省政府辦公廳關(guān)于轉(zhuǎn)發(fā)省經(jīng)濟(jì)和信息化委江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理實(shí)施辦法(試行)的通知
發(fā)布日期:2012-04-17 15:17
字體:[大 中 小]
省政府辦公廳關(guān)于轉(zhuǎn)發(fā)省經(jīng)濟(jì)和信息化委
江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理
實(shí)施辦法(試行)的通知
蘇政辦發(fā)〔2012〕72號 2012年4月17日
各市�����、縣(市���、區(qū))人民政府�,省各委辦廳局���,省各直屬單位:
省經(jīng)濟(jì)和信息化委制定的《江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理實(shí)施辦法(試行)》已經(jīng)省人民政府同意����,現(xiàn)印發(fā)給你們,請認(rèn)真組織實(shí)施�����。
江蘇省工業(yè)控制系統(tǒng)信息安全監(jiān)督管理實(shí)施辦法(試行)
省經(jīng)濟(jì)和信息化委
第一條 為規(guī)范和加強(qiáng)我省范圍內(nèi)工業(yè)控制系統(tǒng)信息安全管理工作,提高信息安全防護(hù)和應(yīng)急響應(yīng)能力,確保工業(yè)生產(chǎn)運(yùn)行����、國民經(jīng)濟(jì)和人民生命財(cái)產(chǎn)安全�,依據(jù)《工業(yè)和信息化部關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號)��、《江蘇省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》(蘇政辦發(fā)〔2009〕51號)等文件精神,結(jié)合工作實(shí)際����,制定本辦法�����。
第二條 本辦法所稱工業(yè)控制系統(tǒng),指采用數(shù)據(jù)采集監(jiān)控��、分布式控制�����、過程控制���、可編程邏輯控制等技術(shù)控制生產(chǎn)設(shè)備運(yùn)行的系統(tǒng)����。本辦法所稱重點(diǎn)領(lǐng)域����,主要指核設(shè)施、鋼鐵��、有色�、化工、石油石化���、電力、天然氣����、先進(jìn)制造�����、水利樞紐�、環(huán)境保護(hù)、鐵路�、城市軌道交通��、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)的領(lǐng)域。
第三條 本省行政區(qū)域內(nèi)工業(yè)控制系統(tǒng)的信息安全管理及監(jiān)督檢查活動,適用于本辦法。
第四條 各級信息化主管部門負(fù)責(zé)行政區(qū)域內(nèi)工業(yè)控制系統(tǒng)信息安全工作指導(dǎo)和監(jiān)督檢查���。有關(guān)行業(yè)主管或監(jiān)管部門、國有資產(chǎn)監(jiān)督管理部門負(fù)責(zé)協(xié)調(diào)、督促工業(yè)控制系統(tǒng)主管單位開展信息安全管理及落實(shí)安全整改等工作�����。
第五條 工業(yè)控制系統(tǒng)信息安全按照屬地化原則進(jìn)行監(jiān)督管理���。各地區(qū)�����、各部門和各有關(guān)單位要按照“誰主管誰負(fù)責(zé)�、誰運(yùn)行誰負(fù)責(zé)�、誰使用誰負(fù)責(zé)”的原則,加強(qiáng)對工業(yè)控制系統(tǒng)信息安全管理工作的領(lǐng)導(dǎo)����,明確責(zé)任部門和人員�,建立并落實(shí)信息安全責(zé)任制和事件通報(bào)制度����,健全完善相關(guān)管理技術(shù)措施,接受信息化主管部門的監(jiān)督檢查并配合做好安全整改工作。
第六條 各地區(qū)、各部門和各有關(guān)單位要結(jié)合實(shí)際��,明確加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重點(diǎn)領(lǐng)域和重點(diǎn)環(huán)節(jié),切實(shí)落實(shí)以下要求:
(一)組織制度要求���。明確信息安全主管領(lǐng)導(dǎo)、管理機(jī)構(gòu)和管理人員�����,健全工作機(jī)制���,嚴(yán)格落實(shí)責(zé)任制����,將重要工業(yè)控制系統(tǒng)信息安全責(zé)任逐一落實(shí)到具體部門����、崗位和人員,確保領(lǐng)導(dǎo)到位�����、機(jī)構(gòu)到位�����、人員到位��、措施到位、資金到位。
(二)網(wǎng)絡(luò)連接要求。斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接�����。對確實(shí)需要的連接��,系統(tǒng)運(yùn)營單位要逐一進(jìn)行登記�����,采取設(shè)置防火墻���、單向隔離等措施加以防護(hù)����,并定期進(jìn)行風(fēng)險(xiǎn)評估,不斷完善防范措施。
(三)組網(wǎng)管理要求����。工業(yè)控制系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃�、同步建設(shè)�、同步運(yùn)行安全防護(hù)措施。采取虛擬專用網(wǎng)絡(luò)(VPN)���、線路冗余備份、數(shù)據(jù)加密等措施�,加強(qiáng)對關(guān)鍵工業(yè)控制系統(tǒng)遠(yuǎn)程通信的保護(hù)�。對無線組網(wǎng)采取嚴(yán)格的身份認(rèn)證���、安全監(jiān)測等防護(hù)措施�,防止經(jīng)無線網(wǎng)絡(luò)進(jìn)行惡意入侵,尤其要防止通過侵入遠(yuǎn)程終端單元(RTU)進(jìn)而控制部分或整個(gè)工業(yè)控制系統(tǒng)�����。
(四)配置管理要求���。建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計(jì)制度�。嚴(yán)格賬戶管理,根據(jù)工作需要合理分類設(shè)置賬戶權(quán)限�。嚴(yán)格口令管理��,及時(shí)更改產(chǎn)品安裝時(shí)的預(yù)設(shè)口令,杜絕弱口令�、空口令����。定期對賬戶���、口令���、端口�、服務(wù)等進(jìn)行檢查,及時(shí)清理不必要的用戶和管理員賬戶����,停止無用的后臺程序和進(jìn)程���,關(guān)閉無關(guān)的端口和服務(wù)����。
(五)設(shè)備選擇與升級管理要求����。慎重選擇工業(yè)控制系統(tǒng)設(shè)備,在供貨合同中或以其他方式明確供應(yīng)商承擔(dān)的信息安全責(zé)任和義務(wù)�,確保產(chǎn)品安全可控�。加強(qiáng)對技術(shù)服務(wù)的信息安全管理��,在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)�。密切關(guān)注產(chǎn)品漏洞和補(bǔ)丁發(fā)布�,嚴(yán)格軟件升級、補(bǔ)丁安裝管理�����,嚴(yán)防病毒���、木馬等惡意代碼侵入���。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級�����、補(bǔ)丁安裝前須請專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評估和驗(yàn)證。
(六)數(shù)據(jù)管理要求��。地理�����、礦產(chǎn)�、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集�����、傳輸����、存儲�����、利用等�����,要采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計(jì)、災(zāi)難備份等措施加以保護(hù)����,切實(shí)維護(hù)個(gè)人權(quán)益�����、企業(yè)利益和國家信息資源安全��。
(七)應(yīng)急管理要求���。制定工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案���,明確應(yīng)急處置流程和臨機(jī)處置權(quán)限�����,落實(shí)應(yīng)急技術(shù)支撐隊(duì)伍����,根據(jù)實(shí)際情況采取必要的備機(jī)���、備件等容災(zāi)備份措施��。
第七條 工業(yè)控制系統(tǒng)主管單位應(yīng)定期組織開展信息安全檢查���。請專業(yè)技術(shù)機(jī)構(gòu)對所使用的工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進(jìn)行安全測評�����,檢測安全漏洞,評估安全風(fēng)險(xiǎn)���。重點(diǎn)領(lǐng)域的工業(yè)控制系統(tǒng)每年至少進(jìn)行1次全面的安全檢查。對檢查中發(fā)現(xiàn)的問題要及時(shí)采取措施進(jìn)行安全整改��,并報(bào)告所在地信息化主管部門���。
各級信息化主管部門應(yīng)重視工業(yè)控制系統(tǒng)信息安全漏洞信息的收集��、匯總和分析研判工作,及時(shí)向上級主管部門和相關(guān)部門報(bào)告發(fā)現(xiàn)的問題���,及時(shí)發(fā)布有關(guān)漏洞、風(fēng)險(xiǎn)和預(yù)警信息��。
第八條 省級信息化主管部門應(yīng)會同行業(yè)主管或監(jiān)管部門���、國有資產(chǎn)監(jiān)督管理部門以及其他信息安全管理部門���,每年至少組織1次全省重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全狀況抽查����、關(guān)鍵設(shè)備抽檢,排查安全隱患�,堵塞安全漏洞����,通報(bào)發(fā)現(xiàn)問題并敦促整改�����。
工業(yè)控制系統(tǒng)主管單位對抽查�����、抽檢發(fā)現(xiàn)的問題,應(yīng)認(rèn)真落實(shí)整改意見���,并在3個(gè)月內(nèi)向工業(yè)控制系統(tǒng)所在地信息化主管部門報(bào)告整改情況。
第九條 參與抽查���、抽檢的技術(shù)檢測機(jī)構(gòu)與人員,應(yīng)具有由國家權(quán)威機(jī)構(gòu)認(rèn)定的信息安全服務(wù)能力和水平��,獲省級以上信息化主管部門備案���,并接受省級以上信息化主管部門監(jiān)督管理���。
委托技術(shù)檢測機(jī)構(gòu)檢查前��,委托部門或單位應(yīng)與技術(shù)檢測機(jī)構(gòu)簽訂安全保密協(xié)議,明確保密責(zé)任和保密期限����。必要時(shí)����,應(yīng)對參與檢測人員的背景進(jìn)行安全審查。
第十條 實(shí)施安全技術(shù)檢測的機(jī)構(gòu)及人員應(yīng)嚴(yán)格遵守檢查工作紀(jì)律�����,周密制定檢測方案��,對技術(shù)檢測可能引發(fā)的安全風(fēng)險(xiǎn)進(jìn)行認(rèn)真評估�,采取規(guī)避或控制安全風(fēng)險(xiǎn)措施�,保證被檢查工業(yè)控制系統(tǒng)的安全正常運(yùn)行。
對技術(shù)檢測結(jié)果及過程文檔�、信息應(yīng)加強(qiáng)保密管理����,除按規(guī)定報(bào)送外���,不得以任何方式提供給其他單位或個(gè)人����;未經(jīng)委托部門或單位同意不得用于任何用途。對于違反信息安全和保密管理制度造成信息安全事故或泄密事件的����,依法追究當(dāng)事人和有關(guān)負(fù)責(zé)人的責(zé)任。
第十一條 對于工業(yè)控制系統(tǒng)主管單位拒絕接受檢查或不履行信息安全管理職責(zé)���、義務(wù)而發(fā)生安全事故的,應(yīng)呈報(bào)其上級部門并追究其負(fù)責(zé)人的相應(yīng)責(zé)任。
對在監(jiān)督管理工作中組織領(lǐng)導(dǎo)不力����、有關(guān)要求不落實(shí)的�,予以通報(bào)批評����。對未按照規(guī)定流程開展檢查而導(dǎo)致發(fā)生安全事故的,應(yīng)追究檢查組織方負(fù)責(zé)人的相應(yīng)責(zé)任。
掃一掃在手機(jī)打開當(dāng)前頁