GB/T 30976.1-2014工业控制系统信息安全第1部分：评估规范

ICS25040

N10.

中华人民共和国国家标准

GB/T309761—2014

.

工业控制系统信息安全

第1部分评估规范

:

Industrialcontrolsstemsecurit—Part1Assessmentsecification

yy:p

2014-07-24发布2015-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T309761—2014

.

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………3

工业控制系统信息安全概述

4……………3

总则

4.1…………………3

危险引入点

4.2…………………………3

传播途径

4.3……………4

危险后果的受体及其影响

4.4…………4

工业控制系统信息安全评估的内容概述

4.5…………5

评估结果

4.6……………6

组织机构管理评估

5………………………7

安全方针

5.1……………7

信息安全组织机构

5.2…………………8

资产管理

5.3……………14

人力资源安全

5.4………………………17

物理和环境安全

5.5……………………21

通信和操作管理

5.6……………………26

访问控制

5.7……………40

信息系统获取开发和维护

5.8、………………………52

信息安全事件管理

5.9…………………60

业务连续性管理

5.10…………………63

符合性

5.11……………66

系统能力技术评估

6()……………………71

基本要求系统要求和系统能力等级的说明

6.1(FR)、(SR)(CL)…………………71

标识和认证控制

6.2FR1:……………71

使用控制

6.3FR2:……………………77

系统完整性

6.4FR3:…………………83

数据保密性

6.5FR4:…………………87

限制的数据流

6.6FR5:………………88

对事件的及时响应

6.7FR6:…………91

资源可用性

6.8FR7:…………………91

评估程序

7…………………95

评估工作过程

7.1………………………95

评估方法的确定

7.2……………………96

Ⅰ

GB/T309761—2014

.

工业控制系统生命周期各阶段的风险评估

8……………98

生命周期概述

8.1………………………98

规划阶段的风险评估

8.2………………98

设计阶段的风险评估

8.3………………98

实施阶段的风险评估

8.4………………99

运行维护阶段的风险评估

8.5…………99

废弃阶段的风险评估

8.6……………100

评估报告的格式要求

9…………………100

附录规范性附录管理评估列表

A()…………………102

附录规范性附录系统能力技术评估列表

B()()……………………109

附录资料性附录风险评估工具和工业控制系统常见的测试内容

C()……………113

参考文献

……………………117

图风险可接受的程度

1……………………6

表后果造成的侵害等级

1…………………4

表工业控制系统的评估结果

2……………7

表评估的主要流程

3……………………95

表信息安全管理评估列表

A.1…………102

表系统要求和增强要求与安全等级的映射

B.1………109

Ⅱ

GB/T309761—2014

.

前言

工业控制系统信息安全分为两个部分

GB/T30976《》:

第部分评估规范

———1:;

第部分验收规范

———2:。

本部分为的第部分

GB/T309761。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分由中国机械工业联合会提出

。

本部分由全国工业过程测量和控制标准化技术委员会和全国信息安全标准化技术

(SAC/TC124)

委员会归口

(SAC/TC260)。

本部分起草单位机械工业仪器仪表综合技术经济研究所中国电子技术标准化研究院北京和利

:、、

时系统工程有限公司中国核电工程有限公司上海自动化仪表股份有限公司东土科技股份有限公司

、、、、

中国电力科学研究院清华大学西门子中国有限公司浙江大学西南大学重庆邮电大学施耐德电

、、()、、、、

气中国有限公司北京钢铁设计研究总院华中科技大学北京奥斯汀科技有限公司罗克韦尔自动化

()、、、、

中国有限公司中国仪器仪表学会中国科学院沈阳自动化研究所无线网络安全技术国家工程实验

()、、、

室西安西电捷通无线网络通信股份有限公司中央办公厅电子科技学院北京海泰方圆科技有限公司

、、、、

青岛多芬诺信息安全技术有限公司北京国电智深控制技术有限公司北京力控华康科技有限公司广

、、、

东航宇卫星科技有限公司华北电力设计院工程有限公司华为技术有限公司三菱电机自动化中国

、、、()

有限公司中标软件有限公司横河电机中国有限公司北京研发中心

、、()。

本部分主要起草人王玉敏唐一鸿隋爱芬罗安吕冬宝张建军薛百华陈小淙高昆仑王雪

:、、、、、、、、、、

冯冬芹刘枫王浩周纯杰陈小枫华镕张莉宋岩李琴夏德海胡亚楠王雄胡伯良梅恪

、、、、、、、、、、、、、、

刘安正田雨聪方亮马欣欣张建勋杨应良丁露王勇杜佳琳王亦君陈日罡张涛王玉裴

、、、、、、、、、、、、、

刘利民丁青芝刘文龙钱晓斌朱镜灵张智龚明何佳杨磊

、、、、、、、、。

Ⅲ

GB/T309761—2014

.

工业控制系统信息安全

第1部分评估规范

:

1范围

的本部分规定了工业控制系统等信息安全评估的目标评

GB/T30976(SCADA,DCS,PLC,PCS)、

估的内容实施过程等

、。

本部分适用于系统设计方设备生产商系统集成商工程公司用户资产所有人以及评估认证机

、、、、、

构等对工业控制系统的信息安全进行评估时使用

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术