汽車工控系統信息安全管理

引言： 關于工業控制系統信息安全防護的指南，從11個方面對企業在工業控制系統規劃、設計、建設、運維、評估的信息安全建設方面提供了操作依據。本文圍繞其中幾個方面來探討汽車行業的工控系統的信息安全建設。

在2016年11月份，國家相關部門發布了關于工業控制系統信息安全防護的指南，從11個方面對企業在工業控制系統規劃、設計、建設、運維、評估的信息安全建設方面提供了操作依據。

筆者認為該指南是對2011年所發布的關于加強工業控制系統信息安全管理的進一步細化，將原來的6個要求進行了細分：安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任。下面筆者將圍繞其中的幾個方面來探討一下汽車行業的工業控制系統的信息安全建設。

信息安全工作無論是傳統IT領域還是工業控制領域，領導的重視永遠是第一位的。即上述11個方面的落實責任：通過建立工控安全管理機制、成立信息安全協調小組等方式，明確工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施。這是一個從上而下的工作。在建立工控安全管理機制之前，首先需要改變領導的觀念，以國家規范標準、通知、指南等為契機，從滿足合規性需求出發，結合汽車生產實際業務，分析當前業務風險為主，向高層領導提供決策依據，引起高層領導足夠的重視。……