ICS25040

N10.

中華人民共和國國家標準

GB/T309761—2014

.

工業控制系統信息安全

第1部分評估規范

:

Industrialcontrolsstemsecurit—Part1Assessmentsecification

yy:p

2014-07-24發布2015-02-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T309761—2014

.

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………3

工業控制系統信息安全概述

4……………3

總則

4.1…………………3

危險引入點

4.2…………………………3

傳播途徑

4.3……………4

危險后果的受體及其影響

4.4…………4

工業控制系統信息安全評估的內容概述

4.5…………5

評估結果

4.6……………6

組織機構管理評估

5………………………7

安全方針

5.1……………7

信息安全組織機構

5.2…………………8

資產管理

5.3……………14

人力資源安全

5.4………………………17

物理和環境安全

5.5……………………21

通信和操作管理

5.6……………………26

訪問控制

5.7……………40

信息系統獲取開發和維護

5.8、………………………52

信息安全事件管理

5.9…………………60

業務連續性管理

5.10…………………63

符合性

5.11……………66

系統能力技術評估

6()……………………71

基本要求系統要求和系統能力等級的說明

6.1(FR)、(SR)(CL)…………………71

標識和認證控制

6.2FR1:……………71

使用控制

6.3FR2:……………………77

系統完整性

6.4FR3:…………………83

數據保密性

6.5FR4:…………………87

限制的數據流

6.6FR5:………………88

對事件的及時響應

6.7FR6:…………91

資源可用性

6.8FR7:…………………91

評估程序

7…………………95

評估工作過程

7.1………………………95

評估方法的確定

7.2……………………96

Ⅰ

GB/T309761—2014

.

工業控制系統生命周期各階段的風險評估

8……………98

生命周期概述

8.1………………………98

規劃階段的風險評估

8.2………………98

設計階段的風險評估

8.3………………98

實施階段的風險評估

8.4………………99

運行維護階段的風險評估

8.5…………99

廢棄階段的風險評估

8.6……………100

評估報告的格式要求

9…………………100

附錄規范性附錄管理評估列表

A()…………………102

附錄規范性附錄系統能力技術評估列表

B()()……………………109

附錄資料性附錄風險評估工具和工業控制系統常見的測試內容

C()……………113

參考文獻

……………………117

圖風險可接受的程度

1……………………6

表后果造成的侵害等級

1…………………4

表工業控制系統的評估結果

2……………7

表評估的主要流程

3……………………95

表信息安全管理評估列表

A.1…………102

表系統要求和增強要求與安全等級的映射

B.1………109

Ⅱ

GB/T309761—2014

.

前言

工業控制系統信息安全分為兩個部分

GB/T30976《》:

第部分評估規范

———1:;

第部分驗收規范

———2:。

本部分為的第部分

GB/T309761。

本部分按照給出的規則起草

GB/T1.1—2009。

本部分由中國機械工業聯合會提出

。

本部分由全國工業過程測量和控制標準化技術委員會和全國信息安全標準化技術

(SAC/TC124)

委員會歸口

(SAC/TC260)。

本部分起草單位機械工業儀器儀表綜合技術經濟研究所中國電子技術標準化研究院北京和利

:、、

時系統工程有限公司中國核電工程有限公司上海自動化儀表股份有限公司東土科技股份有限公司

、、、、

中國電力科學研究院清華大學西門子中國有限公司浙江大學西南大學重慶郵電大學施耐德電

、、()、、、、

氣中國有限公司北京鋼鐵設計研究總院華中科技大學北京奧斯汀科技有限公司羅克韋爾自動化

()、、、、

中國有限公司中國儀器儀表學會中國科學院沈陽自動化研究所無線網絡安全技術國家工程實驗

()、、、

室西安西電捷通無線網絡通信股份有限公司中央辦公廳電子科技學院北京海泰方圓科技有限公司

、、、、

青島多芬諾信息安全技術有限公司北京國電智深控制技術有限公司北京力控華康科技有限公司廣

、、、

東航宇衛星科技有限公司華北電力設計院工程有限公司華為技術有限公司三菱電機自動化中國

、、、()

有限公司中標軟件有限公司橫河電機中國有限公司北京研發中心

、、()。

本部分主要起草人王玉敏唐一鴻隋愛芬羅安呂冬寶張建軍薛百華陳小淙高昆侖王雪

:、、、、、、、、、、

馮冬芹劉楓王浩周純杰陳小楓華镕張莉宋巖李琴夏德海胡亞楠王雄胡伯良梅恪

、、、、、、、、、、、、、、

劉安正田雨聰方亮馬欣欣張建勛楊應良丁露王勇杜佳琳王亦君陳日罡張濤王玉裴

、、、、、、、、、、、、、

劉利民丁青芝劉文龍錢曉斌朱鏡靈張智龔明何佳楊磊

、、、、、、、、。

Ⅲ

GB/T309761—2014

.

工業控制系統信息安全

第1部分評估規范

:

1范圍

的本部分規定了工業控制系統等信息安全評估的目標評

GB/T30976(SCADA,DCS,PLC,PCS)、

估的內容實施過程等

、。

本部分適用于系統設計方設備生產商系統集成商工程公司用戶資產所有人以及評估認證機

、、、、、

構等對工業控制系統的信息安全進行評估時使用

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術