第六条 各地区、各部门和各有关单位要结合实际,明确加强工业控制系统信息安全管理的重点领域和重点环节,切实落实以下要求:
(一)组织制度要求。明确信息安全主管领导、管理机构和管理人员,健全工作机制,严格落实责任制,将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员,确保领导到位、机构到位、人员到位、措施到位、资金到位。
(二)网络连接要求。断开工业控制系统同公共网络之间的所有不必要连接。对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
(三)组网管理要求。工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对关键工业控制系统远程通信的保护。对无线组网采取严格的身份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端单元(RTU)进而控制部分或整个工业控制系统。
(四)配置管理要求。建立控制服务器等工业控制系统关键设备安全配置和审计制度。严格账户管理,根据工作需要合理分类设置账户权限。严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
(五)设备选择与升级管理要求。慎重选择工业控制系统设备,在供货合同中或以其他方式明确供应商承担的信息安全责任和义务,确保产品安全可控。加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。密切关注产品漏洞和补丁发布,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前须请专业技术机构进行安全评估和验证。
(六)数据管理要求。地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等,要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护,切实维护个人权益、企业利益和国家信息资源安全。
(七)应急管理要求。制定工业控制系统信息安全应急预案,明确应急处置流程和临机处置权限,落实应急技术支撑队伍,根据实际情况采取必要的备机、备件等容灾备份措施。
第七条 工业控制系统主管单位应定期组织开展信息安全检查。请专业技术机构对所使用的工业控制系统关键设备进行安全测评,检测安全漏洞,评估安全风险。重点领域的工业控制系统每年至少进行1次全面的安全检查。对检查中发现的问题要及时采取措施进行安全整改,并报告所在地信息化主管部门。
