工业控制系统信息安全管理监督检查工作规范.docVIP

目 次 前 言 II 引 言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 符号和缩略语 1 5 总则 2 5.1 监督检查对象 2 5.2 监督检查目的 2 5.3 监督检查形式 2 5.4 监督检查方法 2 5.5 监督检查原则 3 6 监督检查流程 3 6.1 前期准备 4 6.2 现场检查 5 6.3 后期分析 6 6.4 报告编制 7 6.5 安全整改 7 6.6 结束 7 7 监督检查内容 7 7.1 组织制度管理 7 7.2 连接管理 10 7.3 组网管理 12 7.4 配置管理 13 7.5 设备选择与运维管理 15 7.6 数据管理 16 7.7 物理环境管理 17 附 录 A （规范性附录） 工业控制系统信息安全管理监督检查表及结果分析方法 22 A.1 监督检查表 22 A.2 结果分析方法 27 前 言 本规范依据GB/T 1.12009《标准化工作导则 第1部分：标准的结构和编写》编写。附录A 本规范由江苏省经济和信息化委员会提出。本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。 本规范起草人：、、。  言 随着信息化与工业化深度融合以及物联网的快速发展，工业控制系统信息安全问题日益突出 工业控制系统信息安全管理监督检查是帮助各重点领域工业控制系统运营、管理、维护和使用等部门充分认识工业控制系统信息安全重要性和紧迫性的重要手段，是切实加强工业控制系统信息安全管理保障工作的基础和重要环节。 工业控制系统信息安全 1 范围 本标准规定了工业控制系统信息安全的。 本标准适用于工业控制系统信息安全。 2 规范性引用文件 。 GB/T 26333 工业控制网络安全风险评估规范工业控制计算机系统 通用规范 第1部分通用要求 GB/T 30976.2 工业控制系统信息安全 第2部分验收规范/T 2289 重点领域工业控制系统信息安全保护基本要求 3 术语和定义GB/T 26333和DB32/T 2289界定的及下列术语和定义适用于本标准。 3.1 工业控制系统 industrial control systems 在工业和关键基础设施领域，采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术监测和控制生产设备运行的控制系统，包括监控和数据采集（SCADA）3.2 工业控制系统信息安全管理监督检查 information security management supervision and inspectionontrol systems 工业控制系统的运营、使用、维护、管理等部门依据国家相关政策法规、信息安全技术和管理标准，依法对重点领域工业控制系统的信息安全管理进行监督检查，并对其监督检查结果依法进行处理的活动。 3.3 强反馈 strong feedback 电子信息系统自身不具备直接操控工业控制系统的能力，但其传递的数据会导致工业控制系统发生重大调整和变化，从而可能间接控制工业控制系统的能力。 4 符号和省行政区域内各重点领域，主要包括钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的系统。——规范重点领域——指导监督检查方和被检查方开展工业控制系统信息安全管理监督检查工作，提升监督检查的质量和效率； ——帮助重点领域工业控制系统的运营、使用、维护、管理等相关部门充分认识工业控制系统信息安全管理的重要性和紧迫性，增强风险意识和责任意识； ——准确了解重点领域工业控制系统的信息安全管理现状和可能存在的安全威胁； ——明确重点领域工业控制系统的信息安全管理需求，制定安全策略和安全解决方案； ——通过监督检查工作的实施，着力培养专业的工业控制系统安全队伍和专业人才。 5.3 监督检查形式 5.3.1自查 各监督检查自行组织实施。省、市信息主管部门行业主管监管部门监督检查，共同组织实施旨在检查各关。保证质量和结果的客观性在的过程中，从个方面对进行监管，以确保工作的可控性。的 5.5.2保密性原则 监督检查实施人员保密协议，对工作过程数据和结果数据严格保密，未经授权不得泄露利用。在的过程中，严格按照的范围和内容进行避免由于遗漏造成的安全隐患。将工作对被方的系统和正常造成的影响或干扰，降至最低。 图1 工业控制系统信息安全管理监督检查流程 IT技术工程师等人员组成监督检查实施小组，设立项目负责人一名。必要时，可组建由监督检查方、被检查方领导和相关部门负责人参加的监督检查领导小组，或聘请相关专业的技术专家和技术骨干组成专家小组。 监督检查实施团队应做好评估前的表格、文档、检测工具等各项准备工作，开展工业控制系统检