| 首頁> | 政務公開> | 政府公報> | 網(wǎng)上公報室 |
省政府辦公廳關(guān)于轉(zhuǎn)發(fā)省經(jīng)濟和信息化委
江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理
實施辦法(試行)的通知
蘇政辦發(fā)〔2012〕72號 2012年4月17日
各市、縣(市、區(qū))人民政府,省各委辦廳局,省各直屬單位:
省經(jīng)濟和信息化委制定的《江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理實施辦法(試行)》已經(jīng)省人民政府同意,現(xiàn)印發(fā)給你們,請認真組織實施。
江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理實施辦法(試行)
省經(jīng)濟和信息化委
第一條 為規(guī)范和加強我省范圍內(nèi)工業(yè)控制系統(tǒng)信息安全管理工作,提高信息安全防護和應急響應能力,確保工業(yè)生產(chǎn)運行、國民經(jīng)濟和人民生命財產(chǎn)安全,依據(jù)《工業(yè)和信息化部關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號)、《江蘇省網(wǎng)絡與信息安全事件應急預案》(蘇政辦發(fā)〔2009〕51號)等文件精神,結(jié)合工作實際,制定本辦法。
第二條 本辦法所稱工業(yè)控制系統(tǒng),指采用數(shù)據(jù)采集監(jiān)控、分布式控制、過程控制、可編程邏輯控制等技術(shù)控制生產(chǎn)設備運行的系統(tǒng)。本辦法所稱重點領(lǐng)域,主要指核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域。
第三條 本省行政區(qū)域內(nèi)工業(yè)控制系統(tǒng)的信息安全管理及監(jiān)督檢查活動,適用于本辦法。
第四條 各級信息化主管部門負責行政區(qū)域內(nèi)工業(yè)控制系統(tǒng)信息安全工作指導和監(jiān)督檢查。有關(guān)行業(yè)主管或監(jiān)管部門、國有資產(chǎn)監(jiān)督管理部門負責協(xié)調(diào)、督促工業(yè)控制系統(tǒng)主管單位開展信息安全管理及落實安全整改等工作。
第五條 工業(yè)控制系統(tǒng)信息安全按照屬地化原則進行監(jiān)督管理。各地區(qū)、各部門和各有關(guān)單位要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,加強對工業(yè)控制系統(tǒng)信息安全管理工作的領(lǐng)導,明確責任部門和人員,建立并落實信息安全責任制和事件通報制度,健全完善相關(guān)管理技術(shù)措施,接受信息化主管部門的監(jiān)督檢查并配合做好安全整改工作。
第六條 各地區(qū)、各部門和各有關(guān)單位要結(jié)合實際,明確加強工業(yè)控制系統(tǒng)信息安全管理的重點領(lǐng)域和重點環(huán)節(jié),切實落實以下要求:
(一)組織制度要求。明確信息安全主管領(lǐng)導、管理機構(gòu)和管理人員,健全工作機制,嚴格落實責任制,將重要工業(yè)控制系統(tǒng)信息安全責任逐一落實到具體部門、崗位和人員,確保領(lǐng)導到位、機構(gòu)到位、人員到位、措施到位、資金到位。
(二)網(wǎng)絡連接要求。斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡之間的所有不必要連接。對確實需要的連接,系統(tǒng)運營單位要逐一進行登記,采取設置防火墻、單向隔離等措施加以防護,并定期進行風險評估,不斷完善防范措施。
(三)組網(wǎng)管理要求。工業(yè)控制系統(tǒng)組網(wǎng)時要同步規(guī)劃、同步建設、同步運行安全防護措施。采取虛擬專用網(wǎng)絡(VPN)、線路冗余備份、數(shù)據(jù)加密等措施,加強對關(guān)鍵工業(yè)控制系統(tǒng)遠程通信的保護。對無線組網(wǎng)采取嚴格的身份認證、安全監(jiān)測等防護措施,防止經(jīng)無線網(wǎng)絡進行惡意入侵,尤其要防止通過侵入遠程終端單元(RTU)進而控制部分或整個工業(yè)控制系統(tǒng)。
(四)配置管理要求。建立控制服務器等工業(yè)控制系統(tǒng)關(guān)鍵設備安全配置和審計制度。嚴格賬戶管理,根據(jù)工作需要合理分類設置賬戶權(quán)限。嚴格口令管理,及時更改產(chǎn)品安裝時的預設口令,杜絕弱口令、空口令。定期對賬戶、口令、端口、服務等進行檢查,及時清理不必要的用戶和管理員賬戶,停止無用的后臺程序和進程,關(guān)閉無關(guān)的端口和服務。
(五)設備選擇與升級管理要求。慎重選擇工業(yè)控制系統(tǒng)設備,在供貨合同中或以其他方式明確供應商承擔的信息安全責任和義務,確保產(chǎn)品安全可控。加強對技術(shù)服務的信息安全管理,在安全得不到保證的情況下禁止采取遠程在線服務。密切關(guān)注產(chǎn)品漏洞和補丁發(fā)布,嚴格軟件升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前須請專業(yè)技術(shù)機構(gòu)進行安全評估和驗證。
(六)數(shù)據(jù)管理要求。地理、礦產(chǎn)、原材料等國家基礎數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲、利用等,要采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計、災難備份等措施加以保護,切實維護個人權(quán)益、企業(yè)利益和國家信息資源安全。
(七)應急管理要求。制定工業(yè)控制系統(tǒng)信息安全應急預案,明確應急處置流程和臨機處置權(quán)限,落實應急技術(shù)支撐隊伍,根據(jù)實際情況采取必要的備機、備件等容災備份措施。
第七條 工業(yè)控制系統(tǒng)主管單位應定期組織開展信息安全檢查。請專業(yè)技術(shù)機構(gòu)對所使用的工業(yè)控制系統(tǒng)關(guān)鍵設備進行安全測評,檢測安全漏洞,評估安全風險。重點領(lǐng)域的工業(yè)控制系統(tǒng)每年至少進行1次全面的安全檢查。對檢查中發(fā)現(xiàn)的問題要及時采取措施進行安全整改,并報告所在地信息化主管部門。
各級信息化主管部門應重視工業(yè)控制系統(tǒng)信息安全漏洞信息的收集、匯總和分析研判工作,及時向上級主管部門和相關(guān)部門報告發(fā)現(xiàn)的問題,及時發(fā)布有關(guān)漏洞、風險和預警信息。
第八條 省級信息化主管部門應會同行業(yè)主管或監(jiān)管部門、國有資產(chǎn)監(jiān)督管理部門以及其他信息安全管理部門,每年至少組織1次全省重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全狀況抽查、關(guān)鍵設備抽檢,排查安全隱患,堵塞安全漏洞,通報發(fā)現(xiàn)問題并敦促整改。
工業(yè)控制系統(tǒng)主管單位對抽查、抽檢發(fā)現(xiàn)的問題,應認真落實整改意見,并在3個月內(nèi)向工業(yè)控制系統(tǒng)所在地信息化主管部門報告整改情況。
第九條 參與抽查、抽檢的技術(shù)檢測機構(gòu)與人員,應具有由國家權(quán)威機構(gòu)認定的信息安全服務能力和水平,獲省級以上信息化主管部門備案,并接受省級以上信息化主管部門監(jiān)督管理。
委托技術(shù)檢測機構(gòu)檢查前,委托部門或單位應與技術(shù)檢測機構(gòu)簽訂安全保密協(xié)議,明確保密責任和保密期限。必要時,應對參與檢測人員的背景進行安全審查。
第十條 實施安全技術(shù)檢測的機構(gòu)及人員應嚴格遵守檢查工作紀律,周密制定檢測方案,對技術(shù)檢測可能引發(fā)的安全風險進行認真評估,采取規(guī)避或控制安全風險措施,保證被檢查工業(yè)控制系統(tǒng)的安全正常運行。
對技術(shù)檢測結(jié)果及過程文檔、信息應加強保密管理,除按規(guī)定報送外,不得以任何方式提供給其他單位或個人;未經(jīng)委托部門或單位同意不得用于任何用途。對于違反信息安全和保密管理制度造成信息安全事故或泄密事件的,依法追究當事人和有關(guān)負責人的責任。
第十一條 對于工業(yè)控制系統(tǒng)主管單位拒絕接受檢查或不履行信息安全管理職責、義務而發(fā)生安全事故的,應呈報其上級部門并追究其負責人的相應責任。
對在監(jiān)督管理工作中組織領(lǐng)導不力、有關(guān)要求不落實的,予以通報批評。對未按照規(guī)定流程開展檢查而導致發(fā)生安全事故的,應追究檢查組織方負責人的相應責任。