《信息安全技术网络安全等级保护基本要求 第5部分：工业控制系统安全 ....docxVIP

《信息安全技术 网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求》 编制说明 概述 项目来源 本标准编写任务由公安部信息系统安全标准化技术委员会下达，公安部十一局组织，浙江大学负责具体编制工作。 编制的背景和意义 随着信息技术的发展，网络安全等级保护工作的时效性、易用性、可操作性要求日益增加，为了适应工业控制系统下网络安全等级保护工作的开展，我们对《GB/T 22239.1—XXXX 信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求》（以下简称“安全通用要求”）进行了扩展，形成了本部分，这对追赶世界先进水平、提升我国工业控制系统安全能力都有着深远的意义。 编制的目的 通过本标准的制定，规定了网络安全等级保护的工业控制系统扩展要求，能够为电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等各行业、企业的工业控制系统网络安全等级保护措施的设计、落实、测试、评估等提供清晰的指导要求。 编制原则 本标准在编制过程中，依据以下原则： 实用性原则 标准必须是可用的，才有实际意义，本标准在编制过程中严格按照流程对工控行业、工控安全产品、技术等相关领域展开系统的、全面的调研工作，注重与工控各行业单位的交流，进行工程实践验证，保证标准的可操作性。 先进性原则 标准是先进经验的总结，同时也是技术的发展趋势。本标准在编制过程中，充分吸收已有国内外工业控制系统信息安全相关标准，包括：IEC 62443系列标准、NIST SP 800-82、NIST SP 800-41、IEC62264-1和集散控制系统（DCS）安全类系列标准等大量获工控行业广泛认可的标准，既确保标准科学性，又使得标准内容符合我国国情。 兼容性原则 本标准与我国现有的政策、法规、标准和规范相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。 编制说明内容简介 本标准在《安全通用要求》的基础上，针对监控和数据采集（SCADA）系统、集散控制系统（DCS）、可编程逻辑控制器（PLC）、远程测控单元（RTU）等各类工业控制系统（ICS），规定了网络安全等级保护的扩展要求，为电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等各行业、企业的工控系统网络安全等级保护措施的设计、落实、测试、评估等提供了清晰的指导要求。 2015年7月1日，公安部在北京召开标准评审会，与会专家建议将标准名称修改为《信息安全技术 网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求》（原为：《信息安全技术 信息系统安全等级保护基本要求 第5部分：工业控制系统安全扩展要求》）。 主要工作过程 前期调研 本标准在研究国内外相关工控标准的基础上，根据我国工控行业的实际情况，提炼出适用于批量控制、连续控制、离散控制等工业控制系统的网络安全等级保护的基本要求。 主要参考的标准有： GB/T 22239.1-XXXX《信息安全技术网络安全等级保护基本要求第1部分：安全通用要求》 GB/T30976.1-2014 《工业控制系统信息安全第1部分：评估规范》 GB/T30976.2-2014 《工业控制系统信息安全第2部分：验收规范》 GB/T 32919-2016《信息安全技术 工业控制系统安全控制应用指南》 NIST SP800-82-2011《Guide to Industrial Control Systems (ICS) Security》 NIST SP800-41-2009《Guidelines on Firewalls and Firewall Policy》 IEC 62264-1《Enterprise-control system integration –Part 1: Models and terminology》 IEC/TS 62443-1-1 《工业通信网络 网络和系统安全第1-1部分：术语、概念和模型》 IEC 62443-3《工业过程测量和控制安全第3部分：网络和系统信息安全》 IEC 62443-3-3 《工业通信网络 网络和系统安全第3-3部分：系统安全要求和安全等级》 集散控制系统（DCS）安全防护标准 集散控制系统（DCS）安全评估标准 集散控制系统（DCS）风险与脆弱性检测标准 编制工作简要过程 2014年7月至2015年3月，在前期研究和工作积累的基础上，进行标准的编制工作，完成了标准草案。 2016年4月6-7日，在广州召开专家评审会对标准草案进行讨论，与会期间，标准框架，分层次、分安全域的工业控制系统安全等级保护思路得到行业专家的认可。 2016年4月23日，公安部三所