国资厅发综合〔2017〕33号
关于进一步加强中央企业网络安全工作的通知
各中央企业:
为深入学习贯彻习近平总书记关于网络安全和信息化工作系列重要讲话精神,落实党中央、国务院有关工作部署,进一步提高中央企业网络安全服务水平,保障中央企业信息化健康发展,现就进一步加强中央企业网络安全的有关事项通知如下:
一、充分认识网络安全工作的重要性
党中央、国务院对网络安全高度重视,特别是党的十八大以来,习近平总书记针对网络安全多次发表重要讲话,为中央企业做好网络安全工作指明了方向。中央企业在军工、能源、电力、通信、交通等重要领域承担着国家关键信息基础设施的运行保障任务,工作艰巨、责任重大。当前,中央企业面临的网络安全形势复杂严峻,网络安全意识不强、重点防护不到位、监测预警能力不足、应急演练能力不够以及协作共享不充分等问题较为突出。同时,随着信息化与工业化的深度融合,工业控制系统、智能技术应用、云计算等领域面临的网络安全风险进一步加大,网络威胁与风险、隐患交织叠加联动,影响力和破坏力显著增强。各中央企业要深刻认识到网络安全工作的重要性、复杂性和艰巨性,牢固树立以安全保发展、以发展促安全的思想观念,进一步增强责任感和使命感,按照全面排查风险、增强重点防护、实时发现预警、强力有效处置、确保平稳运行的工作目标,抓好网络安全工作。
二、全面深入开展《中华人民共和国网络安全法》宣传教育
《中华人民共和国网络安全法》(以下简称《网络安全法》)将于2017年6月1日起实施。各中央企业要高度重视《网络安全法》的宣传教育工作,将经常性网络安全宣传教育纳入议事日程,组织领导干部和广大员工认真学习《网络安全法》及相关法律法规,增强全体工作人员的网络安全法治观念。开展专题宣传和教育培训,动员全员共同参与,普及网络安全常识、增进网络安全知识、提高网络安全意识。
三、强化关键信息基础设施保护
各中央企业要依据本企业管理和运营的关键信息基础设施名录,明确重点防护对象,按照关键信息基础设施保护有关要求,采取有效措施保护关键信息基础设施运营安全及其重要数据安全,做到安全技术措施与关键信息基础设施同步规划、同步建设、同步使用。抓好云计算、大数据、人工智能等新兴技术在关键信息基础设施应用的安全管控,重视工控系统安全,提高核心信息系统安全可控程度。坚持管理和技术并重,做好识别、防护、监测、预警、响应、处置等环节的技术支撑和管理衔接,提高服务保障专业水准,充实人才队伍,综合统筹实施,切实增强关键信息基础设施的保护能力。
四、加强网络安全自查和风险防范
各中央企业要在做好日常网络安全监测的同时,定期开展网络安全自查工作和风险评估,进一步摸清本企业信息系统的风险状况,及时发现和处置高危风险。以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,深入查找薄弱环节,及时核查整改,加强对系统间、业务间关联风险的评估。加强对服务供应商及核心技术人员的安全风险排查,防范外来服务和产品带来的风险隐患。根据国家网络安全产品和服务有关要求,加强采购和使用过程中的风险管理。
五、提高网络安全态势感知和预警处置能力
各中央企业要按照国家有关部门要求,完善本单位网络安全监测预警和信息通报机制,及时通报监测预警信息,加强与有关部门的协作沟通,及时掌握和运用预警信息,提前做好应对工作。要按照国家有关要求,结合本单位实际情况制定完善应急机制和应急预案,定期组织开展应急演练,做好信息系统管理和运维在职人员的应急支援工作,提高服务保障人员的应急处置能力。
六、做好重大会议活动期间网络安全保障
2017年,我国将迎来党的十九大、金砖国家领导人会晤等重大会议活动,各中央企业要建立健全重大会议活动期间的网络安全保障方案和保障机制,明确岗位职责,开展保障演练,切实提高保障能力。要强化包括纵深防御、监测预警、运维保障、应急处置等各方面安全要求,加强物理、网络、应用和数据等层面的技术防护。加强重大会议活动期间的日常值守和运维巡检,建立全天候工作机制,及时堵漏洞、补短板、降风险,严防连锁连片式网络安全事故,确保本企业信息系统在重大会议活动期间的平稳有序运行。
七、增进企业间合作共享
各中央企业之间要加大网络安全协同与合作力度,创新合作机制,积极开展经验交流和互帮互助,共享网络安全基础资源。有基础、有条件的中央企业要充分发挥自身优势,加大网络安全核心技术研发力度,提高自主创新能力,提供可靠的安全服务。国资委鼓励中央企业以网络安全需求为核心,加强产学研用资源紧密结合,积极承担国家网络空间安全专项、示范工程和国家重点实验室等重大项目,支撑国家网络安全防护体系建设。
八、加强领导和组织落实
各中央企业是网络安全的责任主体,要加强网络安全工作管理,建立“一把手”负责制,层层落实推进。涉及国家关键信息基础设施的中央企业,要设立专门的网络安全主责机构,建立健全网络安全工作考核制度、管理制度和标准规范。加大人才培养力度,改进人才培养机制,加强工作人员的技能培训和考核,开展网络安全关键岗位人员资格认证,提高网络安全人才的配置能力。将网络安全工作经费纳入企业年度预算,加强资金保障,提高网络安全保障的专业化、规范化、集约化水平。
请各中央企业将学习贯彻《网络安全法》的有关情况于5月28日前以电子邮件形式报送至国资委综合局(电子邮箱:)。
联系人及电话:略