信息安全技术 工业控制系统安全管理基本要求.docx

《信息安全技术 工业控制系统安全管理基本要求.docx》由会员分享，可在线阅读，更多相关《信息安全技术 工业控制系统安全管理基本要求.docx（56页珍藏版）》请在优知文库上搜索。

1、ICS35.0401.80OB中华人民共和家标准GB/TXXXXX-XXXX信息安全技术工业控制系统安全管理基本要求Informationsecuritytechno1.ogy-Securitynanagcmcnfundamenta1.requirementsforindustria1.contro1.systems（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）（征求意见稿）2016年3月XXXX-XX-XX实施XXXX-XX-XX发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会1楚国本标准规定了工业控制系统安全管埋基本框架及谡框架包含的各关键活动，并提出为

2、实现该安全管理塔本框架所衢的工业控制系统安全管理坛本控制措施，在此明础上，给出了各级工业控制系统安全管理基本控制措施对应去（参见附录A）,用于对各级工业控制系统安全管理提出安全管理荔本控制要求。本标准适用于工业控制系统建设、运行、使用、管理等相关方进行工业控制系统安全管理的规划和落实，也可供工业控制系统安全测评与安全检查工作作为参考依据，2规楚性引用文件下列文件对于本文件的应用是必不可少的.凡是注目期的引用文件,仅注日期的版本适用于本文件.凡是不注口期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语GB/T209842007信息安全技术信息安

3、全风险评估规范GB/T22239-2008估恩安全技术信恩系统安全等级保妒基本要求GB/T222W-2008信息安全技术信息系统安全等级保护定级指南GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理实用规则GB/T30976.1-2011工业控制系统信息安全第I部分：评估规范GB/T30976.2-2014工业控制系统信息安全第2部分：验收规范GB/Z25320.3-2010电力系统管理及其信息交换数据和通信安全3术语和定义GB/T22080-2008、GB/T22081-2008,GB/T25069-2010中界定的以及下

4、列术语和定义适用于本文件.3.1工业控制系统industria1.contro1.system工业生产中使用的控制系统,包括监控和数据采篥系统（SCADA）.分布式控制系统（DCS.和其他较小的控制系统,如可编程逻辑控制器（H-C）等.3.2分布式控制系统distributedcontro1.system以计算机为基础，在系统内部（单位内部）对生产过程进行分布控制、集中管埋的系统.注：DCS系统一般包括现场控制级、控制管理级两个层次，现场控制级主要是对单个子过程进行控制.控制管理级主要是对多个分筮的子过程进行我也采集集中晶示、域一调度和管理，3.3监控和数据采集系统supervisorycon

5、tro1.anddataacquisitionsystem在工业生产控制过程中,对大规模远距离地理分布的资产和设符在广域网环境卜进行集中式数据来集与监控管理的控制系统.注：它以计算机为基础.对远程分布运行设备进行监控调度，其主要功能包括数据采集、参数赛量和调节、信号报警等.SCAOA系婉一俄由设在控制中心的主燧端控制单元(MTU).通信我路和设备远程燧端单位(RnJ)等姐成，3.4可编程逻辑控制器Progranwab1.e1.ogiccontro1.Ier枭用可编程存储器，通过数字运算操作对工业生产装饴进行控制的电子设备。注；PtC主要执行各类运算、顺序控制,定时等指令，用于喇工业生产架各的动

6、作，是工业控制系烷的达碇单元.3.5安全控制生饯securitycontro1.baseIine安全拄制选择过程的起始点和选择基点，注；安全拽制基线是为帮助组织选择满足安全需求的,索反成本效磕的、适当的安全控制集而制定的霞低安全基准建.4缩略语下列缩略用适用于本文件，AC访问控制(AccessContro1.)T教育培训(AwarenessandTraining)AU审计与问贡AuditandAccountabi1.ity)CA安全评估与授权(SecurityAssessmentandAuthorization)CM配置管理(ConfigurationManagument)CP应急计划(Con

7、tingencyP1.anning)DCS分布式控制系统(DiStribUtedContro1.Syste)HM1.人机界面(Human-MachineInterface)IA标识与签别IdentificationandAuthentication)ICS工业捽制系统(Industria1.Contro1.System)IK事件响应(IncidentResponse)MA维护(Maintenance)MP介质保护(MCdiaProtection)PCS过程控制系统(ProdUCtionContro1.System)PE物理与环境安全(Physica1.andEnvironmenta1.Prot

8、ection)P1.规划(P1.anning)P1.C可编程茂辑控制器(ProKraBmab1.e1.ogicContro1.1.er)PS人员安全(Personne1.Security)RA风险评估RiskAssessment)RTU远程终端单元(RCmOIeTeniina1.Unit)SA系统与服务获取(SystemandServicesAcquisition)SCDA数据监控1J数据采集系统(SupervisoryContro1.ndDataAcquisition)SI系统与估息完整性(SySteandInformationIntegrity)5ICS安全管理基本框架及关隘活动5.1IC

9、S安全管理思本框架工业控制系统（ICS）与传统的信息技术（IT）系统存在的诸多我要差异决定了应在规划和管珅ICS信息安全过程中考虑ICSfi身的特点.参考传统侑理安全管理体系，结合IcS自身特点，将安全性需求整合到ICS中，形成了ICS安全管理基本框架（如图1所示。该框架在确定ICS安全管理具体意图，理解需求期望并明礴ICS体系范围的基础上，将ICS安全管理活动分为领导、规划、支持、运行、绩效评价和持续改进六个方面。其中，领导阶段需要俎织获得管理层的承诺，输定ICS安全管理的方针，明确加织各相关成员在ICS管理活动中的角色和权费：规划阶段中组织应确定规划总则.开展ICS安全风险评估和处置.明确

10、目标和实现规划：在支持阶段级组应保障ICS安全所薪的资源，提供能力和意识培训，确定沟通机制并建立文档化制度：运行阶段祖线应规划、实现和控制满足ICS安全管理活动要求的具体过程，定期开展ICS安全风险评估和处理工作：在绩效评价阶段.组织对ICS开展监视、测址、分析和评价,定期开展内部审核和管理评审：持续改诳阶段组织应对ICS的安全开展持续监控，在发生ICS安全异常等情况下，开展纠正措施并持续改进。!确定ICS安全管理的具牯；I意图及H1.美事攻，理解需I;求期型,明确体系苑悯;领导获得管理层承诺确定方计,明确用色和权费规划确定规划总财.开班KS安全风险评估和处JR.明确口标和实现规划/-支持保障

11、IeS安全所需的资源.提供能力和意识培训,确定沟通和文档化制度持续改进发生ICS安全井常等情况下,开展料正指正并持绘改进绩效评价对ICS开展监视、测量、分析和评价,定期开屣内部审核和管理印审运行制定运行规划并拽制或实现.定期开展ICS安全风W估和处置工作图1ICS安全管理基本枢架图为具体实现ICS安全管理基本框架各阶段的安全功能,本标准在第6章给出了ICS安全管埋基本框架各阶段所需的范本控制措施，并在附录A中给出了针对不同级别的工业控制系统安全管理要求对应去，用以指导组织根据自身工业控制系统的不同安全级别选择安全管挥基本控制措施，并根据工业控制系统安全控制应用指南、安全分级等相关标准.对所选安

12、全管理基本捽制措施进行剪破、选择等操作.5.2领导5.2.1领导和承诺最高管理层应通过以下活动，证实对I。S安全管理然木框架中相关内容的领导和承诺:a）确保建立了IcS信息安全策略和信息安全目标，井与组织战珞方向一致：b）确保将ICS信息安全管理体系要求整合到组织过程中；c）确保ICS信息安全管理体系所需资源Ur用：d）沟通有效的IeS信息安全管理及符合信息安全管理体系要求的重要性：C）确保ICS信息安全管理体系达到预期结果；f）指导并支持相关人员为ICS信息安全管理体系的有效性检出贡献：g）促进持续改进：h）支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围.5.2.2方针最高管理

13、层应建立ICS信息安全方针,该方针应：a）与组织意图相适宜：b）包括ICS信息安全目标（见5.3.2）或为设定ICS信息安全目标提供框架：O包括对满足适用的ICS信息安全相关要求的承诺：d）包括对排续改进ICS信息安全管理基本框架的承诺.信息安全方针应：a）形成文件化信息并可用；b）在坦织内得到沟通：c）适当时,对相关方可用.5.2.3组织的角色，责任和权限最高管理层应瑜保与IeS信息安全相关角色的责任和权限得到分配和沟通.最高管理层应分配责任和权限,以：a）确保ICS安全管理基本框架符合本标准的要求：b）向城商管理者报告ICS安全管理携本框架缄效。53规划5.3.1应对风险和机会的措施5.3

14、.1.1总则当规划ICS安全管理基本框架时.组织应理解ICS安全管理活动的预期成果、内外部注意事项等内容.明确相关方的需求和期望，并确定需要应对的风险和机会,以：a）确保ICS安全管理体系可达到预期结果；b）预防或然少不良影响；C）达到持续改进.组织应规划：a）应对这些风险和机会的措施；b）如何：D招这些措6包整合到ICS安全管理基本框架的各个过程中,并予以实现：2）评价这些措循的有效性.c）应在ICS建设阶段加入保障ICS信息安全的相关内容。5.3.1.2ICS信息安全风险评估组织应定义并应用ICS信息安全风险评估过程,以：a）建立并维护I。S信息安全风险准则，包括：1）风险接受准则：2）I

15、CS信息安全风险评估实施准则：b）确保反笑的ICS信息安全风险评估产生一致的、有效的和可比较的结果：c）识别IcS信息安全风险：1）应用ICS信息安全风险评估过程,以识别ICS信息安全管理体系范围内与信息保密性、完第性和可用性损失有关的风险：2）识别风险贡任人：（1）分析IeS信息安全风险：0评f15.3.1.2c）D中所识别的风险发生后,可能导致的潜在后果:2）评估5.3.1.2）D中所识别的风险实际发生的可能性:3）确定风险线别；e）评价ICS信息安全风险：1）将风险分析结果与5.3.】.2a）中建立的风险准则进行比较：2）为风险处置排序已分析风险的优先级.组织应保留有关ICS信息安全风险评估过程的文件化信息，53.1.3ICS信息安全风哙处置组织应定义并应用ICS信息安全风险处置过程，以：a）在考虑风险评估结果的菸础上，选择适合的IcS信息安全风险处置选项：b）确定实现己选的ICS信息安全风险处置选项所必需的所有控制：注：当需要时