为进一步加强上海国有企业信息安全工作,提升信息安全整体防护水平,促进本市国资国企信息化工作健康发展,根据《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》等文件精神,我委制定了《关于加强本市国有企业信息安全工作的指导意见》,现予以印发,请结合实际,抓好贯彻落实。
特此通知。
上海市国有资产监督管理委员会
2015年12月14日
关于加强本市国有企业信息安全工作的指导意见
上海国资国企在全市经济社会发展中具有举足轻重的作用。近年来,各企业围绕自身改革发展创新,充分重视信息化在模式创新和业态转型中的重要作用,全方位推进信息化工作,显著提高了企业的信息化总体水平。但随着信息技术的广泛应用,新技术新业务带来的信息安全问题逐渐凸显,主要表现在:部分企业对信息安全工作认识不到位,重发展、轻安全思想普遍存在;信息安全工作体制机制不健全;信息安全技术能力和手段不足,信息安全核心技术严重依赖国外,一些企业的重要网络和重要系统使用了不可控的产品和服务,存在严重安全隐患;专业人才缺乏等。为应对复杂的信息安全形势,切实加强和改进信息安全工作,确保企业信息化建设在安全的前提下健康有序高效推进,现就加强企业信息安全工作提出以下意见。
力争经过5年的努力,建立应用安全可控信息技术的长效机制,大力推广使用能够满足企业信息安全需求,技术风险、外包风险和供应链风险可控的信息技术,建成主动防御、综合防护的信息安全保障体系,有效保护重要网络和重要系统,切实促进企业发展和维护社会稳定,各企业信息化建设水平稳步提升,安全保障能力不断加强。
(二)基本原则
坚持“三同步”原则。建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
坚持技术与管理并重原则。从管理体系、风险控制、技术措施和运行服务等方面入手加强管理,不断提高信息系统安全技术防护能力。
坚持合规审慎原则。按照国家相关信息安全法律法规要求,结合企业实际,选用符合相关国家标准和行业标准的安全可控的网络产品、服务产品。
坚持开放合作原则。兼容并蓄,凝聚各方智慧和力量,优先应用开放性强、透明度高、适用面广的技术和解决方案,优先选择愿意在核心知识和关键技术领域进行合作的机构,避免对单一产品或技术的依赖。
各企业应加强统筹规划、顶层设计,在企业战略发展规划、信息化专项规划的基础上,做好信息安全体系的设计,制定信息安全专项规划或工作计划。充分重视企业信息资源、资产的梳理、界定工作,将信息安全与企业商业秘密保护工作密切结合,切实保护企业在经营、研发、并购重组等对外行为中的合法权益。
(四)强化组织保障
各企业是信息安全的责任主体。各企业应明确专门信息安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。信息化工作领导小组组长应承担起信息安全的领导责任,建立并完善信息化管理部门与保密及其他业务部门齐抓共管、协同配合的信息安全工作机制,并逐级落实信息安全责任制。
各企业应加强信息安全人才培养,打造适应信息化要求的专业人才队伍。建立健全信息安全专业岗位持证上岗制度。加强全员信息安全教育培训工作,把相关培训纳入员工培训计划。定期对从业人员进行网络安全教育、技术培训和技能考核,积极组织或参与信息安全知识技能竞赛,形成培养、选拔、吸引和使用信息安全人才的良性机制。
(五)确保资金投入
各企业应加强统筹规划,做好信息安全体系顶层设计,制定专项规划或工作计划。按照企业信息化总体规划和信息安全工作目标,将信息安全工作经费纳入企业年度预算,将信息安全建设经费纳入信息化项目总投资,加强资金保障和使用监管,确保信息安全工作的资金投入。
(六)完善制度规范
各企业应建立相关的信息安全自查制度,定期开展信息安全自查工作,建立“以查促建、以查促改、以查促管”的长效机制。
各企业应按照国家有关信息安全风险评估及信息安全审计的政策和标准建立信息安全风险评估和安全审计制度,加强企业IT治理。对新建信息系统,通过信息安全测试或风险评估后方能验收和上线运行;对已运行但尚未开展过风险评估或发现有严重安全隐患的重要网络和重要系统,应立即进行安全审计,尽快完成整改。
各企业应严格准入管理,建立重要人员和重要设备审查制度。根据需要,建立健全企业敏感岗位的信息安全责任制,加强员工入职信息安全教育。在进行关键信息基础设施的网络产品和服务采购时,应与提供者签订安全保密协议,明确安全和保密义务与责任。关键信息基础设施中采购的网络产品或者服务,可能影响国家安全的,应通过国家有关部门组织的安全审查。
各企业应在物理、网络、主机、应用、数据等多个层面进行全方位的防护设计,从防护、反应、恢复和整改等环节入手,综合采用网络隔离、访问控制、密码保密等技术手段,强化应急处置、灾难备份等相关措施,实现不同安全技术和不同安全设备互为补充,从实际出发做好信息安全技术保障工作。
(八)加强工业控制系统信息安全防护
各企业应明确工业控制系统信息安全管理要求,尤其在先进制造、环境保护、城市轨道交通、供水供气以及其他与国计民生相关的重点领域,在工业控制系统的连接、组网、配置、设备选择与升级、数据等方面的管理上,按照有关要求加强防护,建立以杜绝重大灾难事件为底线的综合防护体系。制定应急预案,健全工作机制,严格落实责任制。
(九)做好信息系统的等级保护和分级保护工作
各企业应根据国家相关文件的要求,加强企业商业秘密保护工作,合理确定信息系统的安全保护等级,并依据等级保护的相关要求和技术标准实施安全防护,定期对信息系统安全等级状况开展等级测评,及时向公安机关备案。
涉及国家秘密的信息系统,须按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。
(十)加强供应商管理,推进软件正版化
各企业应加强信息系统产品与服务的供应商管理,选择安全可控的技术、产品和服务。积极推进软件正版化工作,购买和使用正版软件,建立软件资产管理台账,推动软件资产生命周期管理。
各企业应充分利用上海国资VPN专网、国资专有云等信息化基础资源,鼓励有基础、有条件的企业与产学研资源紧密结合,开展原始创新、集成创新和引进消化吸收再创新,充分发挥自身优势,为其它企业提供安全可控的信息化产品和信息化服务,提高自主创新能力。
(十二)促进企业间协同合作和互动交流
鼓励各企业以自身业务信息安全需求为核心,积极承担国家、市信息安全重大项目和示范工程,推动信息安全产业发展。鼓励各企业围绕主业发展积极探索、大力推进信息安全工作,积极申报市国资委系统企业信息化建设示范工程,发挥引领作用。
支持各企业之间加大信息安全合作力度,创新合作机制,推进“一方主导、多方参与、共担成本、共享服务”的国资信息化共享服务新模式。各企业应定期组织开展信息安全工作交流研讨活动,及时通报信息安全工作进展情况,宣传信息安全建设的经验和成功做法,研究解决存在的问题。