标准解读
《GB/T 44861-2024 工业自动化和控制系统安全 系统设计的安全风险评估》是一项国家标准,旨在为工业自动化和控制系统的设计阶段提供一个系统性的安全风险评估方法。该标准覆盖了从识别潜在威胁到实施缓解措施的全过程,确保在系统开发初期就将安全性考虑进去,从而减少后期可能遇到的问题。
首先,标准定义了一系列术语,包括但不限于“安全风险”、“威胁源”等,这些定义帮助所有相关方使用统一的语言来讨论问题。接着,它提出了进行安全风险评估的基本原则,强调了在整个生命周期中持续关注安全的重要性,并提倡采用多学科的方法来进行综合评估。
标准还详细描述了如何执行安全风险评估的具体步骤。这包括准备阶段,在此期间需要明确评估范围、目标以及所需资源;然后是信息收集与分析阶段,通过各种手段(如文献回顾、专家咨询)获取关于现有或潜在风险的信息;接下来是风险识别阶段,基于前面收集的数据确定哪些因素可能对系统的安全性构成威胁;之后是对已识别的风险进行定性和定量分析,以理解其可能造成的影响程度;最后一步则是制定相应的风险管理策略,比如采取预防性控制措施或者规划应急响应计划。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 即将实施
- 暂未开始实施
- 2024-10-26 颁布
- 2025-05-01 实施
文档简介
ICS25040
CCSN.10
中华人民共和国国家标准
GB/T44861—2024/IEC62443-3-22020
:
工业自动化和控制系统安全
系统设计的安全风险评估
Securityforindustrialautomationandcontrolsystems—
Securityriskassessmentforsystemdesign
IEC62443-3-22020Securitforindustrialautomationandcontrolsstems—
(:,yy
Part3-2SecuritriskassessmentforsstemdesinIDT
:yyg,)
2024-10-26发布2025-05-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T44861—2024/IEC62443-3-22020
:
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语定义缩略语和约定
3、、………………1
区域管道和风险评估要求
4、………………4
概述
4.1…………………4
识别
4.2ZCR1:SUC…………………5
初始网络安全风险评估
4.3ZCR2:……………………6
将划分为区域和管道
4.4ZCR3:SUC………………6
风险比较
4.5ZCR4:……………………8
执行详细网络安全风险评估
4.6ZCR5:………………8
文档化网络安全要求假定和约束
4.7ZCR6:、………13
资产所有者批准
4.8ZCR7:…………17
附录资料性安全等级
A()………………18
附录资料性风险矩阵
B()………………19
参考文献
……………………22
Ⅰ
GB/T44861—2024/IEC62443-3-22020
:
前言
本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定
GB/T1.1—2020《1:》
起草
。
本文件等同采用工业自动化和控制系统安全第部分系统设计的安全
IEC62443-3-2:2020《3-2:
风险评估
》。
本文件做了下列最小限度的编辑性改动
:
为与现有标准协调将标准名称改为工业自动化和控制系统安全系统设计的安全风险
———,《
评估
》。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任
。。
本文件由中国机械工业联合会提出
。
本文件由全国工业过程测量控制和自动化标准化技术委员会归口
(SAC/TC124)。
本文件起草单位机械工业仪器仪表综合技术经济研究所北京天地和兴科技有限公司重庆信安
:、、
网络安全测评有限公司电力规划总院有限公司中国工程物理研究院动力部东方电气集团科学技术
、、、
研究院有限公司国能智深控制技术有限公司北京市自来水集团有限责任公司施耐德电气中国有
、、、()
限公司罗克韦尔自动化中国有限公司国网辽宁省电力有限公司电力科学研究院国网辽宁省电力
、()、、
有限公司大连供电公司华北电力大学淄博市标准化研究院深圳市奥图威尔科技有限公司北京机械
、、、、
工业自动化研究所有限公司北京市自来水集团大通供水技术有限公司华北电力科学研究院有限责任
、、
公司国网思极网安科技北京有限公司北京卓识网安技术股份有限公司中国电力科学研究院有限
、()、、
公司国网北京市电力公司电力科学研究院国家电网有限公司信息通信分公司国网山东省电力公司
、、、
潍坊供电公司北京电安信科技有限公司广东电网有限责任公司中国电子科技集团公司第三十研
、、、
究所
。
本文件主要起草人尚羽佳李凯斌周彦晖张一彬周沫燃张晋宾王玉敏李云张晨艳
:、、、、、、、、、
杨书评朱镜灵高镜媚王勇胡博杨超李桐孙峰孙跃唐聪高涛杨波程平翟婉波张强
、、、、、、、、、、、、、、、
龚钢军陆俊何剑刘韧屠竞哲杨德龙高阳王立永陈亮王怀宇李志宏孙华忠张琪李燕平
、、、、、、、、、、、、、、
施又丹王海城周泽龙李祉岐兰昆
、、、、。
Ⅲ
GB/T44861—2024/IEC62443-3-22020
:
引言
之所以没有简单的方法来保证工业自动化和控制系统的安全是因为安全是一个风险管理
(IACS),
问题由于面临的威胁产生这些威胁的可能性系统中固有的脆弱性以及系统被破坏时的后果不
。、、
同使得每一个都会给组织带来不同的风险此外不同组织对风险的容忍度都不同
,IACS。,。
本文件旨在指导组织评估特定的风险识别并应用安全对策将风险降低到可承受的水平
IACS,,。
本文件中的关键概念是区域和管道的应用定义见
,GB/T40211。
本文件的使用者包括资产所有者系统集成商产品供应商服务提供商和合规管理机构等
、、、。
本文件通过目标安全等级与能力安全等级达成一致来为确定安全对抗措施提供
(SL-T)(SL-C)
依据
。
Ⅳ
GB/T44861—2024/IEC62443-3-22020
:
工业自动化和控制系统安全
系统设计的安全风险评估
1范围
本文件规定了以下方面的要求
:
确定工业自动化和控制系统的被评估系统
a)(IACS)(SUC);
划分的区域和管道
b)SUC;
评估每个区域和管道的风险
c);
建立每个区域和管道的目标安全等级
d)(SL-T);
文档化安全要求
e)。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文
。,
件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于
,;,()
本文件
。
工业通信网络网络和系统安全系统安全要求和安全等级
GB/T35673—2017
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
评论
0/150
提交评论