一、編制背景

1994年，國家印發《中華人民共和國計算機信息系統安

全保護條例》，明確規定“計算機信息系統實行安全等級保

護”。之后，公安部會同有關部門陸續出臺了《關于信息安

全等級保護工作的實施意見》、《信息安全等級保護管理辦

法》、《關于開展信息系統等級保護安全建設整改工作的指

導意見》等一系列政策文件。全國信息安全標準化技術委員

會和公安部信息系統安全標準化技術委員會組織制定了信

息安全等級保護工作基礎類、應用類、產品類和其他類急需

的一系列標準。各相關單位按照國家要求執行信息安全等級

保護制度，信息安全等級保護工作已取得很大的進展。

2010年“震網”病毒出現后，工業控制系統安全引起了

國家各級組織的高度重視，美國等發達國家陸續發布了針對

工控系統保護的系列標準和框架等。由于工控系統的特殊

性，實時打補丁，補漏洞等通用信息系統保護手段，在線掃

描滲透等測評手段不適用于已投運工控系統亟需根據工業

控制系統特點制定工業控制系統的等級保護系列標準。

為提升國家重要工業控制系統安全防護能力，規范工控

系統安全防護建設，促進我國信息安全產業發展，國家能源

局信息中心組織測評機構、工控安全廠商、電力企業等，對

工業控制系統測評方法進行專題研究，編制了《信息系統安

1

全等級保護測評要求第5部分工業控制安全擴展測評要

求》。

《信息安全技術網絡安全等級保護測評要求第5部

分：工業控制系統安全擴展要求》是以《信息安全技術信

息系統安全等級保護測評要求》（GB/T28448-2012）修訂

稿為基礎，針對工業控制系統的特點進行了適度調整，更適

用于工業控制系統測評的現狀。

二、編制依據

1、《關于加強工業控制系統信息安全管理的通知》（工

信部協[2011]451號）、《電力監控系統安全防護規定》（國

家發改委2014年第14號令）。

2、《信息技術安全技術信息安全管理體系要求》

（GB/T22080-2008）、《信息技術安全技術信息安全實用

規則》（GB/T22081-2008）、《信息安全技術信息系統通

用安全技術要求》（GB/T20271-2006）、《信息安全技術信

息安全等級保護基本要求》（GB/T22239-2008）、《信息安

全技術信息安全等級保護測評要求》（GB/T28448-2012）。

3、《聯邦信息系統推薦安全措施》（NISTSP800-53）、

《控制系統安全指南》（NISTSP800-82）。

三、標準范圍

本標準規定了對信息系統安全等級保護狀況進行安全

測試評估的要求，包括對第一級信息系統、第二級信息系統、

2

第三級信息系統和第四級信息系統進行安全測試評估的單

元測評要求和信息系統整體測評要求。本標準略去對第五級

信息系統進行單元測評的具體內容要求。

本標準適用于信息安全測評服務機構、信息系統的主

管部門及運營使用單位對信息系統安全等級保護狀況進行

的安全測試評估。信息安全監管職能部門依法進行的信息安

全等級保護監督檢查可以參考使用。

四、主要內容

《信息安全技術網絡安全等級保護測評要求第5部

分：工業控制系統安全擴展要求》按照GB/T1.1-2009的規則

起草。包含范圍、規范性引用文件、術語和定義、總則、總

體要求、第一級到第四級信息系統單元測評、整體測評、等

級測評結論等。

總則包括五個方面：1、測評原則；2、測評內容；3、

測評力度；4、結果重用；5、使用方法。

總體要求包括兩個方面：1、總體技術要求；2、總體管

理要求。

第一、二、三、四級信息系統單元測評包括兩個方面：

1、安全技術測評（總體技術、物理環境、網絡通信、設備

和計算、應用和數據）；2、安全管理測評（安全策略和管

理制度、安全管理機構和人員、安全建設管理、安全運維管

3

理）。整體測評包括控