《信息安全技术工业控制系统安全管理基本要求》.docVIP

《信息安全技术 工业控制系统安全管理基本要求》 （工作组征求意见稿讨论稿） 国家标准 编制说明 2016-4-17  《信息安全技术 工业控制系统安全管理基本要求》 （工作组讨论征求意见稿稿）国家标准编制说明 《信息安全技术 工业控制系统安全管理基本要求》 （工作组讨论稿）编制说明 任务来源 工业和信息化部信息安全协调全国信息安全标准化技术委员会司于2012年下发了委托开展工业控制系统安全管理基本要求标准制定工作的相关文件，名称为“信息安全技术 工业控制系统安全管理基本要求”，计划号为2012bzzd-WG5-005，由中国电子技术标准化研究院开展工业控制系统安全管理基本要求国家标准研制工作。该标准为贯彻落实《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）和《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）有关要求，旨在提高我国工业控制系统信息安全管理水平，切实保障我国重要工业领域重要工业行业安全生产工作的开展。 本项目为2012年的标准制定编制项目，名称为“信息安全技术 工业控制系统安全管理基本要求”，计划号为2012bzzd-WG5-005，由该标准由中国电子技术标准化研究院牵头承担研制工作，参与单位包括机械工业仪器仪表综合技术经济研究所、国家信息技术安全研究中心、中国电子科技集团公司第三十研究所、北京神州绿盟信息安全科技股份有限公司、启明星辰信息技术有限公司、烽台科技（北京）有限公司、北京工业大学、桂林电子科技大学、西安电子科技大学、清华大学、浙江大学、中国科学院沈阳自动化研究所、和利时集团、沈阳（上海）智能系统研发设计有限公司、浙江中控研究院有限公司、深圳赛西信息技术有限公司、广州数控设备有限公司机械工业仪器仪表综合技术经济研究所、国家信息技术安全研究中心、中国电子科技集团公司第三十研究所、北京神州绿盟信息安全科技股份有限公司、启明星辰信息技术有限公司、烽台科技（北京）有限公司、和利时集团、沈阳（上海）智能系统研发设计有限公司、浙江中控研究院有限公司北京神州绿盟信息安全科技股份有限公司、启明星辰信息技术有限公司、浙江中控、和利时、中科院沈阳自动化研究所、鞍山钢铁集团公司、攀钢西昌钢钒有限公司、上海三零卫士信息安全有限公司、北京匡恩网络科技有限公司等单位。 编制原则 本标准的编写原则 本标准的研究与编制工作遵循以下原则： （1）通用性原则 立足于当前信息安全技术水平，对国内外信息安全管理方法进行总结、归纳、简化，参考吸纳信息安全管理领域的先进成果。 （2）可操作性和实用性原则 标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检验，做到可操作、可用与实用。 （3）简化原则 根据规范化对象的结构、形式、规则等筛选提炼，经过剔除、替换，保持整体结构合理且维持原意和功能不变。 本标准的编制的内容确定制定遵循以下原则： 唯一性原则：安全管理工作体现在某一类安全控制措施中。 互斥性原则：安全管理内容和相应安全控制措施没有重叠。 扩展性原则：允许根据实际情况扩展安全管理内容。 本标准的编制目标 本标准的编制目标是：根据国家关于切实加强工业控制系统信息安全管理的精神，为实现对工业控制系统安全管理，针对各行业工业控制系统的安全管理活动的共性特点，提出了工业控制系统安全管理基本框架，从领导、规划、支持、运行、绩效评价和持续改进等方面为工业控制系统安全管理活动提供了规范性指导，同时并给出了为实现该安全管理基本框架所需的安全管理基本控制措施和各级工业控制系统安全管理基本控制措施对应表，以满足组织对各级工业控制系统的安全管理需求，为实现对工业控制系统适度、有效的安全管理控制提供参考。 本标准规范了工业控制系统安全管理基本框架及该框架包含的各关键活动，并提出为实现该安全管理基本框架所需的工业控制系统安全管理基本控制措施，在此基础上，给出了各级工业控制系统安全管理基本控制措施对应表（附录A），用于对各级工业控制系统安全管理提出安全管理基本控制要求。本标准适用于工业控制系统建设、运行、使用、管理等相关方进行工业控制系统安全管理的规划和落实，也可作为工业控制系统安全测评与安全检查工作参考依据。 主要工作过程 标准制定的主要工作过程如下： 1）2013年2月至3月：成立标准工作组，广泛调研国内重要工业控制系统使用方和供应方信息安全防护现状，研究国内外已有相关法律法规、政策、文件、标准等，为本标准的编制奠定基础。 2013年2月，在接到标准研制任务后，中国电子技术标准化研究院牵头，邀请机械工业仪器仪表综合技术经济研究所、国家信息技术安全研究中心、启明星辰信息技术有限公司、西安电子科技大学、清华大学、浙江大学、中国科学院沈阳自动化研究所、和