强化工业企业信息安全保障体系建设

工业领域是网络信息安全工作的重要阵地，工业企业是网络信息安全工作的重要责任主体。当前，随着工业和信息化深度融合，“互联网+”、大数据、智能制造等新技术、新模式不断推进，工业企业信息安全问题日益突出，加强信息安全管理已经成为工业企业增强自身竞争力、确保工业生产安全平稳运行的必然要求。相比政府部门、科研院所，工业企业信息安全管理有着许多自身的独特性。工业企业应该在遵守国家有关网络安全法律法规的基础上，根据国家、省有关工业领域信息安全管理的工作要求，结合企业生产实际情况，从以下三个方面入手，不断健全企业内部信息安全保障体系建设。

准确把握企业信息安全面临的威胁与挑战

工业企业分为钢铁、有色、化工、石油石化、先进制造等多个领域，各领域信息化建设内容及发展现状各自不同。要准确认识工业企业信息安全面临的威胁和挑战，应首先理清工业企业内部有哪些重要的信息资产、安全保障目标，然后才能分析出企业内部、外部会威胁到信息资产安全，或者可能妨碍到以上信息安全保障目标实现的因素。

总体而言，工业企业主要包括基础网络、信息设备终端、应用信息系统、工业控制系统以及业务数据资源等信息资产。保护信息资产的可用性、保密性和完整性，使其免受自然灾害威胁、系统自身安全缺陷、外部病毒感染或恶意攻击等安全威胁，确保网络、系统和数据不被破坏、平稳运行，是工业企业信息安全的主要需求和工作目标。

同时，工业企业信息安全还面临以下三方面的挑战：

新技术的广泛应用带来巨大挑战。云计算、移动互联网、物联网、大数据等新一代信息与通信技术的应用在带来效率、便利的同时，也带来了新的安全风险点。如果工业企业不能及时提出安全策略和解决方案以有效应对新技术快速应用这一发展趋势，一旦出现信息安全问题，后果将非常严重。

工业企业信息安全规划、标准和规范普遍缺失。目前，工业企业信息化工作仍偏重于信息化基础设施建设、通信网络布局、软硬件设计、系统集成及维护等方面。绝大多数工业企业把主要精力用于满足生产应用现实需要，缺乏对信息安全威胁、可能存在问题的战略思考与策略设计，更没有制定规范的、统一的技术标准或操作指南作为工作指导，在实际运营中容易产生信息安全风险。

企业信息安全人才队伍建设比较薄弱。很多企业分设信息化部和自动化部，但两者之间普遍没有形成统筹协调、紧密联系、分工合作的顺畅工作机制。绝大多数企业缺少信息安全专业人才，对信息安全面临的风险缺乏科学认识，对网络信息系统的日常防护、安全检查和应急处置缺少行之有效的管理措施和技术手段。

加强企业信息安全管理的基本要求

做好工业企业信息安全工作，应坚持“积极防御、综合防范”方针，推动企业建立网络信息安全保障工作体系，不断健全安全管理制度规范，严格落实管理责任；强化技术措施和手段建设，切实增强企业技术防护能力；坚持加强外部安全监管，提升应急服务和产业技术支撑能力水平，从而有效保护我省重点工业领域、关键基础设施以及涉及国计民生工业企业的网络信息安全。

加强工业企业信息安全管理，需遵循以下基本要求：

坚持政府引导与企业主体相结合。企业是工业领域信息安全的直接责任主体。只有企业充分意识到加强信息安全工作的重要性和必要性，有效激发内生动力与工作活力，才能自觉、自发地开展信息安全管理工作，千方百计地提升安全防护水平。同时，政府也要发挥好引导作用，从政策制度、监测预警、产业支撑等方面，为工业企业信息安全营造良好的外部环境。

坚持适度安全与重点突破相结合。从来没有绝对的安全。工业企业信息安全管理工作应该坚持问题导向，综合考虑安全风险、成本控制等因素，合理确定信息安全策略和实施方案，抓好目标统筹、效益统筹、进度统筹。同时，以重点领域工业企业为目标，确保重点企业、核心环节、关键部位的网络信息安全。

坚持立足当前和着眼长远相结合。要把解决当前突出问题和完善安全管理机制结合起来。既要及时采取管控措施，抓好当前关键具体问题的改进加固，又要致力于解决中长期问题，努力建立健全监测预警综合防范体系、优化外部合作环境、推动建立网络信息系统自主可控安全机制。

完善企业信息安全管理的工作举措

健全信息安全管理机制。采取各项措施，推动工业企业从规划、组织、制度、资金等方面，进一步强化网络信息安全管理工作，确保信息安全管理责任到位、人员到位、培训到位、资金到位。一是突出规划引领。工业企业要在推进两化融合、智能化改造的同时确立信息安全工作方针，明确网络信息安全保障体系建设的实施路径、主要任务、保障措施及工作计划，以信息安全规划引领本单位信息化建设各项工作。二是完善组织建设。工业企业要建立并落实网络信息安全责任制，明确主管领导、责任部门和信息安全员，将管理责任逐一分解落实到具体部门、岗位和人员。三是健全制度规范。工业企业要建立健全各项信息安全管理制度，包括等级保护、分级保护、风险评估和检查加固等；建立人员信息安全和保密责任制度，注重引进和培养信息安全骨干人才；加强职工教育培训，增强全员信息安全意识，提升安全技术技能；梳理外部合作机制，加快建立商务洽谈事项、商务合同条款等信息安全审查机制。四是确保资金投入。工业企业要确保信息安全管理工作所必要的资金投入，合理编排工作预算，常态化开展网络信息系统检测评估、整改加固、应急演练等工作；规范和加强信息化项目建设管理，各类项目应同步规划、建设、运行，明确专门信息安全建设、运行费用等。

完善信息安全技术防护措施。工业企业应以网络与信息系统、工业控制系统安全防护为重点，以国家、省有关技术标准规范为指导，按照信息安全等级保护和风险评估相关要求，进一步增强信息安全技术防护水平。一是强化网络与信息系统技术防护。以企业内部网络、网站和业务信息系统为重点，建立信息安全综合解决方案，合理采取网络隔离、访问控制、密码保护、配置核查、安全审计、灾难备份等技术手段，强化信息安全技术防护工作。加强网络信息系统日常安全运维，严格对移动存储设备、无线路由器等接入设备的安全进行管控，对核心关键设备进行常态化监测。二是加强工业控制系统信息安全防护。工业企业要按照《工业控制系统信息安全防护指南》要求，加快制定和实施工业控制系统安全防护工作推进方案。对重要工业控制系统要严格边界安全防护、远程访问管理和数据安全保护，做好安全软件管理、身份认证、物理安防、状态监测等保护措施。三是突出企业信息安全应急管理能力建设。工业企业要针对重要信息系统、核心业务、关键部位以及突发信息安全事件类型，及时制定专项应急预案，积极采取必要的备机、备件、备份等容灾措施，做好突发信息安全事件应急准备。

提升信息安全产业技术支撑能力。一是提升技术支撑服务能力。政府部门要立足服务监管角色，全力营造良好外部环境。加快建立本地区、本行业高水平信息安全专业机构和专家队伍，提高技术支撑服务能力。二是促进信息安全产业发展。支持企业与高等院校、科研院所开展信息安全项目合作和联合技术攻关，大力促进信息安全新技术、新产品、新服务的研发与推广；鼓励工业企业通过申报或承担国家、省信息安全管理试点或示范项目，成为工业企业信息安全管理的标杆，并加快网络信息技术产品以及工业控制系统的国产化应用。

（作者单位：江苏省经济和信息化委员会）