信息安全技术 信息系统安全等级保护测评要求 第5部分 工业控制安全扩展测评要求-编制说明

一、编制背景1994年，国家印发《中华人民共和国计算机信息系统安全保护条例》，明确规定“计算机信息系统实行安全等级保护”。之后，公安部会同有关部门陆续出台了《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》等一系列政策文件。全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制定了信息安全等级保护工作基础类、应用类、产品类和其他类急需的一系列标准。各相关单位按照国家要求执行信息安全等级保护制度，信息安全等级保护工作已取得很大的进展。2010年“震网”病毒出现后，工业控制系统安全引起了国家各级组织的高度重视，美国等发达国家陆续发布了针对工控系统保护的系列标准和框架等。由于工控系统的特殊性，实时打补丁，补漏洞等通用信息系统保护手段，在线扫描渗透等测评手段不适用于已投运工控系统亟需根据工业控制系统特点制定工业控制系统的等级保护系列标准。为提升国家重要工业控制系统安全防护能力，规范工控系统安全防护建设，促进我国信息安全产业发展，国家能源局信息中心组织测评机构、工控安全厂商、电力企业等，对工业控制系统测评方法进行专题研究，编制了《信息系统安全等级保护测评要求第5部分工业控制安全扩展测评要求》。《信息安全技术网络安全等级保护测评要求第5部分：工业控制系统安全扩展要求》是以《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）修订稿为基础，针对工业控制系统的特点进行了适度调整，更适用于工业控制系统测评的现状。二、编制依据1、《关于加强工业控制系统信息安全管理的通知》（工信部协[2011]451号）、《电力监控系统安全防护规定》（国家发改委2014年第14号令）。2、《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008）、《信息技术安全技术信息安全实用规则》（GB/T22081-2008）、《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术信息安全等级保护基本要求》（GB/T22239-2008）、《信息安全技术信息安全等级保护测评要求》（GB/T28448-2012）。3、《联邦信息系统推荐安全措施》（NISTSP800-53）、《控制系统安全指南》（NISTSP800-82）。三、标准范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。四、主要内容《信息安全技术网络安全等级保护测评要求第5部分：工业控制系统安全扩展要求》按照GB/T1.1-2009的规则起草。包含范围、规范性引用文件、术语和定义、总则、总体要求、第一级到第四级信息系统单元测评、整体测评、等级测评结论等。总则包括五个方面：1、测评原则；2、测评内容；3、测评力度；4、结果重用；5、使用方法。总体要求包括两个方面：1、总体技术要求；2、总体管理要求。二、三、四级信息系统单元测评包括两个方面：1、安全技术测评（总体技术、物理环境、网络通信、设备和计算、应用和数据）；2、安全管理测评（安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理）。整体测评包括控制点测评、控制点间测评和安全层面间测评。等级测评结论包括三个部分：1、各层面的测评结论；2、风险分析和评价；3、整体保护能力的测评结论。《信息安全技术网络安全等级保护测评要求第5部分：工业控制系统安全扩展要求》编制说明《信息安全技术网络安全等级保护测评要求第5部分：工业控制系统安全扩展要求》编制说明《信息安全技术网络安全等级保护测评要求第5部分：工业控制系统安全扩展要求》