理，明确工控安全防护能力评估工作程序。具体来说，《管理办法》编制的主要思路如下：

　　一是突出体系化管理。工控安全防护能力评估工作管理涉及管理机构、评估机构、评估人员、评估工具等各要素，《管理办法》从全局出发，面向各类主体，围绕工作需求提出基线标准，加强体系化管理。

　　二是注重管理实效。《办法》细化各类基线标准，明确量化指标，提出从受理评估申请、组建评估技术队伍到形成评估报告的一系列评估工作程序，提供具体且可操作的工控安全防护能力评估方法。

　　三是强调全生命周期评估。工控安全防护能力评估是落实《防护指南》要求的一项具体工作，《管理办法》指出防护能力评估是对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展的安全防护能力综合评价。