ICS35040

L80.

中華人民共和國國家標準

GB/T36323—2018

信息安全技術

工業控制系統安全管理基本要求

Informationsecuritytechnology—

Securitymanagementfundamentalrequirementsforindustrialcontrolsystems

2018-06-07發布2019-01-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T36323—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

安全管理基本框架及關鍵活動

5ICS……………………2

安全管理基本框架

5.1ICS……………2

頂層承諾

5.2……………3

規劃評估

5.3……………4

資源支持

5.4……………4

策略實施

5.5……………4

績效評價

5.6……………5

持續改進

5.7……………5

安全管理基本控制措施

6ICS……………5

安全控制措施分類

6.1…………………5

安全評估和授權

6.2(CA)………………6

系統和服務獲取

6.3(SA)………………8

人員安全

6.4(PS)………………………11

規劃

6.5(PL)…………………………12

風險評估

6.6(RA)……………………13

應急規劃

6.7(CP)……………………14

物理和環境安全

6.8(PE)……………17

配置管理

6.9(CM)……………………20

系統和信息完整性

6.10(SI)…………22

介質保護

6.11(MP)……………………25

事件響應

6.12(IR)……………………26

意識和培訓

6.13(AT)…………………28

訪問控制

6.14(AC)……………………29

維護

6.15(MA)…………………………33

審計和可核查性

6.16(AU)……………34

標識和鑒別

6.17(IA)…………………37

附錄資料性附錄不同安全級別的安全管理基本要求對應表

A()ICS………………40

參考文獻

……………………45

Ⅰ

GB/T36323—2018

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院國家信息技術安全研究中心公安部第三研究所華

:、、、

東師范大學中國電子科技集團公司第三十研究所中國信息安全研究院有限公司上海三零衛士信息

、、、

安全有限公司北京神州綠盟信息安全科技股份有限公司啟明星辰信息技術有限公司烽臺科技北

、、、(

京有限公司浙江浙能臺州第二發電有限責任公司北京工業大學國網浙江省電力公司電力科學研究

)、、、

院華能國際電力股份有限公司長興電廠桂林電子科技大學西安電子科技大學浙江大學中國科學

、、、、、

院沈陽自動化研究所和利時集團全球能源互聯網研究院有限公司沈機上海智能系統研發設計有

、、、()

限公司深圳賽西信息技術有限公司廣州數控設備有限公司北京江南天安科技有限公司中京天裕科

、、、、

技北京有限公司北京匡恩網絡科技有限責任公司

()、。

本標準主要起草人范科峰劉賢剛李琳姚相振周睿康李冰顧健上官曉麗許東陽龔潔中

:、、、、、、、、、、

王惠蒞劉鴻運何道敬龔亮華尚文利楊晨蔡磊仵大奎劉碩張建軍王曉鵬徐克超周慎學

、、、、、、、、、、、、、

尹峰陳勝軍阮偉楊震高昆侖賴英旭沈玉龍裴慶祺許川佩陳冠直梁瀟王勇黃云鷹楊堂勇

、、、、、、、、、、、、、、

晏培

。

Ⅲ

GB/T36323—2018

引言

隨著計算機和網絡技術的發展特別是信息化與工業化深度融合以及物聯網的快速發展工業控制

,,

系統包括分布式控制系統監控與數據采集系統和可編程邏輯控制器等產品

,(DCS)、(SCADA)(PLC)

廣泛應用于核設施航空航天先進制造石油石化油氣管網電力系統交通運輸水利樞紐城市設施

、、、、、、、、

等國家重要領域工業控制系統由單機走向互聯從封閉走向開放從自動化走向智能化進程的

。(ICS)、、

加快使得工業控制系統的信息安全問題日益突出工業控制系統一旦遭受攻擊將嚴重威脅人民生命

,,,

財產安全和國家政權穩定對此全國信息安全標準化技術委員會立項研制了工業控

。,(SAC/TC260)

制系統信息安全分級管理要求控制應用指南等多項標準

、、。

本標準針對各行業工業控制系統的安全管理活動的共性特點提出了工業控制系統安全管理基本

,

框架從領導規劃支持運行績效評價和持續改進等方面為工業控制系統安全管理活動提出了規范

,、、、、

性要求并給出了為實現該安全管理基本框架所需的安全管理基本控制措施和各級工業控制系統安全

,

管理基本控制措施對應表以滿足組織對各級工業控制系統的安全管理需求為實現對工業控制系統適

,,

度有效的安全管理控制提供參考

、。

Ⅳ

GB/T36323—2018

信息安全技術

工業控制系統安全管理基本要求

1范圍

本標準規定了工業控制系統安全管理基本框架及該框架包含的各關鍵活動并提出為實現該安全

,

管理基本框架所需的工業控制系統安全管理基本控制措施在此基礎上給出了各級工業控制系統安全

,,

管理基本控制措施對應表參見附錄用于對各級工業控制系統安全管理提出安全管理基本控制

(A),

要求

。

本標準適用于非涉及國家秘密的工業控制系統建設運行使用管理等相關方進行工業控制系統

、、、

安全管理的規劃和落實也可供工業控制系統安全測評與安全檢查工作作為參考依據

,。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

信息技術安全技術信息安全管理體系要求

GB/T22080—2016

信息技術安全技術信息安全控制實踐指南

GB/T22081—2016

信息安全技術工業控制系統安全控制應用指南

GB/T32919—2016

3術語和定義

界定的以及下列術語和定義適用于

GB/T22080—2016、GB/T22081—2016、GB/T25069—2010

本文件

。

31

.

工業控制系統industrialcontrolsystemICS

;

工業生產中使用的控制系統包括監控和數據采集系統分布式控制系統和其他

,(SCADA),(DCS),

較小的控制系統如可編程邏輯控制器等

,(PLC)。

32

.

分布式控制系統distributedcontr