附件工业控制系统信息安全防护能力评估方法

附件工业控制系统信息安全防护能力评估方法

ID:32418304

大小:752.13 KB

页数:53页

时间:2019-02-04

附件工业控制系统信息安全防护能力评估方法_第1页
附件工业控制系统信息安全防护能力评估方法_第2页
附件工业控制系统信息安全防护能力评估方法_第3页
附件工业控制系统信息安全防护能力评估方法_第4页
附件工业控制系统信息安全防护能力评估方法_第5页
附件工业控制系统信息安全防护能力评估方法_第6页
附件工业控制系统信息安全防护能力评估方法_第7页
附件工业控制系统信息安全防护能力评估方法_第8页
附件工业控制系统信息安全防护能力评估方法_第9页
附件工业控制系统信息安全防护能力评估方法_第10页
资源描述:

《附件工业控制系统信息安全防护能力评估方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、附件:工业控制系统信息安全防护能力评估方法1.适用范围1.1本方法提出了工业控制系统信息安全防护能力评估的基本概念、实施流程和工作形式。1.2本方法适用于规范对企业按照《工业控制系统信息安全防护指南》建立的工控安全防护能力开展的综合评价活动。1.3本方法适用于评估工业控制系统的应用企业。2.规范性文件2.1法律法规、指导性文件《中华人民共和国网络安全法》《国家网络空间安全战略》《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)《国务院关于印发〈中国制造2025〉的通知》(

2、国发〔2015〕28号)《国务院关于积极推进“互联网+”行动的指导意见》(国发〔2015〕40号)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)1《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)2.2标准和技术规范GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》GB/T20984-2007《信息安全技术信息安全风险评估规范》3.术语与定义下列术

3、语和定义适用于本方法。3.1工业控制系统工业生产控制各业务环节涉及的有关人员、软硬件系统和平台的集合。包括但不限于:可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监控系统(SCADA)等工业生产控制系统;紧急停车系统(ESD)、安全仪表系统(SIS)等工业控制过程安全保护系统;制造执行系统(MES)、企业资源计划系统(ERP)等工业生产调度与管理信息系统;工业云平台、工业大数据平台等工业服务应用系统。3.2工业控制系统信息安全防护通过实施管理和技术措施,避免工业控制系统遭到非授2

4、权或意外的访问、篡改、破坏及损失。3.3工业控制系统信息安全防护能力评估从综合评价的角度,运用科学的方法和手段,系统地分析和诊断工业控制系统所面临的威胁及其存在的脆弱性,评估企业工业控制系统安全防护水平,提出有针对性的抵御威胁的防护对策和整改措施,为最大限度地保障信息安全提供科学依据。3.4工业控制网络企业管理层之下的网络,包括现场设备层、生产控制层、制造执行层等所在的网络区域。3.5工业主机工业生产控制各业务环节涉及组态、操作、监控、数据采集与存储等功能的主机设备载体,包括工程师站、操作员站、历

5、史站等。3.6工业控制设备工业生产过程中用于控制执行器以及采集传感器数据的装置,包括PLC、DCS、远程测控终端(RTU)等。3.7资产工业生产过程中具有价值的信息或资源,是安全防护的对象。3.8信息安全风险人为或自然的威胁利用工业控制系统及其管理体系中3存在的脆弱性导致安全事件的发生及其对企业造成的影响。3.9威胁可能导致对工业控制系统或企业危害的不希望事故潜在起因。3.10脆弱性可能被威胁所利用的资产或若干资产的薄弱环节。3.11工业控制系统配置清单包含工业控制系统正常运行所需配置的硬件、软件

6、、文档、组件等信息的清单。3.12安全配置工业控制系统为实现特定的安全防护功能而执行的配置策略。3.13物理安全防护区域为保护工控系统不受人为或自然因素危害,需采取门禁、安防、人工值守等物理安全手段的特殊区域。3.14评估报告评估机构根据评估方法的要求,在履行必要的评估程序后,对被评估对象出具的书面工作报告,是评估机构履行评估任务或评估委托的成果。3.15评估结论评估机构在评估报告中作出的总体性判断意见。判断意见分为优秀(90分以上)、良好(80~89.5)、一般(70~79.5)、4基本合格(6

7、0~69.5)、不合格(60分以下)。4.评估工作流程工业控制系统信息安全防护能力评估工作程序如图1所示。主要包括受理评估申请、组建评估技术队伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评估工作和形成评估结论八个部分。图1工业控制系统信息安全防护能力评估工作程序图55.评估工作实施5.1受理评估申请评估工作组受理工业和信息化主管部门委托的专项评估工作,各评估机构可自行受理市场化的评估工作委托,并在评估工作组备案。5.1.1主管部门工作委托工业和信息化主管部门,通过

8、任务函等方式委托评估工作组开展工业控制系统信息安全防护能力评估专项工作。评估专项工作任务指定的被评估企业,应按要求向评估工作组提供5.1.2中(2)-(5)所需的评估材料。评估工作组根据工作任务量、地理位置等综合因素统筹确定评估机构,委托开展评估工作。5.1.2企业评估申请受理企业可自行委托评估机构开展工业控制系统信息安全防护能力评估工作。申请企业需向评估机构提交以下评估申请材料:(1)工业控制系统信息安全防护能力评估备案表;(2)申请企业加注统一社会信用代码的的营业执照;(3)申

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。