信息安全技術 工業(yè)控制系統(tǒng)安全防護技術要求和測試評價方法-編制說明

一、工作簡況1.1任務來源本標準由全國信息安全標準化技術委員會（SAC/TC260）提出并作為技術歸口單位,于2012年12月立項實施。本標準是我國工業(yè)控制系統(tǒng)信息安全標準化建設中急需制定的基礎性標準之一。本標準由上海三零衛(wèi)士信息安全有限公司承擔，參與單位包括：上海三零衛(wèi)士信息安全有限公司、中國信息安全測評中心、中國電子技術標準化研究院、中國網(wǎng)絡安全審查技術與認證中心、公安部第三研究所、北京威努特技術有限公司、北京天融信網(wǎng)絡安全技術有限公司、北京和利時系統(tǒng)工程有限公司、上海市信息安全測評認證中心、北京圣博潤高新技術股份有限公司、網(wǎng)神信息技術（北京）股份有限公司、陜西省網(wǎng)絡與信息安全測評中心、中國電子科技網(wǎng)絡信息安全有限公司、信息產(chǎn)業(yè)信息安全測評中心、四川省信息安全測評中心、中國電子科技集團公司電子科學研究院、中國電力科學研究院有限公司、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、北京軟件產(chǎn)品質(zhì)量檢測檢驗中心、中國石化上海高橋石化有限公司、江蘇敏捷科技股份有限公司、三六零科技有限公司、上?？ㄋ箍滦盘栍邢薰?、上海申通地鐵股份有限公司、國家信息技術安全研究中心、上海工業(yè)自動化儀表研究院有限公司、上海核工程研究設計院、上海交通大學、中國工程物理研究院、全球能源互聯(lián)網(wǎng)研究院有限公司、武漢鋼鐵（集團）公司。1.2主要工作過程1、形成標準草案稿a）2013年3月1日，三零衛(wèi)士在上海組織召開標準項目啟動會，會議合作方來自工業(yè)控制系統(tǒng)使用、系統(tǒng)及工藝設計與集成、產(chǎn)品測評及標準研究等單位，基本涵蓋了工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)各個環(huán)節(jié)。項目啟動會落實了標準框架、編寫方法、工作進度，同時確定了任務分工。b）2013年4月、9月，分別召開了兩次項目全體代表大會，針對標準編制過程中遇到的問題，進行了充分交流并達成一致，有效推動了標準編制工作。c）2013年4月18日，在北京參加了“重點項目檢查會議”，匯報了本標準進展工作，認真聽取了與會專家的檢查意見，并在會后一一落實并修改。d）2013年7月23日，在北京參加了“工業(yè)控制系統(tǒng)系列標準項目檢查及協(xié)調(diào)工作會”，匯報了本標準進展工作，認真聽取了與會專家的檢查意見，并在會后一一落實并修改。e）2013年11月，經(jīng)大量走訪調(diào)研國內(nèi)工業(yè)控制系統(tǒng)的使用和生產(chǎn)單位，并對標準的適用性做了相應調(diào)整，完成標準草案稿。f）2014年4月13日，邀請多位專家對標準草案進行了匯報與討論，認真聽取與會專家的意見，并在會后認真修改。g）2015年至2017年，與上海工業(yè)自動化儀表研究院、中石化上海高橋分公司、中國電力科學研究院、上海核工程研究設計院、中國國家信息安全測評中心、武漢鋼鐵(集團)公司等科研院所和工業(yè)控制系統(tǒng)的使用單位積極開展項目合作，在此期間也與各領域?qū)＜艺归_積極討論與探討，對草案進行修改與完善。h）2018年4月4日，在北京參加TC260-WG5工作組召開的組內(nèi)標準專家審查會，匯報了本標準進展工作，認真聽取了與會專家的檢查意見。會后，按照此次會議專家意見，同時進一步結合2017年TC260-WG5工作組上海工作會議上專家意見，重點梳理本標準間與已經(jīng)發(fā)布標準與的對應關系，重新對本標準進行定位，對標準文本的結構和內(nèi)容做了較大調(diào)整，形成推進到標準征求意見稿的標準草案。i）2018年4月17日，在全國信標委WG5工作組2018年第一次工作組武漢會議上經(jīng)廣泛征求意見后同意進入到標準（征求意見稿）編制階段。2、形成標準征求意見稿（第一版）a）2018年5月15日，標準編寫組在北京中國電子技術標準化研究院召開討論會，進一步統(tǒng)一認識，本標準定位為工業(yè)控制系統(tǒng)運營單位日常安全技術防護工作的指導性規(guī)范文件；b）2018年6月1日，上海三零衛(wèi)士信息安全有限公司組織上海申通地鐵股份有限公司、上海卡斯柯信號有限公司、上海電氣泰雷茲交通自動化系統(tǒng)有限公司、上海大學等工控系統(tǒng)運營單位、生產(chǎn)廠商及相關高校專家參加的標準編制討論會，結合軌道交通行業(yè)在工業(yè)控制系統(tǒng)信息安全防護方面的實際做法、實踐經(jīng)驗及需重點解決問題等方面深入交流探討，認真聽取對于標準編制的意見和建議。c）2018年6月26日，上海三零衛(wèi)士信息安全有限公司組織中國信息安全測評中心、上海市信息安全測評認證中心、公安部第三研究所、陜西省網(wǎng)絡與信息安全測評中心、信息產(chǎn)業(yè)信息安全測評中心、四川省信息安全測評中心等參與單位就“測試評價”部分內(nèi)容編制思路進行探討，統(tǒng)一認識。d）2018年9月30日，根據(jù)全國信標委WG5工作組2018年第一次工作組武漢會議周專家意見和后續(xù)歷次會議意見，標準編制組編制完成標準征求意見稿第一版。3、形成標準征求意見稿（第二版）a）2018年10月15日，全國信標委WG5工作組在北京召開標準專家審查會議，對征求意見稿（第一版）提出了修改意見和建議。b）2018年10月23日，根據(jù)全國信標委WG5工作組2018年10月15日北京專家審查會議意見，標準編制組對標準征求意見稿第一版進行了修改，形成征求意見稿第二版。4、形成標準征求意見稿（第三版）a）2018年10月26日，在全國信標委WG5工作組青島2018年第二次工作組“會議周”上，就本標準的編制情況廣泛征求與會專家意見，對征求意見稿（第二版）提出了修改意見和建議。b）2018年11月20日，根據(jù)全國信標委WG5工作組青島2018年第二次工作組“會議周”與會專家意見，標準編制組對標準征求意見稿第二版進行了修改，形成征求意見稿第三版。5、形成征求意見稿（第四版）a）2018年11月21日，在全國信標委WG5工作組北京《信息安全技術網(wǎng)絡安全漏洞管理規(guī)范（修訂）》等13項國家標準專家審查會議上就本標準（征求意見稿）第三版的編制情況進行審查，專家提出了修改意見和建議。b）2018年11月28日，根據(jù)全國信標委WG5工作組北京《信息安全技術網(wǎng)絡安全漏洞管理規(guī)范（修訂）》等13項國家標準專家審查會議與會專家意見，標準編制組對標準（征求意見稿）第三版進行了修改，形成標準（征求意見稿）第四版。二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、編制原則a）綜合立體防護原則結合工控系統(tǒng)的業(yè)務特點和網(wǎng)絡結構，技術指標的設置應體現(xiàn)綜合立體防護的思路，例如：根據(jù)業(yè)務功能、安全需求、物理位置等劃分不同的安全區(qū)域，在縱向、橫向邊界所在的不同安全區(qū)域之間應采用認證、加密、訪問控制等不同強度的防護措施，工控系統(tǒng)的主機、控制器及其他設備需要通過安全配置、系統(tǒng)補丁或其他安全性補償措施提升自身防御能力等。b）動態(tài)防護原則工業(yè)控制系統(tǒng)自系統(tǒng)規(guī)劃、設計、實施、上線、生產(chǎn)、運維到廢棄的整個生命周期中，各個階段都面臨著不同的信息安全問題，通過建立完善的防護技術標準體系、防護效果動態(tài)測試評價體系和持續(xù)改進的運行機制，可形成適應工控系統(tǒng)特性的全生命周期的信息安全保障體系，用以持續(xù)保障系統(tǒng)的安全可靠運行。c）分等級防護原則國家《網(wǎng)絡安全法》規(guī)定：關鍵信息基礎設施要在網(wǎng)絡安全等級保護的基礎上，實行重點保護。對工業(yè)控制系統(tǒng)的信息安全保護應實行分級防護原則，既有利于優(yōu)化工業(yè)控制系統(tǒng)網(wǎng)絡安全資源配置，也可為工業(yè)控制系統(tǒng)信息安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務。d）應急防護原則工業(yè)控制系統(tǒng)運行過程中，為及時應對突發(fā)的信息安全事件，防止事態(tài)進一步蔓延，盡可能減少事件帶來的損失，在強化日常監(jiān)控技術的同時，應制定完善的應急防護技術指標，以保證在工控系統(tǒng)遭受網(wǎng)絡安全威脅甚至導致系統(tǒng)出現(xiàn)異?；蚬收蠒r，可有效發(fā)揮緊急防護措施的作用。e）通用性原則本標準在編制過程中參考了國內(nèi)外諸多標準，包括：《信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南》（GB/T32919-2016）、《信息安全技術工業(yè)控制系統(tǒng)信息安全管理基本要求》（GB-T36323-2018）、《工業(yè)控制系統(tǒng)信息安全-第1部分：評估規(guī)范》（GB-T30976.1-2014）、《工業(yè)控制系統(tǒng)信息安全防護指南》（工信部信軟〔2016〕338號）、《工業(yè)控制系統(tǒng)信息安全指南》（NISTSP800-82）以及《工業(yè)過程測量與控制安全：網(wǎng)絡與系統(tǒng)信息安全》系列標準（IEC62443）等已經(jīng)發(fā)布的標準和《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T22239-XXXX）、《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》（GB/T27070-XXXX）、《信息安全技術網(wǎng)絡安全等級保護測評要求》（GB/T28448-XXXX）等在研標準的最新成果，既確保標準科學性，又使得標準內(nèi)容符合我國國情。f）可操作性與實用性原則本標準基于國內(nèi)外工業(yè)控制系統(tǒng)信息安全防護方面的技術實踐，參考國內(nèi)外相關標準的科學設計思路、方法和內(nèi)容，遵從“綜合立體防護和分等級防護”的先進理念，科學設計工業(yè)控制系統(tǒng)信息安全技術防護指標和測試評價指標，既可為工業(yè)控制系統(tǒng)運營單位日常安全防護工作提供技術方法和操作規(guī)范，也可作為測評機構開展工控系統(tǒng)等保測評、政府部門開展工控系統(tǒng)信息安全檢查以及安全服務商提供安全技術服務等提供技術參考依據(jù)，更好地發(fā)揮本標準對實際防護工作的指導作用。2、主要內(nèi)容本標準自2013年啟動并開始研究編制以來，充分參考《信息安全技術工業(yè)控制系統(tǒng)信息安全管理基本要求》（GB-T36323-2018）和在編的網(wǎng)絡安全等級保護2.0標準等系列標準的編制方法和思路，不斷修改完善標準框架和具體內(nèi)容；同時，根據(jù)歷次標準專家審查會議和征求意見會議所提意見和建議不斷調(diào)整完善本標準的編制思路和具體內(nèi)容。a）草案稿2018年4月4日，在北京TC260-WG5工作組召開的組內(nèi)標準專家審查會上，與會專家就本標準的定位提出了意見。會后，按照此次會議專家意見，重點梳理本標準間與已經(jīng)發(fā)布標準與的對應關系，重新對本標準進行定位，對標準文本的結構和內(nèi)容做了較大調(diào)整。主要體現(xiàn)在以下幾個方面：1）鑒于近年來國內(nèi)對工業(yè)控制系統(tǒng)信息安全的日益重視和相關知識的日益普及，以及工業(yè)控制系統(tǒng)信息安全相關標準的陸續(xù)發(fā)布，刪除“工業(yè)控制系統(tǒng)描述”、“工業(yè)控制系統(tǒng)信息安全風險”、“工業(yè)控制系統(tǒng)基本信息安全”等三章知識普及性的內(nèi)容。2）按照“縱深立體綜合防御”的思路優(yōu)化設計工業(yè)控制系統(tǒng)信息安全技術要求體系一是參考IEC62443工業(yè)控制系統(tǒng)功能層次模型和關于信息安全7類基本要求，分別從邊界安全、本體安全、網(wǎng)絡安全、數(shù)據(jù)安全、安全集中監(jiān)管和系統(tǒng)應急響應等六個方面分類提出防護技術要求；二是基于工業(yè)控制系統(tǒng)信息安全、功能安全和物理安全等因素的相互影響，從物理和環(huán)境安全防護方面提出防護技術要求；三是與傳統(tǒng)IT系統(tǒng)相比，工業(yè)控制系統(tǒng)的運營環(huán)境更加復雜，系統(tǒng)功能實現(xiàn)可靠性隨時都有可能發(fā)生變化，一旦發(fā)生信息安全事件，隨時有可能造成重大經(jīng)濟損失和人員傷亡，工業(yè)控制系統(tǒng)的動態(tài)、長期維護工作更顯重要，因此在系統(tǒng)維護方面也專門提出技術要求。3）在“安全防護技術要求”章節(jié)，每一項防護指標都包括安全目標、方法流程與實施標準等三項內(nèi)容，其中，方法流程將重點對通用的防護方法和流程進行提煉和歸納設計，既體現(xiàn)方法論也立足于提高標準落地實施過程中更好地發(fā)揮指導作用。4）按照工業(yè)控制系統(tǒng)分等級防護的要求，調(diào)整等級劃分的依據(jù)，不再采用原草稿中“工業(yè)控制系統(tǒng)信息安全分類”方法，本標準提出的防護技術標準計劃與《工業(yè)控制信息安全等級保護安全設計技術要求（GB/T25070-XXXX）》中不同保護等級的設計技術要求實現(xiàn)良好呼應，除了提出一般性技術要求外，還要根據(jù)工控系統(tǒng)基于不同安全防護等級對安全防護措施不同需求提出針對性的防護標準，以保持兩個標準內(nèi)容的的協(xié)調(diào)一致。此部分內(nèi)容作為最新調(diào)整的編制思路，后續(xù)還需經(jīng)過較長時間的分析研究后方可提出并完善，故未完全反映在本次提交的標準文本中。5）對于“測試評價”章節(jié)，不再采用“措施合規(guī)性評價”的思路，基于“安全防護效果評價”的思路，分別對工控資產(chǎn)安全性、工控網(wǎng)絡安全性、防護產(chǎn)品自身安全性以及現(xiàn)有防護技術安全性等方面設計評價指標，采用資產(chǎn)和流量信息采集和分析的方法，對工業(yè)控制系統(tǒng)信息安全實際狀況進行測試評價。遵循“戴明循環(huán)”的管理思想，提出改進措施并進行持續(xù)性后測試評價，直到滿足要求。b）征求意見稿（第一版）根據(jù)全國信標委WG5工作組2018年第一次工作組武漢會議周專家意見和后續(xù)歷次會議意見，標準編制組編制完成標準征求意見稿第一版。此版標準定位為基層單位開展工控系統(tǒng)信息安全防護與管理的技術依據(jù)和工作指南，內(nèi)容涵蓋工控安全等級保護、安全防護能力評估等合規(guī)性評估要求，重點在如下方面進行完善：一是補充完善各控制指標涉及的控制點，結合在編等保標準、工信部安全防護指南、工控安全風險評估標準等系列規(guī)定和標準規(guī)范的規(guī)定，針對每一項指標控制點，由目標和技術要求組成，重點細化各控制點技術要求具體內(nèi)容。二是重點針對工控資產(chǎn)、工控網(wǎng)絡、防護產(chǎn)品以及運維安全性等關鍵控制點提出測試評價指標，針對每個控制點，分別從評價內(nèi)容、評價方法和結果判定等方面完善內(nèi)容，提高針對性與可操作性，便于基層單位加強過程管控；在現(xiàn)場測試手段方面，站在便于基層單位掌握使用的角度，提出借助專用信息采集工具采集系統(tǒng)資產(chǎn)和傳輸信息，并借助工具在線分析和人工線下分析等測試手段，發(fā)現(xiàn)資產(chǎn)漏洞，驗證是否存在病毒、木馬入侵及各種惡意攻擊以及數(shù)據(jù)泄露或被竊取等威脅行為，避免對工業(yè)工業(yè)控制系統(tǒng)既有功能安全和物理安全措施的完整性、可靠性造成影響。三是針對邊界防護、主機防護、數(shù)據(jù)防護以及集中監(jiān)控與應急響應，補充了具體應用場景或防護對象等內(nèi)容。四是在內(nèi)容方面，由于等保2.0標準還未正式發(fā)布，目前此稿中各控制點的要求內(nèi)容未體現(xiàn)出與不同等級安全防護強度的對應與銜接。c）征求意見稿（第二版）根據(jù)全國信標委WG5工作組2018年10月15日北京專家審查會議意見，標準編制組對標準征求意見稿第一版進行了修改，形成征求意見稿第二版。主要修改內(nèi)容包括：一是進一步理順本標準與《GB-T36323-2018信息安全技術工業(yè)控制系統(tǒng)信息安全管理基本要求》、《GB-T36324-2018工業(yè)控制系統(tǒng)信息安全分級規(guī)范》等兩個已經(jīng)發(fā)布的標準相輔相成，作為本標準編制的重要規(guī)范性引用文件。其中：在“5.1工業(yè)控制系統(tǒng)基本構成”部分引用了分級規(guī)范的內(nèi)容；刪除原稿中“系統(tǒng)安全運維、系統(tǒng)集中安全監(jiān)控、系統(tǒng)安全建設”等章節(jié)與管理要求標準重復的內(nèi)容，并對個別技術性指標要求進行引用。二是對征求意見稿第一稿“5安全防護體系架構”的內(nèi)容進行調(diào)整。在此稿中，刪除了“工業(yè)控制系統(tǒng)概述、工業(yè)控制系統(tǒng)層次模型、安全防護原則、安全防護體系架構”等四小節(jié)內(nèi)容；把原稿中“安全防護對象”調(diào)整為"安全防護對象和內(nèi)容”，進一步明確了工控系統(tǒng)的三個防護層次及防護對象，補充了根據(jù)等保2.0標準將針對不同防護級別的工業(yè)控制系統(tǒng)安全技術要求編制對應表的要求。三是在對“術語和定義”章節(jié)進行修改，補充定義了“控制設備、工業(yè)主機、網(wǎng)絡邊界、工控資產(chǎn)”等本標準專用術語和定義。d）征求意見稿（第三版）根據(jù)全國信標委WG5工作組青島2018年第二次工作組“會議周”與會專家意見，標準編制組對標準征求意見稿第二版進行了修改，形成征求意見稿第三版。主要修改內(nèi)容包括：一是根據(jù)在編的GB/T22239-xxxx和GB/T25070-XXXX標準，對本標準中的每項指標和控制點提出的技術要求給出了與不同安全防護等級的對應關系，待上述標準正式發(fā)布后再進行相應更新。二是對網(wǎng)絡邊界安全防護指標中列出的電力等六個典型行業(yè)的邊界安全防護應用場景拓撲圖進行了修改完善，使其具有行業(yè)代表性。三是對第七章“測試評價指標”部分內(nèi)容進行修改完善：刪除了評價內(nèi)容，調(diào)整評價指標并與第六章的內(nèi)容保持一致，結合第6章的評價指標技術要求內(nèi)容進一步豐富了“測評方法”內(nèi)容。四是結合與會專家的意見對邊界隔離、控制設備入侵防范、控制設備漏洞防范等控制點的內(nèi)容要求進行修改完善，進一步明確說法，使其更加準確、貼合實際。五是針對文本中部分內(nèi)容偏口語化、規(guī)范性引用文件、參考文獻等問題進一步修改完善。e）征求意見稿（第四版）根據(jù)2018年11月21日全國信標委WG5工作組北京《信息安全技術網(wǎng)絡安全漏洞管理規(guī)范（修訂）》等13項國家標準專家審查會議與會專家意見，標準編制組對標準（征求意見稿）第三版進行了修改，形成標準（征求意見稿）第四版。主要修改內(nèi)容包括：一是進一步完善第7章“測試評價方法”和第6章“安全防護技術要求”指標和內(nèi)容要求方面的對應關系：在第6章增加“防護產(chǎn)品安全”指標，共包括：安全審計、標識與鑒別、用戶數(shù)據(jù)保護、安全管理和安全功能保護等5個控制點，并對上述控制點提出具體技術要求；結合第6章安全防護技術指標和各控制點技術要求，補充完善第7章測試評價指標中“評價方法”和“結果判定”部分內(nèi)容。二是修改完善第6章中部分指標的技術要求：針對專家提出“ICS與企業(yè)管理信息系統(tǒng)之間應進行物理隔離”要求過高的問題，結合不同安全防護等級，提出了針對性和可操作性的防護技術要求；針對專家提出“網(wǎng)絡邊界安全防護電力典型應用場景拓撲圖有錯誤”問題，重畫系統(tǒng)網(wǎng)絡拓撲圖，并修改完善網(wǎng)絡邊界安全防護技術要求；針對專家提出“應針對物理和環(huán)境保護中的防雷擊提出工控系統(tǒng)特殊的要求”問題，提出了“機房應設計并安裝防雷擊措施，并在機房所在大樓防雷措施基礎上采取加強防護措施”的增強措施。3、擬解決的主要問題已經(jīng)發(fā)布的安全防護類和測評類標準主要側重于政府部門“合規(guī)性檢查”的功能定位，工控系統(tǒng)運營單位缺乏對安全防護體系的系統(tǒng)認識，在工程實踐過程不能夠很好地理解防護措施采取的理由，難以與現(xiàn)場生產(chǎn)經(jīng)營過程緊密結合。隨著《中華人民共和國網(wǎng)絡安全法》、《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》等法規(guī)政策的發(fā)布實施，明確了運營單位在工業(yè)控制系統(tǒng)信息安全防護工作方面的主體責任，并且要把此項工作納入到單位的生產(chǎn)和經(jīng)營活動中去。工控系統(tǒng)信息安全防護工作將會被納入到企業(yè)的安全生產(chǎn)管理體系，需要制定完善的安全技術規(guī)程、操作規(guī)程和作業(yè)指導書，但目前國家、行業(yè)和地方仍然缺乏系統(tǒng)化、體系化的技術指導標準，單位難以開展工作。本標準充分吸收《工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)安全（IEC-62443）》以及《工業(yè)控制系統(tǒng)安全控制應用指南（GB-T32919-2016）》等標準在系統(tǒng)防護架構設計、防護指標選擇以及安全控制措施等方面的先進理念和做法，設置物理與環(huán)境、工控網(wǎng)絡、工控網(wǎng)絡邊界、工業(yè)主機、控制設備、數(shù)據(jù)、系統(tǒng)集中監(jiān)控與應急、系統(tǒng)建設以及系統(tǒng)運維等重點安全防護指標；從有利于工業(yè)控制系統(tǒng)運營單位開展測試評價工作的角度，重點對工業(yè)控制系統(tǒng)資產(chǎn)和網(wǎng)絡的脆弱性和所面臨的威脅進行分析和診斷，設置網(wǎng)絡安全性、工控資產(chǎn)安全性、防護產(chǎn)品安全性以及運維安全性等關鍵技術指標并對其涉及的控制點進行測試評價，針對每個控制點，分別從評價內(nèi)容、評價方法和結果判定等方面完善內(nèi)容，提高針對性與可操作性，便于基層單位加強過程管控。通過本標準的建立，可為工業(yè)控制系統(tǒng)運營單位日常安全防護和效果跟蹤評價工作提供技術方法和操作規(guī)范，同時也可作為測評機構開展工控系統(tǒng)等保測評、政府部門開展工控系統(tǒng)信息安全檢查以及安全服務商提供安全技術服務等提供技術參考依據(jù)。三、主要試驗[或驗證]情況分析無。四、知識產(chǎn)權情況說明本部分不涉及專利和知識產(chǎn)權。五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果目前，工業(yè)控制系統(tǒng)已廣泛運用于核設施、石油石化、電力、水利、鐵路、城市軌道交通、航天等工業(yè)領域，用于控制生產(chǎn)設備的運行。這些控制系統(tǒng)已成為國家關鍵基礎設施的重要組成部分，關系到國家的戰(zhàn)略安全。同時，隨著信息技術在工業(yè)控制系統(tǒng)的廣泛應用，其信息安全問題日益突出，通過本標準的制定，將為工控系統(tǒng)運營單位全面開展安全防護工作提供方法和內(nèi)容方面的指導，對順利推動我國工業(yè)控制系統(tǒng)信息安全等級保護和評估工作將發(fā)揮積極支撐作用。六、采用國際標準和國外先進標準的情況本標準采用國際標準《工業(yè)控制系統(tǒng)信息安全指南》（NISTSP800-82）以及《工業(yè)過程測量與控制安全：網(wǎng)絡與系統(tǒng)信息安全》系列標準（IEC62443）相關技術指標和方法。七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調(diào)性本標準立足于貫徹《中華人民共和國網(wǎng)絡安全法》、《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》等相關法律、法規(guī)和規(guī)章要求，充分吸收《工業(yè)控制系統(tǒng)安全控制應用指南（GB-T32919-2016）》、《信息安全技術工業(yè)控制系統(tǒng)風險評估實施指南》（GB/T36466-2018）等相關標準的編制方法和思路，及時跟蹤并借鑒《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T222