3.制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证。

解读：工业企业需要自主或委托第三方工控安全服务单位制定工控安全事件应急响应预案。预案应包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容。

4.定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订。

解读：工业企业应定期组织工业控制系统操作、维护、管理等相关人员开展应急响应预案演练，演练形式包括桌面演练、单项演练、综合演练等。必要时，企业应根据实际情况对预案进行修订。

（八）资产安全

1.建设工业控制系统资产清单，明确资产责任人，以及资产使用及处置规则。

解读：工业企业应建设工业控制系统资产清单，包括信息资产、软件资产、硬件资产等。明确资产责任人，建立资产使用及处置规则，定期对资产进行安全巡检，审计资产使用记录，并检查资产运行状态，及时发现风险。

2.对关键主机设备、网络设备、控制组件等进行冗余配置。

解读：工业企业应根据业务需要，针对关键主机设备、网络设备、控制组件等配置冗余电源、冗余设备、冗余网络等。

（九）数据安全

1.对静态存储和动态传输过程中的重要工业数据进行保护，根据风险评估结果对数据信息进行分级分类管理。

解读：工业企业应对静态存储的重要工业数据进行加密存储，设置访问控制功能，对动态传输的重要工业数据进行加密传输，使用VPN等方式进行隔离保护，并根据风险评估结果，建立和完善数据信息的分级分类管理制度。

2.定期备份关键业务数据。

解读：工业企业应对关键业务数据，如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。

3.对测试数据进行保护。

解读：工业企业应对测试数据，包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护，如签订保密协议、回收测试数据等。

（十）供应链管理

1.在选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务商应承担的信息安全责任和义务。

解读：工业企业在选择工业控制系统规划、设计、建设、运维或评估服务商时，应优先考虑有工控安全防护经验的服务商，并核查其提供的工控安全合同、案例、验收报告等证明材料。在合同中应以明文条款的方式约定服务商在服务过程中应当承担的信息安全责任和义务。

2.以保密协议的方式要求服务商做好保密工作，防范敏感信息外泄。

解读：工业企业应与服务商签订保密协议，协议中应约定保密内容、保密时限、违约责任等内容。防范工艺参数、配置文件、设备运行数据、生产数据、控制指令等敏感信息外泄。

（十一）落实责任

通过建立工控安全管理机制、成立信息安全协调小组等方式，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施。

解读：工业企业应建立健全工控安全管理机制，明确工控安全主体责任，成立由企业负责人牵头的，由信息化、生产管理、设备管理等相关部门组成的工业控制系统信息安全协调小组，负责工业控制系统全生命周期的安全防护体系建设和管理，制定工业控制系统安全管理制度，部署工控安全防护措施。

四、贯彻落实

一是面向地方工业和信息化主管部门、中央企业等开展《指南》宣贯，依据《指南》要求组织培训，指导工业企业进一步优化工控安全管理与技术防护手段。

二是选择工业聚集发展城市及地区，设立工控安全防护试点区，组织区内工业企业开展工控安全防护应用试点，遴选优秀试点企业分享工控安全防护经验，总结提炼工业控制系统防护示范案例。

三是将《指南》要求纳入年度工业行业网络安全检查项目，强化责任落实到位，管理、技术落实到位。通过自查、抽查、深度检查等方式促进工业企业深入贯彻并落实《指南》。

地方工信主管部门负责对本地区内的工控安全防护工作进行监督管理，并配合工业和信息化部做好工控安全相关工作。工业企业应按照《指南》各项要求，开展和完善工控安全防护工作，改善自身安全防护能力的同时，为全面提升我国工业信息安全防护水平提供支撑。