《信息安全技术 信息系统安全等级保护测评要求 第5部分 工业控制安全扩展测评要求-编制说明》.pdfVIP

一、编制背景 1994年，国家印发 《中华人民共和国计算机信息系统安 全保护条例》，明确规定 “计算机信息系统实行安全等级保 护”。之后，公安部会同有关部门陆续出台了 《关于信息安 全等级保护工作的实施意见》、 《信息安全等级保护管理办 法》、 《关于开展信息系统等级保护安全建设整改工作的指 导意见》等一系列政策文件。全国信息安全标准化技术委员 会和公安部信息系统安全标准化技术委员会组织制定了信 息安全等级保护工作基础类、应用类、产品类和其他类急需 的一系列标准。各相关单位按照国家要求执行信息安全等级 保护制度，信息安全等级保护工作已取得很大的进展。 2010年 “震网”病毒出现后，工业控制系统安全引起了 国家各级组织的高度重视，美国等发达国家陆续发布了针对 工控系统保护的系列标准和框架等。由于工控系统的特殊 性，实时打补丁，补漏洞等通用信息系统保护手段，在线扫 描渗透等测评手段不适用于已投运工控系统亟需根据工业 控制系统特点制定工业控制系统的等级保护系列标准。 为提升国家重要工业控制系统安全防护能力，规范工控 系统安全防护建设，促进我国信息安全产业发展，国家能源 局信息中心组织测评机构、工控安全厂商、电力企业等，对 工业控制系统测评方法进行专题研究，编制了《信息系统安 1 全等级保护测评要求 第5部分 工业控制安全扩展测评要 求》。 《信息安全技术 网络安全等级保护测评要求 第5部 分：工业控制系统安全扩展要求》是以 《信息安全技术 信 息系统安全等级保护测评要求》 （GB/T 28448-2012）修订 稿为基础，针对工业控制系统的特点进行了适度调整，更适 用于工业控制系统测评的现状。 二、编制依据 1、《关于加强工业控制系统信息安全管理的通知》（工 信部协[2011]451号）、《电力监控系统安全防护规定》 （国 家发改委2014 年第14 号令）。 2、 《信息技术 安全技术 信息安全管理体系 要求》 （GB/T22080-2008）、《信息技术 安全技术 信息安全实用 规则》 （GB/T22081-2008）、《信息安全技术 信息系统通 用安全技术要求》（GB/T20271-2006）、《信息安全技术 信 息安全等级保护基本要求》 （GB/T22239-2008）、《信息安 全技术 信息安全等级保护测评要求》（GB/T28448-2012）。 3、《联邦信息系统推荐安全措施》 （NIST SP 800-53）、 《控制系统安全指南》 （NIST SP 800-82）。 三、标准范围 本标准规定了对信息系统安全等级保护状况进行安全 测试评估的要求，包括对第一级信息系统、第二级信息系统、 2 第三级信息系统和第四级信息系统进行安全测试评估的单 元测评要求和信息系统整体测评要求。本标准略去对第五级 信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主 管部门及运营使用单位对信息系统安全等级保护状况进行 的安全测试评估。信息安全监管职能部门依法进行的信息安 全等级保护监督检查可以参考使用。 四、主要内容 《信息安全技术 网络安全等级保护测评要求 第5 部 分：工业控制系统安全扩展要求》按照GB/T1.1-2009 的规则 起草。包含范围、规范性引用文件、术语和定义、总则、总 体要求、第一级到第四级信息系统单元测评、整体测评、等 级测评结论等。 总则包括五个方面：1、测评原则；2、测评内容；3、 测评力度；4、结果重用；5、使用方法。 总体要求包括两个方面：1、总体技术要求；2、总体管 理要求。 第一、二、三、四级信息系统单元测评包括两个方面： 1、安全技术测评 （总体技术、物理环境、网络通信、设备 和计算、应用和数据）；2、安全管理测评 （安全策略和管 理制度、安全管理机构和人员、安全建设管理、安全运维管 3 理）。整体测评包括控制点测评、控制点间测评和安全层面 间测评。 等级测评结论包括三个部分：1、各层面的测评结论；2、 风险分析和评价；3、整体保护能力的测评结论。