工业控制系统安全合规

1. 网络安全等级保护

    网络安全等级保护最早于1994年国务院颁布的 《中华人民共和国计算机信息系统安全保护条例》中提出，该条例规定规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。随后1999年9月13日国家质量技术监督局发布了公安部提出并组织制定的《计算机信息系统安全保护等级划分准则》。

    2003年中央办公厅、国务院办公厅发出《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27 号），明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。27号文的发布表明了网络安全等级保护成为了国家信息安全保障工作的基本制度，明确了“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。

    2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》，明确了信息安全等级保护的具体要求。《信息安全等级保护管理办法》规定：1、主体主体为信息系统运营、使用单位。信息系统主要指以下系统：(1)国家事务处理信息系统（党政机关办公系统）；(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础 设施的信息系统；(3)国防工业企业、科研等单位的信息系统；(4)公用通信、广播电视传输等基础信息网络中的计算机信息系统；(5)互联网网络管理中心、关键节点、重要网站以及重要应用系统；(6)其他领域的重要信息系统。2、实施依据实施依据为《信息系统安全等级保护实施指南》，《信息安全等级保护管理办法》规定：信息系统运营、使用单位依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。3、监管部门监管部门主要为公安机关，《信息安全等级保护管理办法》第十九条规定：信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导。此处的国家制定的专门部门包括国家保密工作部门和国家密码工作管理部门。4、主要内容信息系统的安全保护等级按照信息系统受到破坏后，对公民、法人和其他组织的合法权益，对社会秩序和公共利益，对国家安全造成损害的程度对分为五级，对于等级划分、保护措施、评测机构、监管方式均有完善的规定。

    2017年6月1日《中华人民共和国网络安全法》实施，其中第二十一条在法律层面上提出“网络安全等级保护制度”这一概念。其中涉及等级保护的有：

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

    关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

    2019年网络安全等级保护进入2.0时代。同时更新和发布了多个标准。目前等级保护相关标准有：

    计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）

    信息系统安全等级保护实施指南 （GB/T 25058-2019） （基础类标准）

    信息系统安全保护等级定级指南 （GB/T 22240-2020） （应用类定级标准）

    信息系统安全等级保护基本要求 （GB/T 22239-2019） （应用类建设标准）

    信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）

    信息系统等级保护安全设计技术要求 （GB/T 25070-2019） （应用类建设标准）

    信息系统安全等级保护测评要求 （GB/T 28448-2019）（应用类测评标准）

    信息系统安全等级保护测评过程指南 （GB/T 28449-2018）（应用类测评标准）

    信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）

    信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）

    信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）（基础类标准）

    信息安全技术网络安全等级保护安全设计技术要求（GB/T 25070-2019）（应用类建设标准）

    信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）（应用类测评标准）

2. 工业控制系统信息安全防护

    为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号），保障工业企业工业控制系统信息安全，2016年10月17日工业和信息化部印发《工业控制系统信息安全防护指南》的通知，其中规定工业控制系统应用企业需要从十一个方面做好工控安全防护工作。

3. 电力二次系统安全防护

    2004年12月20日，国家电力监管委员会发布第5号令，即自2005年2月1日起施行《电力二次系统安全防护规定》。该规定的实施标志着电力二次系统需根据规定建立电力二次系统安全防护体系。电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等环节都应当符合《电力二次系统安全防护规定》。