标准解读
《GB/T 36466-2018 信息安全技术 工业控制系统风险评估实施指南》是中国国家标准之一,旨在为工业控制系统的风险评估提供指导。该标准适用于各类工业控制系统(ICS),包括但不限于制造业、能源、交通等关键基础设施中的自动化控制系统。其主要内容覆盖了风险评估的基本原则、过程、方法以及报告编制等方面。
在基本原则方面,强调了风险评估应基于系统实际运行环境进行,并且需要定期或根据变化情况重新评估以确保安全策略的有效性。同时指出,评估过程中应充分考虑资产价值、威胁来源及可能性、脆弱性等因素对系统的影响程度。
对于风险评估的过程,该标准将其分为准备阶段、识别阶段、分析阶段和评价阶段四个主要步骤。准备阶段主要是确定评估范围、目标以及所需资源;识别阶段则是全面了解被评估对象的信息,包括网络架构、设备清单、业务流程等;分析阶段通过定性和定量相结合的方式,对已识别的风险因素进行深入剖析;最后,在评价阶段给出风险等级,并提出相应的缓解措施建议。
此外,《GB/T 36466-2018》还提供了多种风险评估工具和技术的应用指导,如使用问卷调查、访谈、文档审查等手段收集信息,采用矩阵法、层次分析法等多种方法进行风险量化计算等。这些内容帮助组织机构能够更加科学合理地开展ICS的安全管理工作。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2018-06-07 颁布
- 2019-01-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T36466—2018
信息安全技术
工业控制系统风险评估实施指南
Informationsecuritytechnology—
Implementationguidetoriskassessmentofindustrialcontrolsystems
2018-06-07发布2019-01-01实施
国家市场监督管理总局发布
中国国家标准化管理委员会
GB/T36466—2018
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语定义和缩略语
3、………………………1
术语和定义
3.1…………………………1
缩略语
3.2………………2
概述
4………………………2
工业控制系统层次结构模型
4.1………………………2
实施原则及工作形式
4.2………………3
框架及流程
4.3…………………………3
实施方法
5…………………5
概述
5.1…………………5
文档查阅
5.2……………5
现场访谈
5.3……………6
现场核查
5.4……………6
现场测试
5.5……………7
模拟仿真环境测试
5.6…………………7
实施过程
6…………………7
准备
6.1…………………7
资产评估
6.2……………14
威胁评估
6.3……………16
脆弱性评估
6.4…………………………19
保障能力评估
6.5………………………28
风险分析
6.6……………30
残留风险控制
6.7………………………31
附录资料性附录记录表
A()……………32
附录资料性附录脆弱性及保障能力核查表示例
B()…………………34
参考文献
……………………41
Ⅰ
GB/T36466—2018
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准主要起草单位国家信息技术安全研究中心中国电子技术标准化研究院全球能源互联网
:、、
研究院中国电子信息产业集团有限公司第六研究所
、。
本标准主要起草人李京春李冰刘鸿运方进社刘贤刚范科峰高昆仑刘仁辉葛培勤王宏
:、、、、、、、、、、
曾珍珍李健梁潇詹雄李霞庞宁姚相振周睿康赵婷刘楠徐克超蔡磊
、、、、、、、、、、、。
Ⅲ
GB/T36466—2018
引言
随着工业控制系统和信息化技术的融合工业控制系统广泛应用于冶金电力石化水处理铁路
,、、、、、
航空和食品加工等行业工业控制系统指应用于工业控制领域的数据采集监视与控制系统是由计算
。、,
机设备工业过程控制组件和网络组成的控制系统是工业领域的神经中枢工业中使用的控制系统包
、,。
括监视控制与采集系统分布式控制系统可编程逻辑控制器系统等我国把工业控制系统信息安全作
、、。
为信息安全保障的一个相对独立的体系进行建设其安全性将直接关系到国家重要基础工业设施生产
,
的正常运行和广大公众的利益
。
本标准在对工业控制系统的资产进行整理分析的基础上从其资产的安全特性出发分析工业控制
,,
系统的威胁来源与自身脆弱性归纳出工业控制系统面临的信息安全风险并给出实施工业控制系统风
,,
险评估的指导性建议
。
本标准主要为第三方安全检测评估机构在工业控制系统现场实施风险评估提供指南也可供工业
,
控制系统业主单位进行自评估时参考
。
Ⅳ
GB/T36466—2018
信息安全技术
工业控制系统风险评估实施指南
1范围
本标准规定了工业控制系统风险评估实施的方法和过程
。
本标准适用于指导第三方安全检测评估机构对工业控制系统的风险评估实施工作也可供工业控
,
制系统业主单位进行自评估时参考
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息安全技术信息安全风险评估规范
GB/T20984—2007
信息安全技术信息安全风险评估实施指南
GB/T31509—2015
信息安全技术工业控制系统安全控制应用指南
GB/T32919—2016
企业控制系统综合第部分模型和术语
ISO/IEC62264-1:20131:(Enterprise-controlsystem
integration—Part1:Modelsandterminology)
3术语定义和缩略语
、
31术语和定义
.
和中界定的以及下列术语和定义适用于本文件
GB/T31509—2015GB/T32919—2016。
311
..
监视控制数据采集系统supervisorycontrolanddataacquisitionsystemSCADA
;
在工业生产控制过程中对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据
,
采集与监控管理的控制系统
。
312
..
分布式控制系统distributedcontrolsystemDCS
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 江西省上饶市婺源天佑中学2024-2025学年高三上学期11月测试生物试题
- 《演唱会赞助方案》课件
- 《销售技巧培训》课件
- 2024年新高一英语初升高衔接《完形填空》含答案解析
- 乡镇名称政府2024年工作报告
- 擦涂用品市场发展现状调查及供需格局分析预测报告
- 粘蝇纸产业深度调研及未来发展现状趋势
- 清洁制剂产业深度调研及未来发展现状趋势
- 《恭贺新禧模板》课件
- 分段输送机产品入市调查研究报告
- ASME-第Ⅸ卷焊接工艺评定,焊工技能评定
- 法在我身边-小学生法律知识科普讲座课件
- 趣味语文-对联课件
- 蓝色简约老师工程师医师高级职称晋升答辩报告PPT
- 西门子RWD60控制器说明书
- 2022-203学年(中职)《餐饮服务与管理》试题2试卷带答案
- 新疆维吾尔自治区阿克苏地区各县区乡镇行政村村庄村名居民村民委员会明细及行政区划代码
- 公路工程冬季安全专项施工方案
- 北师大版四年级劳动教育活动3《膳食营养小专家》课件(定稿)
- 电视台广告播出证明
- 印章启用登记表
评论
0/150
提交评论