《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求 第5部分 工業(yè)控制安全擴(kuò)展測評要求-編制說明》

一、編制背景

1994年，國家印發(fā)《中華人民共和國計算機(jī)信息系統(tǒng)安

全保護(hù)條例》，明確規(guī)定“計算機(jī)信息系統(tǒng)實行安全等級保

護(hù)”。之后，公安部會同有關(guān)部門陸續(xù)出臺了《關(guān)于信息安

全等級保護(hù)工作的實施意見》、《信息安全等級保護(hù)管理辦

法》、《關(guān)于開展信息系統(tǒng)等級保護(hù)安全建設(shè)整改工作的指

導(dǎo)意見》等一系列政策文件。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員

會和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會組織制定了信

息安全等級保護(hù)工作基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類急需

的一系列標(biāo)準(zhǔn)。各相關(guān)單位按照國家要求執(zhí)行信息安全等級

保護(hù)制度，信息安全等級保護(hù)工作已取得很大的進(jìn)展。

2010年“震網(wǎng)”病毒出現(xiàn)后，工業(yè)控制系統(tǒng)安全引起了

國家各級組織的高度重視，美國等發(fā)達(dá)國家陸續(xù)發(fā)布了針對

工控系統(tǒng)保護(hù)的系列標(biāo)準(zhǔn)和框架等。由于工控系統(tǒng)的特殊

性，實時打補(bǔ)丁，補(bǔ)漏洞等通用信息系統(tǒng)保護(hù)手段，在線掃

描滲透等測評手段不適用于已投運(yùn)工控系統(tǒng)亟需根據(jù)工業(yè)

控制系統(tǒng)特點(diǎn)制定工業(yè)控制系統(tǒng)的等級保護(hù)系列標(biāo)準(zhǔn)。

為提升國家重要工業(yè)控制系統(tǒng)安全防護(hù)能力，規(guī)范工控

系統(tǒng)安全防護(hù)建設(shè)，促進(jìn)我國信息安全產(chǎn)業(yè)發(fā)展，國家能源

局信息中心組織測評機(jī)構(gòu)、工控安全廠商、電力企業(yè)等，對

工業(yè)控制系統(tǒng)測評方法進(jìn)行專題研究，編制了《信息系統(tǒng)安

1

全等級保護(hù)測評要求第5部分工業(yè)控制安全擴(kuò)展測評要

求》。

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第5部

分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求》是以《信息安全技術(shù)信

息系統(tǒng)安全等級保護(hù)測評要求》（GB/T28448-2012）修訂

稿為基礎(chǔ)，針對工業(yè)控制系統(tǒng)的特點(diǎn)進(jìn)行了適度調(diào)整，更適

用于工業(yè)控制系統(tǒng)測評的現(xiàn)狀。

二、編制依據(jù)

1、《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工

信部協(xié)[2011]451號）、《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國

家發(fā)改委2014年第14號令）。

2、《信息技術(shù)安全技術(shù)信息安全管理體系要求》

（GB/T22080-2008）、《信息技術(shù)安全技術(shù)信息安全實用

規(guī)則》（GB/T22081-2008）、《信息安全技術(shù)信息系統(tǒng)通

用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)信

息安全等級保護(hù)基本要求》（GB/T22239-2008）、《信息安

全技術(shù)信息安全等級保護(hù)測評要求》（GB/T28448-2012）。

3、《聯(lián)邦信息系統(tǒng)推薦安全措施》（NISTSP800-53）、

《控制系統(tǒng)安全指南》（NISTSP800-82）。

三、標(biāo)準(zhǔn)范圍

本標(biāo)準(zhǔn)規(guī)定了對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行安全

測試評估的要求，包括對第一級信息系統(tǒng)、第二級信息系統(tǒng)、

2

第三級信息系統(tǒng)和第四級信息系統(tǒng)進(jìn)行安全測試評估的單

元測評要求和信息系統(tǒng)整體測評要求。本標(biāo)準(zhǔn)略去對第五級

信息系統(tǒng)進(jìn)行單元測評的具體內(nèi)容要求。

本標(biāo)準(zhǔn)適用于信息安全測評服務(wù)機(jī)構(gòu)、信息系統(tǒng)的主

管部門及運(yùn)營使用單位對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行

的安全測試評估。信息安全監(jiān)管職能部門依法進(jìn)行的信息安

全等級保護(hù)監(jiān)督檢查可以參考使用。

四、主要內(nèi)容

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第5部

分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求》按照GB/T1.1-2009的規(guī)則

起草。包含范圍、規(guī)范性引用文件、術(shù)語和定義、總則、總

體要求、第一級到第四級信息系統(tǒng)單元測評、整體測評、等

級測評結(jié)論等。

總則包括五個方面：1、測評原則；2、測評內(nèi)容；3、

測評力度；4、結(jié)果重用；5、使用方法。

總體要求包括兩個方面：1、總體技術(shù)要求；2、總體管

理要求。

第一、二、三、四級信息系統(tǒng)單元測評包括兩個方面：

1、安全技術(shù)測評（總體技術(shù)、物理環(huán)境、網(wǎng)絡(luò)通信、設(shè)備

和計算、應(yīng)用和數(shù)據(jù)）；2、安全管理測評（安全策略和管

理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管

3

理）。整體測評包括控