《信息安全技术 信息系统安全等级保护基本要求 第5部分 工业控制安全扩展要求-编制说明》.pdfVIP

1. 概述 1.1. 项目来源 本标准编写任务由公安部信息系统安全标准化技术委员会下达，公安部十一局组织，浙 江大学负责具体编制工作。 1.2. 编制的背景和意义 随着信息技术的发展，网络安全等级保护工作的时效性、易用性、可操作性要求日益增 加，为了适应工业控制系统下网络安全等级保护工作的开展，我们对 《GB/T 22239.1—XXXX 信息安全技术 网络安全等级保护基本要求 第1 部分：安全通用要求》（以下简称 “安全通 用要求”）进行了扩展，形成了本部分，这对追赶世界先进水平、提升我国工业控制系统安 全能力都有着深远的意义。 1.3. 编制的目的 通过本标准的制定，规定了网络安全等级保护的工业控制系统扩展要求，能够为电力、 水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散 制造 （如汽车、航空航天和耐用品）等各行业、企业的工业控制系统网络安全等级保护措施 的设计、落实、测试、评估等提供清晰的指导要求。 1.4. 编制原则 本标准在编制过程中，依据以下原则： a. 实用性原则 标准必须是可用的，才有实际意义，本标准在编制过程中严格按照流程对工控行业、工 控安全产品、技术等相关领域展开系统的、全面的调研工作，注重与工控各行业单位的交流， 进行工程实践验证，保证标准的可操作性。 b. 先进性原则 标准是先进经验的总结，同时也是技术的发展趋势。本标准在编制过程中，充分吸收已 有国内外工业控制系统信息安全相关标准，包括： 系列标准、 、 IEC 62443 NIST SP 800-82 NIST 、 和集散控制系统 （ ）安全类系列标准等大量获工控行业广泛认可 SP 800-41 IEC62264-1 DCS 的标准，既确保标准科学性，又使得标准内容符合我国国情。 c. 兼容性原则 本标准与我国现有的政策、法规、标准和规范相一致。编制组在对标准起草过程中始终 遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。 1.5. 编制说明内容简介 本标准在 《安全通用要求》的基础上，针对监控和数据采集 （SCADA）系统、集散控制 系统 （DCS）、可编程逻辑控制器 （PLC）、远程测控单元 （RTU）等各类工业控制系统 （ICS）， 规定了网络安全等级保护的扩展要求，为电力、水和污水处理、石油和天然气、化工、交通 运输、制药、纸浆和造纸、食品和饮料以及离散制造 （如汽车、航空航天和耐用品）等各行 业、企业的工控系统网络安全等级保护措施的设计、落实、测试、评估等提供了清晰的指导 要求。 2015年7月1日，公安部在北京召开标准评审会，与会专家建议将标准名称修改为 《信息 安全技术 网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求》（原为：《信 息安全技术 信息系统安全等级保护基本要求 第5部分：工业控制系统安全扩展要求》）。 2. 主要工作过程 2.1. 前期调研 本标准在研究国内外相关工控标准的基础上，根据我国工控行业的实际情况，提炼出适 用于批量控制、连续控制、离散控制等工业控制系统的网络安全等级保护的基本要求。 主要参考的标准有： 《信息安全技术网络安全等级保护基本要求第 部分：安全通用要求》 GB/T 22239.1-XXXX 1 《工业控制系统信息安全第 部分：评估规范》 GB/T30976.1-2014 1 《工业控制系统信息安全第 部分：验收规范》 GB/T30976.2-2014 2 GB/T 32919-2016 《信息安全技术 工业控制系统安全控制应用指南》 《 》 NIST SP800-82-2011 Guide to Industrial Control Systems (ICS) Se