標準解讀

《GB/T 36466-2018 信息安全技術 工業控制系統風險評估實施指南》是中國國家標準之一,旨在為工業控制系統的風險評估提供指導。該標準適用于各類工業控制系統(ICS),包括但不限于制造業、能源、交通等關鍵基礎設施中的自動化控制系統。其主要內容覆蓋了風險評估的基本原則、過程、方法以及報告編制等方面。

在基本原則方面,強調了風險評估應基于系統實際運行環境進行,并且需要定期或根據變化情況重新評估以確保安全策略的有效性。同時指出,評估過程中應充分考慮資產價值、威脅來源及可能性、脆弱性等因素對系統的影響程度。

對于風險評估的過程,該標準將其分為準備階段、識別階段、分析階段和評價階段四個主要步驟。準備階段主要是確定評估范圍、目標以及所需資源;識別階段則是全面了解被評估對象的信息,包括網絡架構、設備清單、業務流程等;分析階段通過定性和定量相結合的方式,對已識別的風險因素進行深入剖析;最后,在評價階段給出風險等級,并提出相應的緩解措施建議。

此外,《GB/T 36466-2018》還提供了多種風險評估工具和技術的應用指導,如使用問卷調查、訪談、文檔審查等手段收集信息,采用矩陣法、層次分析法等多種方法進行風險量化計算等。這些內容幫助組織機構能夠更加科學合理地開展ICS的安全管理工作。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2018-06-07 頒布
  • 2019-01-01 實施
?正版授權
GB/T 36466-2018信息安全技術工業控制系統風險評估實施指南_第1頁
GB/T 36466-2018信息安全技術工業控制系統風險評估實施指南_第2頁
GB/T 36466-2018信息安全技術工業控制系統風險評估實施指南_第3頁
GB/T 36466-2018信息安全技術工業控制系統風險評估實施指南_第4頁
GB/T 36466-2018信息安全技術工業控制系統風險評估實施指南_第5頁
免費預覽已結束,剩余43頁可下載查看

下載本文檔

GB/T 36466-2018信息安全技術工業控制系統風險評估實施指南-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T36466—2018

信息安全技術

工業控制系統風險評估實施指南

Informationsecuritytechnology—

Implementationguidetoriskassessmentofindustrialcontrolsystems

2018-06-07發布2019-01-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T36466—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………2

概述

4………………………2

工業控制系統層次結構模型

4.1………………………2

實施原則及工作形式

4.2………………3

框架及流程

4.3…………………………3

實施方法

5…………………5

概述

5.1…………………5

文檔查閱

5.2……………5

現場訪談

5.3……………6

現場核查

5.4……………6

現場測試

5.5……………7

模擬仿真環境測試

5.6…………………7

實施過程

6…………………7

準備

6.1…………………7

資產評估

6.2……………14

威脅評估

6.3……………16

脆弱性評估

6.4…………………………19

保障能力評估

6.5………………………28

風險分析

6.6……………30

殘留風險控制

6.7………………………31

附錄資料性附錄記錄表

A()……………32

附錄資料性附錄脆弱性及保障能力核查表示例

B()…………………34

參考文獻

……………………41

GB/T36466—2018

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準主要起草單位國家信息技術安全研究中心中國電子技術標準化研究院全球能源互聯網

:、、

研究院中國電子信息產業集團有限公司第六研究所

、。

本標準主要起草人李京春李冰劉鴻運方進社劉賢剛范科峰高昆侖劉仁輝葛培勤王宏

:、、、、、、、、、、

曾珍珍李健梁瀟詹雄李霞龐寧姚相振周睿康趙婷劉楠徐克超蔡磊

、、、、、、、、、、、。

GB/T36466—2018

引言

隨著工業控制系統和信息化技術的融合工業控制系統廣泛應用于冶金電力石化水處理鐵路

,、、、、、

航空和食品加工等行業工業控制系統指應用于工業控制領域的數據采集監視與控制系統是由計算

。、,

機設備工業過程控制組件和網絡組成的控制系統是工業領域的神經中樞工業中使用的控制系統包

、,。

括監視控制與采集系統分布式控制系統可編程邏輯控制器系統等我國把工業控制系統信息安全作

、、。

為信息安全保障的一個相對獨立的體系進行建設其安全性將直接關系到國家重要基礎工業設施生產

,

的正常運行和廣大公眾的利益

本標準在對工業控制系統的資產進行整理分析的基礎上從其資產的安全特性出發分析工業控制

,,

系統的威脅來源與自身脆弱性歸納出工業控制系統面臨的信息安全風險并給出實施工業控制系統風

,,

險評估的指導性建議

本標準主要為第三方安全檢測評估機構在工業控制系統現場實施風險評估提供指南也可供工業

,

控制系統業主單位進行自評估時參考

GB/T36466—2018

信息安全技術

工業控制系統風險評估實施指南

1范圍

本標準規定了工業控制系統風險評估實施的方法和過程

本標準適用于指導第三方安全檢測評估機構對工業控制系統的風險評估實施工作也可供工業控

,

制系統業主單位進行自評估時參考

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息安全風險評估規范

GB/T20984—2007

信息安全技術信息安全風險評估實施指南

GB/T31509—2015

信息安全技術工業控制系統安全控制應用指南

GB/T32919—2016

企業控制系統綜合第部分模型和術語

ISO/IEC62264-1:20131:(Enterprise-controlsystem

integration—Part1:Modelsandterminology)

3術語定義和縮略語

31術語和定義

.

和中界定的以及下列術語和定義適用于本文件

GB/T31509—2015GB/T32919—2016。

311

..

監視控制數據采集系統supervisorycontrolanddataacquisitionsystemSCADA

;

在工業生產控制過程中對大規模遠距離地理分布的資產和設備在廣域網環境下進行集中式數據

,

采集與監控管理的控制系統

312

..

分布式控制系統distributedcontrolsystemDCS

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論