工业和信息化部


关于加强工业控制系统信息安全管理的通知

工信部协[2011]451号
　　

各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：
　　
　　工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：
　　
　　一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性
　　
　　数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。
　　
　　二、明确重点领域工业控制系统信息安全管理要求
　　
　　加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。各地区、各部门、各单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求。
　　
　　（一）连接管理要求。
　　
　　1. 断开工业控制系统同公共网络之间的所有不必要连接。
　　
　　2. 对确实需要的连接，系统运营单位要逐一进行登记，采取设置防火墙、单向隔离等措施加以防护，并定期进行风险评估，不断完善防范措施。
　　
　　3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
　　
　　（二）组网管理要求。
　　
　　1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
　　
　　2. 采取虚拟专用网络（VPN）、线路冗余备份、数据加密等措施，加强对关键工业控制系统远程通信的保护。
　　
　　3. 对无线组网采取严格的身份认证、安全监测等防护措施，防止经无线网络进行恶意入侵，尤其要防止通过侵入远程终端单元（RTU）进而控制部分或整个工业控制系统。
　　
　　（三）配置管理要求。
　　
　　1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。
　　
　　2. 严格账户管理，根据工作需要合理分类设置账户权限。
　　
　　3. 严格口令管理，及时更改产品安装时的预设口令，杜绝弱口令、空口令。
　　
　　4. 定期对账户、口令、端口、服务等进行检查，及时清理不必要的用户和管理员账户，停止无用的后台程序和进程，关闭无关的端口和服务。
　　
　　（四）设备选择与升级管理要求。
　　
　　1. 慎重选择工业控制系统设备，在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务，确保产品安全可控。
　　
　　2. 加强对技术服务的信息安全管理，在安全得不到保证的情况下禁止采取远程在线服务。
　　
　　3. 密切关注产品漏洞和补丁发布，严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。
　　
　　（五）数据管理要求。
　　
　　地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等，要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护，切实维护个人权益、企业利益和国家信息资源安全。
　　
　　（六）应急管理要求。
　　
　　制定工业控制系统信息安全应急预案，明确应急处置流程和临机处置权限，落实应急技术支撑队伍，根据实际情况采取必要的备机备件等容灾备份措施。
　　
　　三、建立工业控制系统安全测评检查和漏洞发布制度
　　
　　（一）加强重点领域工业控制系统关键设备的信息安全测评工作。全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。重点领域的有关单位要请专业技术机构对所使用的工业控制系统关键设备进行安全测评，检测安全漏洞，评估安全风险。工业和信息化部会同有关部门对重点领域使用的工业控制系统关键设备进行抽检。
　　
　　（二）建立工业控制系统信息安全检查制度。工业控制系统运营单位要从实际出发，定期组织开展信息安全检查，排查安全隐患，堵塞安全漏洞。工业和信息化部适时组织专业技术力量对重点领域工业控制系统信息安全状况进行抽查，及时通报发现的问题。
　　
　　（三）建立信息安全漏洞信息发布制度。开展工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作，及时发布有关漏洞、风险和预警信息。
　　
　　四、进一步加强工业控制系统信息安全工作的组织领导
　　
　　各地区、各部门、各单位要将工业控制系统信息安全管理作为信息安全工作的重要内容，按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，建立健全信息安全责任制。各级政府工业和信息化主管部门要加强对工业控制系统信息安全工作的指导和督促检查。有关行业主管或监管部门、国有资产监督管理部门要加强对重点领域工业控制系统信息安全管理工作的指导监督，结合行业实际制定完善相关规章制度，提出具体要求，并加强督促检查确保落到实处。有关部门要加快推动工业控制系统信息安全防护技术研究和产品研制，加大工业控制系统安全检测技术和工具研发力度。国有大型企业要切实加强工业控制系统信息安全管理的领导，健全工作机制，严格落实责任制，将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员，确保领导到位、机构到位、人员到位、措施到位、资金到位。
　　
　　 二〇一一年九月二十九日

辽宁省大连市人民政府


大连市合同监督管理办法

（1995年11月23日大连市人民政府大政发 [1995] 85号文件公布；根据1997年12月31日大连市人民政府大政发 [1997] 111号《大连市人民政府关于修改二十六个政府规章的决定》第一次修正；根据2000年6月30日大连市人民政府大政发 [2000] 74号《大连市人民政府关于修改<大连市经济合同监督管理办法>的决定》第二次修正；根据2010年12月1日大连市人民政府令第112号《大连市人民政府关于修改24件市政府规章的决定》第三次修正；2011年12月26日大连市人民政府令第116 号《大连市人民政府关于修改12件市政府规章的决定》第四次修正。）


第一章　总　则

　　第一条　为加强合同监督管理，保障合同当事人的合法权益，维护社会主义市场经济秩序，根据《中华人民共和国合同法》和有关法律、法规制定本办法。
　　第二条　大连市辖区内平等主体的自然人、法人和其他组织签订和履行合同，应遵守本办法，并接受工商行政管理部门和其他合同行政主管部门的监督管理。
　　第三条　大连市工商行政管理局及县（市）、区工商行政管理分局，是合同监督管理的主管机关，负责所在行政区内的合同监督管理工作，其主要职责是：
　　（一）宣传贯彻合同法及有关法律、法规、规章，制定合同监督制度，培训合同管理人员；
　　（二）监督检查合同的签订和履行；
　　（三）推行合同示范文本；
　　（四）监督管理拍卖合同；
　　（五）办理动产抵押登记；
　　（六）组织开展守合同重信用活动；
　　（七） 指导有关业务主管部门和企事业单位的合同管理工作，建立合同管理网络；
　　（八）查处利用合同进行的违法行为；
　　（九）调解合同纠纷。
　　第四条　各有关业务主管部门应加强对本系统的合同管理，建立必要的管理制度，指导、监督所属单位依法签订和履行合同，协助工商行政管理部门依法查处利用合同进行的违法行为。
　　各企事业单位应加强对本单位合同的管理，建立合同管理机构，确定专（兼）职管理人员；建立健全合同签订、审批、履行、检查、合同文本和印鉴使用、合同台账、统计报表、岗位责任等合同管理制度，依法签订和履行合同。

第二章　合同的签订和履行

　　第五条　当事人订立、履行合同，应当遵守法律、行政法规，尊重社会公德，不得扰乱社会经济秩序、损害社会公共利益。
　　第六条　当事人订立合同，有书面形式、口头形式和其他形式。法律、行政法规规定采用书面形式的，应当采用书面形式。当事人约定采用书面形式的，应当采用书面形式。
　　第七条　法人之间、其他组织之间、法人与其他组织之间订立书面合同，须使用工商行政管理部门或工商行政管理部门与有关部门联合制订发布的合同示范文本。其他当事人可以参照合同示范文本订立合同。
　　第八条　当事人订立的合同按规定必须使用合同专用章的，应使用合同专用章。刻制合同专用章须经工商行政管理部门批准，并持有关批准证件到公安部门办理刻印手续后，方可刻制。
　　第九条　订立合同的法定代表人，应当出具《企业法定代表人证明书》；代理人必须事先取得委托人签发的《法人代表授权委托证明书》，根据授权的范围、权限和期限，以委托人名义签订合同。
　　《企业法定代表人证明书》、《法人代表授权委托证明书》，由大连市工商行政管理局统一监制、发放。
　　第十条　当事人一方要求担保的，必须由具有担保能力的保证人担保。无担保能力的保证人为他人提供担保的，视为欺诈，应当追究保证人相应的法律责任。
　　国家机关和以公益为目的的事业单位、社会团体不得为合同当事人提供担保。
　　第十一条　债权人转让合同权利给第三人的，应当通知债务人；债务人转让合同义务给第三人的，应当经债权人同意；当事人一方将自己在合同中权利和义务转让给第三人的，应取得对方的同意，并签订合同转让书。法律、行政法规规定转让权利或者义务应当办理批准、登记等手续的，依照其规定。
　　因合同性质、当事人约定以及法律规定不得转让的合同，不得转让。
　　第十二条　合同依法成立，即具有法律约束力，当事人必须按照合同约定的条款全面履行，单方擅自变更或解除合同的，应当承担违约责任。

第三章　合同的监督管理

　　第十三条　自然人、法人、其他组织之间发生合同争议，当事人双方可申请调解，合同监督管理部门应进行调解。
　　第十四条　工商行政管理部门应对管辖区域内合同的签订和履行情况进行监督检查。当事人应当接受工商行政管理部门检查，如实提供合同、帐目和其他有关资料。
　　第十五条　工商行政管理部门每年对申报守合同重信用的单位，应进行考核认定并发布命名公告；对已获得守合同重信用单位称号的，应进行年度审验，符合条件的予以保留，不符合条件的发布公告予以撤销。
　　第十六条　禁止下列利用合同进行的违法行为：
　　（一）伪造合同的。
　　（二）假冒他人名义或提供假地址、假银行帐号签订合同的。
　　（三）无履约能力，采取下列欺诈手段签订合同的：
　　1．以紧缺或畅销商品为诱饵，或者先履行部分合同以骗取信任，诱人签订购销合同，骗取预付款、定金等，或采用行贿、回扣、先付部分货款等圈套骗取货物的；
　　2．用已被吊销执照的企业名义或盗用其他企业名义，伪造或利用已失效的公章、合同专用章、财务专用章、介绍信、委托书等证件签订合同的；
　　3．预先设置圈套，诱人签订无法履行的加工合同，骗取定金、预付款，以及所谓的质量保证金、履约保证金、合同担保金、合同保证金、押料款、材料款等的。
　　（四）利用合同转包渔利的。
　　（五）非法转让或倒卖合同的。
　　（六）非法为他人提供或利用他人提供的合同文本、银行帐号、单位公章、合同专用章、委托证件、业务介绍信等其他方便条件签订合同的。
　　（七）利用他人资质证书、许可证签订合同、谋取利益的。
　　（八）其他利用合同进行的违法行为。

第四章　奖励与处罚

　　第十七条　对在合同管理工作中做出突出贡献的单位和个人，以及守合同重信用企业，由县级以上人民政府或工商行政管理部门、有关行业主管部门给予表彰和奖励。
　　第十八条　违反本办法，由工商行政管理部门按下列规定予以处罚：
　　（一）违反第七条、第八条规定之一的，责令改正，并处2000元以下罚款。
　　（二）违反第九条、第十四条规定之一的，责令改正，并处1000元以下罚款。
　　（三）违反第十六条规定之一的，根据情节轻重给予警告、没收违法所得和物品、处以违法所得3倍罚款，最高不超过3万元；没有违法所得的，依情节轻重，处以2000元以上1万元以下罚款。
　　第十九条　法人或其他组织利用合同从事违法活动的，对主管领导和直接责任人，由其上级主管部门给予行政处分；构成犯罪的，由司法机关依法追究刑事责任。
　　第二十条　当事人对行政处罚不服的，可以依照《中华人民共和国行政复议法》、《中华人民共和国行政诉讼法》的规定，申请行政复议或者提起行政诉讼。当事人逾期不申请复议，不起诉又不履行处罚决定的，作出处罚决定的机关可以申请人民法院强制执行。
　　第二十一条　工商行政管理部门执法人员滥用职权、徇私舞弊、玩忽职守或有包庇违法行为的，由其所在单位给予批评教育或行政处分；给当事人造成经济损失的，应负责赔偿；构成犯罪的，由司法机关依法追究刑事责任。

第五章　附　则

　　第二十二条　本办法自发布之日起施行。