|
各轄市、區(qū)經(jīng)濟和信息化主管部門���,各有關(guān)企業(yè):
為切實保障工業(yè)生產(chǎn)運行安全和企業(yè)信息化健康發(fā)展�,省經(jīng)信委印發(fā)了《關(guān)于加強工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理的指導(dǎo)意見》����,現(xiàn)將文件轉(zhuǎn)發(fā)給你們,請認真貫徹執(zhí)行����。各地要認真梳理本地區(qū)工業(yè)企業(yè),重點是鋼鐵�����、有色����、化工�、裝備制造����、電子信息、石油石化等領(lǐng)域����,建立信息安全員隊伍,并于6月20日前填寫信息安全員名單匯總表(見附件2)報我委備案����。
聯(lián)系人;戴國俊����,電話:0519-85681279。
附件:
1.關(guān)于印發(fā)加強工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理的指導(dǎo)意見的通知
2.重點工業(yè)企業(yè)信息安全員名單匯總表
2017年6月14日
關(guān)于印發(fā)加強工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理的指導(dǎo)意見的通知
蘇經(jīng)信信安〔2017〕333號
各設(shè)區(qū)市經(jīng)濟和信息化主管部門��,昆山�、泰興、沫陽經(jīng)信委(局)��,各有關(guān)單位:
為切實保障工業(yè)生產(chǎn)運行安全和企業(yè)信息化健康發(fā)展,我委制定了《關(guān)于加強工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理的指導(dǎo)意見》��,請結(jié)合本地區(qū)�、本單位實際,抓好貫徹落實�。其中,各地要認真梳理本地區(qū)工業(yè)企業(yè)�,加快建立信息安全員隊伍,請于6月20日前將相應(yīng)情況報我委備案�����。
聯(lián)系人:趙江山�,電話:025-82288063。
江蘇省經(jīng)濟和信息化委員會
2017年5月23日
關(guān)于加強工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理的指導(dǎo)意見
隨著兩化融合��、智能制造發(fā)展進程不斷深入�����,工業(yè)領(lǐng)域面臨的信息安全形勢日益緊迫����,亟需加快建立網(wǎng)絡(luò)信息安全保障體系���。為貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》�����,加快實施工業(yè)和信息化部《工業(yè)控制系統(tǒng)信息安全防護指南》�,切實提升全省工業(yè)企業(yè)信息安全防護水平,保障工業(yè)生產(chǎn)運行安全和企業(yè)信息化健康發(fā)展��,現(xiàn)提出如下指導(dǎo)意見:
一�、總體要求
堅持發(fā)展是第一要務(wù),把工業(yè)生產(chǎn)運行建立在安全可控可持續(xù)的基礎(chǔ)上����;堅持“積極防御、綜合防范”方針�,落實信息安全管理責(zé)任,強化安全監(jiān)管和服務(wù)保障�;有效保護全省工業(yè)領(lǐng)域重點企業(yè)重要信息系統(tǒng)、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全���,加快構(gòu)建全省工業(yè)領(lǐng)域網(wǎng)絡(luò)信息安全保障體系�����,為江蘇“制造強省”建設(shè)和推動“兩聚一高”發(fā)展奠定堅實基礎(chǔ)�。
二、建立工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理體系
各級經(jīng)濟和信息化主管部門(以下簡稱為“經(jīng)信主管部門”)負責(zé)本地區(qū)工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理體系建設(shè)以及對企業(yè)工作的指導(dǎo)與監(jiān)督檢查����。
(一)加強制度設(shè)計
各級經(jīng)信主管部門在制定信息化、智能化發(fā)展規(guī)劃時��,應(yīng)同步制定工業(yè)領(lǐng)域信息安全發(fā)展規(guī)劃�,加強基礎(chǔ)調(diào)查與制度設(shè)計,明確工作方向���,研究確立本地區(qū)網(wǎng)絡(luò)信息安全管理體系建設(shè)的實施路徑�、主要任務(wù)���、保障措施及推進計劃�。加快完善工業(yè)領(lǐng)域信息安全等級保護���、風(fēng)險評估、應(yīng)急管理�����、監(jiān)督檢查等機制���,指導(dǎo)工業(yè)企業(yè)規(guī)范信息安全管理�、加強重要信息系統(tǒng)防護。有條件的地區(qū)可促進工業(yè)領(lǐng)域信息安全管理立法����,為強化工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理提供法律支撐。
(二)強化組織建設(shè)
各級經(jīng)信主管部門要加快建立并切實落實工業(yè)企業(yè)網(wǎng)絡(luò)信息安全責(zé)任制���,明確主管領(lǐng)導(dǎo)�����、責(zé)任部門和管理職責(zé)�����。指導(dǎo)工業(yè)企業(yè)建立網(wǎng)絡(luò)信息安全責(zé)任制��,組建網(wǎng)絡(luò)信息安全管理機構(gòu)���,將管理責(zé)任層層分解落實到企業(yè)主要領(lǐng)導(dǎo)、工作部門以及具體崗位和人員�����。
加快工業(yè)企業(yè)信息安全管理隊伍建設(shè)。推動重點工業(yè)企業(yè)設(shè)立信息安全員崗位�����,負責(zé)制定并監(jiān)督執(zhí)行企業(yè)安全管理制度��、安全措施和技術(shù)標準等���,組織協(xié)調(diào)企業(yè)內(nèi)部信息安全各項工作����,聯(lián)系網(wǎng)絡(luò)和信息技術(shù)服務(wù)商�、安全服務(wù)提供商等。推進有條件的工業(yè)企業(yè)設(shè)立首席信息安全官(CSO)�����。定期組織開展對重點工業(yè)企業(yè)首席信息安全官���、信息安全員的業(yè)務(wù)培訓(xùn)�����。
(三)確保資金投入
各級經(jīng)信主管部門要確保工業(yè)企業(yè)網(wǎng)絡(luò)信息安全管理工作所必要的資金投入����。將涉及本地區(qū)工業(yè)領(lǐng)域重點工業(yè)企業(yè)的信息安全培訓(xùn)交流���、檢查評估�、應(yīng)急服務(wù)等費用���,按規(guī)定納入年度地方財政預(yù)算����,期間不得向工業(yè)企業(yè)收取任何費用�。
對于本地區(qū)重點工業(yè)企業(yè)開展網(wǎng)絡(luò)信息安全試點示范、信息安全管理體系認證以及網(wǎng)絡(luò)信息系統(tǒng)整改加固和安全優(yōu)化的�,所在地經(jīng)信主管部門可在項目成功實施后,給予一定財政補助或獎勵����。
三、指導(dǎo)工業(yè)企業(yè)強化信息安全管理技術(shù)措施
各級經(jīng)信主管部門要組織建立本地區(qū)重點工業(yè)企業(yè)名錄�����,指導(dǎo)名錄上工業(yè)企業(yè)切實貫徹落實國家���、省有關(guān)網(wǎng)絡(luò)信息安全法律法規(guī)和標準規(guī)范�,建立健全各項管理機制和技術(shù)保障措施,加快提升工業(yè)企業(yè)信息安全防護水平����。
(四)健全企業(yè)管理制度
督促各工業(yè)企業(yè)抓緊落實等級保護、分級保護和風(fēng)險評估制度�,建立健全定期自查和風(fēng)險評估長效機制,及時對網(wǎng)絡(luò)和信息系統(tǒng)進行整改加固�����。支持重點工業(yè)企業(yè)根據(jù)企業(yè)信息資產(chǎn)�����、面臨的安全威脅以及可能導(dǎo)致信息安全事件等情況���,研究制定企業(yè)信息安全建設(shè)專項規(guī)劃并組織實施�����。
設(shè)區(qū)市以上經(jīng)信主管部門要加大業(yè)務(wù)指導(dǎo)力度�����,指導(dǎo)本地區(qū)鋼鐵�����、冶金��、石化�����、裝備制造等重點領(lǐng)域工業(yè)企業(yè)制定實施關(guān)鍵信息基礎(chǔ)設(shè)施信息安全規(guī)劃�,編制應(yīng)急預(yù)案并開展應(yīng)急演練���。對其他擁有工業(yè)控制系統(tǒng)的重點工業(yè)企業(yè)����,所在地經(jīng)信主管部門要明確要求其制定并落實專項應(yīng)急預(yù)案�,組織開展預(yù)案效能專項評估,進一步明確應(yīng)急流程和處置權(quán)限����,落實應(yīng)急技術(shù)支撐隊伍,定期組織開展應(yīng)急演練�����。
督促各工業(yè)企業(yè)加大資金投入力度,確保能夠滿足已建網(wǎng)絡(luò)信息系統(tǒng)必要的信息安全費用需求�。同時,工業(yè)企業(yè)新建技術(shù)改造或信息化��、智能化項目的���,應(yīng)同步規(guī)劃��、建設(shè)和運行信息安全防護系統(tǒng)�����,信息安全建設(shè)運行費用應(yīng)納入項目預(yù)算����,加強資金保障和使用監(jiān)管��。
(五)規(guī)范人員管理和培養(yǎng)
各級經(jīng)信主管部門要指導(dǎo)各工業(yè)企業(yè)建立員工信息安全和保密責(zé)任制度�����,對重點部位實施人員準入管理,對重要崗位強化員工崗前安全審查�����,簽訂保密承諾書��,對離崗離職員工實行脫密脫敏管理����。
推動各工業(yè)企業(yè)定期組織企業(yè)職工教育培訓(xùn)�,增強全員信息安全意識。強化對重要崗位��、重要部位管理技術(shù)人員的技能培訓(xùn)�,努力提升信息安全基礎(chǔ)知識和防護技能水平。
(六)強化信息系統(tǒng)技術(shù)防護
指導(dǎo)各工業(yè)企業(yè)綜合采用網(wǎng)絡(luò)隔離�����、訪問控制�����、密碼保護�����、配置核查、安全審計���、災(zāi)難備份等技術(shù)手段���,強化對企業(yè)內(nèi)部網(wǎng)絡(luò)、網(wǎng)站和業(yè)務(wù)信息系統(tǒng)的技術(shù)保護���。嚴格對移動存儲設(shè)備����、無線路由器等接入設(shè)備的安全管理��。做好突發(fā)信息安全事件應(yīng)急準備���,關(guān)鍵網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備�、終端設(shè)備�、軟件系統(tǒng)和重要數(shù)據(jù)要采取必要的備機����、備件�����、備份等容災(zāi)措施���。重點企業(yè)或有條件的工業(yè)企業(yè)要制定技術(shù)防護工作指南及相應(yīng)標準規(guī)范��,具體指導(dǎo)本單位技術(shù)防護工作。
(七)加強工業(yè)控制系統(tǒng)安全防護
各級經(jīng)信主管部門要加大對《工業(yè)控制系統(tǒng)信息安全防護指南》及相關(guān)標準規(guī)范的宣傳培訓(xùn)力度���,督促各工業(yè)企業(yè)按照要求�����,加快制定“工控安全防護實施方案”并組織實施�,努力強化邊界安全防護����、身份認證管控、數(shù)據(jù)安全保護���、物理和環(huán)境安全防護�����、安全監(jiān)測等措施�����,做好遠程訪問管理��、安全軟件管理����、配置和補丁管理、供應(yīng)鏈管理��、資產(chǎn)管理���、應(yīng)急管理等工作��,不斷提升企業(yè)工業(yè)控制系統(tǒng)信息安全防護水平����。
四����、強化安全監(jiān)督檢查與服務(wù)保障
各級經(jīng)信主管部門要認真履行職責(zé)�,圍繞增強工業(yè)企業(yè)主體責(zé)任和內(nèi)生動力����,突出監(jiān)管督查、技術(shù)支撐和服務(wù)保障等手段���,為提升工業(yè)企業(yè)信息安全管理水平營造良好外部環(huán)境��。
(八)強化安全監(jiān)管督查
各級經(jīng)信主管部門要會同有關(guān)部門����,定期開展專項督查����,督促重點工業(yè)企業(yè)切實落實網(wǎng)絡(luò)信息安全管理責(zé)任制�、制定實施關(guān)鍵信息基礎(chǔ)設(shè)施保護規(guī)劃、健全安全管理制度和技術(shù)防護措施等工作��。必要時可委托專業(yè)機構(gòu)進行安全抽查���。
設(shè)區(qū)市以上經(jīng)信主管部門要建立工業(yè)領(lǐng)域信息安全通報機制和協(xié)同工作平臺��,及時通報上級部門發(fā)布的吝類漏洞隱患�、風(fēng)險監(jiān)測和預(yù)報預(yù)警等信息,指導(dǎo)轄區(qū)內(nèi)有關(guān)工業(yè)企業(yè)有效應(yīng)對�。如發(fā)現(xiàn)重大安全線索的,應(yīng)及時報送省級經(jīng)信主管部門���。
各級經(jīng)信主管部門在履行網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)中�,如發(fā)現(xiàn)可能存在較大安全隱患或者發(fā)生安全事件的���,要及時向本級人民政府和上一級經(jīng)信主管部門直至省級經(jīng)信主管部門匯報���。單位或者個人因瞞報、漏報導(dǎo)致突發(fā)信息安全事件或危害擴大的���,將承擔(dān)相應(yīng)行政��、法律等責(zé)任�����。省級經(jīng)信主管部門將按照規(guī)定的權(quán)限和程序?qū)ι媸鹿I(yè)企業(yè)的法定代表人或者主要負責(zé)人進行約談����。因信息安全事件,導(dǎo)致發(fā)生突發(fā)事件或者生產(chǎn)安全事故的�����,應(yīng)當(dāng)依照《中華人民共和國突發(fā)事件應(yīng)對法》����、《中華人民共和國安全生產(chǎn)法》等有關(guān)法律、行政法規(guī)的規(guī)定處置���。
(九)提升技術(shù)支撐服務(wù)能力
各級經(jīng)信主管部門要加大政策扶持和資金投入力度�,加快引進或培育高水平信息安全專業(yè)機構(gòu)和專家隊伍���。各地至少要明確1家以上技術(shù)支撐單位���,定期開展培訓(xùn)交流,不斷提高從業(yè)人員政治素質(zhì)和技術(shù)支撐服務(wù)能力���。加快組建省級工業(yè)領(lǐng)域信息安全技術(shù)支撐隊伍,設(shè)立專門經(jīng)費���,重點支持在我省從事省級以上重大技術(shù)攻關(guān)���、項目建設(shè)以及承擔(dān)省級以上保障任務(wù)并表現(xiàn)突出的企事業(yè)單位��。
有條件的地區(qū)要加強工業(yè)領(lǐng)域信息安全態(tài)勢感知����、情報分析等技術(shù)能力建設(shè)���,及時采集���、分析和通報安全態(tài)勢信息,逐步提升預(yù)警預(yù)報����、監(jiān)測發(fā)現(xiàn)和快速處置能力。
(十)促進企業(yè)間交流與產(chǎn)業(yè)合作
鼓勵各工業(yè)企業(yè)積極申報或承擔(dān)國家��、省信息安全管理試點示范項目����,充分發(fā)揮試點引領(lǐng)和示范帶頭作用,不斷提升行業(yè)信息安全管理和技術(shù)水平���。鼓勵企業(yè)間開展交流研討活動�,互相學(xué)習(xí)和借鑒信息安全管理成功經(jīng)驗。
支持各工業(yè)企業(yè)與高等院校���、科研院所開展項目合作和聯(lián)合技術(shù)攻關(guān)���,突破工業(yè)控制系統(tǒng)態(tài)勢感知、風(fēng)險評估�、檢測加固等關(guān)鍵共性技術(shù),加快安全可控信息技術(shù)產(chǎn)品與服務(wù)的推廣應(yīng)用��,不斷推動信息安全產(chǎn)業(yè)發(fā)展�����,有力保障我省工業(yè)領(lǐng)域網(wǎng)絡(luò)與信息安全����。
附件2:重點工業(yè)企業(yè)信息安全員名單匯總表
|
序號
|
企業(yè)名稱
|
姓名
|
崗位
|
職務(wù)
|
聯(lián)系電話
|
電子郵箱
/QQ賬號
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
掃一掃在手機打開當(dāng)前頁  |
