GB/T 41400-2022信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T41400—2022

信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全

防護能力成熟度模型

Informationsecuritytechnology—Informationsecurityprotectioncapability

maturitymodelofindustrialcontrolsystems

2022-04-15發(fā)布2022-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T41400—2022

目次

前言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型

5…………3

能力成熟度模型架構(gòu)

5.1………………3

能力要素維度

5.2………………………4

能力構(gòu)成

5.2.1………………………4

機構(gòu)建設(shè)

5.2.2………………………4

制度流程

5.2.3………………………4

技術(shù)工具

5.2.4………………………4

人員能力

5.2.5………………………4

能力成熟度等級維度

5.3………………4

能力建設(shè)過程維度

5.4…………………5

體系

5.4.1PA…………………………5

編碼規(guī)則

5.4.2………………………6

關(guān)系描述

5.4.3………………………6

核心保護對象安全

6………………………7

工業(yè)設(shè)備安全

6.1………………………7

控制設(shè)備安全

6.1.1PA01……………7

現(xiàn)場測控設(shè)備安全

6.1.2PA02………………………8

設(shè)備資產(chǎn)管理

6.1.3PA03……………9

存儲媒體保護

6.1.4PA04……………9

工業(yè)主機安全

6.2………………………11

專用安全軟件

6.2.1PA05…………11

漏洞和補丁管理

6.2.2PA06………………………12

外設(shè)接口管理

6.2.3PA07…………12

工業(yè)網(wǎng)絡(luò)邊界安全

6.3…………………13

安全區(qū)域劃分

6.3.1PA08…………13

網(wǎng)絡(luò)邊界防護

6.3.2PA09…………14

遠程訪問安全

6.3.3PA10…………15

身份認證

6.3.4PA11………………16

工業(yè)控制軟件安全

6.4…………………17

安全配置

6.4.1PA12………………17

配置變更

6.4.2PA13………………18

賬戶管理

6.4.3PA14………………19

Ⅰ

GB/T41400—2022

口令保護

6.4.4PA15………………19

安全審計

6.4.5PA16………………20

工業(yè)數(shù)據(jù)安全

6.5………………………21

數(shù)據(jù)分類分級管理

6.5.1PA17……………………21

差異化防護

6.5.2PA18……………23

數(shù)據(jù)備份與恢復(fù)

6.5.3PA19………………………23

測試數(shù)據(jù)保護

6.5.4PA20…………24

通用安全

7…………………25

安全規(guī)劃與架構(gòu)

7.1……………………25

安全策略與規(guī)程

7.1.1PA21………………………25

安全機構(gòu)設(shè)置

7.1.2PA22…………26

安全職責(zé)劃分

7.1.3PA23…………27

人員管理與培訓(xùn)

7.2……………………27

人員安全管理

7.2.1PA24…………27

安全教育培訓(xùn)

7.2.2PA25…………28

物理與環(huán)境安全

7.3……………………29

物理安全防護

7.3.1PA26…………29

應(yīng)急電源

7.3.2PA27………………30

物理防災(zāi)

7.3.3PA28………………31

環(huán)境分離

7.3.4PA29………………32

監(jiān)測預(yù)警與應(yīng)急響應(yīng)

7.4………………33

工業(yè)資產(chǎn)感知

7.4.1PA30…………33

風(fēng)險監(jiān)測

7.4.2PA31………………34

威脅預(yù)警

7.4.3PA32………………35

應(yīng)急預(yù)案

7.4.4PA33………………36

應(yīng)急演練

7.4.5PA34………………37

供應(yīng)鏈安全保障

7.5……………………37

產(chǎn)品選型

7.5.1PA35………………37

供應(yīng)商選擇

7.5.2PA36……………38

采購交付

7.5.3PA37………………39

合同協(xié)議控制

7.5.4PA38…………40

源代碼審計

7.5.5PA39……………41

升級安全保障

7.5.6PA40…………42

能力成熟度等級核驗方法

8………………43

工業(yè)設(shè)備安全

8.1………………………43

控制設(shè)備安全

8.1.1PA01…………43

現(xiàn)場測控設(shè)備安全

8.1.2PA02……………………43

設(shè)備資產(chǎn)管理

8.1.3PA03…………44

存儲媒體保護

8.1.4PA04…………45

工業(yè)主機安全

8.2………………………45

專用安全軟件

8.2.1PA05…………45

漏洞和補丁管理

8.2.2PA06………………………46

Ⅱ

GB/T41400—2022

外設(shè)接口管理

8.2.3PA07…………47

工業(yè)網(wǎng)絡(luò)邊界安全

8.3…………………47

安全區(qū)域劃分

8.3.1PA08…………47

網(wǎng)絡(luò)邊界防護

8.3.2PA09…………48

遠程訪問安全

8.3.3PA10…………48

身份認證

8.3.4PA11………………49

工業(yè)控制軟件安全

8.4…………………50

安全配置

8.4.1PA12………………50

配置變更

8.4.2PA13………………51

賬戶管理

8.4.3PA14………………51

口令保護

8.4.4PA15………………52

安全審計

8.4.5PA16………………53

工業(yè)數(shù)據(jù)安全

8.5………………………54

數(shù)據(jù)分類分級管理

8.5.1PA17……………………54

差異化防護

8.5.2PA18……………55

數(shù)據(jù)備份與恢復(fù)

8.5.3PA19………………………56

測試數(shù)據(jù)保護

8.5.4PA20…………56

安全規(guī)劃與架構(gòu)

8.6……………………57

安全策略與規(guī)程

8.6.1PA21………………………57

安全機構(gòu)設(shè)置

8.6.2PA22…………57

安全職責(zé)劃分

8.6.3PA23…………58

人員管理與培訓(xùn)

8.7……………………58

人員安全管理

8.7.1PA24…………58

安全教育培訓(xùn)

8.7.2PA25…………59

物理與環(huán)境安全

8.8……………………60

物理安全防護

8.8.1PA26…………60

應(yīng)急電源

8.8.2PA27………………61

物理防災(zāi)

8.8.3PA28………………61

環(huán)境分離

8.8.4PA29………………63

監(jiān)測預(yù)警與應(yīng)急響應(yīng)

8.9………………63

工業(yè)資產(chǎn)感知

8.9.1PA30…………63

風(fēng)險監(jiān)測

8.9.2PA31………………64

威脅預(yù)警

8.9.3PA32………………65

應(yīng)急預(yù)案

8.9.4PA33………………65

應(yīng)急演練

8.9.5PA34………………66

供應(yīng)鏈安全保障

8.10…………………66

產(chǎn)品選型

8.10.1PA35………………66

供應(yīng)商選擇

8.10.2PA36……………67

采購交付

8.10.3PA37………………68

合同協(xié)議控制

8.10.4PA38…………68

源代碼審計

8.10.5PA39……………69

升級安全保障

8.10.6PA40…………70

附錄資料性能力成熟度等級描述與

A()GP…………71

Ⅲ

GB/T41400—2022

附錄資料性能力成熟度模型使用方法

B()……………74

附錄資料性能力成熟度等級核驗流程

C()……………75

參考文獻

……………………78

Ⅳ

GB/T41400—2022

前言

本文件按照標準化工作導(dǎo)則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術(shù)標準化研究院太極計算機股份有限公司江蘇賽西科技發(fā)展有限

:、、

公司工業(yè)和信息化部計算機與微電子發(fā)展研究中心中國軟件評測中心廣州賽寶認證中心服務(wù)有限

、()、

公司中國石油天然氣股份有限公司西北銷售分公司中國石油天然氣股份有限公司長慶石化分公司

、、、

寧波和利時信息安全研究院有限公司國家工業(yè)信息安全發(fā)展研究中心國家信息技術(shù)安全研究中心

、、、

中國信息安全測評中心浙江省能源集團有限公司浙江浙能樂清發(fā)電有限責(zé)任公司上海三零衛(wèi)士信

、、、

息安全有限公司陜西省網(wǎng)絡(luò)與信息安全測評中心西門子中國有限公司上海工業(yè)控制安全創(chuàng)新科

、、()、

技有限公司華東師范大學(xué)杭州安恒信息技術(shù)股份有限公司中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心昆侖

、、、、

數(shù)智科技有限責(zé)任公司西安電子科技大學(xué)國網(wǎng)新疆電力有限公司電力科學(xué)研究院中電長城網(wǎng)際系

、、、

統(tǒng)應(yīng)用有限公司中國石油天然氣股份有限公司新疆油田分公司數(shù)據(jù)公司杭州立思辰安科科技有限公

、、

司東莞市擎洲光電科技有限公司柳州源創(chuàng)電噴技術(shù)有限公司江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研

、、、

究院江蘇省信息安全測評中心北京六方云信息技術(shù)有限公司中國科學(xué)院軟件研究所烽臺科技北

()、、、(

京有限公司上?；殧?shù)字科技有限公司北京和仲寧信息技術(shù)有限公司杭州木鏈物聯(lián)網(wǎng)科技有限

)、、、

公司陜西科技大學(xué)中石油華東設(shè)計院有限公司中國能源建設(shè)集團浙江省電力設(shè)計院有限公司陜西

、、、、

延長石油富縣發(fā)電有限公司上海大學(xué)海瀾智云科技有限公司成都航天通信設(shè)備有限責(zé)任公司

、、、。

本文件主要起草人姚相振李琳甘俊杰周?？谍彎嵵兄芊謇顖騽①t剛趙振學(xué)趙金元

:、、、、、、、、、、

郝志強趙梓桐方進社李俊郭嫻夏冀許玉娜閔京華邸麗清孫彥胡影王惠蒞李弘彥馬強

、、、、、、、、、、、、、、

程宇陳柯宇張宏偉陳曦牟文彪張堅群仵大奎劉盈楊帆高瑞閆濤蒲戈光劉虹費敏銳

、、、、、、、、、、、、、、

彭晨杜大軍布寧申永波焦程鵬劉鴻運張芝軍王飛索濤戴赟張建新強劍石永杰于慧超

、、、、、、、、、、、、、、

王小宏趙朋沈玉龍李峰王斌周燕華孫軍于盟肖威林昕姜亞光劉丕群孫軍軍劉志樂

、、、、、、、、、、、、、、

吳蘭楊晨龔亮華段沛鑫陳艷劉克松高智偉張瀏驊劉冬李敏張曉菲曹禹郝鑫馬孝磊

、、、、、、、、、、、、、、

楊立軍林洪俊陳若春紀璐晏敏方靜莫韜何雙羽趙峰張俊峰劉志剛趙學(xué)全程薇宸王一蔚

、、、、、、、、、、、、、、

趙建宏

。

Ⅴ

GB/T41400—2022

信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全

防護能力成熟度模型

1范圍

本文件給出了工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型規(guī)定了核心保護對象安全和通用安全

,

的成熟度等級要求提出了能力成熟度等級核驗方法

,。

本文件適用于工業(yè)控制系統(tǒng)設(shè)計建設(shè)運維等相關(guān)方進行工業(yè)控制系統(tǒng)信息安全防護能力建設(shè)

、、,

以及對組織工業(yè)控制系統(tǒng)信息安全防護能力成熟度等級進行核驗

。

2規(guī)范性引用文件

下列文件中的內(nèi)