重慶市經濟和信息化委員會等6個部門關于印發重慶市工業信息安全管理實施 辦法（試行）的通知

渝經信規范〔2021〕1號

各區縣（自治縣）人民政府，市政府有關部門，有關單位：

為貫徹落實《中華人民共和國網絡安全法》、《加強工業互聯網安全工作的指導意見》（工信部聯網安〔2019〕168號），建立健全工業信息安全工作機制，加強工業信息安全指導、監督和管理工作，我們制定了《重慶市工業信息安全管理實施辦法（試行）》，經市政府同意，現印發給你們，請認真貫徹實施。

重慶市經濟和信息化委員會

中共重慶市委網絡安全和信息化委員會辦公室

重慶市公安局

重慶市應急管理局

重慶市通信管理局

重慶市密碼管理局

2021年2月8日

慶市工業信息安全管理實施辦法（試行）

第一章  總則

第一條為加強全市工業信息安全保障和應急管理工作，落實企業工業信息安全主體責任，加快構建工業信息安全保障和應急體系，建立健全工業信息安全工作機制，提高應對工業信息安全事件的組織協調和應急處置能力，依據《中華人民共和國網絡安全法》《中華人民共和國突發事件應對法》《中華人民共和國密碼法》《國務院關于深化制造業與互聯網融合發展的指導意見》《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》，以及工業和信息化部等十部門《加強工業互聯網安全工作的指導意見》、工業和信息化部《工業控制系統信息安全事件應急管理工作指南》等法規政策，制定本辦法。

第二條本辦法適用于全市工業信息安全有關的政府職能部門以及主體企業實施的工業信息安全管理工作。主體企業包括工業企業、生產性服務企業、工業互聯網平臺企業、工業互聯網基礎設施運營企業，以及水、電、氣等生產企業。

第三條工業信息安全事件是指由于人為、軟硬件缺陷或故障、自然災害等原因，對工業信息安全保護對象造成或者可能造成嚴重危害，影響正常工業生產的事件。

第四條工業信息安全保護對象主要包括工業控制系統、工業互聯網平臺和工業互聯網基礎設施。其中，直接或間接連接互聯網外網和對國計民生、經濟發展有重大影響的，經市經濟信息委會同相關部門評估，作為重要工業信息安全保護對象。

第五條本辦法所稱工業控制系統包括主體企業的生產數字化設備、軟件控制系統和信息管理系統，工業互聯網平臺包括提供第三方服務的工業互聯網平臺和主體企業的平臺，工業互聯網基礎設施包括工業互聯網標識解析節點、主體企業的數據中心和超算中心等。

第六條堅持政府指導、企業主體，堅持預防為主、平戰結合，堅持快速反應、科學處置，充分發揮各方力量，共同做好工控安全事件的預防和處置工作。

第二章  工作職責

第七條市經濟信息委、市通信管理局根據各自安全管理職責，負責貫徹落實工業和信息化部、市委、市政府關于工業信息安全的工作部署，指導全市工業信息安全管理工作，建立工業信息安全風險監測、態勢研判、預警通報、應急管理、安全檢查等工作體系，定期組織開展全市工業信息安全檢查工作。按照工業和信息化部統一部署，依托重慶市工業互聯網安全態勢感知平臺，市經濟信息委牽頭會同市通信管理局，支持建設重慶市工業信息安全發展中心。

第八條區縣經濟信息主管部門負責本地區工業信息安全管理工作，建立本地區重要工業信息安全保護對象臺賬，并對相應主體企業進行監督管理，適時組織開展本地區工業信息安全檢查工作。

第九條主體企業負有本單位工業信息安全的主體責任，應結合實際做好本單位工業信息安全防護，建立健全工業信息安全責任制，負責本單位工業信息安全保障和應急管理工作，落實人、財、物保障。主體企業負責依法落實網絡安全等級保護制度，開展定級備案、等級測評、商用密碼應用安全性評估和安全建設整改等工作。

第三章  工作機制

第十條市經濟信息委會同相關部門組織開展工業信息安全保護對象的重要性評估工作，形成重要工業信息安全保護對象清單，實施差異化管理機制，并指導區縣經濟信息主管部門做好工業信息安全管理和主體企業分級分類管理。

第十一條市經濟信息委負責推進工業信息安全技術支撐隊伍建設，培育發展一批本地工業信息安全技術支撐機構（以下簡稱“技術支撐機構”），加強工業信息安全市場化服務供給，構建工業信息安全事件應急處置的技術支撐預備力量。

第十二條建立涵蓋市委網信辦、市經濟信息委、市公安局、區縣網信主管部門、區縣經濟信息主管部門、區縣公安主管部門、技術支撐機構、主體企業的工業信息安全聯絡員機制，明確工業信息安全的工作負責人和應急聯絡員。

第十三條市委網信辦、市經濟信息委、市公安局指導技術支撐機構、主體企業等建立工業信息安全應急值守機制，必要時實行領導帶班、專人值守工作制度，做好工業信息安全保護對象的安全風險、威脅和事件信息日常監測和報告工作。應急響應狀態下，可實行“7×24”小時值守工作制度，加強安全監測、信息收集與研判、應急處置等工作。

第四章  監測預警

第十四條重慶市工業互聯網安全態勢感知平臺將重要工業信息安全保護對象納入日常線上監測范圍，在互聯網外網上開展安全風險監測、探測掃描、威脅分析等工作，并加強與市網絡與信息安全信息通報中心的數據對接，實現信息數據共享。主體企業應對本單位重要工業信息安全保護對象進行重點防護和監測，結合實際定期開展檢查、維護。

第十五條針對中央網信辦、工業和信息化部、公安部發布的可能影響我市工業信息安全保護對象的重大漏洞、威脅和風險隱患的情況，市委網信辦、市經濟信息委、市公安局、市通信管理局及時向有關區縣網信主管部門、區縣經濟信息主管部門、區縣公安主管部門和主體企業進行預警通報。

第十六條主體企業應對市委網信辦、市經濟信息委、市公安局、市通信管理局和區縣網信主管部門、區縣經濟信息主管部門、區縣公安主管部門預警通報的情況和問題高度重視，及時自查、整改，必要時采取應急處置措施。

第五章  重保時期安全保障

第十七條在國家和重慶市重要活動、會議等重保時期，市經濟信息委指導區縣經濟信息主管部門、主體企業做好工業信息安全事件預防和應急管理工作，并配合工業和信息化部、市委、市政府的統一部署。

第十八條在國家和重慶市重要活動、會議等重保時期，區縣經濟信息主管部門、主體企業應加強重要工業信息安全保護對象的安全監測、預警和風險研判，對可能造成重大影響的風險和事件信息應第一時間上報。必要時，實行24小時零報告制度，重點單位、重要部位實施24小時值守，保持通信聯絡暢通。主體企業應加強對重要工業信息安全保護對象的防護和巡查，原則上不在重保時期對重要工業信息安全保護對象進行調整或升級。

第六章  應急處置

第十九條市經濟信息委牽頭制定《重慶市工業信息安全事件應急預案》，建立市、區縣、主體企業三級工業信息安全事件應急響應機制，明確工業信息安全事件分級處置細則。主體企業應制定本單位的工業信息安全事件應急預案。

第二十條對于可能發生或已經發生的工業信息安全事件，主體企業應立即開展先期處置，并按照職責和規定權限啟動相關應急預案，采取科學有效方法及時處置，控制事態發展，力爭將損失降到最低，盡快恢復受損工業信息安全保護對象的正常運行。

第二十一條對于發生的工業信息安全事件或重大風險隱患、異常安全威脅等，主體企業應逐級上報區縣經濟信息主管部門、區縣網信主管部門、區縣公安主管部門、市經濟信息委、市委網信辦、市公安局等相關部門，并積極配合研判和應急處置，不得瞞報、謊報。對因瞞報、謊報，造成嚴重后果的，依法進行處理。

第二十二條工業信息安全事件的應急處置結束后，相關主體企業要盡快消除事件影響，恢復正常生產，進一步加強安全防護，做好事件分析總結。

第七章  保障措施

第二十三條市經濟信息委、區縣經濟信息主管部門、主體企業應結合實際，組織開展應急演練。

第二十四條市經濟信息委牽頭建立重慶市工業信息安全專家組，為工業信息安全保障和應急工作提供技術咨詢和決策支持。區縣經濟信息主管部門可結合實際組建本地區工業信息安全專家組，充分發揮專家作用，做好本地區工業信息安全保障和應急工作。

第二十五條加強對工業信息安全事件應急裝備和工具的儲備，及時調整、升級軟硬件工具，利用信息化手段建立應急物資調度和保障機制，不斷增強應急技術支撐能力。

第二十六條加強工業信息安全政策資金保障，優化現有政策，支持工業信息安全技術支撐機構建設、專家隊伍建設、基礎平臺建設、技術研發、應急演練、物資保障等。支持主體企業利用新一代信息技術，加強企業的工業信息安全建設，提升安全防護能力

第八章  附則

第二十七條涉及國家秘密、個人隱私與商業秘密的工業信息安全保護對象的安全管理，按照有關法律法規執行。

第二十八條本辦法自發布之日起三十日后施行。

來源：重慶經信委網站