关于加强工业控制系统信息安全管理的通知
作者:法律资料网 时间:2024-05-18 13:01:14 浏览:9144
来源:法律资料网
关于加强工业控制系统信息安全管理的通知
工业和信息化部
关于加强工业控制系统信息安全管理的通知
工信部协[2011]451号
各省、自治区、直辖市人民政府,国务院有关部门,有关国有大型企业:
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为切实加强工业控制系统信息安全管理,经国务院同意,现就有关事项通知如下:
一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性
数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。
二、明确重点领域工业控制系统信息安全管理要求
加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。各地区、各部门、各单位要结合实际,明确加强工业控制系统信息安全管理的重点领域和重点环节,切实落实以下要求。
(一)连接管理要求。
1. 断开工业控制系统同公共网络之间的所有不必要连接。
2. 对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
(二)组网管理要求。
1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
2. 采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对关键工业控制系统远程通信的保护。
3. 对无线组网采取严格的身份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端单元(RTU)进而控制部分或整个工业控制系统。
(三)配置管理要求。
1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。
2. 严格账户管理,根据工作需要合理分类设置账户权限。
3. 严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。
4. 定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
(四)设备选择与升级管理要求。
1. 慎重选择工业控制系统设备,在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务,确保产品安全可控。
2. 加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。
3. 密切关注产品漏洞和补丁发布,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。
(五)数据管理要求。
地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等,要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护,切实维护个人权益、企业利益和国家信息资源安全。
(六)应急管理要求。
制定工业控制系统信息安全应急预案,明确应急处置流程和临机处置权限,落实应急技术支撑队伍,根据实际情况采取必要的备机备件等容灾备份措施。
三、建立工业控制系统安全测评检查和漏洞发布制度
(一)加强重点领域工业控制系统关键设备的信息安全测评工作。全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准,明确设备安全技术要求。重点领域的有关单位要请专业技术机构对所使用的工业控制系统关键设备进行安全测评,检测安全漏洞,评估安全风险。工业和信息化部会同有关部门对重点领域使用的工业控制系统关键设备进行抽检。
(二)建立工业控制系统信息安全检查制度。工业控制系统运营单位要从实际出发,定期组织开展信息安全检查,排查安全隐患,堵塞安全漏洞。工业和信息化部适时组织专业技术力量对重点领域工业控制系统信息安全状况进行抽查,及时通报发现的问题。
(三)建立信息安全漏洞信息发布制度。开展工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作,及时发布有关漏洞、风险和预警信息。
四、进一步加强工业控制系统信息安全工作的组织领导
各地区、各部门、各单位要将工业控制系统信息安全管理作为信息安全工作的重要内容,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,建立健全信息安全责任制。各级政府工业和信息化主管部门要加强对工业控制系统信息安全工作的指导和督促检查。有关行业主管或监管部门、国有资产监督管理部门要加强对重点领域工业控制系统信息安全管理工作的指导监督,结合行业实际制定完善相关规章制度,提出具体要求,并加强督促检查确保落到实处。有关部门要加快推动工业控制系统信息安全防护技术研究和产品研制,加大工业控制系统安全检测技术和工具研发力度。国有大型企业要切实加强工业控制系统信息安全管理的领导,健全工作机制,严格落实责任制,将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员,确保领导到位、机构到位、人员到位、措施到位、资金到位。
二〇一一年九月二十九日
贵州省地方志工作规定
贵州省人民政府
贵州省地方志工作规定
第109号
《贵州省地方志工作规定》已经2008年10月23日省人民政府第9次常务会议通过,现予公布,自2008年12月15日起施行。
省长 林树森
二○○八年十月二十九日
贵州省地方志工作规定
第一条 为规范地方志的编纂、管理和开发利用,发挥地方志为经济社会发展服务的作用,根据《地方志工作条例》等有关法律、法规的规定,结合本省实际,制定本规定。
第二条 本规定所称地方志,是指冠以县级以上行政区域名称的地方志书、地方综合年鉴。
本省的地方志分为三级:省编纂的地方志、市(州、地)编纂的地方志、县(市、区)编纂的地方志。
第三条 本省行政区域内地方志编纂、管理和开发利用适用本规定。
第四条 县级以上人民政府应当加强地方志工作机构、人员、基础设施和信息化建设,将地方志工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
第五条 县级以上人民政府地方志工作机构主管本行政区域的地方志工作,拟定地方志工作规划和编纂方案,制定业务规范;组织、指导、督促和检查地方志工作;编纂、审查、验收地方志稿件;培训地方志工作人员;征集、保存地方志文献和资料,整理旧志;开展地方志理论研究。
县级以上人民政府有关部门按照职责做好地方志的相关工作。
第六条 地方志书每20年左右编修一次,地方综合年鉴每年进行编辑。
第七条 县级以上人民政府地方志工作机构应当按照省人民政府批准的地方志编纂总体工作规划,统一组织编纂、出版地方志,其他组织和个人不得编纂。
第八条 根据编纂方案承担编纂任务的有关单位应当提供必要的条件,按照规定的时间和质量要求完成编纂任务,并接受所在地人民政府地方志工作机构的业务指导和督促检查。
第九条 县级以上人民政府地方志工作机构应当建立征集地方志资料的制度,并可以向机关、社会团体、企业事业单位、其他组织以及个人征集有关地方志资料,征集内容包括乡镇志、村志、部门志、企业事业单位志等。有关单位和个人应当提供支持。
地方志资料所有人或者持有人提供有关资料,可以获得适当报酬。
地方志资料所有人或者持有人不得故意提供虚假资料。
第十条 地方志编纂工作应当有有关方面的专家、学者参加,民族自治地方的地方志编纂工作应当有少数民族人士参加。地方志专职编纂人员应当具备相应专业知识和学术水平。
第十一条 以县级以上行政区域名称冠名、列入规划的地方志书实行审查、验收制度,未经审查、验收的不得出版。
省编纂的地方志书由省人民政府地方志工作机构报省地方志编纂委员会审查、验收后公开出版;市(州、地)编纂的地方志书报省人民政府地方志工作机构审查、验收,经市、州人民政府、地区行政公署批准后公开出版;县(市、区)编纂的地方志书报市(州、地)地方志工作机构审查和省人民政府地方志工作机构复查、验收,经县(市、区)人民政府批准后公开出版。
审查地方志书应当邀请有关专家参加。
第十二条 地方志书编纂应达到下列审查、验收的基本要求:
(一)编纂指导思想正确,符合国家的法律、法规以及涉外、保密、民族、宗教、军事等有关规定;
(二)资料真实可靠,全面系统、客观地反映本行政区域自然、政治、经济、文化和社会的历史与现状;
(三)符合地方志书体例,篇目设计合理,逻辑关系清楚,能基本达到科学性、资料性、实用性的统一;
(四)行文规范,表述准确,图文并茂,图表及说明文字齐全。标点符号、计量单位和数字使用规范、标准。
第十三条 地方志编校、版面设计、印制应当符合国家相关规定;地方志书印制应当统一采用大度16开版式。
第十四条 编纂单位应当在地方志出版后30日内向当地和上级人民政府地方志工作机构报送存书。县级以上人民政府地方志工作机构要依法整理修志工作档案,移交本级档案馆。
第十五条 地方志的著作权依法由组织编纂的地方志工作机构享有,参与编纂的人员享有署名权。
地方志正式出版后,承编单位依照国家相关规定向编纂人员支付报酬。
第十六条 县级以上人民政府地方志工作机构应当建立保存地方志资料的制度,加强地方志开发利用和网络建设,地方志和其他地情资料应当向社会开放,开拓服务途径。
第十七条 县级以上人民政府对在地方志工作中作出贡献的单位和个人给予表彰和奖励。
第十八条 违反第八条规定,不按照编纂方案的规定承担和完成编纂任务的,由县级以上人民政府责令其限期改正,并可以通报批评。
第十九条 违反第九条规定,地方志资料所有人或者持有人故意提供虚假资料,尚不构成犯罪的,由县级以上人民政府地方志工作机构责令其采取相应措施予以纠正,并视情节追究有关单位和个人的责任。
第二十条 违反第十四条规定,未能在规定时限内报送存书的,由县级以上人民政府地方志工作机构责令其限期报送;逾期不报送的,由有关部门依法对直接责任人给予处分。
第二十一条 县级以上人民政府地方志工作机构及其工作人员违反本规定,滥用职权、玩忽职守、徇私舞弊,尚不构成犯罪的,依法给予行政处分。
第二十二条 编纂部门志、乡(镇)志可以参照本规定执行。
第二十三条 本规定从2008年12月15日起执行
机电工业企业承包产品质量要求及推行“质量否决权”的暂行规定
机电部
机电工业企业承包产品质量要求及推行“质量否决权”的暂行规定
1990年4月10日,机电部
第—章 总 则
第—条 为了统一机械电子工业企业承包经营责任制中承包产品质量的要求,加强承包经营中产品质量的管理, 更好地实施“质量否决权”,以使“质量否决权”作为贯彻“质量第一”方针的重要措施, 而增强企业领导和广大职工的质量意识,稳定和提高产品质量,增加经济效益, 促进人们对劳动成果的评价观念从只重视数量转到既重视数量更重视质量的观念上来,从只重视价值转到既重视价值更重视使用价值的观念上来。 现根据国务院国发(1986)42、(1988)13、(1989)25号文件精神, 特制订本暂行规定。
第二章 承包产品质量要求
第二条 机电企业承包经营合同中有关产品质量的承包内容必须包括下列内容:
(一)完成企业主管部门下达的各项质量考核指标和要求。
(二)不允许发生《机械企业质量检验工作暂行条例》中所列的重大质量事故。
(三)不允许违反《工业产品质量责任条例》第二十四条各款规定。
(四)必须推行全面质量管理,并参照国标GB/T10300.1~GB /T10300.5建立健全质量体系。
第三条 承包企业对上述4条中,如有1条未完成者, 均属未完成质量承包规定。
第四条 企业产品质量考核指标,一般应包括以下指标或要求:
(一)成品抽查合格率。
(二)成品等级品率(优等品率、一等品率、合格品率)。
(三)日抽样批次合格率。
(四)一次工程合格率(直通率),或成品装配一次合格率。
(五)产品质量稳定提高率。
(六)主导产品升级要求。
(七)企业的主管部门下达的产品可靠性及其他质量考核指标或要求。
以上考核指标由发包方按企业主管部门下达的年度考核指标或要求与承包企业具体签定。
第五条 产品质量指标的计算方法, 机械系统按原第一机械工业部以(80)一机技字1000号文印发的《机械工业产品质量考核试行办法》、电子系统按机电质(1990)365号《电子产品质量等级评定、统计、考核管理办法》(试行)及有关规定考核。
第三章 质量否决权
第六条 实行“质量否决权”要与推行承包经营责任制相结合。 各级机械电子工业主管部门要将企业的质量责任制的落实和“质量否决权”的实施,作为审查企业升级、产品创优、申请生产许可证及出口质量许可证、创质量管理奖和考核完成质量承包的必备条件之一。
第七条 实行“质量否决权”分两个层次。 第一个层次是企业的主管部门对企业实行“质量否决权”, 第二个层次是企业内部实行“质量否决权”。主管部门对企业实行“质量否决权”是企业内部实行“质量否决权”的动力,其贯彻情况由企业的主管部门中主管质量工作的领导负责; 企业内部实行“质量否决权”是上级对企业实行“质量否决权”的基础和保证,其贯彻情况由企业厂长(经理)负责。
(一)企业主管部门在企业未完成第二条款中任何一项要求时, 应对企业实施“质量否决权”。
(二)当企业发生第二条款中的任何一项要求未完成时, 企业的主管部门应对企业进行如下处理:
1.扣发企业考核当季(或当年)全部奖金、浮动(效益)工资;
2.追究企业领导和责任者的责任;
3.限期整改,直至根据需要,令其责任产品停产、停销;
4.取消企业当年参加评选有关质量方面的奖励及荣誉的资格。
(三)当企业全面完成第二条款中的各项质量承包要求, 且产品质量稳定上升,主管部门应给予表彰或一定方式的奖励。 企业可以按主管部门核定的奖励基金中提取一定比例的奖励基金作为质量奖金, 以鼓励在质量方面作出贡献的人。
(四)企业的主管部门按季(或年)对企业实施“质量否决权”的考核。
(五)当企业未完成第二条款的任何一项要求时, 企业内部应作如下处理:
1.对企业有关领导、直接责任者和相关责任者扣发一定期限内的全部奖金、浮动(效益)工资、一定比例的工资。
2.情节严重的,要按有关规定给予企业有关领导、直接责任者和相关责任者一定的行政处分,直至追究法律责任。
3.根据主管部门的处理意见,采取措施,认真进行整顿。
4.企业内部实施“质量否决权”的办法,由企业参照上述规定,自行确定(推荐企业内部实施“质量否决权”的几种计算方法见附录)。
(六)企业对在质量方面作出成绩的先进车间、 班组和个人给予一定方式的奖励。
1.企业内部的质量奖励办法,按各省市和企业内部的有关规定执行;
2.成绩突出者,可浮动一至二级工资;
3.授予质量荣誉称号。
第八条 实施“质量否决权”的要求:
(一)明确各层次、各科室、各车间、班组和个人的质量责任, 严格进行考核。
(二)各级领导必须以身作则,不徇私情,照章办事。 加强思想政治工作,积极开展质量意识方面的教育。
(三)各级机械电子工业主管部门, 要经常督促检查“质量否决权”的执行情况,每年总结一次,反映所取得的效果和存在的问题, 上报部质量安全司。
(四)对执行情况,部质量安全司将组织不定期的抽样调查, 并对有关情况进行通报。
第四章 附 则
第九条 本规定适用于各种经营承包形式的机械电子工业企业。
第十条 本规定自颁布之日起实行。 解释权属机械电子工业部质量安全司。
附 推荐企业内部实施“质量否决权”的几种计算方法
—、质量系数法
该方法是质量系数Q乘以经济责任制考核的其他项目得分,表达式为:
当月奖金=Q×(A+B+C+…)×应提奖金数
式中A+B+C+…——除质量以外的其他考核项目得分;
Q—一质量系数,是各个质量考核项目QI的平均系数。 Q=
1/n∑Qi,当0<Q<1时,部分奖金被否决;Q=0时,
全部奖金被否决;Q>1时,体现优质加奖。
二、PQC计奖法
当月奖金=PQC×应提奖金数
或 当月奖金=(PQC±D)×应提奖金数
或 当月奖金=Q×(P+C)×应提奖金数
式中 Q——质量得分系数;
P——是工作量完成情况得分系数;
C——是管理或效益情况得分系数;
D——是交货期得分系数。
PQC法与质量系数法基本相同,采用这类方法的关键在于Q中的各Qi的确定,各企业应根据本企业的实际情况确定各Qi的取值,以使其达到合理、促进的效果。
三、质量指标下限否决法
此法是将考核的质量指标,如废品率、返修率、一次交验合格率、 直通率、例行试验不合格等质量指标,确定一个下限值或范围, 分档次实行部分或全部否决。凡是完成的指标低于某一下限时, 则奖金被全部否决(例如:产品稳定提高率考核指标85%,如只达75%一84%则部分否决,75%以下全部否决)。完成质量指标成绩显著者应予以奖励。
