GB/T 41400-2022信息安全技术工业控制系统信息安全防护能力成熟度模型

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T41400—2022

信息安全技术工业控制系统信息安全

防护能力成熟度模型

Informationsecuritytechnology—Informationsecurityprotectioncapability

maturitymodelofindustrialcontrolsystems

2022-04-15发布2022-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T41400—2022

目次

前言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

工业控制系统信息安全防护能力成熟度模型

5…………3

能力成熟度模型架构

5.1………………3

能力要素维度

5.2………………………4

能力构成

5.2.1………………………4

机构建设

5.2.2………………………4

制度流程

5.2.3………………………4

技术工具

5.2.4………………………4

人员能力

5.2.5………………………4

能力成熟度等级维度

5.3………………4

能力建设过程维度

5.4…………………5

体系

5.4.1PA…………………………5

编码规则

5.4.2………………………6

关系描述

5.4.3………………………6

核心保护对象安全

6………………………7

工业设备安全

6.1………………………7

控制设备安全

6.1.1PA01……………7

现场测控设备安全

6.1.2PA02………………………8

设备资产管理

6.1.3PA03……………9

存储媒体保护

6.1.4PA04……………9

工业主机安全

6.2………………………11

专用安全软件

6.2.1PA05…………11

漏洞和补丁管理

6.2.2PA06………………………12

外设接口管理

6.2.3PA07…………12

工业网络边界安全

6.3…………………13

安全区域划分

6.3.1PA08…………13

网络边界防护

6.3.2PA09…………14

远程访问安全

6.3.3PA10…………15

身份认证

6.3.4PA11………………16

工业控制软件安全

6.4…………………17

安全配置

6.4.1PA12………………17

配置变更

6.4.2PA13………………18

账户管理

6.4.3PA14………………19

Ⅰ

GB/T41400—2022

口令保护

6.4.4PA15………………19

安全审计

6.4.5PA16………………20

工业数据安全

6.5………………………21

数据分类分级管理

6.5.1PA17……………………21

差异化防护

6.5.2PA18……………23

数据备份与恢复

6.5.3PA19………………………23

测试数据保护

6.5.4PA20…………24

通用安全

7…………………25

安全规划与架构

7.1……………………25

安全策略与规程

7.1.1PA21………………………25

安全机构设置

7.1.2PA22…………26

安全职责划分

7.1.3PA23…………27

人员管理与培训

7.2……………………27

人员安全管理

7.2.1PA24…………27

安全教育培训

7.2.2PA25…………28

物理与环境安全

7.3……………………29

物理安全防护

7.3.1PA26…………29

应急电源

7.3.2PA27………………30

物理防灾

7.3.3PA28………………31

环境分离

7.3.4PA29………………32

监测预警与应急响应

7.4………………33

工业资产感知

7.4.1PA30…………33

风险监测

7.4.2PA31………………34

威胁预警

7.4.3PA32………………35

应急预案

7.4.4PA33………………36

应急演练

7.4.5PA34………………37

供应链安全保障

7.5……………………37

产品选型

7.5.1PA35………………37

供应商选择

7.5.2PA36……………38

采购交付

7.5.3PA37………………39

合同协议控制

7.5.4PA38…………40

源代码审计

7.5.5PA39……………41

升级安全保障

7.5.6PA40…………42

能力成熟度等级核验方法

8………………43

工业设备安全

8.1………………………43

控制设备安全

8.1.1PA01…………43

现场测控设备安全

8.1.2PA02……………………43

设备资产管理

8.1.3PA03…………44

存储媒体保护

8.1.4PA04…………45

工业主机安全

8.2………………………45

专用安全软件

8.2.1PA05…………45

漏洞和补丁管理

8.2.2PA06………………………46

Ⅱ

GB/T41400—2022

外设接口管理

8.2.3PA07…………47

工业网络边界安全

8.3…………………47

安全区域划分

8.3.1PA08…………47

网络边界防护

8.3.2PA09…………48

远程访问安全

8.3.3PA10…………48

身份认证

8.3.4PA11………………49

工业控制软件安全

8.4…………………50

安全配置

8.4.1PA12………………50

配置变更

8.4.2PA13………………51

账户管理

8.4.3PA14………………51

口令保护

8.4.4PA15………………52

安全审计

8.4.5PA16………………53

工业数据安全

8.5………………………54

数据分类分级管理

8.5.1PA17……………………54

差异化防护

8.5.2PA18……………55

数据备份与恢复

8.5.3PA19………………………56

测试数据保护

8.5.4PA20…………56

安全规划与架构

8.6……………………57

安全策略与规程

8.6.1PA21………………………57

安全机构设置

8.6.2PA22…………57

安全职责划分

8.6.3PA23…………58

人员管理与培训

8.7……………………58

人员安全管理

8.7.1PA24…………58

安全教育培训

8.7.2PA25…………59

物理与环境安全

8.8……………………60

物理安全防护

8.8.1PA26…………60

应急电源

8.8.2PA27………………61

物理防灾

8.8.3PA28………………61

环境分离

8.8.4PA29………………63

监测预警与应急响应

8.9………………63

工业资产感知

8.9.1PA30…………63

风险监测

8.9.2PA31………………64

威胁预警

8.9.3PA32………………65

应急预案

8.9.4PA33………………65

应急演练

8.9.5PA34………………66

供应链安全保障

8.10…………………66

产品选型

8.10.1PA35………………66

供应商选择

8.10.2PA36……………67

采购交付

8.10.3PA37………………68

合同协议控制

8.10.4PA38…………68

源代码审计

8.10.5PA39……………69

升级安全保障

8.10.6PA40…………70

附录资料性能力成熟度等级描述与

A()GP…………71

Ⅲ

GB/T41400—2022

附录资料性能力成熟度模型使用方法

B()……………74

附录资料性能力成熟度等级核验流程

C()……………75

参考文献

……………………78

Ⅳ

GB/T41400—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院太极计算机股份有限公司江苏赛西科技发展有限

:、、

公司工业和信息化部计算机与微电子发展研究中心中国软件评测中心广州赛宝认证中心服务有限

、()、

公司中国石油天然气股份有限公司西北销售分公司中国石油天然气股份有限公司长庆石化分公司

、、、

宁波和利时信息安全研究院有限公司国家工业信息安全发展研究中心国家信息技术安全研究中心

、、、

中国信息安全测评中心浙江省能源集团有限公司浙江浙能乐清发电有限责任公司上海三零卫士信

、、、

息安全有限公司陕西省网络与信息安全测评中心西门子中国有限公司上海工业控制安全创新科

、、()、

技有限公司华东师范大学杭州安恒信息技术股份有限公司中国网络安全审查技术与认证中心昆仑

、、、、

数智科技有限责任公司西安电子科技大学国网新疆电力有限公司电力科学研究院中电长城网际系

、、、

统应用有限公司中国石油天然气股份有限公司新疆油田分公司数据公司杭州立思辰安科科技有限公

、、

司东莞市擎洲光电科技有限公司柳州源创电喷技术有限公司江苏省电子信息产品质量监督检验研

、、、

究院江苏省信息安全测评中心北京六方云信息技术有限公司中国科学院软件研究所烽台科技北

()、、、(

京有限公司上海化工宝数字科技有限公司北京和仲宁信息技术有限公司杭州木链物联网科技有限

)、、、

公司陕西科技大学中石油华东设计院有限公司中国能源建设集团浙江省电力设计院有限公司陕西

、、、、

延长石油富县发电有限公司上海大学海澜智云科技有限公司成都航天通信设备有限责任公司

、、、。

本文件主要起草人姚相振李琳甘俊杰周睿康龚洁中周峰李尧刘贤刚赵振学赵金元

:、、、、、、、、、、

郝志强赵梓桐方进社李俊郭娴夏冀许玉娜闵京华邸丽清孙彦胡影王惠莅李弘彦马强

、、、、、、、、、、、、、、

程宇陈柯宇张宏伟陈曦牟文彪张坚群仵大奎刘盈杨帆高瑞闫涛蒲戈光刘虹费敏锐

、、、、、、、、、、、、、、

彭晨杜大军布宁申永波焦程鹏刘鸿运张芝军王飞索涛戴赟张建新强剑石永杰于慧超

、、、、、、、、、、、、、、

王小宏赵朋沈玉龙李峰王斌周燕华孙军于盟肖威林昕姜亚光刘丕群孙军军刘志乐

、、、、、、、、、、、、、、

吴兰杨晨龚亮华段沛鑫陈艳刘克松高智伟张浏骅刘冬李敏张晓菲曹禹郝鑫马孝磊

、、、、、、、、、、、、、、

杨立军林洪俊陈若春纪璐晏敏方静莫韬何双羽赵峰张俊峰刘志刚赵学全程薇宸王一蔚

、、、、、、、、、、、、、、

赵建宏

。

Ⅴ

GB/T41400—2022

信息安全技术工业控制系统信息安全

防护能力成熟度模型

1范围

本文件给出了工业控制系统信息安全防护能力成熟度模型规定了核心保护对象安全和通用安全

,

的成熟度等级要求提出了能力成熟度等级核验方法

,。

本文件适用于工业控制系统设计建设运维等相关方进行工业控制系统信息安全防护能力建设

、、,

以及对组织工业控制系统信息安全防护能力成熟度等级进行核验

。

2规范性引用文件

下列文件中的内