GB/T 36323-2018信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T36323—2018

信息安全技術(shù)

工業(yè)控制系統(tǒng)安全管理基本要求

Informationsecuritytechnology—

Securitymanagementfundamentalrequirementsforindustrialcontrolsystems

2018-06-07發(fā)布2019-01-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T36323—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

安全管理基本框架及關(guān)鍵活動

5ICS……………………2

安全管理基本框架

5.1ICS……………2

頂層承諾

5.2……………3

規(guī)劃評估

5.3……………4

資源支持

5.4……………4

策略實(shí)施

5.5……………4

績效評價

5.6……………5

持續(xù)改進(jìn)

5.7……………5

安全管理基本控制措施

6ICS……………5

安全控制措施分類

6.1…………………5

安全評估和授權(quán)

6.2(CA)………………6

系統(tǒng)和服務(wù)獲取

6.3(SA)………………8

人員安全

6.4(PS)………………………11

規(guī)劃

6.5(PL)…………………………12

風(fēng)險評估

6.6(RA)……………………13

應(yīng)急規(guī)劃

6.7(CP)……………………14

物理和環(huán)境安全

6.8(PE)……………17

配置管理

6.9(CM)……………………20

系統(tǒng)和信息完整性

6.10(SI)…………22

介質(zhì)保護(hù)

6.11(MP)……………………25

事件響應(yīng)

6.12(IR)……………………26

意識和培訓(xùn)

6.13(AT)…………………28

訪問控制

6.14(AC)……………………29

維護(hù)

6.15(MA)…………………………33

審計和可核查性

6.16(AU)……………34

標(biāo)識和鑒別

6.17(IA)…………………37

附錄資料性附錄不同安全級別的安全管理基本要求對應(yīng)表

A()ICS………………40

參考文獻(xiàn)

……………………45

Ⅰ

GB/T36323—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院國家信息技術(shù)安全研究中心公安部第三研究所華

:、、、

東師范大學(xué)中國電子科技集團(tuán)公司第三十研究所中國信息安全研究院有限公司上海三零衛(wèi)士信息

、、、

安全有限公司北京神州綠盟信息安全科技股份有限公司啟明星辰信息技術(shù)有限公司烽臺科技北

、、、(

京有限公司浙江浙能臺州第二發(fā)電有限責(zé)任公司北京工業(yè)大學(xué)國網(wǎng)浙江省電力公司電力科學(xué)研究

)、、、

院華能國際電力股份有限公司長興電廠桂林電子科技大學(xué)西安電子科技大學(xué)浙江大學(xué)中國科學(xué)

、、、、、

院沈陽自動化研究所和利時集團(tuán)全球能源互聯(lián)網(wǎng)研究院有限公司沈機(jī)上海智能系統(tǒng)研發(fā)設(shè)計有

、、、()

限公司深圳賽西信息技術(shù)有限公司廣州數(shù)控設(shè)備有限公司北京江南天安科技有限公司中京天?？?/p>

、、、、

技北京有限公司北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司

()、。

本標(biāo)準(zhǔn)主要起草人范科峰劉賢剛李琳姚相振周?？道畋櫧∩瞎贂喳愒S東陽龔潔中

:、、、、、、、、、、

王惠蒞劉鴻運(yùn)何道敬龔亮華尚文利楊晨蔡磊仵大奎劉碩張建軍王曉鵬徐克超周慎學(xué)

、、、、、、、、、、、、、

尹峰陳勝軍阮偉楊震高昆侖賴英旭沈玉龍裴慶祺許川佩陳冠直梁瀟王勇黃云鷹楊堂勇

、、、、、、、、、、、、、、

晏培

。

Ⅲ

GB/T36323—2018

引言

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展工業(yè)控制

,,

系統(tǒng)包括分布式控制系統(tǒng)監(jiān)控與數(shù)據(jù)采集系統(tǒng)和可編程邏輯控制器等產(chǎn)品

,(DCS)、(SCADA)(PLC)

廣泛應(yīng)用于核設(shè)施航空航天先進(jìn)制造石油石化油氣管網(wǎng)電力系統(tǒng)交通運(yùn)輸水利樞紐城市設(shè)施

、、、、、、、、

等國家重要領(lǐng)域工業(yè)控制系統(tǒng)由單機(jī)走向互聯(lián)從封閉走向開放從自動化走向智能化進(jìn)程的

。(ICS)、、

加快使得工業(yè)控制系統(tǒng)的信息安全問題日益突出工業(yè)控制系統(tǒng)一旦遭受攻擊將嚴(yán)重威脅人民生命

,,,

財產(chǎn)安全和國家政權(quán)穩(wěn)定對此全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會立項研制了工業(yè)控

。,(SAC/TC260)

制系統(tǒng)信息安全分級管理要求控制應(yīng)用指南等多項標(biāo)準(zhǔn)

、、。

本標(biāo)準(zhǔn)針對各行業(yè)工業(yè)控制系統(tǒng)的安全管理活動的共性特點(diǎn)提出了工業(yè)控制系統(tǒng)安全管理基本

,

框架從領(lǐng)導(dǎo)規(guī)劃支持運(yùn)行績效評價和持續(xù)改進(jìn)等方面為工業(yè)控制系統(tǒng)安全管理活動提出了規(guī)范

,、、、、

性要求并給出了為實(shí)現(xiàn)該安全管理基本框架所需的安全管理基本控制措施和各級工業(yè)控制系統(tǒng)安全

,

管理基本控制措施對應(yīng)表以滿足組織對各級工業(yè)控制系統(tǒng)的安全管理需求為實(shí)現(xiàn)對工業(yè)控制系統(tǒng)適

,,

度有效的安全管理控制提供參考

、。

Ⅳ

GB/T36323—2018

信息安全技術(shù)

工業(yè)控制系統(tǒng)安全管理基本要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)安全管理基本框架及該框架包含的各關(guān)鍵活動并提出為實(shí)現(xiàn)該安全

,

管理基本框架所需的工業(yè)控制系統(tǒng)安全管理基本控制措施在此基礎(chǔ)上給出了各級工業(yè)控制系統(tǒng)安全

,,

管理基本控制措施對應(yīng)表參見附錄用于對各級工業(yè)控制系統(tǒng)安全管理提出安全管理基本控制

(A),

要求

。

本標(biāo)準(zhǔn)適用于非涉及國家秘密的工業(yè)控制系統(tǒng)建設(shè)運(yùn)行使用管理等相關(guān)方進(jìn)行工業(yè)控制系統(tǒng)

、、、

安全管理的規(guī)劃和落實(shí)也可供工業(yè)控制系統(tǒng)安全測評與安全檢查工作作為參考依據(jù)

,。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2016

信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南

GB/T22081—2016

信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

GB/T32919—2016

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于

GB/T22080—2016、GB/T22081—2016、GB/T25069—2010

本文件

。

31

.

工業(yè)控制系統(tǒng)industrialcontrolsystemICS

;

工業(yè)生產(chǎn)中使用的控制系統(tǒng)包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)分布式控制系統(tǒng)和其他

,(SCADA),(DCS),

較小的控制系統(tǒng)如可編程邏輯控制器等

,(PLC)。

32

.

分布式控制系統(tǒng)distributedcontr