【法规名称】
【颁布部门】 江苏省政府
【发文字号】 苏政办发[2012]72号
【颁布时间】 2012-04-17
【实施时间】 2012-04-17
【效力属性】 有效
【法规编号】 582581 什么是编号?
【正 文】
江苏省人民政府办公厅关于转发省经济和信息化委江苏省工业控制系统信息安全监督管理实施办法(试行)的通知
|
江苏省人民政府办公厅关于转发省经济和信息化委江苏省工业控制系统信息安全监督管理实施办法(试行)的通知 各市、县(市、区)人民政府,省各委办厅局,省各直属单位: 省经济和信息化委制定的《江苏省工业控制系统信息安全监督管理实施办法(试行)》已经省人民政府同意,现印发给你们,请认真组织实施。 二○一二年四月十七日 江苏省工业控制系统信息安全 监督管理实施办法(试行) (省经济和信息化委) 第一条 为规范和加强我省范围内工业控制系统信息安全管理工作,提高信息安全防护和应急响应能力,确保工业生产运行、国民经济和人民生命财产安全,依据《工业和信息化部关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)、《江苏省网络与信息安全事件应急预案》(苏政办发〔2009〕51号)等文件精神,结合工作实际,制定本办法。 第二条 本办法所称工业控制系统,指采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术控制生产设备运行的系统。本办法所称重点领域,主要指核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。 第三条 本省行政区域内工业控制系统的信息安全管理及监督检查活动,适用于本办法。 第四条 各级信息化主管部门负责行政区域内工业控制系统信息安全工作指导和监督检查。有关行业主管或监管部门、国有资产监督管理部门负责协调、督促工业控制系统主管单位开展信息安全管理及落实安全整改等工作。 第五条 工业控制系统信息安全按照属地化原则进行监督管理。各地区、各部门和各有关单位要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,加强对工业控制系统信息安全管理工作的领导,明确责任部门和人员,建立并落实信息安全责任制和事件通报制度,健全完善相关管理技术措施,接受信息化主管部门的监督检查并配合做好安全整改工作。 第六条 各地区、各部门和各有关单位要结合实际,明确加强工业控制系统信息安全管理的重点领域和重点环节,切实落实以下要求: (一)组织制度要求。明确信息安全主管领导、管理机构和管理人员,健全工作机制,严格落实责任制,将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员,确保领导到位、机构到位、人员到位、措施到位、资金到位。 (二)网络连接要求。断开工业控制系统同公共网络之间的所有不必要连接。对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。 (三)组网管理要求。工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。采取虚拟专用网络(vpn)、线路冗余备份、数据加密等措施,加强对关键工业控制系统远程通信的保护。对无线组网采取严格的身份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端单元(rtu)进而控制部分或整个工业控制系统。 (四)配置管理要求。建立控制服务器等工业控制系统关键设备安全配置和审计制度。严格账户管理,根据工作需要合理分类设置账户权限。严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。 (五)设备选择与升级管理要求。慎重选择工业控制系统设备,在供货合同中或以其他方式明确供应商承担的信息安全责任和义务,确保产品安全可控。加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。密切关注产品漏洞和补丁发布,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前须请专业技术机构进行安全评估和验证。 (六)数据管理要求。地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等,要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护,切实维护个人权益、企业利益和国家信息资源安全。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!