《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》編制說明

一、任務(wù)來源

根據(jù)工信部協(xié)函[2012]579號(hào)文件和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處下發(fā)的國家

信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項(xiàng)項(xiàng)目任務(wù)書，國家標(biāo)準(zhǔn)《信息安全技術(shù)工業(yè)控制系

統(tǒng)信息安全分級(jí)規(guī)范》由北京江南天安科技有限公司負(fù)責(zé)主辦，標(biāo)準(zhǔn)計(jì)劃號(hào)未下發(fā)（全國信

息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2012年信息安全專項(xiàng)）。

二、編制原則

(一)本標(biāo)準(zhǔn)的編寫原則

本標(biāo)準(zhǔn)屬于工業(yè)控制系統(tǒng)信息安全方面的標(biāo)準(zhǔn)，以自主編寫的方式完成。

標(biāo)準(zhǔn)編制組貫徹落實(shí)國家關(guān)于切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的精神，實(shí)現(xiàn)對(duì)工業(yè)

控制系統(tǒng)信息安全應(yīng)采取分等級(jí)管理的要求，提出工業(yè)控制系統(tǒng)信息安全級(jí)別劃分規(guī)則和定

級(jí)方法，為工業(yè)控制系統(tǒng)信息安全定級(jí)提供技術(shù)依據(jù)和工作指導(dǎo)，為選擇工業(yè)控制系統(tǒng)信息

安全各個(gè)級(jí)別的技術(shù)措施和管理措施提供參考。

由于目前我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)尚不健全，尚在發(fā)展初期，因此在學(xué)習(xí)和領(lǐng)會(huì)

工信部協(xié)[2011]451號(hào)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》、國發(fā)〔2012〕23號(hào)

《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》精神，熟悉和了解國外工業(yè)控

制系統(tǒng)信息安全標(biāo)準(zhǔn)的基礎(chǔ)上，確定了本標(biāo)準(zhǔn)的編制原則是：根據(jù)工業(yè)控制系統(tǒng)在國家安全、

經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及工業(yè)控制系統(tǒng)信息安全受到破壞后對(duì)工業(yè)生產(chǎn)運(yùn)行

造成的損失程度，以及對(duì)國家安全、環(huán)境安全、人員生命、社會(huì)秩序、公共利益以及公民、

企業(yè)和其他組織的合法權(quán)益及重要財(cái)產(chǎn)的危害程度，確定劃分工業(yè)控制系統(tǒng)信息安全級(jí)別的

規(guī)則和定級(jí)方法。

同時(shí)，為使標(biāo)準(zhǔn)能夠滿足科學(xué)、規(guī)范地開展工業(yè)控制系統(tǒng)信息安全管理的需要，客觀反

映我國信息系統(tǒng)安全管理評(píng)估水平，規(guī)范工業(yè)控制系統(tǒng)信息安全級(jí)別劃分，提高標(biāo)準(zhǔn)的可操

作性，在標(biāo)準(zhǔn)制定過程中，還力求做到符合國家的有關(guān)政策法規(guī)要求；與已頒布實(shí)施的相關(guān)

標(biāo)準(zhǔn)相協(xié)調(diào)；與信息安全等級(jí)保護(hù)的等級(jí)劃分要求相適應(yīng)；并適度考慮目前處于發(fā)展成熟過

程中的技術(shù)，保持一定的前瞻性。

(二)本標(biāo)準(zhǔn)的編制目標(biāo)

本標(biāo)準(zhǔn)的編制目標(biāo)是：根據(jù)國家關(guān)于切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的精神，實(shí)現(xiàn)

對(duì)工業(yè)控制系統(tǒng)信息安全應(yīng)采取分等級(jí)管理的要求，提出工業(yè)控制系統(tǒng)信息安全級(jí)別劃分規(guī)

則和定級(jí)方法，為工業(yè)控制系統(tǒng)信息安全定級(jí)提供技術(shù)依據(jù)和工作指導(dǎo)，為選擇工業(yè)控制系

統(tǒng)信息安全各個(gè)級(jí)別的技術(shù)和管理措施提供參考。

本標(biāo)準(zhǔn)根據(jù)工業(yè)控制系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及工業(yè)控

制系統(tǒng)信息安全受到破壞后對(duì)工業(yè)生產(chǎn)運(yùn)行造成的損失程度，以及對(duì)國家安全、環(huán)境安全、

人員生命、社會(huì)秩序、公共利益以及公民、企業(yè)和其他組織的合法權(quán)益及重要財(cái)產(chǎn)的危害程

度，由低到高劃分為工業(yè)控制系統(tǒng)信息安全的第一級(jí)至第四級(jí)等四個(gè)級(jí)別。規(guī)定了工業(yè)控制

系統(tǒng)信息安全級(jí)別的劃分規(guī)則和定級(jí)方法，為工業(yè)控制系統(tǒng)信息安全級(jí)別劃分提供了依據(jù)；

適用于工業(yè)控制系統(tǒng)信息安全管理部門和企業(yè)，為工業(yè)控制系統(tǒng)信息安全級(jí)別的定級(jí)工作提

供指導(dǎo)，工業(yè)控制系統(tǒng)信息安全的建設(shè)、運(yùn)維以及安全檢查工作均可參考使用。

三、主要工作過程

(一)標(biāo)準(zhǔn)制定的主要工作過程如下：

1)2012年8月成立了以公司資深咨詢顧問陳冠直為負(fù)責(zé)人和主筆的《信息安全技術(shù)

工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》標(biāo)準(zhǔn)編寫組。

2)2012年9月4日，參加安標(biāo)委秘書處在北京應(yīng)用物理會(huì)議中心召開的工業(yè)控制系

統(tǒng)信息安全標(biāo)準(zhǔn)會(huì)，參加會(huì)議的有崔書昆、蔡野（協(xié)調(diào)司處長）、楊建軍、馮冬芹（浙大）、

彭勇、宮亞鋒、高昆侖、陳冠直等，討論了包括本標(biāo)準(zhǔn)在內(nèi)的5個(gè)工控標(biāo)準(zhǔn)的分工及立項(xiàng)問

題。

3)2012年12月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》標(biāo)準(zhǔn)

草案（第一稿）；2012年12月27日，安標(biāo)委秘書處在北京應(yīng)用物理會(huì)議中心組織了專家

討論會(huì)，參加會(huì)議的有楊建軍、梅?。═C124秘書長）、王立福、高昆侖、張建軍、彭勇、

閔京華、唐一鴻、許東陽、陳冠直等，提出了修改意見（見意見匯總表）。

4)2013年5月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》標(biāo)準(zhǔn)草

案（第二稿）；

5)2013年5月7日，安標(biāo)委秘書處在電子4院亦莊園區(qū)組織了初步討論會(huì)，參加會(huì)

議的有唐一鴻、許東陽、程鵬、陳冠直等，決定先提交楊建軍、蔡野（協(xié)調(diào)司處長）等有關(guān)

領(lǐng)導(dǎo)審閱，然后組織了專家討論會(huì)。

6)2013年6月6日，收到安標(biāo)委秘書處轉(zhuǎn)來的信息通信安全研究所寧華同志的意見，

根據(jù)意見對(duì)標(biāo)準(zhǔn)進(jìn)行了修改（見意見匯總表）。

7)2013年7月23日,安標(biāo)委秘書處組織中期檢查，評(píng)審專家有崔書昆、趙戰(zhàn)生、王

立福、宮亞峰、肖京華、張翀斌、顧健、羅鋒盈等，工信部協(xié)調(diào)司蔡處長、秘書處許玉娜和

上官曉麗也參加了評(píng)審，并提出了修改意見（見意見匯總表）。

8)2013年8月1日-8月2日，安標(biāo)委秘書處組織的有關(guān)工控標(biāo)準(zhǔn)編制單位開會(huì)，協(xié)

調(diào)和討論幾個(gè)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)的關(guān)系。

9)2013年8月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》標(biāo)準(zhǔn)草

案（第三稿），準(zhǔn)備進(jìn)行相應(yīng)的評(píng)審。

10)2014年6月，經(jīng)安標(biāo)委秘書處同意，由公安部11局陸磊處長召集在公安部第一研

究所開會(huì)，聽取本標(biāo)準(zhǔn)草案的介紹，公安部等保評(píng)估中心任衛(wèi)紅等、公安部一所李秋香等參

加會(huì)議并提出意見，安標(biāo)委秘書處上官曉麗也參加了會(huì)議。

11)2015年8月，電子4院信息安全中心范科峰主任召集開會(huì)，討論有關(guān)工控信息安

全標(biāo)準(zhǔn)問題，協(xié)調(diào)幾個(gè)標(biāo)準(zhǔn)之間的關(guān)系。

12)2015年11月，電子4院信息安全中心范科峰主任召集開會(huì)，討論有關(guān)工控信息安

全標(biāo)準(zhǔn)問題，鑒于《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》分為三級(jí)，以及專家意見，確定本標(biāo)

準(zhǔn)要改成三級(jí)。

13)2015年12月，應(yīng)中國信息安全測(cè)評(píng)中心張翀斌處長要求，討論討論有關(guān)工控信

息安全標(biāo)準(zhǔn)問題，協(xié)調(diào)兩個(gè)標(biāo)準(zhǔn)之間的關(guān)系，建議還是四級(jí)為好。

14)2016年3月3日，秘書處組織《工業(yè)控制系統(tǒng)安全管理基本要求》評(píng)審，本標(biāo)準(zhǔn)

也做了介紹，專家意見認(rèn)為本標(biāo)準(zhǔn)不要改成三級(jí)，恢復(fù)為四級(jí)為好。

15)2016年3月18日，電子4院信息安全中心組織開會(huì)，討論《工業(yè)控制系統(tǒng)安全

管理基本要求》及本標(biāo)準(zhǔn)接受評(píng)審當(dāng)?shù)臏?zhǔn)備工作，并提出修改意見。

16)2016年3月29日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG5工作組在北京組織召開

了本標(biāo)準(zhǔn)草案審查會(huì)。評(píng)審專家：王立福、宮亞峰、肖京華、張翀斌、劉海峰、張立武、蘭

天、鄭偉、閔京華，組長王立福。評(píng)審意見如下：

2016年3月29日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG5工作組在北京組織

召開了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》標(biāo)準(zhǔn)草案審查會(huì)。專家

組聽取了編制組的工作匯報(bào)，審閱了標(biāo)準(zhǔn)文本、編制說明、意見匯總處理表等材

料，經(jīng)質(zhì)詢和討論，形成如下意見：

1.該標(biāo)準(zhǔn)草案基于風(fēng)險(xiǎn)評(píng)估給出了工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)等級(jí)，提出了等級(jí)劃分模

型和定級(jí)要素，包括工業(yè)控制系統(tǒng)重要性程度、存在的潛在風(fēng)險(xiǎn)影響程度、需抵

御的信息安全威脅程度等特征。

2.該標(biāo)準(zhǔn)草案內(nèi)容充實(shí)、結(jié)構(gòu)合理，為工業(yè)控制系統(tǒng)信息安全的規(guī)劃、設(shè)計(jì)、

運(yùn)維以及評(píng)估和管理提供指導(dǎo)。

3.該標(biāo)準(zhǔn)草案格式基本符合GB/T1.1-2009的要求。

專家組同意該標(biāo)準(zhǔn)草案通過審查，建議標(biāo)準(zhǔn)編制組根據(jù)專家意見修改完善。

17)2016年4月，根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG5工作組在北京組織召開

的本標(biāo)準(zhǔn)草案審查會(huì)，以及各位評(píng)審專家的具體意見對(duì)標(biāo)準(zhǔn)文稿進(jìn)行修改，并將標(biāo)準(zhǔn)文稿發(fā)

給秘書處；

18)信安標(biāo)委WG5工作組于2016年4月18日至2016年4月25日面向各成員單位

對(duì)本標(biāo)準(zhǔn)進(jìn)行了投票；

19)2016年5月，根據(jù)秘書處轉(zhuǎn)來的意見，對(duì)標(biāo)準(zhǔn)文稿進(jìn)行修改，并將標(biāo)準(zhǔn)文稿發(fā)給

秘書處。

(二)標(biāo)準(zhǔn)征求意見的落實(shí)情況如下：

《標(biāo)準(zhǔn)草案稿》共匯集反饋意見51條，其中未采納的意見1條已作說明，部分采納的

意見2條已作說明，其余意見為采納，具體參見意見匯總處理表。

四、標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)

(一)本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全定級(jí)的技術(shù)思路

1.工業(yè)控制系統(tǒng)信息安全級(jí)別劃分的目的

本標(biāo)準(zhǔn)對(duì)工業(yè)控制系統(tǒng)信息安全等級(jí)劃分的目的是，便于加強(qiáng)對(duì)工業(yè)控制系統(tǒng)信息安全

的管理，便于工業(yè)控制系統(tǒng)信息安全保護(hù)能力的規(guī)劃、設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)維，便于對(duì)工業(yè)控制

系統(tǒng)信息安全現(xiàn)狀的評(píng)估。

基于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的目的，需要從需求的角度確定一個(gè)工業(yè)控制系統(tǒng)

應(yīng)達(dá)到的等級(jí)，相當(dāng)于IEC62443中的目標(biāo)安全級(jí)別（TargetSecurityLevels）；規(guī)定每個(gè)

等級(jí)的工業(yè)控制系統(tǒng)應(yīng)實(shí)現(xiàn)的信息安全目標(biāo)，受到損害會(huì)造成哪些影響，需要能夠抵御哪些

威脅等方面的條件。

基于工業(yè)控制系統(tǒng)信息安全保護(hù)能力的規(guī)劃、設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)維，需要從信息安全保護(hù)

能力水平的角度確定一個(gè)工業(yè)控制系統(tǒng)應(yīng)達(dá)到的等級(jí)，相當(dāng)于IEC62443中的能力安全級(jí)別

（CapabilitySecurityLevels）；規(guī)定每個(gè)等級(jí)的工業(yè)控制系統(tǒng)應(yīng)具有哪些信息安全控制措

施，采取哪些準(zhǔn)確配置，具備哪些保護(hù)能力，達(dá)到目標(biāo)安全級(jí)別的條件。

基于對(duì)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀進(jìn)行評(píng)估或認(rèn)定的角度，依據(jù)目標(biāo)安全級(jí)別的條件和

能力安全級(jí)別的條件，確認(rèn)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀已達(dá)到的實(shí)際等級(jí)，相當(dāng)于IEC62443

中的實(shí)現(xiàn)安全級(jí)別（AchievedSecurityLevels）。

這三個(gè)安全級(jí)別對(duì)于一個(gè)工業(yè)控制系統(tǒng)應(yīng)該看作是工業(yè)控制系統(tǒng)信息安全等級(jí)實(shí)現(xiàn)的

三個(gè)過程。本標(biāo)準(zhǔn)主要是從對(duì)工業(yè)控制系統(tǒng)加強(qiáng)管理的需要出發(fā)，提出一個(gè)工業(yè)控制系統(tǒng)應(yīng)

達(dá)到的等級(jí)的條件，也提出了為達(dá)到這個(gè)等級(jí)需具備的基本保護(hù)能力，可以滿足工業(yè)控制系

統(tǒng)信息安全等級(jí)實(shí)現(xiàn)的這三個(gè)過程的需要。

2.工業(yè)控制系統(tǒng)信息安全定級(jí)對(duì)象

對(duì)工業(yè)控制系統(tǒng)劃分信息安全等級(jí)，其定級(jí)對(duì)象是一個(gè)具體的完整的工業(yè)控制系統(tǒng)，也

可以是這個(gè)工業(yè)控制系統(tǒng)中相對(duì)獨(dú)立的一部分。

一個(gè)具體的完整的工業(yè)控制系統(tǒng)，應(yīng)以企業(yè)工業(yè)自動(dòng)化生產(chǎn)過程為基礎(chǔ)，屬于企業(yè)的一

個(gè)自動(dòng)化生產(chǎn)全過程或一個(gè)工業(yè)自動(dòng)化生產(chǎn)裝置（如聚苯乙烯生產(chǎn)裝置）的工業(yè)控制系統(tǒng)。

工業(yè)控制系統(tǒng)中相對(duì)獨(dú)立的一部分，是以企業(yè)工業(yè)自動(dòng)化生產(chǎn)過程的局部環(huán)節(jié)為基礎(chǔ)，

屬于企業(yè)的一個(gè)自動(dòng)化生產(chǎn)全過程或一個(gè)工業(yè)自動(dòng)化生產(chǎn)裝置的工業(yè)控制系統(tǒng)中的相對(duì)獨(dú)

立的且物理邊界清晰的某個(gè)安全區(qū)域或通信網(wǎng)絡(luò)。

3.工業(yè)控制系統(tǒng)信息安全級(jí)別定義

工業(yè)控制系統(tǒng)信息安全級(jí)別是依據(jù)風(fēng)險(xiǎn)影響等級(jí)來界定的，分為四級(jí)。

a)第一級(jí)工業(yè)控制系統(tǒng)，應(yīng)具有以下特征：

第一級(jí)工業(yè)控制系統(tǒng)信息安全受到破壞后，會(huì)對(duì)一般領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成損害，或

者對(duì)公民、企業(yè)和其他組織的合法權(quán)益及重要財(cái)產(chǎn)造成損害，但不會(huì)損害國家安全、國家經(jīng)

濟(jì)安全、環(huán)境安全、社會(huì)秩序、公共利益和人員生命；

第一級(jí)工業(yè)控制系統(tǒng)的信息安全保護(hù)，應(yīng)能夠使工業(yè)控制系統(tǒng)抵御來自個(gè)人的、擁有很

少資源的故意的威脅源發(fā)起的惡意攻擊，一般的環(huán)境威脅及自然災(zāi)難，一般的意外威脅，以

及其他相當(dāng)危害程度威脅所造成關(guān)鍵資產(chǎn)損失的信息安全風(fēng)險(xiǎn)；

第一級(jí)工業(yè)控制系統(tǒng)應(yīng)具有對(duì)系統(tǒng)資產(chǎn)、運(yùn)行環(huán)境、安全風(fēng)險(xiǎn)的基本認(rèn)識(shí)；采取基本的

信息安全控制措施；檢測(cè)系統(tǒng)異常和安全事件；應(yīng)急響應(yīng)的執(zhí)行和維護(hù)等方面的能力；

第一級(jí)工業(yè)控制系統(tǒng)信息安全應(yīng)得到所屬企業(yè)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的管

理，以及國家主管部門和信息安全監(jiān)管部門的指導(dǎo)。

b)第二級(jí)工業(yè)控制系統(tǒng)，應(yīng)具有以下特征：

第二級(jí)工業(yè)控制系統(tǒng)信息安全受到破壞后，會(huì)對(duì)一般領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成重大損

害，或者對(duì)重點(diǎn)領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成損失，或者對(duì)公民、企業(yè)和其他組織的合法權(quán)益及

重要財(cái)產(chǎn)造成嚴(yán)重?fù)p害，或者對(duì)環(huán)境安全、社會(huì)秩序、公共利益和人員生命造成損害，但不

會(huì)損害國家安全、國家經(jīng)濟(jì)安全；

第二級(jí)工業(yè)控制系統(tǒng)的信息安全保護(hù)，應(yīng)能夠使工業(yè)控制系統(tǒng)抵御來自外部小型組織

的、擁有少量資源的故意的威脅源發(fā)起的惡意攻擊，一般的環(huán)境威脅及自然災(zāi)難，嚴(yán)重的意

外威脅，以及其他相當(dāng)危害程度威脅所造成重要資產(chǎn)損失的信息安全風(fēng)險(xiǎn)；

第二級(jí)工業(yè)控制系統(tǒng)應(yīng)具有對(duì)系統(tǒng)資產(chǎn)、運(yùn)行環(huán)境、安全風(fēng)險(xiǎn)的比較全面認(rèn)識(shí)，初步建

立風(fēng)險(xiǎn)管理戰(zhàn)略；采取比較全面的信息安全控制措施；及時(shí)檢測(cè)系統(tǒng)異常和安全事件；應(yīng)急

響應(yīng)的執(zhí)行和維護(hù)，防止事件擴(kuò)大和減輕影響；基本恢復(fù)受安全事件影響的工業(yè)控制系統(tǒng)運(yùn)

行等方面的能力；

第二級(jí)工業(yè)控制系統(tǒng)信息安全應(yīng)得到所屬企業(yè)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的管

理，以及國家主管部門和信息安全監(jiān)管部門的監(jiān)督、檢查。

c)第三級(jí)工業(yè)控制系統(tǒng)，應(yīng)具有以下特征：

第三級(jí)工業(yè)控制系統(tǒng)信息安全受到破壞后，會(huì)對(duì)重點(diǎn)領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成重大損

害，或者對(duì)關(guān)鍵領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成損失，或者對(duì)環(huán)境安全、社會(huì)秩序、公共利益和人

員生命造成嚴(yán)重?fù)p害，或者會(huì)對(duì)國家安全、國家經(jīng)濟(jì)安全造成損害；

第三級(jí)工業(yè)控制系統(tǒng)的信息安全保護(hù)，應(yīng)能夠使工業(yè)控制系統(tǒng)抵御來自外部有組織的團(tuán)

體、擁有較為豐富資源的故意的威脅源發(fā)起的惡意攻擊，較為嚴(yán)重的環(huán)境威脅及自然災(zāi)難，

特別嚴(yán)重的意外威脅，以及其他相當(dāng)危害程度威脅所造成主要資產(chǎn)損失的信息安全風(fēng)險(xiǎn)；

第三級(jí)工業(yè)控制系統(tǒng)應(yīng)具有對(duì)系統(tǒng)資產(chǎn)、運(yùn)行環(huán)境、安全風(fēng)險(xiǎn)的全面認(rèn)識(shí)，建立風(fēng)險(xiǎn)管

理戰(zhàn)略，實(shí)施信息安全治理；采取全面的信息安全控制措施，確保與組織的風(fēng)險(xiǎn)管理戰(zhàn)略相

一致；及時(shí)和全面監(jiān)測(cè)系統(tǒng)異常和安全事件；應(yīng)急響應(yīng)的執(zhí)行和維護(hù)，防止事件擴(kuò)大和減輕

影響；恢復(fù)受安全事件影響的工業(yè)控制系統(tǒng)運(yùn)行等方面的能力；

第三級(jí)工業(yè)控制系統(tǒng)信息安全應(yīng)得到所屬企業(yè)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的管

理，以及國家主管部門和信息安全監(jiān)管部門的強(qiáng)制監(jiān)督、檢查。

d)第四級(jí)工業(yè)控制系統(tǒng)，應(yīng)具有以下特征：

第四級(jí)工業(yè)控制系統(tǒng)信息安全受到破壞后，會(huì)對(duì)關(guān)鍵領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成重大損

害，或者對(duì)環(huán)境安全、社會(huì)秩序、公共利益和人員生命造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全、

國家經(jīng)濟(jì)安全造成嚴(yán)重?fù)p害；

第四級(jí)工業(yè)控制系統(tǒng)的信息安全保護(hù)，應(yīng)能夠使工業(yè)控制系統(tǒng)抵御來自國家級(jí)別的、敵

對(duì)組織的、擁有豐富資源的故意的威脅源發(fā)起的惡意攻擊，嚴(yán)重的環(huán)境威脅及自然災(zāi)難，特

別嚴(yán)重的意外威脅，以及其他相當(dāng)危害程度威脅所造成資產(chǎn)損失的信息安全風(fēng)險(xiǎn)；

第四級(jí)工業(yè)控制系統(tǒng)應(yīng)具有對(duì)系統(tǒng)資產(chǎn)、運(yùn)行環(huán)境、安全風(fēng)險(xiǎn)的全面認(rèn)識(shí)，建立全面風(fēng)

險(xiǎn)管理戰(zhàn)略，實(shí)施信息安全治理；采取全面的信息安全控制措施，確保與組織的風(fēng)險(xiǎn)管理戰(zhàn)

略相一致；連續(xù)和全面監(jiān)測(cè)系統(tǒng)異常和安全事件，采取必要的應(yīng)對(duì)措施；應(yīng)急響應(yīng)的執(zhí)行和

維護(hù)，防止事件擴(kuò)大和減輕影響，采取改進(jìn)措施；及時(shí)恢復(fù)受安全事件影響的工業(yè)控制系統(tǒng)

運(yùn)行等方面的能力；

第四級(jí)工業(yè)控制系統(tǒng)信息安全應(yīng)得到所屬企業(yè)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的管

理，以及國家主管部門和信息安全監(jiān)管部門的專門監(jiān)督、檢查。

e)另外

對(duì)于直接用于維護(hù)國家安全的工業(yè)控制系統(tǒng)，以及需要抵御戰(zhàn)爭(zhēng)威脅（包括來自國家級(jí)

別的網(wǎng)絡(luò)戰(zhàn)或暴力手段的威脅）或毀滅性自然災(zāi)難等意外威脅的工業(yè)控制系統(tǒng)，不在本標(biāo)準(zhǔn)

的等級(jí)范圍內(nèi)，可在第四級(jí)基礎(chǔ)上另行規(guī)定增強(qiáng)控制措施。

4.工業(yè)控制系統(tǒng)信息安全定級(jí)要素

工業(yè)控制系統(tǒng)信息安全定級(jí)要素及其之間的關(guān)系如下圖所示：

工業(yè)控制系統(tǒng)資產(chǎn)重要程度：反映了工業(yè)控制系統(tǒng)所在工業(yè)生產(chǎn)行業(yè)領(lǐng)域的重要性，工

業(yè)控制系統(tǒng)在企業(yè)生產(chǎn)過程中業(yè)務(wù)使命的重要性，工業(yè)控制系統(tǒng)及其相關(guān)生產(chǎn)裝置以及相關(guān)

生產(chǎn)總值等資產(chǎn)綜合價(jià)值；工業(yè)控制系統(tǒng)重要性程度特征值范圍為1-5，5最高。如標(biāo)準(zhǔn)中

表2所示。

工業(yè)控制系統(tǒng)資產(chǎn)重要程度特征值

工業(yè)控制系統(tǒng)行業(yè)領(lǐng)域

工業(yè)控制系統(tǒng)資產(chǎn)重要程度

一般領(lǐng)域重點(diǎn)領(lǐng)域關(guān)鍵領(lǐng)域

一般業(yè)務(wù)使命

123

且資產(chǎn)價(jià)值一般

一般業(yè)務(wù)使命

工業(yè)控制系統(tǒng)234

且資產(chǎn)價(jià)值很高

業(yè)務(wù)使命

重要業(yè)務(wù)使命

及資產(chǎn)價(jià)值234

不考慮資產(chǎn)價(jià)值

關(guān)鍵業(yè)務(wù)使命

345

不考慮資產(chǎn)價(jià)值

工業(yè)控制系統(tǒng)受侵害后潛在影響程度：反映了工業(yè)控制系統(tǒng)信息安全受到侵害后產(chǎn)生的

直接損失和間接損失，包括對(duì)工業(yè)控制系統(tǒng)及其相關(guān)生產(chǎn)裝置的影響，對(duì)工業(yè)生產(chǎn)運(yùn)行安全

的影響，以及對(duì)其他受侵害對(duì)象（如公民、企業(yè)、其他組織的合法權(quán)益及重要財(cái)產(chǎn)安全，環(huán)

境安全、社會(huì)秩序、公共利益和人員生命安全，國家安全、國家經(jīng)濟(jì)安全）的影響；受侵害

后的潛在影響程度特征值范圍為1-5，5最高。如標(biāo)準(zhǔn)中表3所示。

受侵害后潛在影響程度特征值

受侵害的程度

受侵害后潛在影響程度

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

工業(yè)控制系統(tǒng)

123

受及相關(guān)生產(chǎn)裝置

侵工業(yè)生產(chǎn)運(yùn)行安全和公民、企業(yè)、

123

害其他組織的合法權(quán)益及重要財(cái)產(chǎn)安全

的環(huán)境安全、社會(huì)秩序、

234

對(duì)公共利益和人員生命安全

象國家安全、

345

國家經(jīng)濟(jì)安全

工業(yè)控制系統(tǒng)需抵御的信息安全威脅程度：反映了工業(yè)控制系統(tǒng)在面臨客觀存在的眾多

威脅中，依據(jù)工業(yè)控制系統(tǒng)、相關(guān)生產(chǎn)裝置以及所屬企業(yè)或行業(yè)共同固有脆弱性及其可利用

性，信息安全事件發(fā)生的可能性，所確定的實(shí)際需要抵御的信息安全威脅；需要抵御的信息

安全威脅等級(jí)范圍為1-5，5最高。

5.工業(yè)控制系統(tǒng)信息安全定級(jí)模型

本標(biāo)準(zhǔn)規(guī)定的工業(yè)控制系統(tǒng)信息安全等級(jí)是基于工業(yè)控制系統(tǒng)存在信息安全風(fēng)險(xiǎn)劃分

的，由工業(yè)控制系統(tǒng)資產(chǎn)重要程度、受侵害后潛在影響程度、需抵御的信息安全威脅程度等

三個(gè)定級(jí)要素決定。

這三個(gè)定級(jí)要素之間既具有相對(duì)獨(dú)立性，也具有一定的相互疊加效應(yīng)。定級(jí)要素的相對(duì)

獨(dú)立性是指在一個(gè)側(cè)面或一定程度上可表示工業(yè)控制系統(tǒng)的信息安全等級(jí)。定級(jí)要素的相互

疊加效應(yīng)是指，一個(gè)工業(yè)控制系統(tǒng)的資產(chǎn)重要程度越高，對(duì)受侵害后潛在影響程度的考慮會(huì)

越多，對(duì)需抵御的信息安全威脅程度也會(huì)更敏感，反之亦然。基于信息安全風(fēng)險(xiǎn)的考慮，有

必要對(duì)工業(yè)控制系統(tǒng)資產(chǎn)重要程度、受侵害后潛在影響程度、需抵御的信息安全威脅程度進(jìn)

行綜合評(píng)價(jià)，得出工業(yè)控制系統(tǒng)信息安全等級(jí)。

工業(yè)控制系統(tǒng)信息安全等級(jí)特征值NSL計(jì)算公式為：

NSL=F((S,資產(chǎn)重要程度特征值)，(I，潛在影響程度特征值)，(T，信息安全威脅程度特征值))

為便于計(jì)算，本標(biāo)準(zhǔn)根據(jù)工業(yè)控制系統(tǒng)資產(chǎn)重要程度特征值、受侵害后潛在影響程度特

征值、需抵御的信息安全威脅程度特征值，可在表1中查出工業(yè)控制系統(tǒng)信息安全等級(jí)特征

值，及其對(duì)應(yīng)的工業(yè)控制系統(tǒng)信息安全等級(jí)。

工業(yè)控制系統(tǒng)信息安全等級(jí)對(duì)照表

資產(chǎn)重要程度受侵害后潛在需抵御的信息安全威脅程度特征值

特征值影響程度特征12345

值

11第一級(jí)（1）第一級(jí)（2）第一級(jí)（3）第一級(jí)（4）第二級(jí)（5）

21第一級(jí)（2）第一級(jí)（3）第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）

31第一級(jí)（3）第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）

41第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）

51第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）

12第一級(jí)（2）第一級(jí)（3）第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）

22第一級(jí)（3）第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）

32第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）

42第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）

52第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）

13第一級(jí)（3）第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）

23第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）

33第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）

43第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）

53第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）第四級(jí)（11）

14第一級(jí)（4）第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）

24第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）

34第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）

44第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）第四級(jí)（11）

54第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）第四級(jí)（11）第四級(jí)（12）

15第二級(jí)（5）第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）

25第二級(jí)（6）第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）

35第二級(jí)（7）第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）第四級(jí)（11）

45第三級(jí)（8）第三級(jí)（9）第三級(jí)（10）第四級(jí)（11）第四級(jí)（12）

55第三級(jí)（9）第三級(jí)（10）第四級(jí)（11）第四級(jí)（12）第四級(jí)（13）

表中括號(hào)內(nèi)的數(shù)字是工業(yè)控制系統(tǒng)信息安全等級(jí)特征值。

其中工業(yè)控制系統(tǒng)資產(chǎn)重要程度特征值、受侵害后潛在影響程度特征值、需抵御的信息

安全威脅程度特征值的取值范圍均為1-5。工業(yè)控制系統(tǒng)信息安全等級(jí)特征值的取值范圍均

為1-13，與等級(jí)的對(duì)應(yīng)關(guān)系為：工業(yè)控制系統(tǒng)信息安全等級(jí)第一級(jí)對(duì)應(yīng)特征值取值范圍是1-4,

第二級(jí)是5-7,第三級(jí)是8-10,第四級(jí)是11-13。

6.工業(yè)控制系統(tǒng)信息安全級(jí)別與其他相關(guān)等級(jí)的關(guān)系

本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全級(jí)別具有工業(yè)控制系統(tǒng)的特殊性、專用性，又有與國內(nèi)

信息安全保護(hù)等級(jí)、國際標(biāo)準(zhǔn)IEC62443的兼容性，并且完全符合工信部451號(hào)文件要求。

本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全級(jí)別采用矢量方式表示，是由工業(yè)控制系統(tǒng)重要性程

度、受侵害潛在影響程度、工業(yè)控制系統(tǒng)信息安全威脅作為三個(gè)維度形成的矢量，與原有國

內(nèi)信息安全保護(hù)等級(jí)有所不同，考慮了涉及工業(yè)控制系統(tǒng)相關(guān)的因素更全面了，更具有工業(yè)

控制系統(tǒng)信息安全的特點(diǎn)。

a)工業(yè)控制系統(tǒng)信息安全分為幾個(gè)級(jí)別的問題

關(guān)于工業(yè)控制系統(tǒng)信息安全分為3級(jí)、4級(jí)還是5級(jí)的問題，在評(píng)審和討論時(shí)專家們有

不同意見和反復(fù)過程。其實(shí)這主要不是技術(shù)實(shí)現(xiàn)的問題，而是如何便于管理和應(yīng)用的問題，

以及如何與目前我國信息系統(tǒng)安全保護(hù)等級(jí)、國際標(biāo)準(zhǔn)IEC62443中工業(yè)控制系統(tǒng)信息安全

等級(jí)、美國NISTsp800-53中的等級(jí)、國標(biāo)GB/T30976-2014等之間的銜接問題。

其中，目前我國的信息系統(tǒng)安全保護(hù)等級(jí)劃分為5級(jí)，實(shí)際使用的是1-4級(jí)；國際標(biāo)準(zhǔn)

IEC62443中工業(yè)控制系統(tǒng)信息安全劃分為4級(jí)；美國NISTsp800-53中對(duì)聯(lián)邦信息系統(tǒng)和

安全控制措施的等級(jí)劃分為3級(jí)；剛剛發(fā)布的國標(biāo)GB/T30976-2014中工業(yè)控制系統(tǒng)信息

安全劃分為4級(jí)。為了減少與上述情況發(fā)生的沖突，本標(biāo)準(zhǔn)對(duì)工業(yè)控制系統(tǒng)信息安全劃分為

4級(jí)，并且留有一定余地，標(biāo)準(zhǔn)中指出“對(duì)于直接用于維護(hù)國家安全的工業(yè)控制系統(tǒng)，以及

需要抵御戰(zhàn)爭(zhēng)威脅（包括來自國家級(jí)別的網(wǎng)絡(luò)戰(zhàn)或暴力手段的威脅）或毀滅性自然災(zāi)難等意

外威脅的工業(yè)控制系統(tǒng)，不在本標(biāo)準(zhǔn)的等級(jí)范圍內(nèi)，可在第四級(jí)基礎(chǔ)上另行規(guī)定增強(qiáng)控制措

施?！?/p>

b)與我國信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系

本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全級(jí)別與國內(nèi)信息安全保護(hù)等級(jí)的兼容性，原信息安全保

護(hù)等級(jí)的定級(jí)因素（受侵害客體及對(duì)客體的侵害程度）包含在本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安

全定級(jí)因素的一個(gè)維度（受侵害潛在影響程度）中。當(dāng)忽略工業(yè)控制系統(tǒng)重要性程度、工業(yè)

控制系統(tǒng)信息安全威脅兩個(gè)維度時(shí)，得到的工業(yè)控制系統(tǒng)信息安全級(jí)別與國內(nèi)信息安全保護(hù)

等級(jí)基本一致。也就是說，如果一個(gè)工業(yè)控制系統(tǒng)信息安全級(jí)別已經(jīng)按照原來國內(nèi)信息安全

等級(jí)保護(hù)方法進(jìn)行定級(jí)，會(huì)存在考慮問題不完整，產(chǎn)生一定偏差，但不會(huì)產(chǎn)生大的沖突和錯(cuò)

誤，仍然存在一定的兼容性。不同之處是，信息安全等級(jí)保護(hù)分為五級(jí)，本標(biāo)準(zhǔn)分為四級(jí)，

但本標(biāo)準(zhǔn)的第四級(jí)可包括信息安全等級(jí)保護(hù)的第四、第五級(jí)，其實(shí)到現(xiàn)在為止信息安全等級(jí)

保護(hù)的第五級(jí)也沒有實(shí)際使用，GB/T22239-2008（基本要求）也略去第五級(jí)。

GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》是在GB17859

基礎(chǔ)上編寫的，不必規(guī)范各級(jí)的條件。本標(biāo)準(zhǔn)與之不同，需要闡述各個(gè)等級(jí)工業(yè)控制系統(tǒng)的

信息安全特征。

c)與IEC62443中工業(yè)控制系統(tǒng)安全級(jí)別的關(guān)系

本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全級(jí)別與國際標(biāo)準(zhǔn)IEC62443的兼容性，IEC624433-3

描述了系統(tǒng)的4個(gè)安全保障等級(jí)：

SAL1：抵御某些具有偶然性或巧合性的威脅攻擊；

SAL2：抵御簡單的故意性威脅攻擊，該威脅攻擊具有通用方法，使用低資源并具有低

動(dòng)因的特點(diǎn)；

SAL3：抵御復(fù)雜的故意性威脅攻擊，該威脅攻擊采用系統(tǒng)性特定的方法，使用中等資

源并具有中動(dòng)因的特點(diǎn)；

SAL4：抵御復(fù)雜的故意性威脅攻擊，該威脅攻擊采用系統(tǒng)性特定的方法，使用擴(kuò)展性

資源并具有高動(dòng)因的特點(diǎn)。

IEC62443各級(jí)的定義主要是依據(jù)可抵御的不同程度的威脅，包含在本標(biāo)準(zhǔn)中工業(yè)控制

系統(tǒng)信息安全定級(jí)因素的一個(gè)維度（工業(yè)控制系統(tǒng)信息安全威脅）中。當(dāng)忽略工業(yè)控制系統(tǒng)

重要性程度、受侵害潛在影響程度兩個(gè)維度時(shí)，得到的工業(yè)控制系統(tǒng)信息安全級(jí)別與IEC

62443描述了系統(tǒng)的4個(gè)安全保障等級(jí)基本一致。

d)與美國NISTsp800-53中信息系統(tǒng)級(jí)別的關(guān)系

該標(biāo)準(zhǔn)依據(jù)FIPS199《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》，將信息系統(tǒng)按照它們對(duì)保

密性、完整性和可用性等安全目標(biāo)的低影響、中影響或高影響分類，分為低影響信息系統(tǒng)、

中影響信息系統(tǒng)、高影響信息系統(tǒng)。

e)與國標(biāo)GB/T30976-2014

由TC124牽頭編制的國標(biāo)GB/T30976-2014中工業(yè)控制系統(tǒng)信息安全劃分為4級(jí)，即

信息安全等級(jí)為SL1、SL2、SL3、SL4等四個(gè)等級(jí)。其條件與IEC62443一致。

f)比較結(jié)果

本標(biāo)準(zhǔn)的等級(jí)劃分分別可以與IEC62443、GB/T30976-2014、GB/T22240-2008有

一定的兼容性，即不會(huì)產(chǎn)生沖突，但考慮的更全面。

本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全級(jí)別完全符合工信部451號(hào)文件要求，工信部451號(hào)

文件中明確加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重點(diǎn)領(lǐng)域，包含在本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息

安全定級(jí)因素的一個(gè)維度（工業(yè)控制系統(tǒng)重要性程度）中。

因此，本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全定級(jí)依據(jù)是充分的，既符合我國工業(yè)控制系統(tǒng)信

息安全的專門要求，也與現(xiàn)行的信息安全保護(hù)等級(jí)和國際標(biāo)準(zhǔn)IEC62443兼容。

7.工業(yè)控制系統(tǒng)信息安全定級(jí)流程

本標(biāo)準(zhǔn)基于風(fēng)險(xiǎn)評(píng)估過程規(guī)定工業(yè)控制系統(tǒng)信息安全定級(jí)流程。

在風(fēng)險(xiǎn)評(píng)估前需要建立語境。風(fēng)險(xiǎn)評(píng)估由風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)組成，其中風(fēng)險(xiǎn)分析

可包括風(fēng)險(xiǎn)識(shí)別及風(fēng)險(xiǎn)估算活動(dòng)。這與本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全定級(jí)流程是一致的。

定級(jí)流程的確定工業(yè)控制系統(tǒng)定級(jí)對(duì)象，是在建立風(fēng)險(xiǎn)評(píng)估的語境；定級(jí)流程的確定工業(yè)控

制系統(tǒng)資產(chǎn)重要程度、確定受侵害后的潛在影響程度、確定需抵御的信息安全威脅程度，屬

于風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)識(shí)別及風(fēng)險(xiǎn)估算活動(dòng)；定級(jí)流程的確定工業(yè)控制系統(tǒng)信息安全等級(jí)，屬于

風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)。

(二)本標(biāo)準(zhǔn)的主要內(nèi)容

工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全，為加強(qiáng)

工業(yè)控制系統(tǒng)信息安全管理，對(duì)工業(yè)控制系統(tǒng)信息安全采取等級(jí)化管理。本標(biāo)準(zhǔn)規(guī)定了基于

風(fēng)險(xiǎn)分析的工業(yè)控制系統(tǒng)信息安全等級(jí)劃分規(guī)則和定級(jí)方法,提出了等級(jí)劃分模型和定級(jí)要

素，包括工業(yè)控制系統(tǒng)資產(chǎn)重要程度、存在的潛在風(fēng)險(xiǎn)影響程度、需抵御的信息安全威脅程

度，以及對(duì)工業(yè)控制系統(tǒng)信息安全劃分四個(gè)等級(jí)的特征。

本標(biāo)準(zhǔn)第4章工業(yè)控制系統(tǒng)概述，描述了工業(yè)控制系統(tǒng)基本構(gòu)成，工業(yè)控制系統(tǒng)定級(jí)對(duì)

象；第5章工業(yè)控制系統(tǒng)信息安全等級(jí)劃分規(guī)則,規(guī)定了工業(yè)控制系統(tǒng)信息安全等級(jí)劃分模

型，工業(yè)控制系統(tǒng)信息安全定級(jí)要素，工業(yè)控制系統(tǒng)信息安全等級(jí)特征；第6章工業(yè)控制系

統(tǒng)信息安全定級(jí)方法，提出了工業(yè)控制系統(tǒng)信息安全定級(jí)流程，陳述了確定工業(yè)控制系統(tǒng)定

級(jí)對(duì)象、確定工業(yè)控制系統(tǒng)資產(chǎn)重要程度、確定受侵害后的潛在影響程度、確定需抵御的信

息安全威脅程度、確定工業(yè)控制系統(tǒng)信息安全等級(jí)；附錄A說明了有關(guān)生產(chǎn)安全事故和突

發(fā)環(huán)境事件分級(jí)。

本標(biāo)準(zhǔn)規(guī)定了以工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)影響為基準(zhǔn)對(duì)工業(yè)控制系統(tǒng)信息安等級(jí)全劃規(guī)則和

定級(jí)方法，提出了等級(jí)模型和定級(jí)要素，明確了各個(gè)等級(jí)工業(yè)控制系統(tǒng)所具備的潛在風(fēng)險(xiǎn)影

響、信息安全威脅、信息安全能力和信息安全管理方面的特征。適用于工業(yè)自動(dòng)化生產(chǎn)企業(yè)

以及相關(guān)行政管理部門，為工業(yè)控制系統(tǒng)信息安全等級(jí)的劃分提供指導(dǎo)，為工業(yè)控制系統(tǒng)信

息安全的規(guī)劃、設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)維以及評(píng)估和管理提供依據(jù)。

本標(biāo)準(zhǔn)主要框架如下：

第一部分：常規(guī)內(nèi)容

前言、引言、1范圍、2規(guī)范性引用文件、3術(shù)語和定義

第二部分：信息安全級(jí)別劃分

4工業(yè)控制系統(tǒng)概述

4.1工業(yè)控制系統(tǒng)基本構(gòu)成

4.2工業(yè)控制系統(tǒng)定級(jí)對(duì)象

5工業(yè)控制系統(tǒng)信息安全等級(jí)劃分規(guī)則

5.1工業(yè)控制系統(tǒng)信息安全等級(jí)劃分模型

5.2工業(yè)控制系統(tǒng)信息安全定級(jí)要素

5.2.1工業(yè)控制系統(tǒng)資產(chǎn)重要性

5.2.2受侵害后的潛在影響

5.2.3需抵御的信息安全威脅

5.3工業(yè)控制系統(tǒng)信息安全等級(jí)特征

5.3.1第一級(jí)工業(yè)控制系統(tǒng)

5.3.2第二級(jí)工業(yè)控制系統(tǒng)

5.3.3第三級(jí)工業(yè)控制系統(tǒng)

5.3.4第四級(jí)工業(yè)控制系統(tǒng)

6工業(yè)控制系統(tǒng)信息安全等級(jí)定級(jí)方法

6.1工業(yè)控制系統(tǒng)信息安全定級(jí)流程

6.2確定工業(yè)控制系統(tǒng)定級(jí)對(duì)象

6.2.1定級(jí)對(duì)象的確認(rèn)條件

6.2.2定級(jí)對(duì)象的系統(tǒng)描述

6.3確定工業(yè)控制系統(tǒng)資產(chǎn)重要程度

6.3.1評(píng)價(jià)工業(yè)控制系統(tǒng)安全領(lǐng)域和業(yè)務(wù)使命

6.3.2評(píng)價(jià)工業(yè)控制系統(tǒng)資產(chǎn)重要程度

6.4確定受侵害后的潛在影響程度

6.4.1確認(rèn)工業(yè)控制系統(tǒng)信息安全受到破壞

6.4.2依據(jù)侵害的客觀方面進(jìn)行分析

6.4.3評(píng)價(jià)受侵害的對(duì)象

6.4.4評(píng)價(jià)受侵害的程度

6.4.5評(píng)價(jià)受侵害后的潛在影響程度

6.5確定需抵御的信息安全威脅程度

6.5.1評(píng)價(jià)面臨的信息安全威脅

6.5.2評(píng)價(jià)信息安全事件可能性

6.5.3評(píng)價(jià)需抵御的信息安全威脅

6.6確定工業(yè)控制系統(tǒng)信息安全等級(jí)

第三部分：附錄及參考文獻(xiàn)

附錄A（規(guī)范性附錄）有關(guān)生產(chǎn)安全事故和突發(fā)環(huán)境事件分級(jí)

參考文獻(xiàn)

五、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

1)與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定的關(guān)系