标准解读
《GB/T 36466-2018 信息安全技术 工业控制系统风险评估实施指南》是中国国家标准之一,旨在为工业控制系统的风险评估提供指导。该标准适用于各类工业控制系统(ICS),包括但不限于制造业、能源、交通等关键基础设施中的自动化控制系统。其主要内容覆盖了风险评估的基本原则、过程、方法以及报告编制等方面。
在基本原则方面,强调了风险评估应基于系统实际运行环境进行,并且需要定期或根据变化情况重新评估以确保安全策略的有效性。同时指出,评估过程中应充分考虑资产价值、威胁来源及可能性、脆弱性等因素对系统的影响程度。
对于风险评估的过程,该标准将其分为准备阶段、识别阶段、分析阶段和评价阶段四个主要步骤。准备阶段主要是确定评估范围、目标以及所需资源;识别阶段则是全面了解被评估对象的信息,包括网络架构、设备清单、业务流程等;分析阶段通过定性和定量相结合的方式,对已识别的风险因素进行深入剖析;最后,在评价阶段给出风险等级,并提出相应的缓解措施建议。
此外,《GB/T 36466-2018》还提供了多种风险评估工具和技术的应用指导,如使用问卷调查、访谈、文档审查等手段收集信息,采用矩阵法、层次分析法等多种方法进行风险量化计算等。这些内容帮助组织机构能够更加科学合理地开展ICS的安全管理工作。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2018-06-07 颁布
- 2019-01-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T36466—2018
信息安全技术
工业控制系统风险评估实施指南
Informationsecuritytechnology—
Implementationguidetoriskassessmentofindustrialcontrolsystems
2018-06-07发布2019-01-01实施
国家市场监督管理总局发布
中国国家标准化管理委员会
GB/T36466—2018
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语定义和缩略语
3、………………………1
术语和定义
3.1…………………………1
缩略语
3.2………………2
概述
4………………………2
工业控制系统层次结构模型
4.1………………………2
实施原则及工作形式
4.2………………3
框架及流程
4.3…………………………3
实施方法
5…………………5
概述
5.1…………………5
文档查阅
5.2……………5
现场访谈
5.3……………6
现场核查
5.4……………6
现场测试
5.5……………7
模拟仿真环境测试
5.6…………………7
实施过程
6…………………7
准备
6.1…………………7
资产评估
6.2……………14
威胁评估
6.3……………16
脆弱性评估
6.4…………………………19
保障能力评估
6.5………………………28
风险分析
6.6……………30
残留风险控制
6.7………………………31
附录资料性附录记录表
A()……………32
附录资料性附录脆弱性及保障能力核查表示例
B()…………………34
参考文献
……………………41
Ⅰ
GB/T36466—2018
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准主要起草单位国家信息技术安全研究中心中国电子技术标准化研究院全球能源互联网
:、、
研究院中国电子信息产业集团有限公司第六研究所
、。
本标准主要起草人李京春李冰刘鸿运方进社刘贤刚范科峰高昆仑刘仁辉葛培勤王宏
:、、、、、、、、、、
曾珍珍李健梁潇詹雄李霞庞宁姚相振周睿康赵婷刘楠徐克超蔡磊
、、、、、、、、、、、。
Ⅲ
GB/T36466—2018
引言
随着工业控制系统和信息化技术的融合工业控制系统广泛应用于冶金电力石化水处理铁路
,、、、、、
航空和食品加工等行业工业控制系统指应用于工业控制领域的数据采集监视与控制系统是由计算
。、,
机设备工业过程控制组件和网络组成的控制系统是工业领域的神经中枢工业中使用的控制系统包
、,。
括监视控制与采集系统分布式控制系统可编程逻辑控制器系统等我国把工业控制系统信息安全作
、、。
为信息安全保障的一个相对独立的体系进行建设其安全性将直接关系到国家重要基础工业设施生产
,
的正常运行和广大公众的利益
。
本标准在对工业控制系统的资产进行整理分析的基础上从其资产的安全特性出发分析工业控制
,,
系统的威胁来源与自身脆弱性归纳出工业控制系统面临的信息安全风险并给出实施工业控制系统风
,,
险评估的指导性建议
。
本标准主要为第三方安全检测评估机构在工业控制系统现场实施风险评估提供指南也可供工业
,
控制系统业主单位进行自评估时参考
。
Ⅳ
GB/T36466—2018
信息安全技术
工业控制系统风险评估实施指南
1范围
本标准规定了工业控制系统风险评估实施的方法和过程
。
本标准适用于指导第三方安全检测评估机构对工业控制系统的风险评估实施工作也可供工业控
,
制系统业主单位进行自评估时参考
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息安全技术信息安全风险评估规范
GB/T20984—2007
信息安全技术信息安全风险评估实施指南
GB/T31509—2015
信息安全技术工业控制系统安全控制应用指南
GB/T32919—2016
企业控制系统综合第部分模型和术语
ISO/IEC62264-1:20131:(Enterprise-controlsystem
integration—Part1:Modelsandterminology)
3术语定义和缩略语
、
31术语和定义
.
和中界定的以及下列术语和定义适用于本文件
GB/T31509—2015GB/T32919—2016。
311
..
监视控制数据采集系统supervisorycontrolanddataacquisitionsystemSCADA
;
在工业生产控制过程中对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据
,
采集与监控管理的控制系统
。
312
..
分布式控制系统distributedcontrolsystemDCS
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 《食品保质期规定》课件
- 《建设工程项目组织》课件
- 《家庭花卉养殖技巧》课件
- 经济全球化的趋势教学课件
- 养老院老人康复设施维修人员表彰制度
- 《商务数据分析》课件-分析报告概述与结构、撰写原则与注意事项
- 《环境因素识别教材》课件
- 挂靠连续梁施工合同(2篇)
- 2024年数据中心运维服务合同2篇
- 《烫伤护理》课件
- 2024秋期国家开放大学《法律文书》一平台在线形考(第一至五次考核形考任务)试题及答案
- 教学课件教学
- 军队文职人员招聘公共科目考试大纲
- 北师大版八年级数学上册-第二章实数知识点及经典例题讲解-(学案)
- 医师定期考核人文医学模拟考试500题(含参考答案)
- 秀场内外-走进服装表演艺术智慧树知到答案2024年武汉纺织大学
- Unit 3 Amazing animals(教学设计)-2024-2025人教PEP版(2024)英语三年级上册
- 物流快递业智能快递柜投放与管理运营策略方案
- 2024年云南省昆明滇中新区公开招聘20人历年高频500题难、易错点模拟试题附带答案详解
- 2024-2030年中国巴旦木行业市场分析及竞争形势与发展前景预测研究报告
- GB 44495-2024汽车整车信息安全技术要求
评论
0/150
提交评论