省政府辦公廳關于轉發(fā)省經濟和信息化委
江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理
實施辦法(試行)的通知
蘇政辦發(fā)〔2012〕72號 2012年4月17日
各市、縣(市、區(qū))人民政府,省各委辦廳局,省各直屬單位:
省經濟和信息化委制定的《江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理實施辦法(試行)》已經省人民政府同意,現(xiàn)印發(fā)給你們,請認真組織實施。
江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理實施辦法(試行)
省經濟和信息化委
第一條 為規(guī)范和加強我省范圍內工業(yè)控制系統(tǒng)信息安全管理工作,提高信息安全防護和應急響應能力,確保工業(yè)生產運行、國民經濟和人民生命財產安全,依據《工業(yè)和信息化部關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號)、《江蘇省網絡與信息安全事件應急預案》(蘇政辦發(fā)〔2009〕51號)等文件精神,結合工作實際,制定本辦法。
第二條 本辦法所稱工業(yè)控制系統(tǒng),指采用數據采集監(jiān)控、分布式控制、過程控制、可編程邏輯控制等技術控制生產設備運行的系統(tǒng)。本辦法所稱重點領域,主要指核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。
第三條 本省行政區(qū)域內工業(yè)控制系統(tǒng)的信息安全管理及監(jiān)督檢查活動,適用于本辦法。
第四條 各級信息化主管部門負責行政區(qū)域內工業(yè)控制系統(tǒng)信息安全工作指導和監(jiān)督檢查。有關行業(yè)主管或監(jiān)管部門、國有資產監(jiān)督管理部門負責協(xié)調、督促工業(yè)控制系統(tǒng)主管單位開展信息安全管理及落實安全整改等工作。
第五條 工業(yè)控制系統(tǒng)信息安全按照屬地化原則進行監(jiān)督管理。各地區(qū)、各部門和各有關單位要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,加強對工業(yè)控制系統(tǒng)信息安全管理工作的領導,明確責任部門和人員,建立并落實信息安全責任制和事件通報制度,健全完善相關管理技術措施,接受信息化主管部門的監(jiān)督檢查并配合做好安全整改工作。
第六條 各地區(qū)、各部門和各有關單位要結合實際,明確加強工業(yè)控制系統(tǒng)信息安全管理的重點領域和重點環(huán)節(jié),切實落實以下要求:
(一)組織制度要求。明確信息安全主管領導、管理機構和管理人員,健全工作機制,嚴格落實責任制,將重要工業(yè)控制系統(tǒng)信息安全責任逐一落實到具體部門、崗位和人員,確保領導到位、機構到位、人員到位、措施到位、資金到位。
(二)網絡連接要求。斷開工業(yè)控制系統(tǒng)同公共網絡之間的所有不必要連接。對確實需要的連接,系統(tǒng)運營單位要逐一進行登記,采取設置防火墻、單向隔離等措施加以防護,并定期進行風險評估,不斷完善防范措施。
(三)組網管理要求。工業(yè)控制系統(tǒng)組網時要同步規(guī)劃、同步建設、同步運行安全防護措施。采取虛擬專用網絡(VPN)、線路冗余備份、數據加密等措施,加強對關鍵工業(yè)控制系統(tǒng)遠程通信的保護。對無線組網采取嚴格的身份認證、安全監(jiān)測等防護措施,防止經無線網絡進行惡意入侵,尤其要防止通過侵入遠程終端單元(RTU)進而控制部分或整個工業(yè)控制系統(tǒng)。
(四)配置管理要求。建立控制服務器等工業(yè)控制系統(tǒng)關鍵設備安全配置和審計制度。嚴格賬戶管理,根據工作需要合理分類設置賬戶權限。嚴格口令管理,及時更改產品安裝時的預設口令,杜絕弱口令、空口令。定期對賬戶、口令、端口、服務等進行檢查,及時清理不必要的用戶和管理員賬戶,停止無用的后臺程序和進程,關閉無關的端口和服務。
(五)設備選擇與升級管理要求。慎重選擇工業(yè)控制系統(tǒng)設備,在供貨合同中或以其他方式明確供應商承擔的信息安全責任和義務,確保產品安全可控。加強對技術服務的信息安全管理,在安全得不到保證的情況下禁止采取遠程在線服務。密切關注產品漏洞和補丁發(fā)布,嚴格軟件升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。關鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前須請專業(yè)技術機構進行安全評估和驗證。
(六)數據管理要求。地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的采集、傳輸、存儲、利用等,要采取訪問權限控制、數據加密、安全審計、災難備份等措施加以保護,切實維護個人權益、企業(yè)利益和國家信息資源安全。
(七)應急管理要求。制定工業(yè)控制系統(tǒng)信息安全應急預案,明確應急處置流程和臨機處置權限,落實應急技術支撐隊伍,根據實際情況采取必要的備機、備件等容災備份措施。
第七條 工業(yè)控制系統(tǒng)主管單位應定期組織開展信息安全檢查。請專業(yè)技術機構對所使用的工業(yè)控制系統(tǒng)關鍵設備進行安全測評,檢測安全漏洞,評估安全風險。重點領域的工業(yè)控制系統(tǒng)每年至少進行1次全面的安全檢查。對檢查中發(fā)現(xiàn)的問題要及時采取措施進行安全整改,并報告所在地信息化主管部門。
各級信息化主管部門應重視工業(yè)控制系統(tǒng)信息安全漏洞信息的收集、匯總和分析研判工作,及時向上級主管部門和相關部門報告發(fā)現(xiàn)的問題,及時發(fā)布有關漏洞、風險和預警信息。
第八條 省級信息化主管部門應會同行業(yè)主管或監(jiān)管部門、國有資產監(jiān)督管理部門以及其他信息安全管理部門,每年至少組織1次全省重點領域工業(yè)控制系統(tǒng)信息安全狀況抽查、關鍵設備抽檢,排查安全隱患,堵塞安全漏洞,通報發(fā)現(xiàn)問題并敦促整改。
工業(yè)控制系統(tǒng)主管單位對抽查、抽檢發(fā)現(xiàn)的問題,應認真落實整改意見,并在3個月內向工業(yè)控制系統(tǒng)所在地信息化主管部門報告整改情況。
第九條 參與抽查、抽檢的技術檢測機構與人員,應具有由國家權威機構認定的信息安全服務能力和水平,獲省級以上信息化主管部門備案,并接受省級以上信息化主管部門監(jiān)督管理。
委托技術檢測機構檢查前,委托部門或單位應與技術檢測機構簽訂安全保密協(xié)議,明確保密責任和保密期限。必要時,應對參與檢測人員的背景進行安全審查。
第十條 實施安全技術檢測的機構及人員應嚴格遵守檢查工作紀律,周密制定檢測方案,對技術檢測可能引發(fā)的安全風險進行認真評估,采取規(guī)避或控制安全風險措施,保證被檢查工業(yè)控制系統(tǒng)的安全正常運行。
對技術檢測結果及過程文檔、信息應加強保密管理,除按規(guī)定報送外,不得以任何方式提供給其他單位或個人;未經委托部門或單位同意不得用于任何用途。對于違反信息安全和保密管理制度造成信息安全事故或泄密事件的,依法追究當事人和有關負責人的責任。
第十一條 對于工業(yè)控制系統(tǒng)主管單位拒絕接受檢查或不履行信息安全管理職責、義務而發(fā)生安全事故的,應呈報其上級部門并追究其負責人的相應責任。
對在監(jiān)督管理工作中組織領導不力、有關要求不落實的,予以通報批評。對未按照規(guī)定流程開展檢查而導致發(fā)生安全事故的,應追究檢查組織方負責人的相應責任。