نظام فنی و تخصصی حفاظت از زیرساخت های کشور

تاریخ تصویب: ۱۴۰۲/۰۶/۲۸
تاریخ انتشار: ۱۴۰۲/۰۹/۲۵

شماره ۱/۲۹۳۱/ک۱۶۰ – ۱۴۰۲/۸/۲۲

«مسئله پدافند غیرعامل مسئله بسیار مهمی است و هر روزی که می گذرد بر اهمیّت پدافند غیرعامل افزوده می شود، یعنی شیوه‌های تهاجم دشمنان به نحوی است که پدافند در مقابل آنها در قالب پدافند غیرعامل کاملا پیچیده و مهم و علمی و همه جانبه است.»
مقام معظّم رهبری و فرماندهی کل قوا   (مدظلّه العالی)   ـ ۱۳۹۷/۰۸/۰۶

«کارگروه (کمیته) دائمی پدافند غیرعامل کشور به ریاست رئیس ستاد کل نیروهای مسلح بالاترین مرجع تصمیم گیری در حوزه پدافند غیرعامل کشور  است که تصمیمات آن  با ابلاغ رئیس کارگروه   مزبور،  برای همه دستگاه های لشکری، کشوری، بخش دولتی و عمومی غیردولتی لازم الاجراست….»
قانون تشکیل سازمان پدافند غیرعامل کشور   ـ   ۰۶/۱۲/ ۱۴۰۲

به استناد تبصره ۱ قانون تشکیل سازمان پدافند غیرعامل کشور مصوب مجلس شورای اسلامی و ماده ۸ اساسنامه این سازمان – مصوّب مقام معظّم رهبری – هفتاد و هفتمین جلسه کارگروه (کمیته) دائمی پدافند غیرعامل کشور در تاریخ ۱۴۰۲/۶/۲۸ تشکیل گردید و پیشنهاد آن سازمان با موضوع نظام فنی و تخصصی حفاظت از زیرساخت های کشور را بررسی و به شرح زیر تصویب نمود؛

نظام فنی و تخصصی حفاظت از زیرساخت های کشور

مقدمه
پیاده سازی و اجرای دقیق طرح راهبردی حفاظت از زیرساخت های کشور – مصوبه شماره ۲۳۰۱ کمیته دائمی پدافند غیرعامل کشور – در مراحل طراحی، ساخت و بهره برداری از مراکز زیرساختی مستلزم بکارگیری دانش تخصصی و بهره گیری از نظام فنی یکپارچه در موضوع حفاظت از زیرساخت در جهت تضمین تداوم کارکرد و ارتقاء تاب آوری و آمادگی این مراکز در مواجهه با تهدیدات جدید در کشور می باشد. از این رو در اجرای جزء ۲ از بند (ی) ماده ۱۰ این طرح و بمنظور ارتقاء دانش فنی و مهندسی پدافند غیرعامل و همچنین پیاده سازی زیست بوم یکپارچه حفاظت از زیرساخت در سطح ملی، نظام فنی و تخصصی حفاظت از زیرساخت های کشور برای هماهنگی، هم افزایی، وحدت رویه و مشارکتِ ملی کلیه ذی نفعان در حفاظت از زیرساخت ها و شریان های با اهمیت کشور، جهت اجرا ابلاغ می گردد.

ماده ۱ – تعاریف و اختصارات

الف – عمومی

۱) سازمان: سازمان پدافند غیرعامل کشور

۲) کمیته دائمی: کارگروه (کمیته) دائمی پدافند غیرعامل کشور

۳) نظام: مجموعه ای یکپارچه شامل عوامل، اصول، برنامه ها، فرآیندها، اسناد (مقرّرات، ضوابط و دستورالعمل ها) مربوط به پدیدآوری، طراحی، ساخت و بهره برداری مراکز زیرساختی می باشد.

۴) طراحی: مجموعه ای از فرآیندها که الزامات و یا خواسته ها را به ویژگی های مشخص شده یا به مشخصات فنّی تبدیل می کند.

۵) ساخت: طیف گسترده ای از فعالیت های مهندسی که به منظور ایجاد، تغییر و یا بازسازی یک مرکز زیرساختی انجام می شود.

۶) اجرا: انجام فعالیت های مربوط به تامین کالا، عملیات اجرایی و سازماندهی برای بهره برداری از یک مرکز زیرساختی است.

۷) بهره برداری: ورود فعالیت های یک مرکز زیرساختی به مرحله عملیاتی و ارائه خدمات توسط آن بطوریکه به ما اطمینان دهد عملکرد طرح، طبق دستورالعمل تهیه شده به وسیله طراح بوده و اهداف طرح برآورده شده است.

۸) دستگاه نظارت: شخصی است حقیقی یا حقوقی، دارای صلاحیت در حوزه پدافند غیرعامل که برای کنترل و حصول اطمینان از صحّت اجرای یک مرکز طبق اسناد، مدارک، نقشه‌های اجرایی و مشخصات فنّی اقدام می کند.

۹) نظارت عالیه: نظارتی است مستمر همراه با بازدیدهای منظّم برای ارزیابی و کنترل روند پیشرفت کیفی (ارزیابی اثربخشی اقدامات و رعایت نظامات پدافند غیرعامل) و کمّی (فیزیکی، ریالی و زمانی) یک مرکز زیرساختی که توسط سازمان یا نماینده آن با هدف هماهنگی بین کلّیه عوامل دست اندرکار در مراحل طراحی، اجرا و بهره برداری صورت می پذیرد.

۱۰) مشاور پدافند غیرعامل: ظرفیتی حقیقی یا حقوقی که توسط سازمان برای تهیه و یا نظارت بر انجام فرآیند مطالعه، طراحی یا اجرای طرح‌های پدافند غیرعامل احراز صلاحیت شده و در چارچوب اختیارات تعیین شده معرفی می شود. مشاور پدافند غیرعامل، گواهی نامه صلاحیت انجام خدمات مشاوره پدافند غیرعامل خود را در گروه های تخصصی ذی‌ربط از سازمان دریافت می کند.

۱۱) پایان کار پدافند غیرعامل: تأییدیه ای مکتوب حاکی از اتمام عملیات اجرایی طرح حفاظت از زیرساخت با رعایت اصول، الزامات و ملاحظات فنّی پدافند غیرعامل که پس از حصول اطمینان از اجرای تمهیدات و احکام پدافند غیرعامل و تأیید دستگاه نظارت، توسط سازمان صادر می شود.

ب – تخصصی [پاورقی ۱]

تعاریف تخصصی مرتبط با الزامات این نظام برگرفته از اسناد علمی است که برخی از آنها در پیوست های تخصصی ارائه شده است.

۱) حفاظت از زیرساخت [پاورقی ۲]: مجموعه تدابیر و اقدامات پدافند غیرعاملی که توانایی و آمادگی عملیاتی زیرساخت و تداوم کارکرد آن و دستگاه های اجرایی مسئول برای پاسخ مؤثر به حوادث و سوانح ناشی از تهدیدات نظامی، امنیتی و تروریستی، سایبری زیرساختی و تهدیدات از درون دشمن پایه را افزایش می دهد بطوری که فعّالیت آن حفظ گردیده و خسارات انسانی و مادی ناشی از آن را به حداقل می رساند.

Critical Infrastructure Protection (CIP)

۲) نظام فنی حفاظت از زیرساخت [پاورقی ۳]: مجموعه ای از الزامات، معیارها، مقرّرات و ضوابط فنّی و تخصصی پدافند غیرعامل که روابط حاکم بر طراحی، ساخت و بهره برداری از مراکز زیرساختی کشور را تنظیم می کند.

Technical System of Critical Infrastructure Protection (TSOCIP)

۳) مصونیت[پاورقی۴]: سطح مورد انتظار از مصون سازی مراکز زیرساختی با تأکید بر تاب آوری، آسیب ناپذیری و تداوم کارکرد می باشد.

Immunization

۴) مصون سازی: مجموعه اقدامات و تدابیر پدافند غیرعاملی که بکارگیری آنها باعث کاهش عمده آسیب پذیری ها و یا بی اثرسازی تهدیدات بر زیرساخت، جامعه و پیکره کشور، ایجاد پایداری، تاب آوری و دستیابی به امنیت کامل در برابر تهدیدات می شود.

۵) سطح بندی[پاورقی۵]: میزان ارزش و اهمّیت مراکز زیرساختی کشور که از منظر پدافند غیرعامل در سطوح حیاتی، حساس، مهم و قابل حفاظت تقسیم بندی و تعریف می شود.

Classification

۶) درجه بندی[پاورقی۶]: میزان حسّاسیت[پاورقی۷] دارایی های مراکز زیرساختی که به لحاظ کارکرد و اهمّیت آنها از منظر پدافند غیرعامل در طیفی از درجات ۱، ۲، ۳ و ۴ قرار می گیرند.

Ranking

Criticality

۷) زیرساخت[پاورقی۸] به مجموعه ای از مراکز و تأسیسات زیربنایی و شریان های عمده اطلاق می گردد که خدمات و نیازهای ضروری و اساسی کشور را به مردم و سایر مجموعه ها ارائه می کند. زیرساخت بشرح زیر مشتمل بر فرابخش (حوزه)، بخش، زیربخش، دارایی و اجزاء آن می باشد.
• حوزه[پاورقی۹]: هریک از عناصر اصلی شکل گیری زیرساخت ها که مطابق طرح راهبردی حفاظت از زیرساخت های کشور عبارتند از: انرژی، آب، غذا و کشاورزی، حمل و نقل، بهداشت و سلامت، دفاعی و امنیتی، صنعت، رسانه، هسته ای، فضا، جمعیت، حاکمیتی، خدمات ضروری و فوریتی، پولی و مالی، ارتباطات و فناوری اطلاعات.
• بخش[پاورقی۱۰]: آن قسمت از زیرساخت که متناسب با عملکرد و ویژگی های خاص خود در تولید محصولات و یا ارائه خدمات ذیل هریک از حوزه های با اهمیت کشور قابل تعریف و تفکیک است. به طور مثال بخش های برق، نفت و گاز در حوزه انرژی قابل تعریف می باشند.
• زیربخش/مرکز[پاورقی۱۱]: مجموعه ای از دارایی های فیزیکی و غیرفیزیکی هریک از بخش ها در زیرساخت که می توانند متناسب با حسّاسیت و درجه اهمّیت خود به عنوان هدف برای دشمن جذاب باشند. از قبیل؛ بندر، فرودگاه، پالایشگاه و …
• دارایی[پاورقی۱۲]: اجزای فیزیکی و غیرفیزیکی با ارزش مراکز زیرساختی که هرگونه اختلال در عملکرد آنها متناسب با درجه اهمّیت شان بر تولید محصول و ارائه خدمت آن مرکز اثر می گذارد.

Infrastructure

Sector

Sub – Sector (System)

Sub – System

Asset

تذکر – در این نظام تمامی الزامات و ملاحظات فنی ارائه شده لایه زیربخش/مرکز و اجزای آن را شامل می شود.

۸) مکان یابی: انجام اقدامات لازم به منظور انتخاب مکانی مناسب مبتنی بر سطح تهدیدات و آسیب پذیری های مربوطه برای استقرار و احداث مراکز، تأسیسات زیربنایی و شریان های عمده می باشد.

۹) وابستگی[پاورقی۱۳]: خدمت گیری یک طرفه ی یک دارایی از سایر دارایی های یک مرکز زیرساختی را وابستگی می گویند.

Dependency

۱۰) وابستگی متقابل/اندرکنش [پاورقی ۱۴]: عبارت است از ارتباط و وابستگی عملکرد دارایی های یک مرکز زیرساختی به یکدیگر که درصورت اختلال در یکی از آنها احتمال ایجاد اختلال در سایر دارایی های وابسته به آن وجود دارد.

Interdependency

۱۱) درجه وابستگی[پاورقی۱۵]: میزانی از وابستگی مبتنی بر ویژگی های ساختاری یک دارایی در شبکه ارتباطی با سایر دارایی ها که در صورت وقوع تهدید/حادثه در عملکرد آن اختلال ایجاد شود.

Degree of dependency

۱۲) مرکزیت [پاورقی۱۶]: جذّابیت یک دارایی برای پذیرش تهدید براساس میزان ارتباطی که در شبکه با سایر دارایی ها برقرار می کند. مرکزیت می تواند در خصوص مکان قرارگرفتن دارایی (گره[پاورقی۱۷])، نحوه ی پیوند و میزان رابطه آن با سایر دارایی ها در شبکه مطرح گردد.
مرکزیت براساس شاخص های درجه، بینابینی و نزدیکی اندازه گیری می شود.
• درجه مرکزیت[پاورقی۱۸]: مجموع ارتباط یک سویه و دوسویه بدون بعد که یک دارایی در شبکه دارا می باشد.
• مرکزیت بینابینی[پاورقی۱۹]: جایگاه یک دارایی در درون شبکه زیرساختی برحسب توانایی آن برای ایجاد کوتاه ترین مسیر ارتباطی میان سایر دارایی ها در شبکه می باشد.
• نزدیکی مرکزیت[پاورقی۲۰]: کوتاه ترین فاصله میان یک دارایی با سایر دارایی ها در شبکه زیرساختی می باشد.
• گام: فاصله بین دو دارایی در شبکه می باشد.
• مسیر: هر تعداد گام (فاصله) تعریف شده میان دو دارایی در شبکه را مسیر می گویند.
• مسیر مستقیم: کوتاه ترین مسیر ارتباطی بین دو دارایی در شبکه می باشد.

Centrality

Node

Degree centrality

Betweenness centrality

Closeness centrality

۱۳) روابط سیستمی زیرساختی: توسعه مراکز زیرساختی بصورت سیستمی و شبکه ای ناشی از روابط درون و برون سیستمی و تعاملات بین آنها که منجر به ایجاد روابطی تحت شبکه از قبیل هم افزایی، تضاد، ارتباط و وابستگی متقابل می شود.

۱۴) شبکه زیرساختی درهم تنیده[پاورقی۲۱]: مجموعه ای از دارایی های بهم پیوسته یا درهم تنیده در یک شبکه زیرساختی که عملکرد یکپارچه داشته و خدمات گسترده ای را در ارتباط با یکدیگر ارائه می دهند .
• درهم تنیدگی کامل[پاورقی۲۲]: نوعی ارتباط سیستمی به هم پیوسته و مستقیم از یک دارایی به کلیه دارایی های موجود در یک شبکه زیرساختی که به واسطه آن ارائه خدمات و انجام فعالیت بین کلیه دارایی ها صورت گرفته و از ایجاد قطب منحصر به فرد در شبکه جلوگیری می کند.
• درهم تنیدگی بخشی[پاورقی۲۳]: نوعی ارتباط سیستمی به هم پیوسته و مستقیم از یک دارایی به برخی از دارایی های موجود در یک شبکه زیرساختی که به واسطه آن ارائه خدمات و انجام فعّالیت بین تعدادی از دارایی ها صورت گرفته و می تواند باعث ایجاد قطب منحصر به فرد در شبکه گردد.
• قطب[پاورقی۲۴]: یک دارایی که بالاترین ارتباط را با سایر دارایی ها در شبکه دارد. شکل ۱ – انواع شبکه زیرساختی درهم تنیده الف: درهم تنیدگی بخشی
ب: درهم تنیدگی کامل

Mesh network

Full Mesh

Partial Mesh

Hub

۱۵) درجه بیشینه منحصر به فرد: مجموع ارتباط یک سویه و دوسویه بدون بُعد یک دارایی که به عنوان یک رأس در شبکه می تواند با دیگر دارایی های مرکز ایجاد کند.

۱۶) ضریب خوشه بندی[پاورقی۲۵]: نسبت تعداد ارتباطات موجود بین یک دارایی با دارایی های وابسته به آن به تمام ارتباطات ممکن بین دارایی ها می باشد.

Clustering

۱۷) تاب آوری[پاورقی۲۶]: توانایی مقاومت مرکز زیرساختی در مقابل یک تغییر ناخواسته یا رویداد اخلال گر (قابلیت جذب)، تطبیق با شرایط جدید (قابلیت انطباق پذیری) و سرعت بخشیدن به بازیابی پس از اختلال (قابلیت برگشت پذیری) تاب آوری گفته می شود.
• ظرفیت جذب: توانایی یک دارایی برای جذب اثرات ناشی اختلال و به حداقل رساندن پیامدهای آن با کمترین تلاش را ظرفیت جذب می گویند.
• ظرفیت تطبیق پذیری: توانایی یک دارایی برای بهبود و حفظ سطح عملکرد خود (خودسازماندهی) در شرایط حادثه/تهدید را ظرفیت تطبیق پذیری می گویند.
• ظرفیت برگشت پذیری/بازیابی: توانایی یک دارایی برای بازگشت به شرایط عملیاتی اولیه قبل از وقوع حادثه/تهدید و ارتقاء توان تولید/ارائه خدمت به نحوی که از پایداری تدوام کارکرد آن اطمینان حاصل گردد را ظرفیت برگشت پذیری/بازیابی می گویند.

Resiliency

۱۸) درجه تاب آوری: سطوح مختلفی از تاب آوری در مراکز زیرساختی مبتنی بر قابلیت دستیابی به ظرفیت های جذب، تطبیق پذیری و برگشت پذیری را درجه تاب آوری می گویند.

۱۹) تداوم کارکرد: توانایی ادامه تولید محصول یا ارائه خدمت توسط یک مرکز زیرساختی درچارچوب زمانی مورد پذیرش، قابل قبول و درحد ظرفیت از پیش تعیین شده، حین و پس از وقوع تهدید یا حادثه، تداوم کارکرد گفته می شود.

۲۰) خدمات زیرساختی: قابلیت مورد انتظار از کارکرد یک دارایی در مرکز را برای ارائه خدمت یا تولید محصول خدمات زیرساختی می گویند که به سطوح زیر تقسیم بندی می شود:
• خدمات کلیدی: سطح مورد انتظار از ارائه خدمات زیرساختی متناسب با نوع دارایی که در مواجهه با حادثه/تهدید، با بکارگیری امکانات و تسهیلات در دسترس بتواند ضمن حفظ تداوم فعّالیت بدون وقفه خود، قابلیت برگشت پذیری به حالت عملیاتی را در حداقل زمان ممکن (متناسب با مأموریت آن) داشته باشد.
• خدمات ضروری: سطح مورد انتظار از ارائه خدمات زیرساختی متناسب با نوع دارایی که در مواجهه با حادثه/تهدید، ضمن حفظ حداقل سطح تداوم فعّالیت بدون وقفه خود، قابلیت برگشت پذیری به حالت عملیاتی را در مدت زمان معین (متناسب با مأموریت آن) به همراه داشته باشد.
• خدمات لازم: سطح مورد انتظار از ارائه خدمات زیرساختی متناسب با نوع دارایی که در مواجهه با حادثه/تهدید، قابلیت برگشت پذیری به حالت عملیاتی را در زمان قابل قبول (متناسب با مأموریت آن) داشته باشد.

تذکر – زمان برگشت پذیری متناسب با نوع خدمات زیرساختی و براساس حفظ سطح رفاه و امنیت جامعه تعیین می شود.

۲۱) جایگزینی: پیش بینی ظرفیت مشابه تطبیق پذیر برای اجزای یک دارایی (تأسیسات و تجهیزات آن) به نحوی که در صورت آسیب دیدن آنها امکان استفاده از این ظرفیت وجود داشته و فعّالیت های مرکز بی وقفه ادامه یابد.

۲۲) پیامد: نتیجه وقوع تهدید یا حادثه بصورت ایجاد خسارات و صدمات (با شدت صفر تا صد در صد) همراه با اثرات کوتاه مدت، بلندمدت، مستقیم و غیرمستقیم بر اجزای یک دارایی را پیامد می گویند.
• پیامد دومینویی[پاورقی۲۷]: قابلیت تسرّی و انتقال اختلال از یک دارایی به سایر دارایی های وابسته به آن در شبکه در یک فرآیند سری و تکرارپذیر که افزایش شدت خرابی و توقف بخشی از عملکرد را در سایر دارایی های شبکه به همراه دارد.
• پیامد آبشاری[پاورقی۲۸]: قابلیت تسرّی و انتقال اختلال از یک دارایی به سایر دارایی های وابسته به آن در شبکه در یک فرآیند تصاعدی که افزایش وسعت بالای خرابی و توقف کامل عملکرد را در سایر دارایی های شبکه به همراه دارد.
• پیامد سیستمی[پاورقی۲۹]: هریک از پیامدهای دومینویی، آبشاری یا ترکیبی از آن دو را در شبکه زیرساختی، پیامد سیستمی می گویند.

Domino effect

Cascading effect

Systematical effect

۲۳) خطر[پاورقی۳۰]: هر منبع دارای پتانسیل ایجاد خسارت به نیروی انسانی، اموال و دارایی ها را خطر می گویند.

Hazard

۲۴) مخاطره[پاورقی ۳۱]: در معرض خطر قرار گرفتن یک دارایی را مخاطره می گویند. به عبارت دیگر وقتی یک خطر از حالت بالقوّه به حالت بالفعل تبدیل شود، مخاطره رخ می دهد.

Danger

۲۵) ریسک[پاورقی۳۲]: امکان بالقوّه (استعداد) تولید یک نتیجه ناخواسته ناشی از وقوع تهدید یا حادثه، به گونه ای که می توان رتبه آن را برحسب احتمال وقوع و شدّت پیامدهای مرتبط با آن در قالب ریسک قابل قبول، بهینه، نسبی و حداقلی، متناسب با طیف لیکرت[پاورقی۳۳] برآورد نمود.

Risk

Likert Spectrum

۲۶) آسیب پذیری[پاورقی۳۴]: ظرفیت پذیرش خسارات و صدماتی که ناشی از عوامل و پدیده های بالقوه (تهدیدات) یا بالفعل خسارت زا به نیروی انسانی، تجهیزات و تأسیسات در یک دارایی یا شبکه زیرساختی وارد می شود.

Vulnerability

۲۷) تهدیدات درون زا[پاورقی۳۵]: به تهدیداتی اطلاق می گردد که در آن کارکنان یک مرکز زیرساختی یا شبکه های همکار آنها اعم از پیمانکاران و سایرین بصورت فردی یا شبکه ای، با همکاری یا هدایت عوامل بیگانه، از سطح دسترسی مجاز، دانش و اختیارات خود برای آسیب رساندن به آن مرکز استفاده نمایند، این موضوع می تواند شامل خسارت به تأسیسات، سیستم ها، سامانه ها، تجهیزات، کارکردها و فرآیندها (خرابکاری صنعتی) توقف فعّالیت های ضروری و یا اقدامات دیگری (صدمه زدن به مأموریت سازمان و منابع) باشد که مرکز را از ادامه ارائه خدمات خود باز می دارد.

Insider threat

تذکر – در این نظام، الزامات فنّی مرتبط با تهدیدات درون زا صرفاً موضوعات فنّی مرتبط با خرابکاری صنعتی را شامل می شود، سایر موارد مرتبط با این موضوع در سایر اسناد ارائه خواهد شد.

۲۸) آسیب پذیری سایبری: هر نوع ضعف، نقص و عیب موجود در یک دارایی سایبری که قابلیت فعّال شدن تهاجم و یا جنگ سایبری را در قالب پیاده سازی تهدیدات سایبری داشته باشد.

۲۹) هوشمندسازی: بکارگیری ابزارها و روش های فنی و اطلاعاتی (هرگونه ارتباط بین افراد، فرآیند ها و سیستم ها) جهت تسهیل فعّالیت ها، حصول اطمینان از عملکرد صحیح و شتاب بخشیدن به اجرای دقیق، تجزیه و تحلیل و پیش بینی عمیق عملکردهای زیرساختی و بهره برداری حداکثری از خدمات حوزه فناوری اطلاعات در تبدیل دارایی های غیرهوشمند به هوشمند را هوشمندسازی می گویند.

۳۰) آمادگی: مجموعه تدابیر و اقداماتی است که ظرفیت زیرساخت و دستگاه های اجرایی مسئول را برای پاسخ موثّر به حوادث و سوانح ناشی از تهدیدات پایه زیرساختی افزایش می دهد بطوری که خسارات انسانی و مادی ناشی از آن را به حداقل می رساند.

ماده ۲ – اسناد بالادستی

۱) سیاست های کلّی نظام در موضوع پدافند غیرعامل

۲) قانون تشکیل سازمان پدافند غیرعامل کشور

۳) اساسنامه سازمان پدافند غیرعامل کشور

۴) بند ۲۴ سیاست های کلّی برنامه پنج ساله هفتم توسعه جمهوری اسلامی ایران

۵) بند پ ماده ۱۰۶ و ماده ۱۰۹ برنامه پنج ساله ششم توسعه جمهوری اسلامی ایران

۶) ماده ۵۸ قانون احکام دائمی برنامه های توسعه کشور

۷) ماده ۲۳ قانون الحاق برخی مواد مقرّرات مالی دولت

۸) آیین‌نامه اجرایی ماده ۳۴ قانون احکام دائمی برنامه های توسعه کشور (نظام فنی و اجرایی یکپارچه کشور) مصوّب ۱۴۰۰/۰۲/۰۵

۹) طرح راهبردی حفاظت از زیرساخت های کشور – مصوبه شماره۲۳۰۱ مورخ ۱۴۰۱/۰۷/۲۰ کمیته دائمی

ماده ۳ – هدف
ایجاد نظامی مدوّن و یکپارچه شامل الزامات، ضوابط و مقرّرات به منظور اجرا و پیاده سازی طرح راهبردی حفاظت از زیرساخت های کشور، در سطوح فنّی و تخصصی برای دستیابی به اهداف زیر:
۱ – تعیین معیارها و شاخص های فنّی و تخصصی برای اجرای طرح حفاظت از زیرساخت در کشور
۲ – استانداردسازی فرآیند تهیه و تدوین مطالعات طرح‌های پدافند غیرعامل مراکز زیرساختی در کشور
۳ – تدقیق و تسهیل روابط و تعاملات میان سازمان و دستگاه های متولّی راهبری زیرساخت های با اهمیت کشور

ماده ۴ – قلمرو اجرا
مراکز زیرساختی با اهمیت کشور در مراحل پیدایش، مطالعه، طراحی، اجرا و بهره برداری در دستگاه های اجرایی (موضوع ماده ۵ قانون مدیریت خدمات کشوری) و سازمان های نیروهای مسلح و مراکز زیرساختی با اهمیت کشور در بخش خصوصی

ماده ۵ – ساختارهای اجرایی

الف) سطح راهبردی و سیاست گذاری
به منظور هدایت، سیاست گذاری، برنامه‌ریزی و ایجاد هم گرایی، هم افزایی، مدیریت هماهنگ و رفع تعارض در راهبری و اجرای الزامات حفاظت از زیرساخت در حوزه های کلیدی کشور «شورای هماهنگی حفاظت از زیرساخت» با عضویت اشخاص زیر تشکیل می شود:
• سازمان پدافند غیرعامل کشور (رئیس شورا)
• وزارتخانه های نیرو، نفت، ارتباطات و فناوری اطلاعات، کشور، بهداشت، درمان و آموزش پزشکی، جهاد کشاورزی، دفاع و پشتیبانی ن.م، راه و شهرسازی و اطلاعات (سازمان حراست کل کشور)
• سازمان برنامه و بودجه کشور
• سپاه پاسداران انقلاب اسلامی
• فرماندهی انتظامی جمهوری اسلامی ایران
• معاونت طرح ریزی و نظارت فنی سازمان (دبیر شورا)
• و سایر دستگاه های اجرایی ذی‌ربط بنا به موضوع
وظایف شورای هماهنگی حفاظت از زیرساخت عبارت است از:
• تعیین خط مشی ها، سیاست ها و برنامه های کلان و مشترک در موضوع حفاظت از زیرساخت ها
• راهبری پیاده سازی طرح راهبردی حفاظت از زیرساخت ها در کشور
• هماهنگ سازی و هم افزایی بین دستگاهی در راستای ارتقاء تاب آوری ملّی
• ایجاد هماهنگی و مشارکت موثّر در دستگاه های متولّی حوزه های با اهمیت در اجرای طرح‌های مشترک حفاظت از زیرساخت و رفع تعارض فیمابین
• اشتراک اطلاعاتی و تعیین اولویت تهدیدات زیرساختی در حوزه های با اهمّیت در کشور
• واپایش و نظارت بر وضعیت آمادگی و ارتقاء آن در زیرساخت های کشور
• اولویت بندی و پیش بینی تأمین منابع مالی برای طرح‌های حفاظت از زیرساخت در کشور

تبصره – شورای هماهنگی حفاظت از زیرساخت در سطح معاونین روسای دستگاه های اجرایی (معاون وزیر) برگزار می گردد.

ب) سطح عملیاتی
به منظور ارتقاء تاب آوری، ایجاد هم افزایی عملیاتی و مدیریت پیامد ناشی از حادثه/تهدید در جهت مصونیت و حصول اطمینان از اجرای الزامات حفاظت از زیرساخت در مراکز زیرساختی «مرکز مدیریت و هماهنگی عملیاتی زیرساخت» با عضویت اشخاص زیر تشکیل می شود:
• سازمان پدافند غیرعامل کشور (رئیس مرکز)
• وزارتخانه های نیرو، نفت، ارتباطات و فناوری اطلاعات، کشور، بهداشت، درمان و آموزش پزشکی، جهاد کشاورزی، دفاع و پشتیبانی ن.م، راه و شهرسازی و اطلاعات (سازمان حراست کل کشور)
• سپاه پاسداران انقلاب اسلامی
• فرماندهی انتظامی جمهوری اسلامی ایران
• معاونت اطلاعات و عملیات سازمان (دبیر مرکز)
• مرکز فرماندهی و کنترل سازمان
• قرارگاه ذی‌ربط پدافند غیرعامل کشور متناسب با موضوع
• و نماینده حراست سایر دستگاه های اجرایی ذی‌ربط بنا به موضوع
وظایف مرکز مدیریت و هماهنگی عملیاتی زیرساخت عبارت است از:
• رصد، پایش، تشخیص، هشدار و برآورد تهدیدات و مخاطرات در مراکز زیرساختی با اهمّیت کشور
• سازماندهی سامانه فرماندهی و کنترل حوزه عملیاتی حفاظت از زیرساخت
• هدایت، راهبری و نظارت بر طرح ریزی، آموزش، تمرین، رزمایش و آمادگی ملّی
• راهبری و نظارت بر مصون سازی مراکز زیرساختی با اهمّیت کشور
• مدیریت، کاهش و کنترل پیامدهای ناشی از تهدیدات در مراکز زیرساختی با اهمّیت کشور
• طرح ریزی، هدایت و راهبری اجرای عملیات مقابله و پاسخ در شرایط اضطراری
• اشتراک اطلاعاتی در خصوص تهدیدات و مخاطرات و آسیب پذیری های زیرساختی بین دستگاه ها

تبصره ۱ – این مرکز در دستگاه های دارای مراکز زیرساختی با اهمیت و در استان ها و شهرها، سازماندهی، تشکیل و راهبری گردیده و با مرکز مدیریت و هماهنگی عملیاتی زیرساخت در سازمان ارتباط برقرار می کند.

تبصره ۲ – مرکز فرماندهی و کنترل سازمان برابر شرح وظایف مشخص در مصوبه شماره ۸۰۴ کمیته دائمی اقدام می کند.

تبصره ۳ – مدیرکل پدافند غیرعامل دستگاه های فوق، موظف به شرکت در جلسات مرکز مدیریت و هماهنگی عملیاتی زیرساخت می باشند.

ج) سطح فنّی
به منظور تدوین، تصویب، روزآمدسازی، بررسی، ارزیابی و نظارت بر اعمال مقرّرات و ضوابط فنّی مرتبط با موضوع حفاظت از زیرساخت ، «مرکز تنظیم مقرّرات حفاظت از زیرساخت» با عضویت اشخاص زیر تشکیل می شود:
• رئیس سازمان پدافند غیرعامل (رئیس مرکز)
• رئیس دفتر مقرّرات ملی ساختمان وزارت راه و شهرسازی
• معاون فنی/رئیس امور نظام فنی و اجرایی، مشاورین و پیمانکاران سازمان برنامه و بودجه کشور
• معاون تدوین و ترویج استاندارد سازمان ملّی استاندارد کشور
• رییس مؤسسه استاندارد دفاعی و صنعتی وزارت دفاع
• رئیس مجتمع پدافند غیرعامل دانشگاه صنعتی مالک اشتر
• رئیس دانشکده پدافند غیرعامل دانشگاه جامع امام حسین (ع)
• دو نفر از اعضای هیئت علمی مرتبط با موضوع با انتصاب توسط رئیس سازمان
• معاون فنی دستگاه های اجرایی ذی‌ربط بنا به موضوع
• معاون طرح ریزی و نظارت فنی سازمان (دبیر مرکز)
• معاون آموزش و پژوهش سازمان
• رئیس مرکز مطالعات و تدوین آیین‌نامه های فنی مهندسی سازمان
وظایف مرکز مدیریت و هماهنگی عملیاتی زیرساخت عبارت است از:
• تدوین، تولید و به روزرسانی محتوای فنی مقرّرات، الزامات، ضوابط و استانداردهای حفاظت از زیرساخت
• تعیین شاخص ها، معیارها، الزامات و ملاحظات فنّی تخصصی حفاظت از زیرساخت
• تدوین دستورالعمل ها و بازبینه های ارزیابی تخصصی حفاظت از زیرساخت
• بررسی، ارزیابی و اصلاح مقرّرات، اصول، ضوابط و استانداردهای فنی حفاظت از زیرساخت
• تصویب و ابلاغ مقررات، اصول، ضوابط و استانداردهای فنی حفاظت از زیرساخت و نظارت بر اجرای آن
• تشکیل کارگروه های فنّی حفاظت از زیرساخت در حوزه های تخصصی
• پشتیبانی فنّی تخصصی از شورای هماهنگی حفاظت از زیرساخت
• ایجاد وحدت رویه در تدوین، ارزیابی و تصویب ضوابط فنّی حفاظت از زیرساخت در کشور

تبصره – مصوبات مرکز تنظیم مقررات حفاظت از زیرساخت، توسط رئیس سازمان ابلاغ می شود.

ماده ۶ – فرآیند اقدامات حفاظت از زیرساخت
این بخش به تبیین فرآیند اقدامات حفاظت از زیرساخت در قالب گام های زیر؛ شامل انجام مطالعات، تجزیه و تحلیل و ارائه راهکارها، تدوین طرح‌های عملیاتی، اجرا و نظارت بر پیاده سازی آنها در طرح‌های توسعه ای مراکز زیرساختی جدید و در حال بهره برداری می پردازد؛ به همین منظور برای انجام خدمات مطالعه و طراحی توسط مهندسین مشاور ذیصلاح با رویکرد حفاظت از زیرساخت، رئوس اقدامات و مراحل اجرایی این موضوع در قالب اقدامات زیرساختی (گام اول و دوم) و عملیاتی (گام سوم) بشرح زیر پیش بینی شده است. لازم به ذکر است در کلیه مراحل، فرایند انجام خدمات تا تدوین جزئیات و نقشه‌های اجرایی ادامه خواهد داشت.

گام اول – انجام مطالعات حفاظت از مراکز زیرساختی

مرحله ۱) مطالعات توجیهی و مکان یابی
۱ – گردآوری اطلاعات، شناخت اجزا و ابعاد طرح
۲ – بررسی، مطالعه و انتخاب مقیاس طرح
۳ – ارزیابی و سطح بندی مرکز
۴ – بررسی گزینه های مکان یابی
۵ – بررسی سناریوهای تهدید دشمن در هر گزینه
۶ – بررسی آسیب پذیری گزینه ها در برابر تهدیدات با احتمال بیشتر
۷ – آنالیز ریسک و مقایسه گزینه ها از دیدگاه پدافند غیرعامل
۸ – پیشنهاد گزینه برتر طرح

مرحله ۲) ارزیابی دارایی ها
۱ – شناسایی ماهیت دارایی (فیزیکی، انسانی، سایبری، معنوی و ترکیبی)
۲ – شناسایی کارکرد دارایی
۳ – شناسایی و تعیین نوع و درجه وابستگی و وابستگی متقابل دارایی
۴ – شناسایی مخاطرات دارایی (براساس سطح و شدت خطرزایی)
۵ – شناسایی هوشمندی دارایی
۶ – شناسایی سلّولی و سیستمی بودن دارایی
۷ – تعیین درجه حسّاسیت دارایی

مرحله ۳) ارزیابی و برآورد تهدیدات
۱ – بررسی و توصیف تهدیدات
۲ – برآورد تهدیدات
۳ – برآورد جذابیت هدف از منظر دشمن
۴ – غربال گری، تجزیه و تحلیل تهدیدات
۵ – تعیین تهدیدات پایه و مبنا
۶ – تعیین سناریوی پایه تهدید
۷ – شناسایی و انتخاب سلاح معیار تهدید

مرحله ۴) برآورد و ارزیابی آسیب پذیری ها
۱ – بررسی و تعیین نوع و سطح آسیب پذیری ها
۲ – بررسی و تعیین اندرکنش تهدید و آسیب پذیری
۳ – تجزیه و تحلیل آسیب پذیری
۴ – تعیین آسیب پذیری پایه (تعیین درجه آسیب محتمل)
۵ – تعیین آستانه آسیب پذیری قابل پذیرش

مرحله ۵) بررسی و ارزیابی پیامدها
۱ – تعریف و دسته بندی پیامدهای اوّلیه، ثانویه، … و نهایی
۲ – بررسی و مطالعه نوع تخریب (آبشاری، دومینویی، سلّولی)
۳ – برآورد شدّت، وسعت و مانایی پیامد
۴ – ارزیابی شدّت، وسعت پیامد
۵ – اقدامات کنترل، مدیریت و کاهش پیامدها

مرحله ۶) بررسی، ارزیابی و مدیریت ریسک
۱ – شناسایی و ارزیابی مخاطرات
۲ – تعیین شدّت مخاطرات
۳ – برآورد و تحلیل میزان، نوع و محل ریسک
۴ – تعریف ریسک قابل قبول و راهکارهای کاهش آن

گام دوم – تجزیه و تحلیل و ارائه راهکارها در طرح‌های توسعه ای مراکز جدید ضرورت دارد پس از ارائه راهکارها، جزئیات تهیه شده در نقشه‌های اجرایی قرار گیرد و در مراکز در دست بهره برداری پس از ارائه راهکارها، جزئیات مربوطه اجرا و پیاده سازی می شوند.

گام سوم – تدوین طرح، اجرا و نظارت

مرحله ۱) تهیه و تدوین طرح‌های عملیاتی
۱ – طرح پاسخ اضطراری به حوادث و تهدیدات
۲ – طرح تضمین و تسهیل تداوم کارکردهای اساسی و بازیابی
۳ – طرح ارتقاء تاب آوری
۴ – طرح کاهش آسیب پذیری
۵ – طرح بهینه سازی وابستگی و وابستگی متقابل
۶ – طرح ارزیابی و ارتقاء آمادگی های زیرساختی

مرحله ۲) اجرا و پیاده سازی
۱ – اجرا و پیاده سازی طرح‌های عملیاتی
۲ – بازخوردگیری، اصلاح نواقص و اشکالات و به روزرسانی طرح‌ها

مرحله ۳) نظارت بر اجرا
۱ – اجرای نظارت
۲ – احصاء اشکالات و ایرادات اجرایی
۳ – ارائه گزارش

مرحله ۴) به روزرسانی و ارزیابی مجدد اقدامات
۱ – بررسی و برآورد به روز تهدیدات
۲ – بررسی اندرکنش تهدیدات روزآمد شده و اقدامات لازم
۳ – احصاء نواقص، اشکالات و آسیب پذیری های طرح نسبت به تهدیدات
۴ – تهیه و اجرای راهکارهای اصلاحی

تبصره ۱ – فرایند نظارت در مراحل مطالعه، طراحی، ساخت و بهره برداری براساس «نظام نظارت بر طرح‌های حفاظت از زیرساخت» توسط مشاوران حقوقی/حقیقی صلاحیت دار پدافند غیرعامل انجام می شود.

تبصره ۲ – در کلیه مراکز زیرساختی ضرورت دارد طرح‌های پدافندی درخصوص حفاظت از مردم، حفاظت فیزیکی مرکز و نیروی انسانی ارائه و پیاده سازی شود.

تبصره ۳ – پس از تولید و ابلاغ استانداردهای پدافند غیرعامل متناسب با الزامات تخصصی حفاظت از زیرساخت دستگاه های اجرایی موظف به پیاده سازی آنها در مراکز زیرساختی و اخذ گواهی استاندارد پدافند غیرعامل می باشند.

ماده ۷ – تهیه و تدوین طرح‌های عملیاتی
در جهت مصون سازی، افزایش آمادگی، ارتقاء تاب آوری و اَمن سازی مراکز زیرساخت های با اهمّیت کشور، گام های اجرایی در تهیه و تدوین هر یک از طرح‌های جامع عملیاتی پدافندی بشرح زیر می باشد:

۱) طرح پاسخ اضطراری به حوادث و تهدیدات زیرساختی
۱ – تعیین سطح شرایط اضطراری/بحران متناسب با نوع تهدید/حادثه
۲ – بررسی و برآورد سطح خسارت وارده (به مردم، نیروی انسانی، تجهیزات، تأسیسات و سایر)
۳ – بکارگیری ظرفیت های پیش بینی شده برای مقابله با تهدید/حادثه (مدیریت شرایط اضطراری)
۴ – سازماندهی و بکارگیری تیم های عملیاتی ارزیابی امنیتی، امن سازی اضطراری و پاسخ به رخدادهای سایبری
۵ – بازیابی اولیه و حفظ سطح خدمات متناسب با سطح بندی مرکز
۶ – مستندسازی و ارائه گزارش ها
۷ – اجرای آموزش های دوره ای برای نیروی انسانی مرکز
۸ – طرح ریزی رزمایش پاسخ به شرایط اضطراری در مرکز
۹ – به روز رسانی طرح

۲) طرح تضمین و تسهیل تداوم کارکردهای اساسی و بازیابی
۱ – شناسایی مرکز زیرساختی و تعیین عملکردهای کلیدی آن
۲ – تعیین سطح تهدیدات و آسیب پذیری ها
۳ – برآورد سطح ریسک
۴ – تنظیم برنامه تداوم کارکردهای اساسی متناسب با میزان تقاضا و نیازها ، ظرفیت و توان زیرساخت های جایگزین، امکان بازیابی، تعیین حداقل سطح کارکرد، راهکارهای کنترل کننده چالش ها، مدیریت وکاهش پیامدها و حداکثر مدت زمان اختلال زنجیره ناشی از حادثه/تهدید
۵ – تدوین ساختار، تعیین وظایف، پیش بینی و تأمین تجهیزات لازم
۶ – اجرای آموزش دوره ای طرح برای نیروی انسانی مرکز
۷ – پیاده سازی و اجرای طرح
۸ – طرح ریزی رزمایش تداوم کارکرد و بازیابی در مرکز
۹ – انجام فرآیند بازیابی زنجیره در حین حادثه/تهدید
۱۰ – اجرای فرآیند به روزرسانی و اصلاح برنامه تداوم کارکرد و بازیابی پس از وقوع تهدید یا حادثه

۳) طرح ارتقاء تاب آوری
۱ – شناسایی و ارزیابی تهدیدات و تعیین تهدید مبنا
۲ – پیش بینی ظرفیت های لازم برای ایجاد و ارتقاء آمادگی در برابر تهدید/حادثه
۳ – بررسی و ارزیابی میزان قابلیت جذب تنش ناشی از تهدید/حادثه (میزان مقاومت مرکز)
۴ – بررسی و ارزیابی ظرفیت های بازیابی و بازتوانی مرکز
۵ – بررسی و ارزیابی میزان اثرپذیری عملکرد مرکز ناشی از تهدید/حادثه
۶ – بررسی و ارزیابی قابلیت های تطبیق پذیری وضع موجود با شرایط اولیه عملکردی مرکز
۷ – ارائه راهکارهای لازم برای ارتقاء تاب آوری مرکز زیرساختی
۸ – به روز رسانی طرح

۴) طرح کاهش آسیب پذیری
۱ – بررسی و تعیین نوع و سطح آسیب پذیری ها
۲ – تعیین نوع تهدیدات مبتنی بر آسیب پذیری های موجود
۳ – بررسی و تعیین اندرکنش تهدید و آسیب پذیری
۴ – تجزیه و تحلیل آسیب پذیری
۵ – تعیین آسیب پذیری پایه (تعیین درجه آسیب محتمل)
۶ – تعیین آستانه آسیب پذیری قابل پذیرش
۷ – تولید سناریو و برنامه‌ریزی کاهش تأثیرپذیری
۸ – نظارت و کنترل بر کاهش آسیب پذیری
۹ – مستندسازی آسیب پذیری ها
۱۰ – ارزیابی، بازخورد و به روز رسانی طرح

۵) طرح بهینه سازی وابستگی و وابستگی های متقابل
۱ – بررسی ویژگی های وابستگی و تعیین نوع آن (درونی و بیرونی)
۲ – دسته بندی وابستگی ها (فیزیکی، جغرافیایی، سایبری و منطقی)
۳ – تعیین و بررسی درجه وابستگی دارایی ها و تاثیر آن بر عملکرد مرکز
۴ – بررسی پیامدهای ناشی از وابستگی و تعیین نوع تخریب
۵ – ارائه راهکار بهینه سازی وابستگی مبتنی بر نوع ارتباطات (درونی و بیرونی)
۶ – به روز رسانی طرح

۶) طرح ارزیابی و ارتقاء آمادگی های زیرساختی
۱ – تهیه و تصویب طرح رزمایش
۲ – سازماندهی ساختارها، ظرفیت ها، نیروی انسانی و تقسیم کار لازم برابر طرح مصوب شده
۳ – تأمین تجهیزات طرح رزمایش
۴ – آموزش عمومی و تخصصی نیروهای رزمایش
۵ – تمرین و مهارت افزایی
۶ – اجرای رزمایش
۷ – ارزیابی، بازخورد و اصلاح طرح

۷) طرح حفاظت از مردم و نیروی انسانی در مراکز زیرساختی

الف – حفاظت از مردم
۱ – تعیین محدوده ایمنی برای استقرار مراکز سکونتگاهی در اطراف مراکز
۲ – اعلام فوری و هشدار وضعیت اضطراری به مراجع ذیربط پس از وقوع حادثه/تهدید
۳ – حفظ حداکثری آرامش و ایجاد امنیت با به کارگیری ظرفیت های انتظامی در زمان وقوع تهدید/حادثه
۴ – آموزش عمومی به مردم برای پیشگیری از شدت حادثه/تهدید با همکاری دستگاه های ذیربط
۵ – برگزاری رزمایش های سالانه
۶ – ارزیابی اثربخشی اقدامات حفاظت از مردم و به روزرسانی طرح

تبصره – تمام مراکز زیرساختی موظفند مبتنی بر شدّت و سطح پیامدهای احتمالی ناشی از وقوع تهدید یا حادثه در آنها، حریم ایمنی، امنیتی و حفاظتی برای استقرار مراکز سکونتگاهی در مجاورت خود را مشخص و پس از تأیید سازمان به ذی نفعان اطلاع رسانی نمایند.

ب – حفاظت از نیروی انسانی در مرکز
۱ – شناسایی و ارزیابی نیروی انسانی موجود (کارکنان، مراجعین، پیمانکاران) در مرکز
۲ – شناسایی ریسک متوجه نیروی انسانی متناسب با نوع شغل و محل فعّالیت آنها
۳ – پیش بینی و طراحی ظرفیت های لازم در مرکز جهت حفاظت از نیروی انسانی (نقاط امن، پناهگاه، اسکان اضطراری و مانند آن) متناسب با جانمایی تأسیسات و تجهیزات پرخطر در سایت مرکز
۴ – پیش بینی و تأمین امکانات و تجهیزات حفاظت از نیروی انسانی در شرایط تهدید/حادثه
۵ – پیش بینی تضمین جبران خسارت (بیمه عمر، بیمه حوادث، بیمه مسئولیت و سایر) در صورت وقوع حادثه/تهدید
۶ – آموزش و تمرین طرح تهیه شده و برگزاری رزمایش های سالانه
۷ – ارزیابی اثربخشی اقدامات حفاظت از نیروی انسانی و به روزرسانی طرح

۸) طرح حفاظت فیزیکی مراکز زیرساختی
۱ – شناسایی دارایی های مرکز
۲ – ارزیابی و درجه بندی دارایی ها
۳ – تعیین نقاط کلیدی و گره های اصلی در فرآیند و تعیین جذابیت هدف
۴ – حیطه بندی امنیتی و تعیین محدوده‌های مجاز دسترسی متناسب با درجه اهمیت دارایی ها
۵ – پیش بینی و بکارگیری تجهیزات و سامانه های حفاظت فیزیکی متناسب با ارزش دارایی با لایه های انسانی، مهندسی، مکانیکی و سایبری هوشمند
۶ – ارزیابی اثربخشی اقدامات حفاظتی و به روزرسانی طرح

تذکر۱ – در تهیه طرح‌های عملیاتی مراکز زیرساختی رعایت الزامات عمومی مندرج در دستورالعمل شماره ۰۱۰۲ – ث مهرماه ۱۴۰۲ سازمان، مورد تاکید است.

تذکر۲ – دستگاه های اجرایی در تهیه طرح‌های عملیاتی، رؤس گام های فوق را مدنظر قرار داده و متناسب با مأموریت هریک از مراکز زیرساختی، درصورت لزوم، آنها را تکمیل کنند.

تذکر۳ – دستگاه های متولی راهبری مراکز حیاتی و حساس موظفند طرح‌های عملیاتی مراکز خود را هر ۴ سال یکبار مبتنی بر روند تهدیدات آتی با هماهنگی سازمان به روز رسانی کنند.

ماده ۸ – تهیه و تدوین طرح‌های جامع حفاظت از زیرساخت

الف – طرح جامع موضوعی[پاورقی۳۶]
به منظور دستیابی به پایداری و تاب آوری ملّی و همچنین خدمات رسانی بی وقفه به مردم، ضرورت دارد در سطح راهبردی طرح‌های جامع موضوعی در حوزه های با اهمّیت کشور از منظر پدافند غیرعامل مورد توجّه و مطالعه قرار گیرند؛ گام های اجرایی در تهیه و تدوین این طرح‌ها بشرح زیر است:

Sector Specific Plan (SSP)

۱) شناخت و ارزیابی
۱ – شناخت کلی از موضوع و دامنه تأثیر آن
۲ – شناخت مأموریت، سیاست ها، الزامات و ملاحظات پدافند غیرعامل در موضوع موردنظر
۳ – گردآوری و بررسی اسناد (سیاست های کلان، برنامه های توسعه ای، اسناد راهبردی داخلی و خارجی، سند چشم انداز، معاهدات و قوانین بین المللی و سایر) فرادستی و فرودستی مرتبط با موضوع
۴ بررسی مطالعات موجود مرتبط (داخلی و خارجی)
۵ – مطالعات تکمیلی با هدف تبیین اهداف و انتظارات پدافند غیرعامل در موضوع موردنظر

تذکر – قبل از ورود به مرحله بعد لازم است مشاور نتیجه مرحله شناخت و ارزیابی را ارائه و نظر سازمان را دریافت کند.

۲) محیط شناسی
۱ – شناخت و ارزیابی تهدیدات و آسیب
پذیری های ملّی (در موضوع مورد نظر)
۲ – بررسی چالش های اساسی کشور (در موضوع مورد نظر)
۳ – بررسی پیشران های اساسی کشور (در موضوع مورد نظر)

۳) تدوین راهبردها
۱ – ارائه اهداف کلان و چشم انداز ملی (در موضوع مورد نظر)
۲ – ارائه سیاست ها، راهبردها و برنامه های کلان موضوعی
۳ – ارائه نقشه راه پدافند غیرعامل (در موضوع مورد نظر)
۴ – الزامات تحقّق و زمان بندی دستیابی به اهداف

ب – طرح جامع بخشی
طرح‌های جامع بخشی یکی از انواع طرح‌های موضوعی حفاظت از زیرساخت است که در سطح عملیاتی متناسب با مأموریت دستگاه های اجرایی کشور ذیل هر یک از حوزه های با اهمّیت تهیه می شوند؛ گام های اجرایی در تهیه و تدوین این طرح‌ها بشرح زیر می باشد:

۱) محیط شناسی
۱ – بررسی گروداران و ذینفعان بخش (در ارتباط با سایر بخش های وابسته به آن)
۲ – شناخت مراکز و دارائی های با اهمیت بخش (دسته بندی و سطح بندی)
۳ – شناخت و ارزیابی تهدیدات مؤثر بر عملکرد بخش (دسته بندی و تعیین تهدید مبنا)
۴ – شناخت و ارزیابی آسیب پذیری های بخش (ذاتی، سیستمی و سایر) و تعیین میزان وابستگی و اندرکنش با سایر بخش ها
۵ – شناخت، دسته بندی و ارزیابی پیامدها (پیامدهای احتمالی اختلال در عملکرد بخش)
۶ – بررسی و شناسایی ریسک های بخشی
۷ – مدیریت ریسک و راهکارهای آن

۲) تدوین راهبردهای بخشی
۱ – ارائه اهداف کلان و چشم انداز حاکم بر بخش
۲ – ارائه سیاست ها، راهبردها و برنامه های کلان بخشی در راستای برنامه توسعه کشور
۳ – بررسی و ارزیابی اثربخشی اقدامات

۳) ارائه الگوی بومی پدافند غیرعامل بخش
۱ – ارائه طرح‌های عملیاتی مرتبط با بخش
۲ – اولویت های تحقیق و توسعه بخشی

تذکر۱ – دستگاه های اجرایی در تهیه طرح‌های جامع موضوعی و بخشی، رؤس گام های فوق را مدنظر قرار داده و درصورت لزوم، آنها را تکمیل کنند.

تذکر۲ – طرح‌های جامع موضوعی و بخشی متناسب با برنامه های پنج ساله توسعه کشور، هر ۵ سال یکبار مبتنی بر روند تهدیدات آتی با هماهنگی سازمان به روز رسانی می شوند.

ماده ۹ – الزامات فنّی
به منظور اثربخشی اقدامات، مشارکت ذینفعان و هم افزایی بخش های فنّی در تهیه طرح‌های حفاظت از زیرساخت و ارتقاء سطح کیفی خدمات پدافند غیرعامل و همچنین تدوین معیارها و شاخص های ارزیابی فنّی برای طرح‌های زیرساختی در کشور، دستگاه های متولّی مراکز زیرساختی با اهمّیت موظّفند الزامات فنّی زیر را در مراحل طراحی، اجرا و بهره برداری از دارایی های مراکز خود پیاده سازی و اجرا نمایند.

۱)درجه بندی دارایی
برای درجه بندی دارایی های مراکز زیرساختی ضرورت دارد متناسب با ویژگی های خاص هر مرکز و اهمّیت آن، مؤلفه های ماهیت، هوشمندی، کارکرد، وابستگی، سیستمی یا غیرسیستمی بودن و خطرزایی نیز مدنظر قرار گیرند. برای درک بهتر از مفهوم درجه بندی دارایی برای هریک از مراکز زیرساختی، راهنمای درجه بندی دارایی ها توسط سازمان تهیه و ابلاغ می گردد.

۲) وابستگی متقابل
الزام ۱ – مراکز زیرساختی حیاتی با سطح بدون پیامد سیستمی از وابستگی متقابل و تأکید بر حذف حداکثری درجه بیشینه منحصربفرد (حذف حداکثری قطب منحصربفرد) حذف هرگونه وابستگی براساس مرکزیت مسیرهای مستقیم و افزایش ۸۵ درصدی به بالای سطح خوشه بندی در دارایی های اصلی (درجه ۱ و ۲) طراحی و اجرا شود.
الزام ۲ – مراکز زیرساختی حساس با سطح بسیار محدود پیامد سیستمی از وابستگی متقابل و تأکید بر حذف حداکثری درجه بیشینه منحصربفرد (حذف حداکثری قطب منحصربفرد) حذف حداکثری وابستگی براساس مرکزیت مسیرهای مستقیم و افزایش ۶۰ درصدی به بالای سطح خوشه بندی در دارایی های اصلی، طراحی و اجرا گردد.
الزام ۳ – مراکز زیرساختی مهم با سطح بهینه پیامد سیستمی از وابستگی متقابل و تأکید بر حذف بهینه درجه بیشینه منحصر بفرد (حذف بهینه قطب منحصربفرد)، حذف بهینه وابستگی براساس مرکزیت مسیرهای مستقیم و افزایش ۴۵ درصدی به بالای سطح خوشه بندی در دارایی های اصلی، طراحی و اجرا گردد.
الزام ۴ – مراکز زیرساختی قابل حفاظت می بایست با سطح قابل قبول پیامد سیستمی از وابستگی متقابل و تأکید بر حذف حداقلی درجه بیشینه منحصربفرد (حذف حداقلی قطب منحصربفرد) نگهداشت قابل قبول وابستگی براساس مرکزیت مسیرهای مستقیم و نگهداشت حداقل ۲۰ درصدی سطح خوشه بندی در دارایی های اصلی، طراحی و اجرا گردد.

مرکز درجه بیشینه منحصر بفرد مرکزیت مسیرهای مستقیم خوشه بندی سطح پیامد سیستمی
حیاتی حذف حداکثری حذف هرگونه وابستگی حداقل ۸۵ درصد بدون پیامد
حساس حذف حداکثری حذف حداکثری وابستگی حداقل ۶۰ درصد بسیار محدود
مهم حذف بهینه حذف بهینه وابستگی حداقل ۴۵ درصد بهینه
قابل حفاظت حذف حداقلی نگهداشت قابل قبول وابستگی نگهداشت حداقل ۲۰ درصد قابل قبول

۳) سیستمی و شبکه ای
روابط سیستمی و شبکه ای در مراکز زیرساختی متناسب با سطح اهمّیت آنها باید به نحوی طراحی گردد که:
الزام ۱ – مراکز زیرساختی حیاتی از درجه وابستگی حداقلی با نوع ارتباط سیستمی درهم تنیده کامل و قابلیت مورد انتظار کارکرد در ارائه خدمات کلیدی به صورت پایدار و مستمر برخوردار باشند.
الزام ۲ – مراکز زیرساختی حساس از درجه وابستگی حداقلی با نوع ارتباط سیستمی درهم تنیده کامل و قابلیت مورد انتظار کارکرد در ارائه خدمات کلیدی برخوردار باشند.
الزام ۳ – مراکز زیرساختی مهم از درجه وابستگی قابل قبول با نوع ارتباط سیستمی درهم تنیده بخشی و قابلیت مورد انتظار کارکرد در ارائه خدمات ضروری برخوردار باشند.
الزام ۴ – مراکز زیرساختی قابل حفاظت از درجه وابستگی قابل قبول با نوع ارتباط سیستمی درهم تنیده بخشی و قابلیت مورد انتظار کارکرد در ارائه خدمات لازم برخوردار باشند.

مرکز درجه وابستگی ارتباط سیستمی قابلیت مورد انتظار کارکرد
حیاتی حداقل وابستگی درهم تنیده کامل ارائه خدمات کلیدی
حساس حداقل وابستگی درهم تنیده کامل ارائه خدمات کلیدی
مهم وابستگی قابل قبول درهم تنیده بخشی ارائه خدمات ضروری
قابل حفاظت وابستگی قابل قبول درهم تنیده بخشی ارائه خدمات لازم

* درجه وابستگی بصورت بهینه شده و مبتنی بر طیف لیکرت تعریف گردد.

۴) سایبری
به کارگیری الزامات سایبری در مراکز زیرساختی متناسب با سطح اهمّیت آنها باید به نحوی باشد که:
الزام ۱ – مراکز زیرساختی حیاتی بصورت آسیب ناپذیر سایبری با معماری شبکه مبتنی بر متدولوژی دفاع در عمق، دفاع لایه به لایه، اصل اعتماد صفر، هوشمندسازی بسیار محدود، بومی و امن (حتی المقدور بدون هوشمند سازی)، با کارکرد سلولی مستقل از ساختار هوشمند و بصورت موازی با اولویت فرمان دستی با هدف ارائه خدمات کلیدی طراحی و اجرا گردند.
الزام ۲ – مراکز زیرساختی حساس برخوردار از ذات سایبری مستحکم با معماری شبکه مبتنی بر متدولوژی دفاع در عمق، دفاع لایه به لایه، اصل اعتماد صفر، هوشمندسازی بومی و امن با کارکرد سلولی مستقل از ساختار هوشمند و بصورت موازی با اولویت فرمان دستی با هدف ارائه خدمات کلیدی طراحی و اجرا گردند.
الزام ۳ – مراکز زیرساختی مهم با حداقل آسیب پذیری سایبری ممکن و معماری شبکه مبتنی بر متدولوژی دفاع در عمق، دفاع لایه به لایه، اصل اعتماد صفر، هوشمندسازی آزموده شده و بصورت موازی با اولویت فرمان دستی با هدف ارائه خدمات ضروری طراحی و اجرا گردند.
الزام ۴ – مراکز زیرساختی قابل حفاظت با حداقل آسیب پذیری قابل قبول سایبری و معماری شبکه مبتنی بر متدولوژی دفاع در عمق، دفاع لایه به لایه، هوشمندسازی ایمن و بصورت موازی با اولویت فرمان دستی با هدف ارائه خدمات لازم طراحی و اجرا گردند.

مرکز پایداری سایبری نوع هوشمند سازی نوع فرمان کارکرد سایبری
حیاتی آسیب ناپذیر سایبری بسیار محدود و بومی با قابلیت فرمان دستی ارائه خدمات کلیدی
حساس ذات سایبری مستحکم هوشمندسازی بومی با قابلیت فرمان دستی ارائه خدمات کلیدی
مهم حداقل آسیب پذیری سایبری ممکن هوشمندسازی آزموده شده با قابلیت فرمان دستی ارائه خدمات کلیدی
قابل حفاظت حداقل آسیب پذیری قابل قبول سایبری هوشمندسازی ایمن با قابلیت فرمان دستی ارائه خدمات کلیدی

۵) مدیریت مخاطرات

الف) در مرحله طراحی
در این مرحله، مدیریت مخاطرات در مراکز زیرساختی دارای پتانسیل خطر با پیامد گسترده[پاورقی۳۷] الزامات زیر پیاده سازی می شود:
الزام ۱ – مراکز زیرساختی حیاتی برای بدترین سناریو در جهت دستیابی به سطح ایمنی حداکثری با رویکرد حذف/کنترل کامل عامل خطر در تمامی اجزای پرخطر، سطح حفاظتی و امنیتی حداکثری و عدم پذیرش هرگونه ریسک طراحی گردند.
الزام ۲ – مراکز زیرساختی حساس برای بدترین سناریو در جهت دستیابی به سطح ایمنی حداکثری با رویکرد حذف/کنترل کامل عامل خطر در تمامی اجزای پرخطر، سطح حفاظتی و امنیتی حداکثری و قبول ریسک حداقلی طراحی گردند.
الزام ۳ – مراکز زیرساختی مهم برای محتمل ترین سناریو در جهت دستیابی به سطح ایمنی حداقلی با رویکرد حذف/کنترل نسبی عامل خطر در اجزای با پتانسیل خطر بالا، سطح حفاظتی و امنیتی حداقلی و قبول ریسک نسبی طراحی گردند.
الزام ۴ – مراکز زیرساختی قابل حفاظت برای محتمل ترین سناریو در جهت دستیابی به سطح ایمنی حداقلی با رویکرد حذف/کنترل بهینه عامل خطر در اجزای با پتانسیل خطر بالا، سطح حفاظتی و امنیتی حداقلی و قبول ریسک بهینه طراحی گردند.

مرکز سناریو/رویکرد طراحی سطح ایمنی (تجهیزاتی) حذف/کنترل

عامل خطر

سطح حفاظتی – امنیتی سطح ریسک
حیاتی بدترین سناریو حداکثری کامل حداکثری بدون قبول ریسک
حساس بدترین سناریو حداکثری کامل حداکثری قبول ریسک حداقلی
مهم محتمل ترین سناریو حداقلی نسبی حداقلی قبول ریسک نسبی
قابل حفاظت محتمل ترین سناریو حداقلی بهینه حداقلی قبول ریسک بهینه

* سطح پذیرش تعریف شده برای ریسک مبتنی بر طیف لیکرت تعریف گردد.

As Low As Reasonably Practicable (ALARP)

ب) در مرحله بهره برداری (عملیات)
در این مرحله، اقدامات مرتبط با مدیریت مخاطرات در زیرساخت های دارای پتانسیل خطر با در رعایت الزامات زیر پیاده سازی می شود:
الزام ۱ – مراکز زیرساختی حیاتی با ایجاد و پیاده سازی ساختار فرماندهی حادثه و اجرای کامل طرح مدیریت ایمنی فرآیند، بدون قبول ریسک از قابلیت پاسخ سریع و فوری به شرایط اضطراری برخوردار باشند.
الزام ۲ – مراکز زیرساختی حساس با ایجاد و پیاده سازی ساختار فرماندهی حادثه و اجرای کامل طرح مدیریت ایمنی فرآیند، با قبول ریسک حداقلی از قابلیت پاسخ سریع و فوری به شرایط اضطراری برخوردار باشند.
الزام ۳ – مراکز زیرساختی مهم با راه اندازی مرکز کنترل شرایط اضطراری و اجرای طرح مدیریت ایمنی فرآیند در بخش های دارای پتانسیل خطر، با قبول ریسک نسبی از قابلیت پاسخ نسبی به شرایط اضطراری برخوردار باشند.
الزام ۴ – مراکز زیرساختی قابل حفاظت با راه اندازی مرکز کنترل شرایط اضطراری و اجرای طرح مدیریت ایمنی فرآیند در بخش های دارای پتانسیل خطر، با قبول ریسک بهینه از قابلیت پاسخ بهینه به شرایط اضطراری برخوردار باشند.

مرکز مدیریت و فرماندهی حادثه[پاورقی۳۸] طرح مدیریت ایمنی فرآیند[پاورقی۳۹] پاسخ سطح ریسک
حیاتی ایجاد و پیاده سازی ساختارفرماندهی حادثه اجرای کامل طرح سریع و فوری بدون قبول ریسک
حساس ایجاد و پیاده سازی ساختارفرماندهی حادثه اجرای کامل طرح سریع و فوری قبول ریسک حداقلی
مهم راه اندازی مرکز کنترل شرایط اضطراری اجرا در بخش های دارای پتانسیل خطر نسبی قبول ریسک نسبی
قابل حفاظت راه اندازی مرکز کنترل شرایط اضطراری اجرا در بخش های دارای پتانسیل خطر بهینه قبول ریسک بهینه

* سطح پذیرش تعریف شده برای ریسک مبتنی بر طیف لیکرت تعریف گردد.

Incident Command System (ICS)

Process Safety Management (PSM)

۶) رصد و پایش تهدیدات و آسیب پذیری
رصد و پایش تهدیدات و آسیب
پذیری در مراکز زیرساختی متناسب با سطح اهمّیت آنها باید به نحوی باشد که:
الزام ۱ – در مراکز زیرساختی حیاتی، تهدیدات اثرگذار مستقیم هر سه ماه یکبار و تهدیدات با حیطه اثر غیرمستقیم نیز هر شش ماه یکبار احصاء و پایش گردد. این مراکز باید بصورت کامل به سامانه های رصد و پایش برخط متصل باشند. آسیب پذیری ها نیز هر سه ماه یکبار پایش و بر اساس نوع، اندازه، احتمال وقوع و پیامد، ارزیابی، درجه بندی و اندازه گیری شوند.
الزام ۲ – در مراکز زیرساختی حساس، تهدیدات اثرگذار مستقیم بصورت شش ماه یکبار و تهدیدات با حیطه اثر غیرمستقیم نیز هر سال یکبار احصاء و پایش گردد. این مراکز باید بصورت بهینه به سامانه های رصد و پایش برخط متصل باشند. آسیب پذیری ها نیز هر شش ماه یکبار پایش و براساس نوع، اندازه، احتمال وقوع و پیامد، ارزیابی، درجه بندی و اندازه گیری شوند.
الزام ۳ – در مراکز زیرساختی مهم، تهدیدات اثرگذار مستقیم و غیرمستقیم هر سال یکبار احصاء و پایش گردد. این مراکز باید بصورت بهینه در خدمات ضروری به سامانه های رصد و پایش برخط متصل باشند. آسیب پذیری ها نیز هر سال یکبار پایش و براساس نوع، اندازه، احتمال وقوع و پیامد، ارزیابی، درجه بندی و اندازه گیری شوند.
الزام ۴ – در مراکز زیرساختی قابل حفاظت، تهدیدات اثرگذار مستقیم بصورت سالی یکبار و تهدیدات با حیطه اثر غیرمستقیم نیز هر دو سال یکبار احصاء و پایش گردد. این مراکز باید بصورت حداقلی در خدمات ضروری به سامانه های رصد و پایش برخط متصل باشند. آسیب پذیری ها نیز هرسال یکبار پایش و بر اساس نوع، اندازه، احتمال وقوع و پیامد، ارزیابی، درجه بندی و اندازه گیری شوند.

مرکز رصد و پایش تهدیدات اثرگذار مستقیم رصد و پایش تهدیدات اثرگذار غیرمستقیم اتصال به سامانه رصد و پایش برخط تهدیدات پایش و ارزیابی آسیب پذیری ها
حیاتی سه ماه یکبار شش ماه یکبار بصورت کامل سه ماه یکبار
حساس شش ماه یکبار سالی یکبار بصورت بهینه شش ماه یکبار
مهم سالی یکبار سالی یکبار بصورت بهینه و خدمات ضروری سالی یکبار
قابل حفاظت سالی یکبار دو سال یکبار بصورت حداقلی در خدمات ضروری سالی یکبار

۷) تهدیدات درون زا
شرایط مواجهه با تهدیدات درون زا در مراکز زیرساختی متناسب با سطح اهمیت آنها باید به نحوی باشد که:
الزام۱ – در مراکز زیرساختی حیاتی، سطح صیانت در برابر عامل تهدید درون زا با سطح اعتماد صفر، دانش کاملاً محدود شده و دسترسی بسته، میزان در معرض عامل تهدید بودن به صورت حذف کامل جذابیت، سطح قابل قبول پیامد اعمال تهدید به صورت بدون اختلال و ساز و کار محافظتی به صورت کاملا آزموده شده با لایه بندی کامل حفاظتی می باشد.
الزام ۲ – در مراکز زیرساختی حساس، سطح صیانت در برابر عامل تهدید درون زا با سطح اعتماد صفر، دانش محدود شده و دسترسی کنترل شده، میزان در معرض عامل تهدید بودن به صورت حذف جذابیت بدون تأثیر در عملکرد، سطح قابل قبول پیامد اعمال تهدید به صورت بدون اختلال و ساز و کار محافظتی به صورت آزموده شده بر پایه اولویت بندی با لایه بندی کامل حفاظتی می باشد.
الزام ۳ – در مراکز زیرساختی مهم، سطح صیانت در برابر عامل تهدید درون زا با سطح اعتماد، دانش و دسترسی کنترل شده، میزان در معرض عامل تهدید بودن به صورت حذف جذابیت با درنظر گرفتن سطح عملکرد، سطح قابل قبول پیامد اعمال تهدید به صورت اختلال در حد قابل تعمیر و بازیابی و ساز و کار محافظتی مبتنی بر الگوی تأمین می باشد.
الزام ۴ – در مراکز زیرساختی قابل حفاظت، سطح صیانت در برابر عامل تهدید درون زا با سطح اعتماد، دانش و دسترسی کنترل شده، میزان در معرض عامل تهدید بودن به صورت بهینه سازی جذابیت، سطح قابل قبول پیامد اعمال تهدید به صورت اختلال در حد قابل تعمیر و بازیابی و ساز و کار محافظتی مبتنی بر الگوی تأمین می باشد.

مرکز سطح صیانت در برابر عامل تهدید در معرض عامل تهدید بودن سطح قابل قبول پیامد ساز و کار محافظتی
حیاتی اعتماد صفر دانش کاملا محدود شده دسترسی بسته حذف کامل جذابیت بدون اختلال کاملا آزموده شده با لایه بندی کامل حفاظتی
حساس اعتماد صفر دانش محدودشده دسترسی کنترل شده حذف جذابیت بدون تاثیر در عملکرد بدون اختلال آزموده شده بر پایه اولویت بندی با لایه بندی کامل   حفاظتی
مهم اعتماد، دانش و دسترسی کنترل شده حذف جذابیت با در نظرگرفتن سطح عملکرد اختلال در حد قابل تعمیر و بازبینی مبنی بر الگوی تامین
قابل حفاظت اعتماد، دانش و دسترسی کنترل شده بهینه سازی جذابیت اختلال در حد قابل تعمیر و بازبینی مبنی بر الگوی تامین

۸) ارتقای آمادگی
براساس سطح بندی مراکز و سطح پیامد متصور به ازای تهدیدات مرتبط، سطح و میزان آمادگی زیرساختی در آنها به شرح ذیل می باشد:
الزام ۱ – مراکز زیرساختی حیاتی از سطح آمادگی کامل با قابلیت پاسخ سریع و فوری به حادثه/تهدید و آمادگی دائمی ۷*۲۴ فعّالیت های اصلی در ارائه خدمات زیرساختی برخوردار باشند.
الزام ۲ – مراکز زیرساختی حساس از سطح آمادگی کامل با قابلیت پاسخ سریع و فوری به حادثه/تهدید و آمادگی دائمی ۷*۲۴ فعّالیت های اصلی در ارائه خدمات زیرساختی برخوردار باشند.
الزام ۳ – مراکز زیرساختی مهم از سطح آمادگی هوشیارانه با قابلیت آمادگی برای پاسخ حادثه/تهدید و آمادگی نوبه ای ۷*۱۶ فعّالیت های اصلی در ارائه خدمات زیرساختی برخوردار باشند.
الزام ۴ – مراکز زیرساختی قابل حفاظت از سطح و قابلیت آمادگی عمومی برای پاسخ حادثه/تهدید و آمادگی نوبه ای ۷*۱۶ فعّالیت های اصلی در ارائه خدمات زیرساختی برخوردار باشند.

توضیح – منظور از آمادگی دائمی۷*۲۴ آمادگی برای ارائه خدمات زیرساختی در طول هفته و بصورت ۲۴ ساعته می باشد و منظور از آمادگی نوبه ای۷*۱۶ آمادگی برای ارائه خدمات زیرساختی در طول ایام هفته و بصورت ۱۶ ساعته می باشد.

مرکز سطح آمادگی قابلیت مورد انتظار میزان آمادگی
حیاتی کامل پاسخ سریع و فوری به حادثه و تهدید دائمی ۷*۲۴
حساس پیشگیرانه پاسخ سریع و فوری به حادثه و تهدید دائمی ۷*۲۴
مهم هوشیارانه آمادگی برای پاسخ نوبه ای۷*۱۶
قابل حفاظت عمومی آمادگی عمومی نوبه ای۷*۱۶

۹) تداوم کارکرد
متناسب با سطح اهمیت مراکز زیرساختی ضروریست میزان تداوم کارکرد و پایداری خدمات در آنها به شرح ذیل تأمین و تضمین گردد:

مرکز حیاتی حساس مهم قابل حفاظت
تداوم کارکرد خدمات کلیدی خدمات کلیدی خدمات ضروری خدمات لازم

توضیح – منظور از تداوم کارکرد برای ارائه خدمات، حفظ عملکرد مرکز در حین بروز تهدید/حادثه می باشد.

۱۰) تاب آوری
سطح تاب آوری در مراکز زیرساختی متناسب با ظرفیت مورد انتظار در هریک از آنها باید به نحوی باشد که:
الزام ۱ – در مراکز زیرساختی حیاتی با تأکید بر ظرفیت جذب حداکثری تنش، ظرفیت تطبیق پذیری و جایگزینی کامل، عدم اثرپذیری کلیه خدمات مرکز و برگشت پذیری اضطراری، سطح تاب آوری درجه ۱ تأمین گردد.
الزام ۲ – در مراکز زیرساختی حساس با تأکید بر ظرفیت جذب متعادل تنش، ظرفیت تطبیق پذیری و جایگزینی بالا، عدم اثرپذیری کلیه خدمات مرکز و برگشت پذیری اضطراری، سطح تاب آوری درجه ۲ تأمین گردد.
الزام ۳ – در مراکز زیرساختی مهم با تأکید بر ظرفیت جذب محدود تنش، ظرفیت تطبیق پذیری و جایگزینی بهینه، عدم اثرپذیری و ظرفیت برگشت پذیری با هدف برگشت سریع خدمات ضروری مرکز، سطح تاب آوری درجه ۳ تأمین گردد.
الزام ۴ – در مراکز زیرساختی قابل حفاظت با تأکید بر ظرفیت جذب حداقلی تنش، ظرفیت تطبیق پذیری و جایگزینی محدود، ظرفیت برگشت پذیری با هدف برگشت سریع خدمات ضروری مرکز، سطح تاب آوری درجه ۴ تأمین گردد.

مرکز ظرفیت جذب ظرفیت تطبیق پذیری و جایگزینی عدم اثرپذیری برگشت پذیری
حیاتی حداکثری کامل کلیه خدمات (کلیدی، ضروری، لازم) اضطراری
حساس متعادل بالا کلیه خدمات (کلیدی، ضروری، لازم) اضطراری
مهم محدود بهینه خدمات ضروری خدمات ضروری
قابل حفاظت حداقلی محدود خدمات ضروری خدمات ضروری

۱۱) مصونیت
سطح مورد انتظار از مصون سازی در مراکز زیرساختی پس از پیاده سازی الزامات فوق باید به نحوی باشد که:
الزام ۱ – مراکز زیرساختی حیاتی با تأکید بر تاب آوری، آسیب ناپذیری و تداوم کارکرد در ارائه خدمات کلیدی به سطح ۱۰۰ درصدی از مصونیت برسند.
الزام ۲ – مراکز زیرساختی حساس با تأکید بر استحکام، حداقل آسیب پذیری ممکن و تداوم کارکرد در ارائه خدمات کلیدی به سطح ۷۰ درصدی از مصونیت برسند.
الزام ۳ – مراکز زیرساختی مهم با تأکید بر امنیت، حداقل آسیب پذیری قابل قبول و تداوم کارکرد در ارائه خدمات ضروری به سطح ۵۰ درصدی از مصونیت برسند.
الزام ۴ – مراکز زیرساختی قابل حفاظت با تأکید بر ایمنی، حداقل آسیب پذیری قابل قبول و تداوم کارکرد در ارائه خدمات لازم به سطح ۳۰ درصدی از مصونیت برسند.

مرکز سطح تاب آوری[پاورقی۴۰] سطح آسیب پذیری[پاورقی۴۱] سطح تداوم کارکرد درصد مصونیت
حیاتی پایدار آسیب پذیر خدمات کلیدی ۱۰۰
حساس مستحکم حداقل آسیب پذیری ممکن خدمات کلیدی ۷۰
مهم امن حداقل آسیب پذیری قابل قبول خدمات ضروری ۵۰
قابل حفاظت ایمن حداقل آسیب پذیری قابل قبول خدمات لازم ۳۰

این عبارات معادل درجه های مختلف مصون سازی و متناسب با سطح پایداری مورد انتظار از آن در مراکز زیرساختی می باشند.

میزان حداقل آسیب پذیری مبتنی بر اصل هزینه – فایده استخراج می شود

تذکر – تعیین میزان بهینه پیاده سازی الزاماتی که در کلیه جداول فوق بعنوان هدف و معیار تعیین شده است با رعایت ملاحظات مهندسی ارزش به دست می آید. اگر مبتنی بر شاخص های مهندسی ارزش (هزینه – فایده) و سطح تهدید اجرای این الزامات میسر نشود، ضرورت دارد طرح توجیهی میزان دقیق رعایت الزامات در مراکز زیرساختی توسط مشاور طرح تهیه و به تایید سازمان برسد.

ماده ۱۰ – اقدامات مشترک
دستگاه های اجرایی دارای مراکز زیرساختی با اهمّیت در کشور موظّفند:

۱) شورای داخلی حفاظت از زیرساخت را با مسئولیت رئیس کمیته پدافند غیرعامل دستگاه با مشارکت واحدهای حراست و بسیج دستگاه تشکیل داده و گزارش های مربوطه را به دبیرخانه شورای هماهنگی حفاظت از زیرساخت مستقر در معاونت طرح ریزی و نظارت فنی سازمان ارسال نمایند .

۲) متناسب با درجه اهمّیت مراکز زیرساختی خود و سطح ریسک آن، علاوه بر اولویت بندی اقدامات مصون سازی مبتنی بر الزامات این نظام، برنامه های حفاظت از زیرساخت مستخرجه از آن را نیز به صورت سالانه و بلندمدت تهیه و به سازمان ارائه نماید.

۳) به منظور حصول اطمینان از اثربخشی اقدامات حفاظت از زیرساخت، با سازماندهی تیم های عملیاتی در قالب ممیزی های داخلی، نظارت لازم را بر پیاده سازی و اجرای الزامات این نظام، اعمال نمایند.

۴) دستورالعمل های اجرایی مورد نیاز حوزه خود را در چارچوب این سند و در قالب برنامه بخشی حفاظت از زیرساخت دستگاه تهیه و پس از تصویب سازمان، اجرا نمایند.

۵) درصورت وقوع تهدید یا حادثه با هماهنگی مرکز مدیریت و هماهنگی عملیاتی زیرساخت، در قالب اطلاع رسانی، اعلام وضعیت، اجرای فرمان و انجام هماهنگی نسبت به مدیریت صحنه بحران ها اقدام نمایند.

۶) درس آموخته های مربوط به حوادث و تهدیدات زیرساختی حوزه خود را مستند سازی و به مرکز مدیریت و هماهنگی عملیاتی زیرساخت گزارش نمایند تا در انتقال به سایر دستگاه ها و به روزرسانی دستورالعمل ها و الزامات مورد استفاده قرار گیرد.

۷) تجارب حاصل از تهدیدات زیرساختی در سایر دستگاه های اجرایی و زیرساخت های اصلی را دریافت و نسبت به برگزاری جلسات آموزشی و توجیهی، در دستگاه خود اقدام نمایند .

۸) کمیته تدوین و تنظیم مقررات حفاظت از زیرساخت را با مسئولیت معاون فنی یا مدیرکل پدافند غیرعامل دستگاه تشکیل داده و موضوعات فنی مورد نیاز دستگاه که قابلیت تبدیل شدن به مقرّرات و ضوابط فنّی حفاظت از زیرساخت دارند را جهت بررسی به مرکز تدوین و تنظیم مقرّرات حفاظت از زیرساخت ارائه کنند.

۹) برابر نظام آمادگی و رزمایش دستگاه های اجرایی در برابر تهدیدات، مصوبه شماره ۲۰۸۸ کمیته دائمی و باهماهنگی سازمان نسبت به برگزاری رزمایش های تخصصی حفاظت از زیرساخت در ابعاد مأموریتی خود اقدام نمایند.

۱۰) چنانچه استاندارد پدافند غیرعامل در هریک از موضوعات اصلی حفاظت از زیرساخت تولید گردید نسبت به اجرا و رعایت آن در هریک از مراکز زیرساختی خود اقدام کنند.

۱۱) به صورت فصلی و نوبه ای اقدامات انجام شده در قالب این نظام را به سازمان گزارش کنند.

۱۲) نسبت به آموزش، توجیه و توانمندسازی مدیران، کارشناسان و کارکنان زیرمجموعه خود اقدام نمایند.

ماده ۱۱ – با توجه به تغییرات عناصر محیطی مانند تهدیدات، فناوری های بکارگیری شده در زیرساخت ها و سایر ملاحظات فنی و مهندسی، برای اجرای بهتر و روزآمدسازی الزامات فنّی تخصصی حفاظت از زیرساخت ، دستگاه های اجرایی می توانند نقطه نظرات پیشنهادی و اصلاحی خود را پیرامون این نظام به سازمان اعلام نمایند؛ سازمان با بررسی نظرات دستگاه های اجرایی، درصورت نیاز و بعد از ۶ ماه، نظام را بازنگری و اصلاح می کند.

ماده ۱۲ – وفق تبصره ۱ قانون تشکیل سازمان، مستنکفین از اجرای الزامات و ضوابط این سند در مراکز و دستگاه های اجرایی مشمول، علاوه بر جبران خسارات وارد شده، به مجازات موضوع ماده (۵۷۶) کتاب پنجم قانون مجازات اسلامی (تعزیرات و مجازات های بازدارنده) مصوب ۱۳۷۵/۰۳/۰۲ محکوم می شوند و چنانچه خسارتی وارد نشده باشد برابر قانون رسیدگی به تخلفات اداری مصوب ۱۳۷۲/۰۹/۰۷ با مستنکف رفتار خواهد شد.

ماده ۱۳ – سازمان بر حسن اجرای این نظام ، نظارت کرده و اجرای آن را سالانه به کمیته ی دائمی گزارش کند.

ماده ۱۴ – این تصویب‌نامه در چهارده ماده و نه تبصره در هفتاد و هفتمین جلسه کمیته ی دائمی به تاریخ بیست و هشتم شهریورماه سال یکهزار و چهارصد و دو هجری شمسی به تصویب رسید.

نظام فنی و تخصصی حفاظت از زیرساخت های کشور مشتمل بر چهارده ماده و نه تبصره که در تاریخ ۱۴۰۲/۰۶/۲۸ در هفتاد و هفتمین جلسه کارگروه (کمیته) دائمی پدافند غیرعامل کشور به تصویب رسید، به استناد تبصره ۱ قانون تشکیل سازمان پدافند غیرعامل کشور و ماده ۸ اساسنامه سازمان پدافند غیرعامل کشور مصوّب مقام معظّم رهبری (مدظله العالی) جهت اجرا ابلاغ می گردد.

رئیس ستاد کل نیروهای مسلح و کارگروه (کمیته) دائمی پدافند غیرعامل کشور
سرلشکر پاسدار محمد باقری