GB/T 30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范

ICS25040

N10.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T309761—2014

.

工業(yè)控制系統(tǒng)信息安全

第1部分評(píng)估規(guī)范

:

Industrialcontrolsstemsecurit—Part1Assessmentsecification

yy:p

2014-07-24發(fā)布2015-02-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T309761—2014

.

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………3

工業(yè)控制系統(tǒng)信息安全概述

4……………3

總則

4.1…………………3

危險(xiǎn)引入點(diǎn)

4.2…………………………3

傳播途徑

4.3……………4

危險(xiǎn)后果的受體及其影響

4.4…………4

工業(yè)控制系統(tǒng)信息安全評(píng)估的內(nèi)容概述

4.5…………5

評(píng)估結(jié)果

4.6……………6

組織機(jī)構(gòu)管理評(píng)估

5………………………7

安全方針

5.1……………7

信息安全組織機(jī)構(gòu)

5.2…………………8

資產(chǎn)管理

5.3……………14

人力資源安全

5.4………………………17

物理和環(huán)境安全

5.5……………………21

通信和操作管理

5.6……………………26

訪問控制

5.7……………40

信息系統(tǒng)獲取開發(fā)和維護(hù)

5.8、………………………52

信息安全事件管理

5.9…………………60

業(yè)務(wù)連續(xù)性管理

5.10…………………63

符合性

5.11……………66

系統(tǒng)能力技術(shù)評(píng)估

6()……………………71

基本要求系統(tǒng)要求和系統(tǒng)能力等級(jí)的說明

6.1(FR)、(SR)(CL)…………………71

標(biāo)識(shí)和認(rèn)證控制

6.2FR1:……………71

使用控制

6.3FR2:……………………77

系統(tǒng)完整性

6.4FR3:…………………83

數(shù)據(jù)保密性

6.5FR4:…………………87

限制的數(shù)據(jù)流

6.6FR5:………………88

對(duì)事件的及時(shí)響應(yīng)

6.7FR6:…………91

資源可用性

6.8FR7:…………………91

評(píng)估程序

7…………………95

評(píng)估工作過程

7.1………………………95

評(píng)估方法的確定

7.2……………………96

Ⅰ

GB/T309761—2014

.

工業(yè)控制系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估

8……………98

生命周期概述

8.1………………………98

規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估

8.2………………98

設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估

8.3………………98

實(shí)施階段的風(fēng)險(xiǎn)評(píng)估

8.4………………99

運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估

8.5…………99

廢棄階段的風(fēng)險(xiǎn)評(píng)估

8.6……………100

評(píng)估報(bào)告的格式要求

9…………………100

附錄規(guī)范性附錄管理評(píng)估列表

A()…………………102

附錄規(guī)范性附錄系統(tǒng)能力技術(shù)評(píng)估列表

B()()……………………109

附錄資料性附錄風(fēng)險(xiǎn)評(píng)估工具和工業(yè)控制系統(tǒng)常見的測(cè)試內(nèi)容

C()……………113

參考文獻(xiàn)

……………………117

圖風(fēng)險(xiǎn)可接受的程度

1……………………6

表后果造成的侵害等級(jí)

1…………………4

表工業(yè)控制系統(tǒng)的評(píng)估結(jié)果

2……………7

表評(píng)估的主要流程

3……………………95

表信息安全管理評(píng)估列表

A.1…………102

表系統(tǒng)要求和增強(qiáng)要求與安全等級(jí)的映射

B.1………109

Ⅱ

GB/T309761—2014

.

前言

工業(yè)控制系統(tǒng)信息安全分為兩個(gè)部分

GB/T30976《》:

第部分評(píng)估規(guī)范

———1:;

第部分驗(yàn)收規(guī)范

———2:。

本部分為的第部分

GB/T309761。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分由中國機(jī)械工業(yè)聯(lián)合會(huì)提出

。

本部分由全國工業(yè)過程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)和全國信息安全標(biāo)準(zhǔn)化技術(shù)

(SAC/TC124)

委員會(huì)歸口

(SAC/TC260)。

本部分起草單位機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所中國電子技術(shù)標(biāo)準(zhǔn)化研究院北京和利

:、、

時(shí)系統(tǒng)工程有限公司中國核電工程有限公司上海自動(dòng)化儀表股份有限公司東土科技股份有限公司

、、、、

中國電力科學(xué)研究院清華大學(xué)西門子中國有限公司浙江大學(xué)西南大學(xué)重慶郵電大學(xué)施耐德電

、、()、、、、

氣中國有限公司北京鋼鐵設(shè)計(jì)研究總院華中科技大學(xué)北京奧斯汀科技有限公司羅克韋爾自動(dòng)化

()、、、、

中國有限公司中國儀器儀表學(xué)會(huì)中國科學(xué)院沈陽自動(dòng)化研究所無線網(wǎng)絡(luò)安全技術(shù)國家工程實(shí)驗(yàn)

()、、、

室西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司中央辦公廳電子科技學(xué)院北京海泰方圓科技有限公司

、、、、

青島多芬諾信息安全技術(shù)有限公司北京國電智深控制技術(shù)有限公司北京力控華康科技有限公司廣

、、、

東航宇衛(wèi)星科技有限公司華北電力設(shè)計(jì)院工程有限公司華為技術(shù)有限公司三菱電機(jī)自動(dòng)化中國

、、、()

有限公司中標(biāo)軟件有限公司橫河電機(jī)中國有限公司北京研發(fā)中心

、、()。

本部分主要起草人王玉敏唐一鴻隋愛芬羅安呂冬寶張建軍薛百華陳小淙高昆侖王雪

:、、、、、、、、、、

馮冬芹劉楓王浩周純杰陳小楓華镕張莉宋巖李琴夏德海胡亞楠王雄胡伯良梅恪

、、、、、、、、、、、、、、

劉安正田雨聰方亮馬欣欣張建勛楊應(yīng)良丁露王勇杜佳琳王亦君陳日罡張濤王玉裴

、、、、、、、、、、、、、

劉利民丁青芝劉文龍錢曉斌朱鏡靈張智龔明何佳楊磊

、、、、、、、、。

Ⅲ

GB/T309761—2014

.

工業(yè)控制系統(tǒng)信息安全

第1部分評(píng)估規(guī)范

:

1范圍

的本部分規(guī)定了工業(yè)控制系統(tǒng)等信息安全評(píng)估的目標(biāo)評(píng)

GB/T30976(SCADA,DCS,PLC,PCS)、

估的內(nèi)容實(shí)施過程等

、。

本部分適用于系統(tǒng)設(shè)計(jì)方設(shè)備生產(chǎn)商系統(tǒng)集成商工程公司用戶資產(chǎn)所有人以及評(píng)估認(rèn)證機(jī)

、、、、、

構(gòu)等對(duì)工業(yè)控制系統(tǒng)的信息安全進(jìn)行評(píng)估時(shí)使用

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)