《信息安全技术 工业控制系统安全管理基本要求》编制说明

《信息安全技术工业控制系统安全管理基本要求》

（征求意见稿）国家标准编制说明

一、任务来源

全国信息安全标准化技术委员会于2012年下发了委托开展工业控制系统安全管理基本

要求标准制定工作的相关文件，名称为“信息安全技术工业控制系统安全管理基本要求”，

计划号为2012bzzd-WG5-005，由中国电子技术标准化研究院开展工业控制系统安全管理

基本要求国家标准研制工作。该标准为贯彻落实《关于加强工业控制系统信息安全管理的通

知》（工信部协〔2011〕451号）和《国务院关于大力推进信息化发展和切实保障信息安全

的若干意见》（国发〔2012〕23号）有关要求，旨在提高我国工业控制系统信息安全管理

水平，切实保障我国重要工业领域重要工业行业安全生产工作的开展。

该标准由中国电子技术标准化研究院牵头承担研制工作，参与单位包括机械工业仪器仪

表综合技术经济研究所、国家信息技术安全研究中心、中国电子科技集团公司第三十研究所、

北京神州绿盟信息安全科技股份有限公司、启明星辰信息技术有限公司、烽台科技（北京）

有限公司、北京工业大学、桂林电子科技大学、西安电子科技大学、清华大学、浙江大学、

中国科学院沈阳自动化研究所、和利时集团、沈阳（上海）智能系统研发设计有限公司、浙

江中控研究院有限公司、深圳赛西信息技术有限公司、广州数控设备有限公司等单位。

二、主要工作过程

标准制定的主要工作过程如下：

1）2013年2月至3月：成立标准工作组，广泛调研国内重要工业控制系统使用方和

供应方信息安全防护现状，研究国内外已有相关法律法规、政策、文件、标准等，为本标

准的编制奠定基础。

2013年2月，在接到标准研制任务后，中国电子技术标准化研究院牵头，邀请机械工

业仪器仪表综合技术经济研究所、国家信息技术安全研究中心、启明星辰信息技术有限公司、

西安电子科技大学、清华大学、浙江大学、中国科学院沈阳自动化研究所、和利时集团、浙

江中控研究院有限公司等单位，成立标准项目工作组，召开工作组成立会议，进行任务分工

和任务组织。

2013年2-3月，工作组先后前往多个工业控制系统使用方、供应方开展了实地调研，

调研单位包括中石油、杨柳青电厂、和利时、沈阳（上海）智能系统研发设计有限公司、广

州数控设备有限公司、成都飞机工业（集团）有限责任公司等，并与各行业从事工业控制系

统信息安全管理和维护的人员进行了座谈，掌握了工业控制系统信息安全管理工作的基本需

求。同时，工作组研究现有国内外工控安全相关标准，分析各自特点，学习借鉴，包括：

（1）国际标准《工业过程测量与控制安全：网络与系统信息安全》系列标准（IEC

62443）；

（2）美国NIST发布的《推荐的联邦信息系统和组织的安全控制措施》（NISTSP

800-53）和《工业控制系统信息安全指南》（NISTSP800-82）；

（3）国际标准《信息技术安全技术基于ISO/IEC27002的能源行业过程控制系统信

息安全管理指南》（ISO/IEC27019）；

（4）电力行业工业控制系统信息安全相关文件标准，如：《电力行业信息系统安全等

级保护基本要求》（电监信息〔2012〕62号）等；

（5）信息安全管理相关国际系列标准，如：《信息技术安全技术信息安全管理体系要

求》（ISO/IEC27001）等。

（6）我国国内相关法律法规、政策、文件等资料，如《关于加强工业控制系统信息安

全管理的通知》（工信部协〔2010〕451号）等。

标准工作组通过对多个工业多个行业的工业控制系统信息安全管理基本情况的调研，以

及对国内外相关法律法规、政策文件和标准等的研究，为后续标准制定工作奠定了坚实基础。

2）2013年3月至2016年2月：形成标准草案，并征求工业控制系统使用方、设备

供应方、信息安全专家、科研专家和测评认证专家意见

2013年3月，工作组形成了标准草案框架，明确了标准初步研制思路，形成了标准初

步草案。

2013年4月，信安标委秘书处组织召开了标准检查会，评审组专家对标准草案进行了

检查分析，建议在标准编制过程中听取工业行业相关专家意见。

2013年6月，工作组组织召开了行业专家讨论会，听取了来自石油、电力、供水、燃

气、铁路、城市轨道交通等行业专家对标准草案的意见，后根据专家意见对标准草案进行了

修改。

2013年7月，信安标委秘书处组织了标准草案审查会，评审专家对标准内容提出了修

改意见。会后，工作组对专家意见进行了认真分析和研究，重新梳理了标准研制思路，并进

行了任务分工，完善了标准草案。

2013年9月，信安标委秘书处组织了标准草案研讨会，进一步对标准制定内容进行讨

论，工作组根据专家意见对标准内容进行了完善。

2014年2月，标准工作组按照任务分工，对控制措施部分进行了重新梳理，根据信息

安全风险管理流程，重新编写了相关安全管理的主要活动。

2014年9月，工作组组织了产业专家研讨会，听取了与会专家关于标准的意见，工作

组根据专家意见对标准内容进行了完善。

2015年2月，工作组参加了“工业控制系统标准体系研讨会”，听取了TC260、TC124

等不同专家关于工控系统安全标准的观点和意见，在汲取各位专家的意见和观点的基础上，

进一步改进完善了标准草稿。

2015年3月-2015年7月，根据专家的意见，对国内外的工业控制系统安全标准进行

了深入研究分析，尤其是研究美国工业控制安全标准，包括NISTSP800-82、SP800-53，

美国天然气工业协会（AGA）AGA12系列标准，ISA99系列标准，北美电力可控性公司

（NERC)CIP系列标准。并多次召开内部讨论会，对标准草案内容进行讨论。

2015年8月，信安标委秘书处组织了标准草案研讨会，结合《信息安全技术工业控制

系统安全分级指南》、《信息安全技术工业控制系统安全控制应用指南》等标准，对标准内

容进行了统一。

2015年9月-2016年2月，工作组根据专家意见对标准草案内容进行了补充调整，按

照信安标委要求尽快形成征求意见稿。

3）2016年3月至4月：召开WG5专家评审会，修改后形成标准征求意见稿

2016年3月3日，邀请崔书昆、宫亚峰、陈冠直、顾健、左晓栋、张翀斌、张立

武、肖京华、闵京华等专家，在北京召开《工业控制系统安全管理基本要求》标准评审会，

听取专家意见建议，并给出评审决议。

2016年3月4日-2016年3月18日，按照标准评审会专家意见建议，修改《工业

控制系统安全管理基本要求》，删除该标准中PLC、SCADA和DCS示例以及附录B中的

内容，并将各层级基线安全控制措施表换为工业控制系统安全管理框架个步骤中所需实现安

全控制措施对应表。

2016年3月18日，邀请陈冠直老师，在本标准承担单位开会，讨论《工业控制

系统安全管理基本要求》及《工业控制系统信息安全分级规范》修改情况。

2016年3月29日，邀请王立福、宫亚峰、陈冠直、肖京华、闵京华等专家，在

北京应物会议中心召开《工业控制系统信息安全分级规范》标准评审会，并向与会专家汇报

《工业控制系统安全管理基本要求》的修改情况。

4）2016年4月至5月：WG5开展针对本标准的投票工作

2016年4月18日，WG5开展针对本标准的投票工作，各单位对《工业控制系统

安全管理基本要求》的主要内容提出了意见建议。电子四院根据所提意见，对《工业控制系

统安全管理基本要求》内容进行了修改。

5）2016年6月：WG5召开信安标委会议周，相关成员单位针对本标准研提意见建议

2016年6月13日至16日，WG5召开信安标委会议周，相关成员单位针对本标

准研提意见建议，并听取标准编制组对标准修改情况的工作汇报。

三、标准的编制原则和主要内容

(一)本标准的编写原则

本标准的研究与编制工作遵循以下原则：

一是充分吸收已有国内外工业控制系统信息安全相关法律法规及标准等。

本标准在编制过程中参考了国内外诸多法律法规和标准，包括：《工业过程测量与控制

安全：网络与系统信息安全》系列标准（IEC62443）、《推荐的联邦信息系统和组织的安全

控制措施》（NISTSP800-53）、《工业控制系统信息安全指南》（NISTSP800-82）和《信

息技术安全技术基于ISO/IEC27002的能源行业过程控制系统信息安全管理指南》

（ISO/IEC27019），同时还参考了我国《关于加强工业控制系统信息安全管理的通知》（工

信部协〔2010〕451号）等政策文件，既确保标准科学性，又使得标准内容符合我国国情。

二是标准条款提出安全管理框架，但不限制具体实现方式。

本标准在借鉴诸多工业控制系统和信息安全领域相关标准的基础上，提出了工业控制系

统安全管理基本框架，为工业控制系统使用方开展信息安全管理活动提供指导，同时标准中

给出的安全控制措施，从技术、管理、运维等方面对工业控制系统信息安全提出了具体实现

方式，但本标准并未规定各级工业控制系统须满足的安全控制措施，而是需要企业根据自身

实际情况，依据相关标准自主选择，从而增强了标准的可操作性，为开展工业控制系统信息

安全相关保障活动提供支撑。

(二)本标准的主要内容

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发

展，工业控制系统，包括分布式控制系统（DCS）、监控与数据采集（SCADA）系统和可编

程逻辑控制器（PLC）等产品广泛应用于核设施、航空航天、先进制造、石油石化、油气管

网、电力系统、交通运输、水利枢纽、城市设施等国家重要领域。工业控制系统（ICS）由

单机走向互联、从封闭走向开放、从自动化走向智能化进程的加快，使得工业控制系统的信

息安全问题日益突出，工业控制系统一旦遭受攻击，将严重威胁人民生命财产安全和国家政

权稳定。本标准针对各行业工业控制系统的安全管理活动的共性特点，提出了工业控制系统

安全管理基本框架，从领导、规划、支持、运行、绩效评价和持续改进等方面为工业控制系

统安全管理活动提出了规范性要求，同时并给出了实现该安全管理基本框架所需的安全管理

基本控制措施和各级工业控制系统安全管理基本控制措施对应表，以满足组织对各级工业控

制系统的安全管理需求，为实现对工业控制系统适度、有效的安全管理控制提供参考。

本标准规定了工业控制系统安全管理基本框架及该框架包含的各关键活动，并提出为实

现该安全管理基本框架所需的工业控制系统安全管理基本控制措施，在此基础上，给出了各

级工业控制系统安全管理基本控制措施对应表，用于对各级工业控制系统安全管理提出安全

管理基本控制要求。本标准适用于工业控制系统建设、运行、使用、管理等相关方进行工业

控制系统安全管理的规划和落实，也可供工业控制系统安全测评与安全检查工作参考依据。

1）工业控制系统安全管理基本框架

工业控制系统（ICS）与传统的信息技术（IT）系统存在的诸多重要差异决定了应在规

划和管理ICS信息安全过程中考虑ICS自身的特点。参考传统信息安全管理体系，结合ICS自

身特点，将安全性需求整合到ICS中，形成了ICS安全管理基本框架（如图1所示）。该框架

在确定ICS安全管理具体意图，理解需求期望并明确ICS体系范围的基础上，将ICS安全管理

活动分为领导、规划、支持、运行、绩效评价和持续改进六个方面。其中，领导阶段需要组

织获得管理层的承诺，确定ICS安全管理的方针，明确组织各相关成员在ICS管理活动中的角

色和权责；规划阶段中组织应确定规划总则，开展ICS安全风险评估和处置，明确目标和实

现规划；在支持阶段组织应保障ICS安全所需的资源，提供能力和意识培训，确定沟通机制

并建立文档化制度；运行阶段组织应规划、实现和控制满足ICS安全管理活动要求的具体过

程，定期开展ICS安全风险评估和处置工作；在绩效评价阶段，组织对ICS开展监视、测量、

分析和评价，定期开展内部审核和管理评审；持续改进阶段组织应对ICS的安全开展持续监

控，在发生ICS安全异常等情况下，开展纠正措施并持续改进。

图1ICS安全管理基本框架

2）工业控制系统安全管理基本控制措施

为具体实现ICS安全管理基本框架各阶段的安全功能，本标准在给出了ICS安全管理基本

框架各阶段所需的基本控制措施。这些基本控制措施分为安全评估和授权、系统服务和获取、

人员安全、规划、风险评估、应急规划、物理和环境安全、配置管理、系统和信息完整性、

介质保护、事件响应、培训和意识、访问控制、维护、审计和可核查、标识和鉴别16个簇，

每个簇分为若干安全控制项，每个安全控制项中包含若干个安全控制措施，用以帮助工业控

制系统相关方实现工业控制系统信息安全防护。

3）不同级别的工业控制系统安全管理要求对应表

为指导组织根据自身工业控制系统的不同安全级别选择安全管理基本控制措施，本标准

给出了针对不同级别的工业控制系统安全管理要求对应表。工业控制系统信息安全相关方可

根据工业控制系统安全控制应用指南、安全分级等相关标准，对所选安全管理基本控制措施

进行剪裁、选择等操作。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或

与测试的国外样品、样机的有关数据对比情况

工业控制系统信息安全标准及其产业技术政策的制定实施将会对工业控制系统及其相

关产业发展造成极大影响。本标准充分考虑了我国具体国情和工业控制系统行业发展现状，

给出了工业控制系统安全管理框架、安全控制措施和各级工业控制系统基线安全控制措施推

荐表，为提高我国工业控制系统安全管理能力的提升提供指导。

目前，美国NIST发布的《推荐的联邦信息系统和组织的安全控制措施》（NISTSP800-53）

对信息系统的信息安全提供了信息系统安全控制措施、不同等级的信息系统安全基线、裁剪

选择指南等内容，《工业控制系统信息安全指南》（NISTSP800-82）针对工业控制系统特

殊性，提供了NISTSP800-53在工业控制系统领域使用的相关指导。本标准针对我国具体

国情和行业发展现状，提出了适用于我国的工业控制系统安全管理基本框架，用于规范我国

工业控制系统信息安全管理活动，在安全控制措施方面，从安全评估和授权、系统和服务获

取、规划、配置管理、维护、系统和信息完整性等16个方面提出了工业控制系统安全管理

控制措施，与NIST发布的相关标准相比，剔除了大纲管理等不适合我国具体国情的相关内

容，并结合我国信息安全管理相关国情，给出了不同等级的信息系统安全控制基线。

本标准力求在技术要素上涵盖国外