省政府办公厅关于转发省经济和信息化委江苏省工业控制系统信息安全监督管理实施办法(试行)的通知
发布日期:2012-04-17 15:17 字体:[ ]

省政府办公厅关于转发省经济和信息化委
江苏省工业控制系统信息安全监督管理
实施办法(试行)的通知
苏政办发〔2012〕72号  2012年4月17日

 


各市、县(市、区)人民政府,省各委办厅局,省各直属单位:
        省经济和信息化委制定的《江苏省工业控制系统信息安全监督管理实施办法(试行)》已经省人民政府同意,现印发给你们,请认真组织实施。

 

江苏省工业控制系统信息安全监督管理实施办法(试行)
省经济和信息化委


        第一条 为规范和加强我省范围内工业控制系统信息安全管理工作,提高信息安全防护和应急响应能力,确保工业生产运行、国民经济和人民生命财产安全,依据《工业和信息化部关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)、《江苏省网络与信息安全事件应急预案》(苏政办发〔2009〕51号)等文件精神,结合工作实际,制定本办法。
        第二条 本办法所称工业控制系统,指采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术控制生产设备运行的系统。本办法所称重点领域,主要指核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。
        第三条 本省行政区域内工业控制系统的信息安全管理及监督检查活动,适用于本办法。
        第四条 各级信息化主管部门负责行政区域内工业控制系统信息安全工作指导和监督检查。有关行业主管或监管部门、国有资产监督管理部门负责协调、督促工业控制系统主管单位开展信息安全管理及落实安全整改等工作。
        第五条 工业控制系统信息安全按照属地化原则进行监督管理。各地区、各部门和各有关单位要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,加强对工业控制系统信息安全管理工作的领导,明确责任部门和人员,建立并落实信息安全责任制和事件通报制度,健全完善相关管理技术措施,接受信息化主管部门的监督检查并配合做好安全整改工作。
        第六条 各地区、各部门和各有关单位要结合实际,明确加强工业控制系统信息安全管理的重点领域和重点环节,切实落实以下要求:
        (一)组织制度要求。明确信息安全主管领导、管理机构和管理人员,健全工作机制,严格落实责任制,将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员,确保领导到位、机构到位、人员到位、措施到位、资金到位。
        (二)网络连接要求。断开工业控制系统同公共网络之间的所有不必要连接。对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
        (三)组网管理要求。工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对关键工业控制系统远程通信的保护。对无线组网采取严格的身份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端单元(RTU)进而控制部分或整个工业控制系统。
        (四)配置管理要求。建立控制服务器等工业控制系统关键设备安全配置和审计制度。严格账户管理,根据工作需要合理分类设置账户权限。严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
        (五)设备选择与升级管理要求。慎重选择工业控制系统设备,在供货合同中或以其他方式明确供应商承担的信息安全责任和义务,确保产品安全可控。加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。密切关注产品漏洞和补丁发布,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前须请专业技术机构进行安全评估和验证。
        (六)数据管理要求。地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等,要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护,切实维护个人权益、企业利益和国家信息资源安全。
        (七)应急管理要求。制定工业控制系统信息安全应急预案,明确应急处置流程和临机处置权限,落实应急技术支撑队伍,根据实际情况采取必要的备机、备件等容灾备份措施。
        第七条 工业控制系统主管单位应定期组织开展信息安全检查。请专业技术机构对所使用的工业控制系统关键设备进行安全测评,检测安全漏洞,评估安全风险。重点领域的工业控制系统每年至少进行1次全面的安全检查。对检查中发现的问题要及时采取措施进行安全整改,并报告所在地信息化主管部门。
        各级信息化主管部门应重视工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作,及时向上级主管部门和相关部门报告发现的问题,及时发布有关漏洞、风险和预警信息。
        第八条 省级信息化主管部门应会同行业主管或监管部门、国有资产监督管理部门以及其他信息安全管理部门,每年至少组织1次全省重点领域工业控制系统信息安全状况抽查、关键设备抽检,排查安全隐患,堵塞安全漏洞,通报发现问题并敦促整改。
        工业控制系统主管单位对抽查、抽检发现的问题,应认真落实整改意见,并在3个月内向工业控制系统所在地信息化主管部门报告整改情况。
        第九条 参与抽查、抽检的技术检测机构与人员,应具有由国家权威机构认定的信息安全服务能力和水平,获省级以上信息化主管部门备案,并接受省级以上信息化主管部门监督管理。
        委托技术检测机构检查前,委托部门或单位应与技术检测机构签订安全保密协议,明确保密责任和保密期限。必要时,应对参与检测人员的背景进行安全审查。
        第十条 实施安全技术检测的机构及人员应严格遵守检查工作纪律,周密制定检测方案,对技术检测可能引发的安全风险进行认真评估,采取规避或控制安全风险措施,保证被检查工业控制系统的安全正常运行。
        对技术检测结果及过程文档、信息应加强保密管理,除按规定报送外,不得以任何方式提供给其他单位或个人;未经委托部门或单位同意不得用于任何用途。对于违反信息安全和保密管理制度造成信息安全事故或泄密事件的,依法追究当事人和有关负责人的责任。
        第十一条 对于工业控制系统主管单位拒绝接受检查或不履行信息安全管理职责、义务而发生安全事故的,应呈报其上级部门并追究其负责人的相应责任。
        对在监督管理工作中组织领导不力、有关要求不落实的,予以通报批评。对未按照规定流程开展检查而导致发生安全事故的,应追究检查组织方负责人的相应责任。

扫一扫在手机打开当前页
Produced By 大汉网络 大汉版通发布系统