水务工业控制系统网络安全定级指南编制说明.pdfVIP

上海市地方标准《水务工业控制系统网络安全定级指南》

征求意见稿编制说

一、工作简述

（一）任务来源

本标准由上海市水务局（海洋局）、上海市互联网信息办公室提出，

由上海市市场监督理局批准立项，列入2《021年度第二批上海市地方

标准制修订项目计划》（沪市监标技2〔021〕341号），标准立项名称

为《水务工业控制系统网络安全分类分级指南》。本标准由上海市信息

安全标准化技术委员会技术归口，上海城投水务（集团）有限公司牵头

承担起草。参与起草单位包括上海市水旱灾害防御技术中心、上海工业

控制安全创新科技有限公司、华东师范大学、公安部第三研究所、上海

城投原水有限公司、上海市城市排水有限公司、上海城投污水处理有限

公司、中国电子技术标准化研究院、中国科学院上海高等研究院、上海

电器科学研究所（集团）有限公司、上海伊世智能科技有限公司，主要

起草人为赵立鸣、冼峰、朱依馨、宗志锋、刘虹、王旭、龚思陈、邹春

明、康天娇、宋文涛、匡海鹰、张宇宇、尹轶夙、王峥、高媛、张卫红、

贾雨松、朱明瑞、吴海青、薛明、李琳、宁德军、唐晓俊、乔琪。

（二）项目背景

《中华人民共加国网络安全法》第二十一条规定“网络运营者应

当按照网络安全等级保护制度的要求，履行相关的安全保护义务”。

网络安全等级保护成为国家网络安全保障的基本策略和措施。水务行

业是由原水、供水、节水、排水、污水处理及水资源回收利用等构成

的产业链，是关系国计民生的公共事业。水务工业控制系统作为实现

水务自动化、网络化、智能化的基础构件，传统工业控制系统（TCS）

面临的网络威胁在水务工业控制系统中都可能会出现。水务工业控制

系统作为公共事业性的础设施，其网络安全风险影响更加重大，一

旦发生网络安全事件，可能导致的后果会更加严重。开展水务行业网

络安全等级保护建设工作是水务行业及各汲单位业务应用安全的

础性工作，对贯彻实施《中华人民共和国网络安全法》、保障水务行

业网络安全具有重要意义。

我国已发布了GB/T22240-2020《信息安全技术网络安全等级

保护定级指南》国家标准，为水务工业控制系统网络安全定级提供了

通用规定和本遵循。水务工业控制系统是涉及多种功能环节的大型

复杂系统，水务工业控制系统网络安全定级需要对原水、制水、供水、

排水、污水等五种典型功能环节及其涉及水库、增压泵站、制水厂、

供水集中调度泵站、供水独立泵站、排水集中调度泵站、排水独立泵

站及污水处理厂八种功能环节进行功能安全要素、定级要素、危害程

度分析及安全保护等级确定。为了促使GB/T22240-2020在水务行业

有效落地实施，需要于水务工业控制系统组成多样性、业务运行复

杂性和地方性特点特性，制定水务工业控制系统网络安全定级标准，

为水务工业控制系统网络安全定级提供具体的操作性指南，整体提升

水务工业控制系统网络安全定级的合规性、合理性及准确性，整体提

升水务工业控制系统网络安全防护水平。为此，上海城投水务（集团）

有限公司牵头，联合各界意向单位，建议制定《水务工业控制系统网

络安全定级指南》地方性标准，形成产、学、研、用一体化体系，规

范及指导水务行业网络安全建设工作。

本标准为水务工业控制系统的网络安全定级工作提供明确的指

导和规范，为水务行业提供一致性和可比性的水务工业控制系统的网

络安全定级，可指导水务工业控制系统迅速、快捷地确定网络安全保

护等级，提高水务行业整体的网络安全水平。本标准可指导水务行业

组织和企业建立健全网络安全管理体系，有效应对网络威胁和攻击，

减少可能的风险和损失。本标准利用综合评分的方法为水务工业控制

系统明确系统的重要程度、加强对重要工业控制系统的保护提供了量

化参考。

（三）起草过程

标准制定任务明确后，组建了由水务行业管理单位、使用单位、设

计单位和服务支撑单位四方面专家组成的标准起草组，展开标准编写筹

备工作，调研上海水务工业控制系统生产现状、了解发展趋势、研究编

写提纲、起草标准征求意见稿，采用先进的理念、科学的方法、高素质

的队伍组织编写