2024工业控制系统信息安全关键标准

工业控制系统信息安全关键标准目录标准体系介绍工业控制系统信息安全分级规范工业控制系统安全管理基本要求工业控制系统安全控制应用指南工业控制系统信息安全防护能力评价方法目录标准体系介绍工业控制系统信息安全分级规范工业控制系统安全管理基本要求工业控制系统安全控制应用指南工业控制系统信息安全防护能力评价方法 一、工业控制系统信息安全标准体系 ……工业控制系统信息安全标准体系……可编程逻辑控制器安全检测规范工业控制系统测控终端安全检测规范可编程逻辑控制器安全检测规范工业控制系统测控终端安全检测规范数据采集与监控系统安全测评规范工业互联网安全评估实施指南……(PLC)(SCADA)(DCS)检测(DCS)

信息安全技术注释待制定标准在研标准注释待制定标准在研标准发布/报批标准A安全等级

B1

信息安全技术工业控制系统安全管理基本要求

安全防护B4品要

安 全

安B 基全 B2技

信息安全技术工业控制系统安

求要求

术要求测全第部分评估规范全第部分验收规范……12系统12安D2全评估

标体系 要求安全实施C信息安全技术

要求基本B3性能要求

全技术基本要求信息安全技术工控产品功能性能评价指标

产品B5求

……要求……

控制系统

求求工业控制系统安全控制应用指南信息安全技术安全防护体系建据可参考。安全防护体系建据可参考。……目录标准体系介绍工业控制系统信息安全分级规范工业控制系统安全管理基本要求工业控制系统安全控制应用指南工业控制系统信息安全防护能力评价方法 二、工业控制系统信息安全分级规范 标准概述分级思路工业控制系统需抵御的信息安全威胁(Ta)控制系统受侵害后的工业控制系统需抵御的信息安全威胁(Ta)控制系统受侵害后的潜在影响(Ia)控制系统重要性(Sa)工业TaNSL安全风险影响等级0 Sa SIa 重要性程度I受侵害潜在影响程度N =S2I2（T2SL a a a分级方法TaNSL安全风险TaNSL安全风险影响等级0SaSIa重要性程度重要性程度特征值影响程度特征值信息安全威胁等级12重要性程度特征值影响程度特征值信息安全威胁等级1234511第一级第一级第一级第二级第三级12第一级第一级第二级第二级第三级13第一级第二级第二级第二级第三级14第二级第二级第二级第三级第三级15第三级第三级第三级第三级第四级21第一级第一级第二级第二级第三级22第一级第二级第二级第二级第三级23第二级第二级第二级第三级第三级24第二级第二级第三级第三级第三级25第三级第三级第三级第三级第四级31第一级第二级第二级第二级第三级32第二级第二级第二级第三级第三级33第二级第二级第三级第三级第三级34第二级第三级第三级第三级第四级35第三级第三级第三级第四级第四级41第二级第二级第二级第三级第三级42第二级第二级第三级第三级第三级43第二级第三级第三级第三级第四级44第三级第三级第三级第四级第四级45第三级第三级第四级第四级第四级51第三级第三级第三级第三级第四级52第三级第三级第三级第三级第四级53第三级第三级第三级第四级第四级54第三级第三级第四级第四级第四级55第四级第四级第四级第四级第四级第四级第三级第三级第二级第一级SaIaTaSa=3Ia=3Ta=3Sa=4Ia=4Ta=4Sa=5Ia=5Ta=5NSLSa=2Ia=2Ta=2=1=1=1二、工业控制系统信息安全分级规范1.732二、工业控制系统信息安全分级规范

3.464 5.196 6.928 8.66目录标准体系介绍工业控制系统信息安全分级规范工业控制系统安全管理基本要求工业控制系统安全控制应用指南工业控制系统信息安全防护能力评价方法 三、工业控制系统安全管理要求 标准概述 三、工业控制系统安全管理要求 工业控制系统信息安全管理流程最高管理层应：制定ICS整合其到组织过程，提供顶层资源承诺；建立ICS相关要求承诺；分配。

需求和期望，确定风险和机会，规划应对措施；维护和持续改进ICS确保提供维护和持续改进ICS确保提供ICS使得相关人员具有能力和意识；的沟通需求。支持保障ICS安全所需的资源，沟通和文档化制度信息安全目标。领导获得管理层承诺，确定方针，明确角色和权责

规划确定规划总则，开展ICS安全风险评估和处置，明确目标和实现规划 持续改进发生ICS安全异常等情况下，开展纠正措施并持续改进绩效评价持续改进发生ICS安全异常等情况下，开展纠正措施并持续改进绩效评价对ICS开展监视、测量、分析和评价，定期开展内部审核和管理评审运行制定运行规划并控制其实现，定期开展ICS安全风险评估和处置工作工业控制系统信息安全管理流程框架领导获得管理层承诺，确定方针，明确角色和权责规划确定规划总则，开展ICS安全风险评估和处置，明确目标和实现规划领导获得管理层承诺，确定方针，明确角色和权责规划确定规划总则，开展ICS安全风险评估和处置，明确目标和实现规划支持保障ICS安全所需的资源，提供能力和意识培训，确定沟通和文档化制度持续改进发生ICS安全异常等情况下，开展纠正措施并持续改进应及时作出反应，提出纠正措施，并保留文档化证据；框架开展持续性的改进。

绩效评价运行制定运行规划并控制其实现，定期开展ICS安全风险评估和处置工作对ICS运行制定运行规划并控制其实现，定期开展ICS安全风险评估和处置工作对ICS控制计划，并定期或在系统发生重大变更时开展风险评估；留其结果的文件化信息。针对ICSICS策略和分析评价活动；成情况进行内部审核；最高管理层应定期评审ICS其具有持续的适宜性和有效性。工业控制系统安全控制教育配置

安全评估规划

系统与服务管理技术运维管理技术运维管理应急 程序评估计划事件响应维护介质保护人员安全

物理安全系统

管理标识系统保护

访问控制审计与问责本标准从管理、运行、技术三个维度提出了本标准从管理、运行、技术三个维度提出了18个族，186项安全控制措施，范围涵盖访问控制、安全评估、系统与服务获取、风险评估、运维等。三、工业控制系统安全管理要求三、工业控制系统安全管理要求利益相关方希望最小化减少可被减少可控制利益相关方希望最小化减少可被减少可控制导致利用增加威胁主体脆弱性安全控制资产风险演示者2017-09-1004:02:10--------------------------------------------安全控制是应用于组织工业系统中管理、运行和技术上的保护措施和对策，注意这里的安全控制不止有技术相关的措施，还有管理和运维方面的。安全控制的应用可以帮助工业企业减少工控系统的脆弱性，抵御工业控制系统所面临的安全威胁，从而缓解工业控制系统的安全风险，以满足利益相关者的安全需要。价值利用发起威胁到希望滥用或被破坏安全控制是应用于组织工业控制系统中管理、运行和技术上的安全控制是应用于组织工业控制系统中管理、运行和技术上的保护措施和对策，以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目的是，减少脆弱性或影响，抵御工业控制系统所面临的安全威胁，从而缓解工业控制系统的安全风险，以满足利益相关者的安全需要。演示者2017-09-1004:02:10--------------------------------------------在本标准中，安全控制是以如格式来描述的。…具体的安全控制内容，后面演示者2017-09-1004:02:10--------------------------------------------在本标准中，安全控制是以如格式来描述的。…具体的安全控制内容，后面合《安全控制应用指南》来讲。演示者2017-09-1004:02:11--------------------------------------------本标准最后给出了不同安全级工控系统可采用的安全控制基线表。安全控制基线的概念就是，当一个工业企业的工控系统依据《分级规范》的标准确定了自身的安全等级后，根据不同等级的安全要求，需要采取不同的安全控制措施，这些控制措施的集合，就是安全控制基线。后面我们会看到，各企业在具体使用这个安全控制基线的过程中，还需根据自身实际情况开展裁剪、补充等操作，从而获得适合企业自身的安全控制集合，这就是《安全控制应用指南》的主要内容。安全控制基线演示者2017-09-1004:02:11--------------------------------------------本标准最后给出了不同安全级工控系统可采用的安全控制基线表。安全控制基线的概念就是，当一个工业企业的工控系统依据《分级规范》的标准确定了自身的安全等级后，根据不同等级的安全要求，需要采取不同的安全控制措施，这些控制措施的集合，就是安全控制基线。后面我们会看到，各企业在具体使用这个安全控制基线的过程中，还需根据自身实际情况开展裁剪、补充等操作，从而获得适合企业自身的安全控制集合，这就是《安全控制应用指南》的主要内容。为便于对不同安全级别的工业控制系统进行适于其级别的安全管理，标准附录A结合第6章中的ICS安全管理基本控制措施，给出了各级ICS安全管理基本要求对应表，具体分级依据参见ICS安全分级相关标准。针对ICS安全管理基本控制措施的裁剪方式参见相关ICS控制应用指南。目录标准体系介绍工业控制系统信息安全分级规范工业控制系统安全管理基本要求工业控制系统安全控制应用指南工业控制系统信息安全防护能力评价方法 四、工业控制系统安全控制应用指南 概述四、工业控制系统安全控制应用指南四、工业控制系统安全控制应用指南演示者2017-09-1004:02:13--------------------------------------------，获取其中并没有物理的生产设备，因此针对物理生产设备的安全控制可能就不需要；同样的，流程行业的许多安全控制，离散行业也许就不需要采纳，因此，需进行安全控制的裁剪，把不适合本企业业务需求的安全控制去掉。补充控制：不同行业企业，根据其业务需求不同，可能会有自身独特的安全控制需求，比如核电和火电就有不同。因此需采用补充控制，通过风险评估，加入一些安全控制措施。安全控制应用流程演示者2017-09-1004:02:13--------------------------------------------，获取其中并没有物理的生产设备，因此针对物理生产设备的安全控制可能就不需要；同样的，流程行业的许多安全控制，离散行业也许就不需要采纳，因此，需进行安全控制的裁剪，把不适合本企业业务需求的安全控制去掉。补充控制：不同行业企业，根据其业务需求不同，可能会有自身独特的安全控制需求，比如核电和火电就有不同。因此需采用补充控制，通过风险评估，加入一些安全控制措施。针对工业控制系统存在的脆弱性，分析面临的威胁，评估风险发生的可能性以及风险发生可能造成的影响和危害，制定风险处置原则和处置计划，将工业控制系统安全风险控制在可接受的水平。目录标准体系介绍工业控制系统信息安全分级规范工业控制系统安全管理基本要求工业控制系统安全控制应用指南工业控制系统信息安全防护能力评价方法 五、工控信息安全防护能力评价方法 标准内容针对各行业工业控制系统安全防护工作的特点，提出了工业控制系统安全防护评价流程，从工作流程、评价队伍组建、制定评价工作计划、安全防护能力评价指标、现场报告形成、整改复评、形成结论等方面对工业控制系统安全防护评价工作提出了规范性指导，以满足不同组织对其工业控制系统的安全管理需求，为实现对工业控制系统适度、有效的安全管理控制提供参考。

受理评价申请形成结论

受理对象工作任务量、地理位置等因素，且原则上专职评估人员不少于5名。部级评价专项工作地方评价工作委托工作任务量、地理位置等因素，且原则上专职评估人员不少于5名。部级评价专项工作地方评价工作委托工业企业评价申请计划名称、编号与评估范围评价任务与方案计划名称、编号与评估范围评价任务与方案评价工作组组长、成员日程安排风险控制预案依据评价工作计划对被评价工业企业现场实施工控安全防护能力评价对象依据评价工作计划对被评价工业企业现场实施工控安全防护能力评价评估工作组编写评价报告评估机构审核人签字确认评估工作组编写评价报告评估机构审核人签字确认报告需准确评价当前工业企业的工控安全现状和防护能力，并描述存在的安全问题及整改意见。申请现场复评估工业企业开展防护整改申请现场复评估工业企业开展防护整改依据现场报告和复评价报告，形成结论结论为“完全具备”、“基本具备”、“部分具备”或“不具备”依据现场报告和复评价报告，形成结论结论为“完全具备”、“基本具备”、“部分具备”或“不具备”不定期上报主管部门确定评估范围制定风险控制确定评估范围制定风险控制预案制定评价工作计划确定评价任务与方案明确日程安排确定评成员演示者2017-09-1004:02:15--------------------------------------------依据《工业控制系统安全控制演示者2