第一章 總 則

第一條 為規范工業控制系統信息安全(以下簡稱工控安全)防護能力評估工作，切實提升工控安全防護水平，根據《中華人民共和國網絡安全法》《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號)，制定本辦法。

第二條 本辦法適用于規范針對工業企業開展的工控安全防護能力評估活動。

本辦法所指的防護能力評估，是對工業企業工業控制系統規劃、設計、建設、運行、維護等全生命周期各階段開展安全防護能力綜合評價。

第三條 工業和信息化部負責指導和監督全國工業企業工控安全防護能力評估工作。

第二章 評估管理組織

第四條 設立全國工控安全防護能力評估專家委員會(以下簡稱評估專家委員會)，負責定期抽查與復核工控安全防護能力評估報告，并對評估工作提供建議和咨詢。

第五條 設立全國工控安全防護能力評估工作組(以下簡稱評估工作組)，負責具體管理工控安全防護能力評估相關工作，制訂完善評估工作流程和方法，管理評估機構及評估人員，并審核評估過程中生成的文件和記錄。評估工作組下設秘書處，秘書處設在國家工業信息安全發展研究中心。

第三章 評估機構和人員要求

第六條 評估工作組委托符合條件的第三方評估機構從事工控安全防護能力評估工作。

第七條 評估機構應具備的基本條件：

(一)具有獨立的事業單位法人資格。

(二)具有不少于25名工控安全防護能力評估專職人員。

(三)具有工控安全防護能力評估所需的工具和設備。

第八條 評估機構應建立并有效運行評估工作體系，完善評估監督和責任機制，以確保所從事的工控安全評估活動符合本辦法的規定。評估機構應對其出具的評估報告負責。

第九條 對于違反本辦法、相關法律法規及不遵守評估工作組管理要求的評估機構，評估工作組有權暫停或撤銷其從事工控安全評估活動的委托。被撤銷委托的機構，5年內不得重新申請。

第十條 評估人員須遵守相關的法律、法規和規章，按照所在評估機構確定的工作程序和作業指導從事評估活動，對評估報告的真實性承擔相應責任，并應對評估活動中接觸到的信息履行保密義務。

第四章 評估工具要求

第十一條 評估過程中使用的相關評估專用軟硬件工具需符合相關可靠性和安全性要求。

第十二條 評估工具需由評估工作組委托國家相關質檢機構進行檢測和校驗，未通過檢測和校驗的評估工具不得應用于評估工作。

第五章 評估工作程序

第十三條 受理評估申請。評估工作組承擔工業和信息化主管部門的專項評估任務，各評估機構可自行受理市場化的評估工作委托，并在評估工作組備案。

第十四條 組建評估技術隊伍。評估機構組建評估項目組，原則上每個評估項目組由不少于5名專職評估人員(含1名組長)組成。

第十五條 制定評估工作計劃。 評估機構在實施評估前，應與被評估企業充分協調，梳理清晰企業工業控制系統基本情況，并參照《工業控制系統信息安全防護能力評估方法》(見附件)形成書面評估工作計劃。評估工作計劃的內容至少應包括：評估工作計劃名稱和編號、評估范圍、評估具體任務與方案、評估工作日程安排、應急預案等。

第十六條 開展現場評估工作。評估項目組按照評估工作計劃，在現場對被評估企業實施工控安全防護能力評估。

第十七條 現場評估情況反饋。現場評估工作結束后，評估項目組應對現場評估工作形成書面的現場評估情況反饋表，描述存在的安全問題并提出相應的整改建議。

第十八條 企業自行整改。企業應在收到反饋表后30日內自行開展整改工作，根據整改情況申請復評估。

第十九條 開展復評估工作。評估項目組在收到企業復評估的請求后，根據需要對現場評估反饋表中的問題進行確認。需要時，開展現場復評估。

第二十條 形成評估報告。評估項目組在總結現場評估和復評估工作后，出具企業工控安全防護能力評估結論，經由被評估企業確認后，形成評估報告，報工業和信息化部備案。

第六章 監督管理

第二十一條 評估工作組建立國家工控安全防護能力評估工作管理平臺，通過平臺定期公示評估機構、評估人員、評估工具和評估報告。

第二十二條 評估工作組不定期委托評估專家委員會對評估報告開展必要的抽查與復核，經抽查與復核發現評估報告不符合本辦法有關規定、標準的，應當要求企業限期改正或者重新評估，并在30日內提交評估材料。

第二十三條 評估工作組受理針對違反本辦法、相關法律法規及不遵守評估工作組管理要求的評估機構和人員的舉報和投訴。

第七章 附則

第二十四條 本辦法自2017年9月1日起實施。