GB/T 30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范

ICS25040

N10.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T309761—2014

.

工業(yè)控制系統(tǒng)信息安全

第1部分評(píng)估規(guī)范

:

Industrialcontrolsstemsecurit—Part1Assessmentsecification

yy:p

2014-07-24發(fā)布2015-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T309761—2014

.

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)定義和縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………3

工業(yè)控制系統(tǒng)信息安全概述

4……………3

總則

4.1…………………3

危險(xiǎn)引入點(diǎn)

4.2…………………………3

傳播途徑

4.3……………4

危險(xiǎn)后果的受體及其影響

4.4…………4

工業(yè)控制系統(tǒng)信息安全評(píng)估的內(nèi)容概述

4.5…………5

評(píng)估結(jié)果

4.6……………6

組織機(jī)構(gòu)管理評(píng)估

5………………………7

安全方針

5.1……………7

信息安全組織機(jī)構(gòu)

5.2…………………8

資產(chǎn)管理

5.3……………14

人力資源安全

5.4………………………17

物理和環(huán)境安全

5.5……………………21

通信和操作管理

5.6……………………26

訪問(wèn)控制

5.7……………40

信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)

5.8、………………………52

信息安全事件管理

5.9…………………60

業(yè)務(wù)連續(xù)性管理

5.10…………………63

符合性

5.11……………66

系統(tǒng)能力技術(shù)評(píng)估

6()……………………71

基本要求系統(tǒng)要求和系統(tǒng)能力等級(jí)的說(shuō)明

6.1(FR)、(SR)(CL)…………………71

標(biāo)識(shí)和認(rèn)證控制

6.2FR1:……………71

使用控制

6.3FR2:……………………77

系統(tǒng)完整性

6.4FR3:…………………83

數(shù)據(jù)保密性

6.5FR4:…………………87

限制的數(shù)據(jù)流

6.6FR5:………………88

對(duì)事件的及時(shí)響應(yīng)

6.7FR6:…………91

資源可用性

6.8FR7:…………………91

評(píng)估程序

7…………………95

評(píng)估工作過(guò)程

7.1………………………95

評(píng)估方法的確定

7.2……………………96

Ⅰ

GB/T309761—2014

.

工業(yè)控制系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估

8……………98

生命周期概述

8.1………………………98

規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估

8.2………………98

設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估

8.3………………98

實(shí)施階段的風(fēng)險(xiǎn)評(píng)估

8.4………………99

運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估

8.5…………99

廢棄階段的風(fēng)險(xiǎn)評(píng)估

8.6……………100

評(píng)估報(bào)告的格式要求

9…………………100

附錄規(guī)范性附錄管理評(píng)估列表

A()…………………102

附錄規(guī)范性附錄系統(tǒng)能力技術(shù)評(píng)估列表

B()()……………………109

附錄資料性附錄風(fēng)險(xiǎn)評(píng)估工具和工業(yè)控制系統(tǒng)常見(jiàn)的測(cè)試內(nèi)容

C()……………113

參考文獻(xiàn)

……………………117

圖風(fēng)險(xiǎn)可接受的程度

1……………………6

表后果造成的侵害等級(jí)

1…………………4

表工業(yè)控制系統(tǒng)的評(píng)估結(jié)果

2……………7

表評(píng)估的主要流程

3……………………95

表信息安全管理評(píng)估列表

A.1…………102

表系統(tǒng)要求和增強(qiáng)要求與安全等級(jí)的映射

B.1………109

Ⅱ

GB/T309761—2014

.

前言

工業(yè)控制系統(tǒng)信息安全分為兩個(gè)部分

GB/T30976《》:

第部分評(píng)估規(guī)范

———1:;

第部分驗(yàn)收規(guī)范

———2:。

本部分為的第部分

GB/T309761。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出

。

本部分由全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)

(SAC/TC124)

委員會(huì)歸口

(SAC/TC260)。

本部分起草單位機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院北京和利

:、、

時(shí)系統(tǒng)工程有限公司中國(guó)核電工程有限公司上海自動(dòng)化儀表股份有限公司東土科技股份有限公司

、、、、

中國(guó)電力科學(xué)研究院清華大學(xué)西門子中國(guó)有限公司浙江大學(xué)西南大學(xué)重慶郵電大學(xué)施耐德電

、、()、、、、

氣中國(guó)有限公司北京鋼鐵設(shè)計(jì)研究總院華中科技大學(xué)北京奧斯汀科技有限公司羅克韋爾自動(dòng)化

()、、、、

中國(guó)有限公司中國(guó)儀器儀表學(xué)會(huì)中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所無(wú)線網(wǎng)絡(luò)安全技術(shù)國(guó)家工程實(shí)驗(yàn)

()、、、

室西安西電捷通無(wú)線網(wǎng)絡(luò)通信股份有限公司中央辦公廳電子科技學(xué)院北京海泰方圓科技有限公司

、、、、

青島多芬諾信息安全技術(shù)有限公司北京國(guó)電智深控制技術(shù)有限公司北京力控華康科技有限公司廣

、、、

東航宇衛(wèi)星科技有限公司華北電力設(shè)計(jì)院工程有限公司華為技術(shù)有限公司三菱電機(jī)自動(dòng)化中國(guó)

、、、()

有限公司中標(biāo)軟件有限公司橫河電機(jī)中國(guó)有限公司北京研發(fā)中心

、、()。

本部分主要起草人王玉敏唐一鴻隋愛(ài)芬羅安呂冬寶張建軍薛百華陳小淙高昆侖王雪

:、、、、、、、、、、

馮冬芹劉楓王浩周純杰陳小楓華镕張莉宋巖李琴夏德海胡亞楠王雄胡伯良梅恪

、、、、、、、、、、、、、、

劉安正田雨聰方亮馬欣欣張建勛楊應(yīng)良丁露王勇杜佳琳王亦君陳日罡張濤王玉裴

、、、、、、、、、、、、、

劉利民丁青芝劉文龍錢曉斌朱鏡靈張智龔明何佳楊磊

、、、、、、、、。

Ⅲ

GB/T309761—2014

.

工業(yè)控制系統(tǒng)信息安全

第1部分評(píng)估規(guī)范

:

1范圍

的本部分規(guī)定了工業(yè)控制系統(tǒng)等信息安全評(píng)估的目標(biāo)評(píng)

GB/T30976(SCADA,DCS,PLC,PCS)、

估的內(nèi)容實(shí)施過(guò)程等

、。

本部分適用于系統(tǒng)設(shè)計(jì)方設(shè)備生產(chǎn)商系統(tǒng)集成商工程公司用戶資產(chǎn)所有人以及評(píng)估認(rèn)證機(jī)

、、、、、

構(gòu)等對(duì)工業(yè)控制系統(tǒng)的信息安全進(jìn)行評(píng)估時(shí)使用

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)