DB32T 2765-2015 工业控制系统信息安全管理监督检查工作规范.docxVIP

ICS25.040L70

备案号：46298-2015

江苏

省

地

DB32

方标准DB32/T2765-2015

工业控制系统信息安全管理监督检查工作规范

Supervisionandinspectionspecificationforinformationsecuritymanagementofindustrialcontrolsystems

2015-06-15发布2015-08-15实施

江苏省质量技术监督局发布

DB32/T2765-2015

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4符号和缩略语 1

5总则 2

5.1监督检查对象 2

5.2监督检查目的 2

5.3监督检查形式 2

5.4监督检查方法 2

5.5监督检查原则 3

6监督检查流程 3

6.1前期准备 4

6.2现场检查 5

6.3后期分析 6

6.4报告编制 7

6.5安全整改 7

6.6结束 7

7监督检查内容 7

7.1组织制度管理 7

7.2连接管理 10

7.3组网管理 12

7.4配置管理 13

7.5设备选择与运维管理 15

7.6数据管理 16

7.7物理环境管理 17

附录A（规范性附录）工业控制系统信息安全管理监督检查表及结果分析方法 22

A.1监督检查表 22

A.2结果分析方法 27

DB32/T2765-2015

II

前言

本规范依据GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》编写。

本标准附录A是规范性附录。

本规范由江苏省经济和信息化委员会提出并归口。

本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：黄申、吴兰、张腾标、李国琴、程恺、王坤、赵川、赵兆。

DB32/T2765-2015

III

引言

工业控制系统广泛应用于工业生产、电力设施、水利油气、交通运输和市政等领域，用以控制生产设备的运行。随着计算机和网络技术的发展，特别是我国信息化与工业化深度融合工作的不断推进，以及物联网等新一代信息技术的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题随之日益突出，如何保障工业控制系统信息安全已经成为国家战略问题。

工业控制系统信息安全管理监督检查是帮助各重点领域工业控制系统运营、管理、维护和使用等部门充分认识工业控制系统信息安全重要性和紧迫性的重要手段，是切实加强工业控制系统信息安全管理保障工作的基础和重要环节。

DB32/T2765-2015

1

工业控制系统信息安全管理监督检查工作规范

1范围

本标准规定了工业控制系统信息安全管理监督检查工作的术语和定义、检查对象、检查目的、检查形式、检查方法、检查原则、检查流程和检查内容。

本标准适用于规范工业控制系统的运营、使用、维护、管理等部门开展的工业控制系统信息安全管理监督检查工作。

2规范性引用文件

下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T26333工业控制网络安全风险评估规范

GB/T26802.1工业控制计算机系统通用规范第1部分：通用要求

GB/T30976.1工业控制系统信息安全第1部分：评估规范GB/T30976.2工业控制系统信息安全第2部分：验收规范DB32/T2289重点领域工业控制系统信息安全保护基本要求

3术语和定义

GB/T26333和DB32/T2289界定的及下列术语和定义适用于本标准。3.1

工业控制系统industrialcontrolsystems

在工业和关键基础设施领域，采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术监测和控制生产设备运行的控制系统，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）、可编程逻辑控制器（PLC）等。

3.2

工业控制系统信息安全管理监督检查infor