《汽车制造工业控制系统信息安全技术规范》.docxVIP

山西省汽车行业协会 发 布 ICS 35.040 CCS L80 团 SXQCTB 体 标 准 T/SXQCTB XXXX—2023 汽车制造工业控制系统信息安全技术规范 Technical specifications for information security of automobile manufacturing industrial control systems (征求意见稿) 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 2023 - XX - XX 发布 2023 - XX - XX 实施 T/SXQCTB XXXX—2023 目 次 前 言 II 1 范围 1 2 规范性引用文件 1 3 术语和定义、缩略语 1 术语和定义 1 缩略语 2 4 工业控制系统 2 基本构成 2 安全防护的对象 2 安全防护措施的约束条件 3 5 安全防护的技术要求 3 安全软件选择与管理 3 配置和补丁管理 3 边界安全防护 3 物理和环境安全防护 4 身份验证 4 远程访问安全 4 安全监测和应急演练 4 资产安全 4 数据安全 4 供应链安全 5 责任落实 5 6.安全防护的验收 5 6.1 安全软件选择与管理验收 5 6.2 配置和补丁管理验收 5 6.3 边界安全防护验收 6 6.4 物理和环境安全防护验收 6 6.5 身份验证验收 6 6.6 远程访问安全验收 6 6.7 安全监测和应急演练预案验收 6 6.8 资产安全验收 7 6.9 数据安全验收 7 6.10 供应链安全验收 7 6.11 责任落实验收 7 附录 A (资料性附录) 工控信息安全验收检查表 8 I II T/SXQCTB XXXX—2023 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由山西省汽车行业协会提出、归口并宣贯。 本文件起草单位：山西吉利汽车部件有限公司、吉利汽车集团有限公司 本文件主要起草人：乔慧、武善君、刘玉东、汤耀文、胡庆邦、付建林、高震 1 T/SXQCTB XXXX—2023 汽车制造工业控制系统信息安全技术规范 1 范围 本文件规定了汽车制造业装备建设实施过程中涉及的工业控制系统信息安全防护技术要求和在装 备安装调试验收阶段需要满足的信息安全验收要求。 本文件适用于汽车制造企业工业控制系统的新建及已建项目。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。凡是注日期的引用文件， 仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文 件。 GB/T 30976.1 信息安全技术 工业控制系统信息安全 第1部分：评估规范 GB/T 32919 信息安全技术 工业控制系统安全控制应用指南 GB/T 36324 信息安全技术 工业控制系统信息安全分级规范 GB/T 40813 信息安全技术 工业控制系统安全防护技术要求和测试评价方法 3 术语和定义、缩略语 下列术语和定义适用于本文件。 术语和定义 GB/T 32919、GB/T 40813 和 GB/T 30976.1 界定的以及下列术语和定义适用于本文件。 3.1.1 工业控制系统 Industrial Control System； ICS 工业控制系统 (ICS) 是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采 集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广泛应 用在工业部门和关键基础设施中。 3.1.2 信息安全 security a) 保护系统所采取的措施； b) 由建立和维护保护系统的措施而产生的系统状态； c) 能够免于非授权访问和非授权或意外的变更、破坏或者损失的系统资源的状态； d) 基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数 据，也无法访问系统功能，却保证授权人员和系统不被阻止； e) 防止对工业自动化和控制系统的非法或有害的入侵，或者干扰其正确和计划的操作。 2 T/SXQCTB XXXX—2023 注：措施可以是