中國電子工業標準化技術協會

一、工作簡況

1.1任務來源

根據《關于公布2021年第二季度第三批團體標準制修訂項目的通知》（中電

標通〔2021〕018號），《信息安全技術石油煉化工業控制系統信息安全防護能

力要求》是中國電子工業標準化技術協會2021年下達的團體標準制定項目，本

項目編號：CESA-2021-2-035，由中國石油天然氣股份有限公司長慶石化分公司

發起，聯合發起單位包括中國電子技術標準化研究院，主要參與起草單位包括中

國石油天然氣股份有限公司西北銷售分公司、昆侖數智科技有限責任公司等。

1.2主要工作過程

2021年2月，標準起草組學習、研究、討論國內外石油煉化行業工業控制

系統信息安全標準，調研國內石油煉廠控制系統信息安全防護現狀，確定并編寫

總體框架。

2021年3月，結合前期研究成果，編寫標準草案初稿，并在工作組內征求

意見，根據組內意見進行修改。

2021年4月，標準起草組在北京召開標準研討會，邀請寧波和利時信息安

全研究院有限公司、北京北信源軟件股份有限公司、上海交通大學、中國信息安

全測評中心、中海石油煉化有限責任公司等單位專家，對標準的適用范圍和主要

技術內容進行研討。

2021年5-6月，標準編制組根據專家意見，進一步梳理標準草案框架結構，

完善安全技術要求、安全運維要求等，形成標準草案最終稿。

2021年8月，標準編制組參考《中國石化工業儀表控制系統安全防護實施

規定》（中國石化生〔2019〕318號）等文件，提煉石油煉化行業特色，對標準

草案進行修改完善，形成征求意見稿。

1.3主要起草人及其工作

本標準主要起草人：王飛、李琳、石永杰、王小宏。

1

中國電子工業標準化技術協會

標準主要起草人參與了本標準的編制和驗證過程，在編制過程中征求了相關

領域專家意見，并在石油煉化企業開展了試點驗證。

二、標準編制原則和確定主要內容的論據及解決的主要問題

2.1編制原則

本標準的研究與編制工作遵循以下原則：

（1）科學性原則

本標準在編制過程中參考了國內外諸多標準，包括：《工業過程測量與控制

安全：網絡與系統信息安全》系列標準（IEC62443）、《工業控制系統信息安

全指南》（NISTSP800-82）、《石化行業安全指南》（第3版）、《中國石化

工業儀表控制系統安全防護實施規定》（中國石化生〔2019〕318號），既確保

標準科學性，又使得標準內容符合我國國情。

（2）可操作性和實用性原則

標準規范是對實際工作成果的總結與提升，最終還需要用于實踐中，并經得

起實踐的檢驗，做到可操作、可用與實用。為此，在本標準的制定過程中，標準

編制組廣泛征求行業用戶意見，確保本標準的可操作性與實用性。

2.2主要內容及其確定依據

本標準規定了石油煉化工業控制系統信息安全防護能力要求，包括安全管理

要求、安全技術要求和安全運維要求。

本標準適用于石油煉化行業開展工業控制系統信息安全防護設計、建設、運

維等工作。

本標準梳理相關政策文件，以GB/T32919-2016《信息安全技術工業控制

系統安全控制應用指南》附錄B和GB/T36323-2018《信息安全技術工業控制

系統安全管理基本要求》第6章作為安全防護能力要求來源，同時匯總《工業控

制系統信息安全防護能力評估工作管理辦法》（工信部信軟〔2017〕188號）、

《中國石化工業儀表控制系統安全防護實施規定》（中國石化生〔2019〕318號）

等政策文件要求，提出石油煉化工業控制系統信息安全防護能力要求。

2.3擬解決的主要問題

為貫徹落實《工業控制系統信息安全防護指南》、《工業控制系統信息安全

行動計劃（2018-2020年）》等文件精神，本標準立足于工業控制系統信息安全

2

中國電子工業標準化技術協會

現狀及發展趨勢，面向石油煉化行業工業控制系統信息安全防護相關組織，提出

安全防護能力要求，科學指導石油煉化企業開展工業控制系統信息安全防護能力

提升工作。

三、主要試驗[或驗證]情況分析

為驗證標準中相關條款的科學性、有效性和合理性，標準編制組在中國石化

股份有限公司勝利油田分公司、中國石油天然氣股份有限公司長慶石化分公司等

單位，開展了工業控制系統信息安全防護能力預評估工作，針對標準中安全管理

要求、安全技術要求和安全運維要求進行逐條驗證。

四、知識產權情況說明

本標準不涉及專利等知識產權。

五、產業化情況、推廣應用論證和預期達到的經濟效果

本標準面向石油煉化行業，開展工業控制系統信息安全防護能力提升工作，

可推動石油煉化企業切實提高工業控制系統信息安全防護水平，落實企業主體責

任，降低企業因工業控制系統信息安全事件造成的損失。

六、轉化國際標準和國外先進標準情況

本標準在編寫時參考了《工業過程測量與控制安全：網絡與系統信息安全》

系列標準（IEC62443）等國際標準，同時重點參考了《工業控制系統安全指南》

（NISTSP800-82）、《石化行業安全指南》（第3版）等國外標準。

七、與現行相關法律、法規、規章及相關標準的協調性

本標準與國家標準《信息安全技術工業控制系統安全控制應用指南》、《信

息安全技術工業控制系統安全管理基本要求》、《信息安全技術工業控制系統信

息安全防護能力成熟度模型》等標準同屬于工業控制系統信息安全領域相關標

準。其中，《信息安全技術工業控制系統安全控制應用指南》提供了可用于工業

控制系統的安全控制列表，規約了工業控制系統的安全控制選擇過程，以便構造

工業控制系統的安全解決方案。《信息安全技術工業控制系統安全管理基本要

求》提出了工業控制系統安全管理基本框架，給出了工業控制系統從建設到運行

所需的安全管理各項要求，其主要為解決工業企業信息安全管理方面存在的問

題。《信息安全技術工業控制系統信息安全防護能力成熟度模型》規定了核心保

護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，適

3

中國電子工業標準化技術協會

用于工業控制系統設計、建設、運維等相關方進行工業控制系統信息安全防護能

力建設，以及對組織工業控制系統信息安全防護能力成熟度等級進行核驗。本標

準項目是該國家標準的配套標準，旨在為石油煉化企業開展工業控制系統信息安

全防護能力提升工作提供標準化指導。

本標準與團體標準《工業控制系統信息安全建設實施規范》等標準同屬于工

業控制系統信息安全領域相關標準。《工業控制系統信息安全建設實施規范》規

定了工業控制系統信息安全防護建設實施，描述了工業企業新建/存量工業控制

系統信息安全防護建設實施流程，以及實施過程中需考慮的13個方面，制定了

信息安全防護效果核驗及對標方法。本標準項目是《工業控制系統信息安全防護

指南》在石油煉化行業的細化和落地，面向石油煉化企業形成可操作的、針對性

強的工業控制系統信息安全防護能力要求，與現有團體標準協調一致，是相輔相

成的關系。

八、重大分歧意見的處理經過和依據

本標準編制過程中未出現重大分歧。

九、貫徹標準的要求和措施建議

本標準作為工業控制系統信息安全標準體系的一部分，在具體實施時建議與

評估類標準配合實施。

十、替代或廢止現行相關標準的建議

本標準無替代或廢止的相關標準。

十一、其它應予說明的事項

無。

《信息安全技術石油煉化工業控制系統信息安全防護能力要求》

團體標準編制起草組

2021年8月23日

4

中國電子工業標準化技術協會

一、工作簡況

1.1任務來源

根據《關于公布2021年第二季度第三批團體標準制修訂項目的通知》（中電

標通〔2021〕018號），《信息安全技術石油煉化工業控制系統信息安全防護能

力要求》是中國電子工業標準化技術協會2021年下達的團體標準制定項目，本

項目編號：CESA-2021-2-035，由中國石油天然氣股份有限公司長慶石化分公司

發起，聯合發起單位包括中國電子技術標準化研究院，主要參與起草單位包括中

國石油天然氣股份有限公司西北銷售分公司、昆侖數智科技有限責任公司等。

1.2主要工作過程

2021年2月，標準起草組學習、研究、討論國內外石油煉化行業工業控制

系統信息安全標準，調研國內石油煉廠控制系統信息安全防護現狀，確定并編寫

總體框架。

2021年3月，結合前期研究成果，編寫標準草案初稿，并在工作組內征求

意見，根據組內意見進行修改。

2021年4月，標準起草組在北京召開標準研討會，邀請寧波和利時信息安

全研究院有限公司、北京北信源軟件股份有限公司、上海交通大學、中國信息安

全測評中心、中海石油煉化有限責任公司等單位專家，對標準的適用范圍和主要

技術內容進行研討。

2021年5-6月，標準編制組根據專家意見，進一步梳理標準草案框架結構，

完善安全技術要求、安全運維要求等，形成標準草案最終稿。

2021年8月，標準編制組參考《中國石化工業儀表控制系統安全防護實施

規定》（中國石化生〔2019〕318號）等文件，提煉石油煉化行業特色，對標準

草案進行修改完善，形成征求意見稿。

1.3主要起草人及其工作

本標準主要起草人：王飛、李琳、石永杰、王小宏。

1

中國電子工業標準化技術協會

標準主要起草人參與了本標準的編制和驗證過程，在編制過程中征求了相關

領域專家意見，并在石油煉化企業開展了試點驗證。

二、標準編制原則和確定主要內容的論據及解決的主要問題

2.1編制原則

本標準的研究與編制工作遵循以下原則：

（1）科學性原則

本標準在編制過程中參考了國內外諸多標準，包括：《工業過程測量與控制

安全：網絡與系統信息安全》系列標準（IEC62443）、《工業控制系統信息安

全指南》（NISTSP800-82）、《石化行業安全指南》（第3版）、《中國石化

工業儀表控制系統安全防護實施規定》（中國石化生〔2019〕318號），既確保

標準科學性，又使得標準內容符合我國國情。

（2）可操作性和實用性原則

標準規范是對實際工作成果的總結與提升，最終還需要用于實踐中，并經得

起實踐的檢驗，做到可操作、可用與實用。為此，在本標準的制定過程中，標準

編制組廣泛征求行業用戶意見，確保本標準的可操作性與實用性。

2.2主要內容及其確定依據

本標準規定了石油煉化工業控制系統信息安全防護能力要求，包括安全管理

要求、安全技術要求和安全運維要求。

本標準適用于石油煉化行業開展工業控制系統信息安全防護設計、建設、運

維等工作。

本標準梳理相關政策文件，以GB/T32919-2016《信息安全技術工業控制

系統安全控制應用指南》附錄B和GB/T36323-2018《信息安全技術工業控制

系統安全管理基本要求》第6章作為安全防護能力要求來源，同時匯總《工業控

制系統信息安全防護能