关于加强工业控制系统信息安全管理的通知
工业和信息化部
关于加强工业控制系统信息安全管理的通知
工信部协[2011]451号
各省、自治区、直辖市人民政府,国务院有关部门,有关国有大型企业:
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为切实加强工业控制系统信息安全管理,经国务院同意,现就有关事项通知如下:
一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性
数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。
二、明确重点领域工业控制系统信息安全管理要求
加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。各地区、各部门、各单位要结合实际,明确加强工业控制系统信息安全管理的重点领域和重点环节,切实落实以下要求。
(一)连接管理要求。
1. 断开工业控制系统同公共网络之间的所有不必要连接。
2. 对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
(二)组网管理要求。
1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
2. 采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对关键工业控制系统远程通信的保护。
3. 对无线组网采取严格的身份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端单元(RTU)进而控制部分或整个工业控制系统。
(三)配置管理要求。
1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。
2. 严格账户管理,根据工作需要合理分类设置账户权限。
3. 严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。
4. 定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
(四)设备选择与升级管理要求。
1. 慎重选择工业控制系统设备,在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务,确保产品安全可控。
2. 加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。
3. 密切关注产品漏洞和补丁发布,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。
(五)数据管理要求。
地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等,要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护,切实维护个人权益、企业利益和国家信息资源安全。
(六)应急管理要求。
制定工业控制系统信息安全应急预案,明确应急处置流程和临机处置权限,落实应急技术支撑队伍,根据实际情况采取必要的备机备件等容灾备份措施。
三、建立工业控制系统安全测评检查和漏洞发布制度
(一)加强重点领域工业控制系统关键设备的信息安全测评工作。全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准,明确设备安全技术要求。重点领域的有关单位要请专业技术机构对所使用的工业控制系统关键设备进行安全测评,检测安全漏洞,评估安全风险。工业和信息化部会同有关部门对重点领域使用的工业控制系统关键设备进行抽检。
(二)建立工业控制系统信息安全检查制度。工业控制系统运营单位要从实际出发,定期组织开展信息安全检查,排查安全隐患,堵塞安全漏洞。工业和信息化部适时组织专业技术力量对重点领域工业控制系统信息安全状况进行抽查,及时通报发现的问题。
(三)建立信息安全漏洞信息发布制度。开展工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作,及时发布有关漏洞、风险和预警信息。
四、进一步加强工业控制系统信息安全工作的组织领导
各地区、各部门、各单位要将工业控制系统信息安全管理作为信息安全工作的重要内容,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,建立健全信息安全责任制。各级政府工业和信息化主管部门要加强对工业控制系统信息安全工作的指导和督促检查。有关行业主管或监管部门、国有资产监督管理部门要加强对重点领域工业控制系统信息安全管理工作的指导监督,结合行业实际制定完善相关规章制度,提出具体要求,并加强督促检查确保落到实处。有关部门要加快推动工业控制系统信息安全防护技术研究和产品研制,加大工业控制系统安全检测技术和工具研发力度。国有大型企业要切实加强工业控制系统信息安全管理的领导,健全工作机制,严格落实责任制,将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员,确保领导到位、机构到位、人员到位、措施到位、资金到位。
二〇一一年九月二十九日
云南省劳动和社会保障厅、对外贸易经济合作厅、工商行政管理局关于转发《中外合资中外合作职业介绍机构设立管理暂行规定》及有关实施问题的通知
云南省劳动和社会保障厅、对外贸易经济合作厅、工商行政管理局
云南省劳动和社会保障厅、对外贸易经济合作厅、工商行政管理局关于转发《中外合资中外合作职业介绍机构设立管理暂行规定》及有关实施问题的通知
云劳社〔2002〕77号
各地、州、市劳动和社会保障局、外经贸局、工商行政管理局:
现将劳动和社会保障部、国家工商行政管理总局发布的《中外合资中外合作职业介绍机构设立管理暂行规定》(第14号令)(以下简称《规定》)转发你们,结合《云南省职业介绍条例》等法规以及我省的实际,提出如下要求,请一并认真贯彻执行。
一、省劳动保障厅、省外经贸厅、省工商行政管理局及经国家工商行政管理总局授权的昆明、玉溪、德宏工商行政管理局在各自职权范围内负责中外合资、中外合作职业介绍机构的审批、登记、管理和监督检查工作。
二、申请设立中外合资、中外合作职业介绍机构应当具备《规定》第六条规定的条件,依法向省外经贸厅提出申请,并呈报相关申请文件。省外经贸厅在接到申请后,应将《规定》第七条规定的相关文件转交省劳动保障厅。
外国企业常驻我省代表机构和在我省成立的外国商会不得在我省从事职业介绍服务。
三、省劳动保障厅接到省外经贸厅转来的设立中外合资、中外合作职业介绍机构的申请文件后,应在15日内作出答复。符合条件的,出具同意设立的证明文件,不符合条件的,应当说明理由,并将申请文件退回省外经贸厅。省劳动保障厅审批的有关事宜由省劳动就业服务局具体负责。
四、省外经贸厅接到省劳动保障厅同意设立中外合资、中外合作职业介绍机构的证明文件后,应在30日内作出批准或不批准的决定。予以批准的,发给中外合资、中外合作企业批准证书;不予批准的,应通知申请者。
五、获得批准的申请者,凡不涉及机构名称、地址、法定代表人等变更事宜的,自接到中外合资、中外合作企业批准证书之日起30日内,依照《云南省职业介绍条例》有关规定,到省工商行政管理局申请登记注册,同时到税务部门办理税务登记手续,方可开展职业介绍活动。
设在昆明、玉溪、德宏等地州市的中外合资、中外合作职业介绍机构应到当地的地州市级工商行政管理局申请登记注册。
六、中外合资、中外合作职业介绍机构经省工商行政管理局登记注册后,应于登记注册之日起10日内,到省劳动就业服务局办理备案手续。
在昆明、玉溪、德宏等地州市级工商行政管理局登记注册的,亦应自登记注册之日起10日内到当地的地州市级劳动就业服务局办理备案手续。
办理备案手续应提供以下证明:
(一)省外经贸厅签发的中外合资、中外合作企业批准证书;
(二)工商行政管理机关颁发的营业执照(副本);
(三)向昆明、玉溪、德宏等地州市劳动就业服务局备案的,还应出具省劳动保障厅同意设立中外合资、中外合作职业介绍机构的证明或职业介绍许可证。
七、中外合资、中外合作职业介绍机构应按照《规定》的各项要求开展服务业务,其管理适用《云南省职业介绍条例》、《劳动力市场管理规定》和外商投资企业的有关管理规定。
云南省劳动和社会保障厅
云南省对外贸易经济合作厅
云南省工商行政管理局
二○○二年五月二十七日
中华人民共和国劳动和社会保障部
中华人民共和国国家工商行政管理总局
令
第 14 号
《中外合资中外合作职业介绍机构设立管理暂行规定》已于2001年5月8日经劳动和社会保障部第7次部务会议通过,经商对外贸易经济合作部同意,现予发布,自2001年12月1日起施行。
劳动和社会保障部部长 张左己
国家工商行政管理总局局长 王众厚
二○○一年十月九日
中外合资中外合作职业介绍
机构设立管理暂行规定
第一条 为规范中外合资、中外合作职业介绍机构的设立,保障求职者和用人单位的合法权益,根据劳动法、中外合资经营企业法和中外合作经营企业法的有关规定,制定本规定。
第二条 设立从事职业介绍的中外合资、中外合作机构应当按照本规定执行。
第三条 劳动保障行政部门、外经贸行政部门和工商行政管理部门在各自职权范围内负责中外合资、中外合作职业介绍机构的审批、登记、管理和监督检查工作。设立中外合资、中外合作职业介绍机构应当经省级人民政府劳动保障行政部门(以下简称省级劳动保障行政部门)和省级人民政府外经贸行政部门(以下简称省级外经贸行政部门)批准,并到企业住所地国家工商行政管理总局授权的地方工商行政管理局进行登记注册。
不得设立外商独资职业介绍机构。
外国企业常驻中国代表机构和在中国成立的外国商会不得在中国从事职业介绍服务。 第四条 中外合资、中外合作职业介绍机构应当依法开展经营活动,其依法开展的经营活动受中国法律保障。
第五条 中外合资、中外合作职业介绍机构可以从事下列业务:
(一)为中外求职者和用人单位提供职业介绍服务;
(二)提供职业指导、咨询服务;
(三)收集和发布劳动力市场信息;
(四)经省级劳动保障行政部门或其授权的地市级劳动保障行政部门同意,举办职业招聘洽谈 会;
(五)经省级劳动保障行政部门或其授权的地市级劳动保障行政部门核准的其他服务项目。
中外合资、中外合作职业介绍机构介绍中国公民出境就业和外国企业常驻中国代表机构聘用 中方雇员按照国家有关规定执行。
第六条 申请设立中外合资、中外合作职业介绍机构应当具备以下条件,并 应按本规定第七条至第十条规定的程序办理审批手续:
(一)申请设立中外合资、中外合作职业介绍机构的外方投资者应是从事职业介绍的法人,在 注册国有开展职业介绍服务的经历,并具有良好信誉;
(二)申请设立中外合资、中外合作职业介绍机构的中方投资者应是具有从事职业介绍资格的 法人,并具有良好信誉;
(三)拟设立的中外合资、中外合作职业介绍机构应具有不低于30万美元注册资本,有3名以 上具备职业介绍资格的专职工作人员,有明确的业务范围、机构章程、管理制度,有与开展 业务相适应的固定场所、办公设施,主要经营者应具有从事职业介绍服务工作经历。
第七条 设立中外合资、中外合作职业介绍机构,应依法向拟设立企业住所 地省级外经贸行政部门提出申请,并呈报申请设立中外合资、中外合作职业介绍机构的有关 文件。
省级外经贸行政部门在接到申请后,应将其中下列文件转交同级劳动保障行政部门: (一)中、外双方各自的登记注册证明(复印件);
(二)主要经营者的资历证明(复印件)和简历;
(三)拟任专职工作人员的简历和职业资格证明;
(四)住所使用证明;
(五)拟开展经营范围的文件;
(六)法律、法规规定的其他文件。
第八条 省级劳动保障行政部门接到按本规定第七条规定转来的申请文件后 ,应在15日内作出答复。符合条件的,应出具同意设立中外合资、中外合作职业介绍机构的 证明文件;不符合条件的,应当说明理由,并将上述文件退回省级外经贸行政部门。
第九条 省级外经贸行政部门接到同级劳动保障行政部门同意设立中外合资 、中外合作职业介绍机构的证明文件后,应在30日内作出批准或不批准的决定。予以批准的 ,发给中外合资、中外合作企业批准证书;不予批准的,应通知申请者。
第十条 获得批准的申请者,自接到中外合资、中外合作企业批准证书之日 起30日内,到拟设立企业住所所在地国家工商行政管理总局授权的地方工商行政管理局申请 登记注册,并应于登记注册之日起10日内,到省级劳动保障部门或其授权的地市级劳动保障 行政部门办理备案手续。
第十一条 中外合资、中外合作职业介绍机构投资者变更、股权比例发生变 化或设立分支机构,应按本规定的审批程序经原审批机关审批同意后,到工商行政管理部门 办理相关变更登记手续,并到劳动保障行政部门办理变更备案手续。
第十二条 中外合资、中外合作职业介绍机构的管理适用《劳动力市场管理 规定》和外商投资企业的有关管理规定。
第十三条 香港特别行政区、澳门特别行政区投资者在内地以及台湾地区投 资者在大陆投资设立中外合资、中外合作的职业介绍机构,参照本规定执行。
第十四条 本规定自2001年12月1日起施行。