TCNEA-核電站工控系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險評估標準(征求意見稿)編制說明

1/6中國核能行業(yè)協(xié)會團體標準T/CNEAXXXXX-XXXX《核電站工控系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險評估標準》（征求意見稿）編制說明標準編制組二零二一年十二月T/CNEAXXXXX-XXXX《核電站工控系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險評估標準》編制說明1工作簡況1.1任務(wù)來源中國核能行業(yè)協(xié)會于2019年12月2日，正式下達了《關(guān)于2019年度中國核能行業(yè)協(xié)會首批團體標準審批通過項目公示的通知》，國核自儀系統(tǒng)工程有限公司信息安全中心申請的《核電站工控系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險評估標準》核電行業(yè)團體標準已獲批通過。該標準由國核自儀系統(tǒng)工程有限公司主編，山東核電、上海核動力研究設(shè)計院、國核示范參編。1.2主要工作過程標準編制任務(wù)下達后，承擔單位成立了標準編制組，制訂了編制計劃，確定了本標準的編制原則、標準結(jié)構(gòu)和編制內(nèi)容。編制組分工協(xié)作，按要求完成了各自分工的修改內(nèi)容，主編協(xié)調(diào)整理各部分的內(nèi)容，統(tǒng)一了標準的表述方式，并于完成了標準征求意見稿的編制。1.2.1前期工作前期主要任務(wù)是成立標準編制組，分解工作任務(wù)、明確標準編制的進度控制，形成標準初稿。后期主要任務(wù)是在主編方發(fā)布的草稿基礎(chǔ)上，然后工作組以會議討論的形式對草稿進行修訂，根據(jù)各自的項目和標準編制經(jīng)驗提出反饋意見，最終確定初稿。1.2.2征求意見稿在標準初稿編寫完成后，將初稿向多名業(yè)內(nèi)專家征求意見。編制組根據(jù)專家意見，對標準初稿內(nèi)容進行認真討論，提出具體的修改意見和建議，并在此基礎(chǔ)上形成了征求意見稿。1.2.3送審稿將根據(jù)后續(xù)工作進度和安排具體進行補充。1.2.4報批稿將根據(jù)后續(xù)工作進度和安排具體進行補充。2標準編制原則本標準編制原則如下：1）貫徹執(zhí)行國家的有關(guān)法律法規(guī)和方針政策，并與現(xiàn)行的國家、行業(yè)相關(guān)標準相協(xié)調(diào)。2）總結(jié)國內(nèi)的實踐經(jīng)驗和成果，結(jié)合國內(nèi)外核電設(shè)計的新進展，力爭達到安全適用、確保質(zhì)量、經(jīng)濟合理，具有較強的可操作性和實用性。3）采用的評價方法、依據(jù)與國內(nèi)外核電技術(shù)的成果進展保持一致。4）編制的《核電站工控系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險評估標準》標準由正文、附錄兩部分組成，格式與內(nèi)容以及它們之間的相互關(guān)系遵守能源行業(yè)標準編寫規(guī)則。5）本標準主要適用于進行核電廠系統(tǒng)網(wǎng)絡(luò)信息風(fēng)險評估的技術(shù)人員以及其他相關(guān)人員。3標準的編制內(nèi)容說明3.1標準結(jié)構(gòu)本標準分為以下章節(jié)：目錄前言引言范圍規(guī)范性引用文件術(shù)語和定義縮略語核電站工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估概述評估設(shè)計和規(guī)劃核電站工控系統(tǒng)評估項核電站工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估計算分析附錄A（資料性附錄）核電站工控系統(tǒng)網(wǎng)絡(luò)安全設(shè)防模型附錄B（資料性附錄）核電站工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估參考性樣例3.2標準內(nèi)容說明范圍主要規(guī)定了核電站工控系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險評估活動的適用范圍。規(guī)范性引用文件規(guī)定了本標準引用的相關(guān)標準規(guī)范。術(shù)語和定義給出本標準中所用到的重要術(shù)語和定義?？s略語給出本標準中所用到縮略語定義。核電站工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估概述對核電站工控系統(tǒng)網(wǎng)絡(luò)安全評估活動基本情況進行概述說明，包括評估范圍、目的、對象、原則等，同時說明了評估的主要形式。評估設(shè)計和規(guī)劃闡述了五個基本階段中風(fēng)險評估活動的重點工作要求和評估設(shè)計規(guī)劃；說明了核電站工控系統(tǒng)網(wǎng)絡(luò)安全要素的識別和分析。核電站工控系統(tǒng)評估項提出核電站工控系統(tǒng)網(wǎng)絡(luò)安全評估必須滿足的原則性評估內(nèi)容，并詳細闡述評估工作估項。核電站工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估計算分析闡述了在完成資產(chǎn)評估、威脅評估、脆弱性評估，保障能力評估后，采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性分析過程。附錄A（資料性附錄）核電站工控系統(tǒng)網(wǎng)絡(luò)安全設(shè)防模型給出“核電站工控系統(tǒng)網(wǎng)絡(luò)安全設(shè)防模型”用以指導(dǎo)風(fēng)險評估活動。附錄B（資料性附錄）核電站工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估參考性樣例給出風(fēng)險評估用到的方法和工具，并給出樣例。4標準水平分析本標準的制定為國內(nèi)核電站工控系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險評估提供了標準依據(jù)，同時也為實施核電廠系統(tǒng)網(wǎng)絡(luò)信息風(fēng)險評估的技術(shù)人員以及其他相關(guān)人員提供了統(tǒng)一的參考依據(jù)。5與現(xiàn)行法規(guī)、標準的關(guān)系國內(nèi)針對電力行業(yè)網(wǎng)絡(luò)信息風(fēng)險評估制定了相關(guān)技術(shù)法規(guī)標準，而針對核電站的網(wǎng)絡(luò)信息風(fēng)險評估的技術(shù)法規(guī)標準尚不完善，根據(jù)國內(nèi)核電廠的設(shè)計和運行現(xiàn)狀，建立完整的標準體系，標準所規(guī)定的評估方法和指標符合法律法規(guī)規(guī)定的安全原則，用于指導(dǎo)核電廠系統(tǒng)網(wǎng)絡(luò)信息風(fēng)險評估技術(shù)人員及其他相關(guān)人員風(fēng)險評估的實施。6參考資料清單GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險評估實施指南GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T26333-2010信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范GB/T36466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險評估實施指南GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則GB/T21052-2016信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求GB/T20271-2016信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T18272.7-2006工業(yè)過程測量和控制系統(tǒng)評估中系統(tǒng)特性的評定GB/T37934-2019信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求GA/T1390.5-2017信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第5部分:工業(yè)控制系統(tǒng)安全擴展要求。發(fā)改委14號令電力監(jiān)控系統(tǒng)安全防護規(guī)定國能安全[2015]36號國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案及安全防護方案和評估規(guī)范的通知RG5.71,2010，Cyber