成都天府新区经安局、成都高新区经济运行局,各区(市)县工业和信息化部门,各有关企业: 为贯彻落实《中华人民共和国网络安全法》《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》《工业和信息化部关于印发<工业控制系统信息安全行动计划(2018-2020年)>的通知》(工信部信软〔2017〕316号)、《工业和信息化部关于印发<工业控制系统信息安全防护指南>的通知》(工信部信软〔2016〕338号)、《成都市人民政府办公厅关于加快推进网络信息安全产业体系建设发展的意见》(成办函〔2018〕160号)和《成都市工业信息安全三年行动计划》(成网安领办〔2019〕1号)等文件要求,切实提升全市工业信息安全管理工作水平,为进一步加强我市重要工业信息安全防护能力,防范和遏制工业领域重大网络信息安全事件,现就有关工作通知如下。 一、总体要求 深入贯彻党的十九大精神,以习近平总书记关于制造强国和网络强国的重要论述为指引,聚焦我市建设“中国网络信息安全之城”的总体要求,牢固树立安全发展理念,按照属地管理、分级负责、动态更新、科学监管的原则,落实工业信息安全管理责任,着力构建动态分级、监督检查、预警通报、应急处置和试点示范为一体的工业信息安全科学治理体系,为建设全面体现新发展理念的城市奠定工业信息安全基础。 二、落实企业工业信息安全主体责任 (一)落实工业信息安全主体责任。企业是工业信息安全责任主体,企业主要负责人是本单位工业信息安全第一责任人。企业按照谁运营谁负责、谁使用谁负责的原则,参照《成都市工业信息安全管理工作实施指南(2019版)》要求全面落实工业信息安全主体责任,厘清界面、强化考核,严格责任追究,确保工业信息安全责任全覆盖。 (二)健全企业工业信息安全管理体系。企业应建立工业信息安全责任制,确定工业信息安全负责人、工作部门以及具体岗位和人员,制定工业信息安全管理制度和操作规程。“特别重点”级别企业须设置专门安全管理机构,建立首席网络安全官制度,明确工业信息安全联络专员,对重要岗位人员强化岗前安全背景审查,定期对从业人员进行工业信息安全教育、技术培训和技能考核,建立工业信息安全关键岗位专业技术人员持证上岗制度,制定工业信息安全事件应急预案并定期开展演练,加强对相关产品和服务供应商运维人员的安全管理,保障工业信息安全工作投入。 (三)持续做好系统安全分级工作。企业按照《网络安全法》相关要求及时梳理本企业工控系统、设备、应用系统、网络及相关重要数据等工业领域相关信息系统情况,根据系统重要程度、事件产生影响程度和抵御安全威胁程度等要素对系统安全级别进行综合评估,参照《成都市工业信息安全分级管理办法(2019版)》(以下简称《分级办法》)要求对本企业工业信息系统开展安全分级,编制本企业重要工业信息系统目录清单,明确重点保护对象,定期更新并上报主管部门。 (四)提升工业信息安全防护能力。企业应全面落实各项工业信息安全监测和防护措施,履行法定责任和义务。对“重要”及以上级别工业信息系统实施重点保护。对“特别重要”级别工业信息系统全面落实系统全生命周期安全措施;加强供应链安全管理,依法采购、使用安全认证合格或者通过安全检测的网络关键设备和网络安全专用产品,采购可能影响国家安全的网络产品和服务应通过安全审查;强化日常安全运维,及时对系统安全风险采取补救措施;采取数据分类、容灾备份和加密认证等措施,对重要数据和数据库境内存储。 (五)建立系统安全检测评估机制。企业应建立自评估为主、第三方评估为辅的安全检测、检查和风险评估工作机制,及时开展检查评估。“特别重要”级别工业信息系统上线运行前或者发生重大变化时应按相关要求开展安全检测评估;系统运行时,企业应当自行或委托网络安全服务机构对系统安全性和可能存在的风险隐患每年至少进行一次检测评估,对发现的问题及时进行整改,并将有关情况报相关主管部门。 三、建设工业信息安全科学治理体系 (一)切实落实工业信息安全监管责任。按照谁主管谁负责的原则,市经信局、市水务局、市应急局、市国资委等有关市级主管部门应履行本领域工业信息安全监督管理职责,各区(市)县工业与信息化主管部门应履行工业信息安全属地监督管理职责,建立健全监管制度和工作机制,强化对所辖企业的工业信息安全监管工作。 (二)动态完善工业信息安全分级清单。市经信局负责牵头全市工业领域信息安全分级工作,明确“重点”及以上级别企业责任部门,定期下发全市重点企业和重要工业信息系统目录清单(以下简称“目录清单”)。有关市级主管部门和各区(市)县工业与信息化主管部门(以下简称“各相关主管部门”)应参照《分级办法》要求,建立梳理并动态完善本领域、本区域目录清单,对所辖“重点”及以上级别企业建立日常联络机制,及时备案上报相关企业工业信息安全责任人和企业工业信息安全联络专员情况。 (三)强化工业信息安全监督检查工作。各相关主管部门按照责任分工,定期开展专项督查,重点督促所辖“重点”及以上级别企业切实落实工业信息安全责任制、建立分级目录清单、健全安全管理制度和技术防护措施等工作,每年对所辖“特别重点”级别企业工业信息安全工作开展情况进行现场检查,必要时可委托专业机构进行安全抽查,及时上报发现问题,并组织企业进行整改。 (四)健全工业信息安全预警通报机制。市经信局牵头建立全市工业信息安全监测预警和信息通报机制,统筹协调各相关主管部门加强信息收集、分析和通报工作,汇总、发布全市工业信息安全监测预警信息。各相关主管部门加强本行业、本领域安全监测预警和信息通报工作,及时掌握并上报所辖“特别重点”级别企业和相关系统运行状态和安全风险,向企业通报安全风险和相关工作信息。 (五)提高工业信息安全应急处置能力。市经信局健全完善我市工业领域网络信息安全风险评估和应急工作机制,参与协调处理全市工业领域网络信息安全重大事件。各相关主管部门加强本领域工业信息安全风险评估和应急工作,结合实际制定本领域工业信息安全事件应急预案,明确应急处置工作流程和处置权限,建立工业信息安全应急支撑技术队伍和应急资源库,定期组织开展应急演练。各相关主管部门设立部门工业信息安全联络员,与网信和公安等加强联动,形成覆盖全市、快速高效的工业信息安全应急联动网络。发生工业信息安全事件,各相关主管部门应当立即启动工业信息安全事件应急预案,及时消除安全隐患,防止危害扩大。 (六)支持重点领域安全试点示范工作。聚焦水务、燃气、电力、智能制造和工业互联网应用等重点领域,推进工业信息安全产品、服务和系统解决方案试点示范,定期组织选拔并发布全市工业信息安全优秀应用案例和试点示范企业。各相关主管部门每年至少选择一家“重点”及以上级别企业或“重要”及以上级别工业信息系统推进试点示范工作。 四、保障措施 (一)加强组织领导。市经信局组织协调全市工业领域信息安全管理工作,依托成都市信息化工作领导小组定期组织召开工业信息安全联席会议,加强重大事项统筹,牵头部省合作,完善全市工业领域信息安全工作协调机制。各相关主管部门应制定推进计划并完善工作方案,落实各项政策,确保工作有序推进。 (二)确保资金保障。各级财政应加大对工业信息安全工作的资金保障支持力度,将安全监管工作所需经费纳入本级财政预算,对涉及我市国计民生的重点行业和企业工业信息安全分步骤、有重点地予以支持。 (三)提升服务能力。市经信局牵头组建我市工业领域网络信息安全技术队伍,支撑我市工业信息安全监管工作。市经信局定期遴选、并向社会公布工业信息安全服务机构推荐清单。各相关主管部门定期组织所辖企业开展培训交流,不断提高从业人员政治素质和技术支撑能力。鼓励有条件的区(市)县加大政策扶植力度,加快引进或培育高水平工业信息安全专业机构,加强所辖工业信息技术服务支撑建设,逐步提升监测发现、预警预报和快速处置能力。 (四)完善基础设施。市经信局牵头、各相关主管部门配合,逐步整合现有监测、管理等平台资源,持续提升工业信息安全监测能力和覆盖范围,对接“一网一库三平台”等国家级平台,支撑全市各级工业信息安全监管工作。市经信局统筹推进全市工业领域网络信息安全保障体系建设,促进网络信任体系等信息安全基础设施建设,协助各相关主管部门推动商用密码技术在我市重点工业领域的应用。 附件: 1.成都市工业信息安全管理工作实施指南(2019版) 2.成都市工业信息安全分级管理办法(2019版) 3.成都市工业信息安全事件应急预案(2019版) 成都市经济和信息化局 2019年7月22日
附件下载
我要申报
