ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T36324—2018

信息安全技術(shù)

工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范

Informationsecuritytechnology—

Informationsecurityclassificationspecificationsofindustrialcontrolsystems

2018-06-07發(fā)布2019-10-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T36324—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………2

工業(yè)控制系統(tǒng)概述

4………………………2

工業(yè)控制系統(tǒng)基本構(gòu)成

4.1……………2

工業(yè)控制系統(tǒng)定級(jí)對(duì)象

4.2……………3

工業(yè)控制系統(tǒng)信息安全等級(jí)劃分規(guī)則

5…………………3

工業(yè)控制系統(tǒng)信息安全等級(jí)劃分模型

5.1……………3

工業(yè)控制系統(tǒng)信息安全定級(jí)要素

5.2…………………5

工業(yè)控制系統(tǒng)信息安全等級(jí)特征

5.3…………………10

工業(yè)控制系統(tǒng)信息安全等級(jí)定級(jí)方法

6…………………11

工業(yè)控制系統(tǒng)信息安全定級(jí)流程

6.1…………………11

確定工業(yè)控制系統(tǒng)定級(jí)對(duì)象

6.2………………………12

確定工業(yè)控制系統(tǒng)資產(chǎn)重要程度

6.3…………………14

確定受侵害后的潛在影響程度

6.4……………………14

確定需抵御的信息安全威脅程度

6.5…………………20

確定工業(yè)控制系統(tǒng)信息安全等級(jí)

6.6…………………22

附錄規(guī)范性附錄有關(guān)生產(chǎn)安全事故和突發(fā)環(huán)境事件分級(jí)

A()………23

參考文獻(xiàn)

……………………25

Ⅰ

GB/T36324—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京江南天安科技有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院全球能源互聯(lián)網(wǎng)研究

:、、

院有限公司上海三零衛(wèi)士信息安全有限公司網(wǎng)神信息技術(shù)北京股份有限公司

、、()。

本標(biāo)準(zhǔn)主要起草人陳冠直鄧冬柏范科峰高昆侖周睿康李琳梁瀟程鵬張翀斌堯相振

:、、、、、、、、、、

龔潔中李航

、。

Ⅲ

GB/T36324—2018

引言

工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全為加強(qiáng)工業(yè)控制系

、,

統(tǒng)信息安全管理對(duì)工業(yè)控制系統(tǒng)信息安全采取等級(jí)化管理本標(biāo)準(zhǔn)規(guī)定了基于風(fēng)險(xiǎn)評(píng)估的工業(yè)控制

,。

系統(tǒng)信息安全等級(jí)劃分規(guī)則和定級(jí)方法提出了等級(jí)劃分模型和定級(jí)要素包括工業(yè)控制系統(tǒng)資產(chǎn)重要

,,

程度存在的潛在風(fēng)險(xiǎn)影響程度和需抵御的信息安全威脅程度并提出了對(duì)工業(yè)控制系統(tǒng)信息安全劃分

、,

四個(gè)等級(jí)的特征

。

本標(biāo)準(zhǔn)第章工業(yè)控制系統(tǒng)概述描述了工業(yè)控制系統(tǒng)基本構(gòu)成工業(yè)控制系統(tǒng)定級(jí)對(duì)象第章

4,,;5

工業(yè)控制系統(tǒng)信息安全等級(jí)劃分規(guī)則規(guī)定了工業(yè)控制系統(tǒng)信息安全等級(jí)劃分模型工業(yè)控制系統(tǒng)信息

,,

安全定級(jí)要素工業(yè)控制系統(tǒng)信息安全等級(jí)特征第章工業(yè)控制系統(tǒng)信息安全定級(jí)方法提出了工業(yè)

,;6,

控制系統(tǒng)信息安全定級(jí)流程陳述了確定工業(yè)控制系統(tǒng)定級(jí)對(duì)象確定工業(yè)控制系統(tǒng)資產(chǎn)重要程度確

,、、

定受侵害后的潛在影響程度確定需抵御的信息安全威脅程度確定工業(yè)控制系統(tǒng)信息安全等級(jí)附錄

、、;A

說(shuō)明了有關(guān)生產(chǎn)安全事故和突發(fā)環(huán)境事件分級(jí)

。

在中為清晰表示工業(yè)控制系統(tǒng)每一個(gè)信息安全等級(jí)比較低一級(jí)安全等級(jí)的安全技術(shù)要求的

5.3,

增加和增強(qiáng)每一級(jí)的新增部分用宋體加粗字表示

,“”。

Ⅳ

GB/T36324—2018

信息安全技術(shù)

工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了基于風(fēng)險(xiǎn)評(píng)估的工業(yè)控制系統(tǒng)信息安全等級(jí)劃分規(guī)則和定級(jí)方法提出了等級(jí)劃分

,

模型和定級(jí)要素包括工業(yè)控制系統(tǒng)資產(chǎn)重要程度存在的潛在風(fēng)險(xiǎn)影響程度和需抵御的信息安全威脅

,、

程度并提出了工業(yè)控制系統(tǒng)信息安全四個(gè)等級(jí)的特征

,。

本標(biāo)準(zhǔn)適用于工業(yè)生產(chǎn)企業(yè)以及相關(guān)行政管理部門(mén)為工業(yè)控制系統(tǒng)信息安全等級(jí)的劃分提供指

,

導(dǎo)為工業(yè)控制系統(tǒng)信息安全的規(guī)劃設(shè)計(jì)運(yùn)維以及評(píng)估和管理提供依據(jù)

,、、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2016

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

GB/T31722—2015

生產(chǎn)安全事故報(bào)告和調(diào)查處理?xiàng)l例國(guó)務(wù)院第號(hào)令

493

突發(fā)環(huán)境事件信息報(bào)告辦法環(huán)境保護(hù)部令第號(hào)

17

3術(shù)語(yǔ)和定義縮略語(yǔ)

、

31術(shù)語(yǔ)和定義

.

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T22080—2016。

311

..

信息安全風(fēng)險(xiǎn)informationsecurityrisk

特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來(lái)的損害