GB/T 30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范

ICS25040

N10.

中華人民共和國國家標準

GB/T309761—2014

.

工業(yè)控制系統(tǒng)信息安全

第1部分評估規(guī)范

:

Industrialcontrolsstemsecurit—Part1Assessmentsecification

yy:p

2014-07-24發(fā)布2015-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T309761—2014

.

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………3

工業(yè)控制系統(tǒng)信息安全概述

4……………3

總則

4.1…………………3

危險引入點

4.2…………………………3

傳播途徑

4.3……………4

危險后果的受體及其影響

4.4…………4

工業(yè)控制系統(tǒng)信息安全評估的內(nèi)容概述

4.5…………5

評估結(jié)果

4.6……………6

組織機構(gòu)管理評估

5………………………7

安全方針

5.1……………7

信息安全組織機構(gòu)

5.2…………………8

資產(chǎn)管理

5.3……………14

人力資源安全

5.4………………………17

物理和環(huán)境安全

5.5……………………21

通信和操作管理

5.6……………………26

訪問控制

5.7……………40

信息系統(tǒng)獲取開發(fā)和維護

5.8、………………………52

信息安全事件管理

5.9…………………60

業(yè)務(wù)連續(xù)性管理

5.10…………………63

符合性

5.11……………66

系統(tǒng)能力技術(shù)評估

6()……………………71

基本要求系統(tǒng)要求和系統(tǒng)能力等級的說明

6.1(FR)、(SR)(CL)…………………71

標識和認證控制

6.2FR1:……………71

使用控制

6.3FR2:……………………77

系統(tǒng)完整性

6.4FR3:…………………83

數(shù)據(jù)保密性

6.5FR4:…………………87

限制的數(shù)據(jù)流

6.6FR5:………………88

對事件的及時響應(yīng)

6.7FR6:…………91

資源可用性

6.8FR7:…………………91

評估程序

7…………………95

評估工作過程

7.1………………………95

評估方法的確定

7.2……………………96

Ⅰ

GB/T309761—2014

.

工業(yè)控制系統(tǒng)生命周期各階段的風(fēng)險評估

8……………98

生命周期概述

8.1………………………98

規(guī)劃階段的風(fēng)險評估

8.2………………98

設(shè)計階段的風(fēng)險評估

8.3………………98

實施階段的風(fēng)險評估

8.4………………99

運行維護階段的風(fēng)險評估

8.5…………99

廢棄階段的風(fēng)險評估

8.6……………100

評估報告的格式要求

9…………………100

附錄規(guī)范性附錄管理評估列表

A()…………………102

附錄規(guī)范性附錄系統(tǒng)能力技術(shù)評估列表

B()()……………………109

附錄資料性附錄風(fēng)險評估工具和工業(yè)控制系統(tǒng)常見的測試內(nèi)容

C()……………113

參考文獻

……………………117

圖風(fēng)險可接受的程度

1……………………6

表后果造成的侵害等級

1…………………4

表工業(yè)控制系統(tǒng)的評估結(jié)果

2……………7

表評估的主要流程

3……………………95

表信息安全管理評估列表

A.1…………102

表系統(tǒng)要求和增強要求與安全等級的映射

B.1………109

Ⅱ

GB/T309761—2014

.

前言

工業(yè)控制系統(tǒng)信息安全分為兩個部分

GB/T30976《》:

第部分評估規(guī)范

———1:;

第部分驗收規(guī)范

———2:。

本部分為的第部分

GB/T309761。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分由中國機械工業(yè)聯(lián)合會提出

。

本部分由全國工業(yè)過程測量和控制標準化技術(shù)委員會和全國信息安全標準化技術(shù)

(SAC/TC124)

委員會歸口

(SAC/TC260)。

本部分起草單位機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所中國電子技術(shù)標準化研究院北京和利

:、、

時系統(tǒng)工程有限公司中國核電工程有限公司上海自動化儀表股份有限公司東土科技股份有限公司

、、、、

中國電力科學(xué)研究院清華大學(xué)西門子中國有限公司浙江大學(xué)西南大學(xué)重慶郵電大學(xué)施耐德電

、、()、、、、

氣中國有限公司北京鋼鐵設(shè)計研究總院華中科技大學(xué)北京奧斯汀科技有限公司羅克韋爾自動化

()、、、、

中國有限公司中國儀器儀表學(xué)會中國科學(xué)院沈陽自動化研究所無線網(wǎng)絡(luò)安全技術(shù)國家工程實驗

()、、、

室西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司中央辦公廳電子科技學(xué)院北京海泰方圓科技有限公司

、、、、

青島多芬諾信息安全技術(shù)有限公司北京國電智深控制技術(shù)有限公司北京力控華康科技有限公司廣

、、、

東航宇衛(wèi)星科技有限公司華北電力設(shè)計院工程有限公司華為技術(shù)有限公司三菱電機自動化中國

、、、()

有限公司中標軟件有限公司橫河電機中國有限公司北京研發(fā)中心

、、()。

本部分主要起草人王玉敏唐一鴻隋愛芬羅安呂冬寶張建軍薛百華陳小淙高昆侖王雪

:、、、、、、、、、、

馮冬芹劉楓王浩周純杰陳小楓華镕張莉宋巖李琴夏德海胡亞楠王雄胡伯良梅恪

、、、、、、、、、、、、、、

劉安正田雨聰方亮馬欣欣張建勛楊應(yīng)良丁露王勇杜佳琳王亦君陳日罡張濤王玉裴

、、、、、、、、、、、、、

劉利民丁青芝劉文龍錢曉斌朱鏡靈張智龔明何佳楊磊

、、、、、、、、。

Ⅲ

GB/T309761—2014

.

工業(yè)控制系統(tǒng)信息安全

第1部分評估規(guī)范

:

1范圍

的本部分規(guī)定了工業(yè)控制系統(tǒng)等信息安全評估的目標評

GB/T30976(SCADA,DCS,PLC,PCS)、

估的內(nèi)容實施過程等

、。

本部分適用于系統(tǒng)設(shè)計方設(shè)備生產(chǎn)商系統(tǒng)集成商工程公司用戶資產(chǎn)所有人以及評估認證機

、、、、、

構(gòu)等對工業(yè)控制系統(tǒng)的信息安全進行評估時使用

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)