关于印发加强工业企业网络信息安全管理的指导意见的通知

20.06.2017  14:41

苏经信信安〔2017〕333号    
各设区市经济和信息化主管部门,昆山、泰兴、沭阳经信委(局),各有关单位:
  为切实保障工业生产运行安全和企业信息化健康发展,我委制定了《关于加强工业企业网络信息安全管理的指导意见》,请结合本地区、本单位实际,抓好贯彻落实。其中,各地要认真梳理本地区工业企业,加快建立信息安全员队伍,请于6月20日前将相应情况报我委备案。
  联系人:赵江山,电话:025-82288063。
                                                                                                        江苏省经济和信息化委员会
                                                                                                  2017年5月23日
       

关于加强工业企业网络信息安全管理的指导意见

  随着两化融合、智能制造发展进程不断深入,工业领域面临的信息安全形势日益紧迫,亟需加快建立网络信息安全保障体系。为贯彻落实《中华人民共和国网络安全法》,加快实施工业和信息化部《工业控制系统信息安全防护指南》,切实提升全省工业企业信息安全防护水平,保障工业生产运行安全和企业信息化健康发展,现提出如下指导意见:

  一、总体要求

  坚持发展是第一要务,把工业生产运行建立在安全可控可持续的基础上;坚持“积极防御、综合防范”方针,落实信息安全管理责任,强化安全监管和服务保障;有效保护全省工业领域重点企业重要信息系统、工业控制系统网络信息安全,加快构建全省工业领域网络信息安全保障体系,为江苏“制造强省”建设和推动“两聚一高”发展奠定坚实基础。

  二、建立工业企业网络信息安全管理体系

  各级经济和信息化主管部门(以下简称为“经信主管部门”)负责本地区工业企业网络信息安全管理体系建设以及对企业工作的指导与监督检查。

  (一)加强制度设计

  各级经信主管部门在制定信息化、智能化发展规划时,应同步制定工业领域信息安全发展规划,加强基础调查与制度设计,明确工作方向,研究确立本地区网络信息安全管理体系建设的实施路径、主要任务、保障措施及推进计划。加快完善工业领域信息安全等级保护、风险评估、应急管理、监督检查等机制,指导工业企业规范信息安全管理、加强重要信息系统防护。有条件的地区可促进工业领域信息安全管理立法,为强化工业企业网络信息安全管理提供法律支撑。

  (二)强化组织建设

  各级经信主管部门要加快建立并切实落实工业企业网络信息安全责任制,明确主管领导、责任部门和管理职责。指导工业企业建立网络信息安全责任制,组建网络信息安全管理机构,将管理责任层层分解落实到企业主要领导、工作部门以及具体岗位和人员。

  加快工业企业信息安全管理队伍建设。推动重点工业企业设立信息安全员岗位,负责制定并监督执行企业安全管理制度、安全措施和技术标准等,组织协调企业内部信息安全各项工作,联系网络和信息技术服务商、安全服务提供商等。推进有条件的工业企业设立首席信息安全官(CSO)。定期组织开展对重点工业企业首席信息安全官、信息安全员的业务培训。

  (三)确保资金投入

  各级经信主管部门要确保工业企业网络信息安全管理工作所必要的资金投入。将涉及本地区工业领域重点工业企业的信息安全培训交流、检查评估、应急服务等费用,按规定纳入年度地方财政预算,期间不得向工业企业收取任何费用。

  对于本地区重点工业企业开展网络信息安全试点示范、信息安全管理体系认证以及网络信息系统整改加固和安全优化的,所在地经信主管部门可在项目成功实施后,给予一定财政补助或奖励。

  三、指导工业企业强化信息安全管理技术措施

  各级经信主管部门要组织建立本地区重点工业企业名录,指导名录上工业企业切实贯彻落实国家、省有关网络信息安全法律法规和标准规范,建立健全各项管理机制和技术保障措施,加快提升工业企业信息安全防护水平。

  (四)健全企业管理制度

  督促各工业企业抓紧落实等级保护、分级保护和风险评估制度,建立健全定期自查和风险评估长效机制,及时对网络和信息系统进行整改加固。支持重点工业企业根据企业信息资产、面临的安全威胁以及可能导致信息安全事件等情况,研究制定企业信息安全建设专项规划并组织实施。

  设区市以上经信主管部门要加大业务指导力度,指导本地区钢铁、冶金、石化、装备制造等重点领域工业企业制定实施关键信息基础设施信息安全规划,编制应急预案并开展应急演练。对其他拥有工业控制系统的重点工业企业,所在地经信主管部门要明确要求其制定并落实专项应急预案,组织开展预案效能专项评估,进一步明确应急流程和处置权限,落实应急技术支撑队伍,定期组织开展应急演练。

  督促各工业企业加大资金投入力度,确保能够满足已建网络信息系统必要的信息安全费用需求。同时,工业企业新建技术改造或信息化、智能化项目的,应同步规划、建设和运行信息安全防护系统,信息安全建设运行费用应纳入项目预算,加强资金保障和使用监管。

  (五)规范人员管理和培养

  各级经信主管部门要指导各工业企业建立员工信息安全和保密责任制度,对重点部位实施人员准入管理,对重要岗位强化员工岗前安全审查,签订保密承诺书,对离岗离职员工实行脱密脱敏管理。

  推动各工业企业定期组织企业职工教育培训,增强全员信息安全意识。强化对重要岗位、重要部位管理技术人员的技能培训,努力提升信息安全基础知识和防护技能水平。

  (六)强化信息系统技术防护

  指导各工业企业综合采用网络隔离、访问控制、密码保护、配置核查、安全审计、灾难备份等技术手段,强化对企业内部网络、网站和业务信息系统的技术保护。严格对移动存储设备、无线路由器等接入设备的安全管理。做好突发信息安全事件应急准备,关键网络设备、安全设备、终端设备、软件系统和重要数据要采取必要的备机、备件、备份等容灾措施。重点企业或有条件的工业企业要制定技术防护工作指南及相应标准规范,具体指导本单位技术防护工作。

  (七)加强工业控制系统安全防护

  各级经信主管部门要加大对《工业控制系统信息安全防护指南》及相关标准规范的宣传培训力度,督促各工业企业按照要求,加快制定“工控安全防护实施方案”并组织实施,努力强化边界安全防护、身份认证管控、数据安全保护、物理和环境安全防护、安全监测等措施,做好远程访问管理、安全软件管理、配置和补丁管理、供应链管理、资产管理、应急管理等工作,不断提升企业工业控制系统信息安全防护水平。

  四、强化安全监督检查与服务保障

  各级经信主管部门要认真履行职责,围绕增强工业企业主体责任和内生动力,突出监管督查、技术支撑和服务保障等手段,为提升工业企业信息安全管理水平营造良好外部环境。

  (八)强化安全监管督查

  各级经信主管部门要会同有关部门,定期开展专项督查,督促重点工业企业切实落实网络信息安全管理责任制、制定实施关键信息基础设施保护规划、健全安全管理制度和技术防护措施等工作。必要时可委托专业机构进行安全抽查。

  设区市以上经信主管部门要建立工业领域信息安全通报机制和协同工作平台,及时通报上级部门发布的各类漏洞隐患、风险监测和预报预警等信息,指导辖区内有关工业企业有效应对。如发现重大安全线索的,应及时报送省级经信主管部门。

  各级经信主管部门在履行网络安全监督管理职责中,如发现可能存在较大安全隐患或者发生安全事件的,要及时向本级人民政府和上一级经信主管部门直至省级经信主管部门汇报。单位或者个人因瞒报、漏报导致突发信息安全事件或危害扩大的,将承担相应行政、法律等责任。省级经信主管部门将按照规定的权限和程序对涉事工业企业的法定代表人或者主要负责人进行约谈。因信息安全事件,导致发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

  (九)提升技术支撑服务能力

  各级经信主管部门要加大政策扶持和资金投入力度,加快引进或培育高水平信息安全专业机构和专家队伍。各地至少要明确1家以上技术支撑单位,定期开展培训交流,不断提高从业人员政治素质和技术支撑服务能力。加快组建省级工业领域信息安全技术支撑队伍,设立专门经费,重点支持在我省从事省级以上重大技术攻关、项目建设以及承担省级以上保障任务并表现突出的企事业单位。

  有条件的地区要加强工业领域信息安全态势感知、情报分析等技术能力建设,及时采集、分析和通报安全态势信息,逐步提升预警预报、监测发现和快速处置能力。

  (十)促进企业间交流与产业合作

  鼓励各工业企业积极申报或承担国家、省信息安全管理试点示范项目,充分发挥试点引领和示范带头作用,不断提升行业信息安全管理和技术水平。鼓励企业间开展交流研讨活动,互相学习和借鉴信息安全管理成功经验。

  支持各工业企业与高等院校、科研院所开展项目合作和联合技术攻关,突破工业控制系统态势感知、风险评估、检测加固等关键共性技术,加快安全可控信息技术产品与服务的推广应用,不断推动信息安全产业发展,有力保障我省工业领域网络与信息安全。