CESA-2021-2-035《信息安全技术 石油炼化工业控制系统信息安全防护能力要求》（征求意见稿）编制说明.pdfVIP

中国电子工业标准化技术协会 一、工作简况 1.1 任务来源 根据《关于公布2021年第二季度第三批团体标准制修订项目的通知》（中电 标通〔2021〕018号），《信息安全技术 石油炼化工业控制系统信息安全防护能 力要求》是中国电子工业标准化技术协会2021年下达的团体标准制定项目，本 项目编号：CESA-2021-2-035，由中国石油天然气股份有限公司长庆石化分公司 发起，联合发起单位包括中国电子技术标准化研究院，主要参与起草单位包括中 国石油天然气股份有限公司西北销售分公司、昆仑数智科技有限责任公司等。 1.2 主要工作过程 2021年2月，标准起草组学习、研究、讨论国内外石油炼化行业工业控制 系统信息安全标准，调研国内石油炼厂控制系统信息安全防护现状，确定并编写 总体框架。 2021年3月，结合前期研究成果，编写标准草案初稿，并在工作组内征求 意见，根据组内意见进行修改。 2021年4月，标准起草组在北京召开标准研讨会，邀请宁波和利时信息安 全研究院有限公司、北京北信源软件股份有限公司、上海交通大学、中国信息安 全测评中心、中海石油炼化有限责任公司等单位专家，对标准的适用范围和主要 技术内容进行研讨。 2021年5-6月，标准编制组根据专家意见，进一步梳理标准草案框架结构， 完善安全技术要求、安全运维要求等，形成标准草案最终稿。 2021年8月，标准编制组参考《中国石化工业仪表控制系统安全防护实施 规定》（中国石化生〔2019〕318号）等文件，提炼石油炼化行业特色，对标准 草案进行修改完善，形成征求意见稿。 1.3 主要起草人及其工作 本标准主要起草人：王飞、李琳、石永杰、王小宏。 1 中国电子工业标准化技术协会 标准主要起草人参与了本标准的编制和验证过程，在编制过程中征求了相关 领域专家意见，并在石油炼化企业开展了试点验证。 二、标准编制原则和确定主要内容的论据及解决的主要问题 2.1 编制原则 本标准的研究与编制工作遵循以下原则： （1）科学性原则 本标准在编制过程中参考了国内外诸多标准，包括：《工业过程测量与控制 安全：网络与系统信息安全》系列标准 （IEC 62443）、 《工业控制系统信息安 全指南》 （NISTSP800-82）、 《石化行业安全指南》 （第3版）、 《中国石化 工业仪表控制系统安全防护实施规定》 （中国石化生 〔2019〕318号），既确保 标准科学性，又使得标准内容符合我国国情。 （2）可操作性和实用性原则 标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得 起实践的检验，做到可操作、可用与实用。为此，在本标准的制定过程中，标准 编制组广泛征求行业用户意见，确保本标准的可操作性与实用性。 2.2 主要内容及其确定依据 本标准规定了石油炼化工业控制系统信息安全防护能力要求，包括安全管理 要求、安全技术要求和安全运维要求。 本标准适用于石油炼化行业开展工业控制系统信息安全防护设计、建设、运 维等工作。 本标准梳理相关政策文件，以GB/T 32919-2016 《信息安全技术 工业控制 系统安全控制应用指南》附录B和GB/T 36323-2018 《信息安全技术 工业控制 系统安全管理基本要求》第6章作为安全防护能力要求来源，同时汇总 《工业控 制系统信息安全防护能力评估工作管理办法》 （工信部信软 〔2017〕188号）、 《中国石化工业仪表控制系统安全防护实施规定》（中国石化生 〔2019〕318号） 等政策文件要求，提出石油炼化工业控制系统信息安全防护能力要求。 2.3 拟解决的主要问题 为贯彻落实 《工业控制系统信息安全防护指南》、《工业控制系统信息安全 行动计划 （2018-2020年）》等文件精神，本标准立足于工业控制系统信息安全 2 中国电子工业标准化技术协会 现状及发展趋势，面向石油炼化行业工业控制系统信息安全防护相关组织，提出 安全防护能力要求，科学指导石油炼化企业开展工业控制系统信息安全防护能力 提升工作。 三、主要试验[或验证]情况分析 为验证标准中相关条款的科学性、有效性和合理性，标准编制组在中国石化 股份有限公司胜利油田分公司、中国石油天然气股份有