ICS35030

CCSL.80

中華人民共和國國家標準

GB/T41400—2022

信息安全技術工業(yè)控制系統(tǒng)信息安全

防護能力成熟度模型

Informationsecuritytechnology—Informationsecurityprotectioncapability

maturitymodelofindustrialcontrolsystems

2022-04-15發(fā)布2022-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T41400—2022

目次

前言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型

5…………3

能力成熟度模型架構

5.1………………3

能力要素維度

5.2………………………4

能力構成

5.2.1………………………4

機構建設

5.2.2………………………4

制度流程

5.2.3………………………4

技術工具

5.2.4………………………4

人員能力

5.2.5………………………4

能力成熟度等級維度

5.3………………4

能力建設過程維度

5.4…………………5

體系

5.4.1PA…………………………5

編碼規(guī)則

5.4.2………………………6

關系描述

5.4.3………………………6

核心保護對象安全

6………………………7

工業(yè)設備安全

6.1………………………7

控制設備安全

6.1.1PA01……………7

現場測控設備安全

6.1.2PA02………………………8

設備資產管理

6.1.3PA03……………9

存儲媒體保護

6.1.4PA04……………9

工業(yè)主機安全

6.2………………………11

專用安全軟件

6.2.1PA05…………11

漏洞和補丁管理

6.2.2PA06………………………12

外設接口管理

6.2.3PA07…………12

工業(yè)網絡邊界安全

6.3…………………13

安全區(qū)域劃分

6.3.1PA08…………13

網絡邊界防護

6.3.2PA09…………14

遠程訪問安全

6.3.3PA10…………15

身份認證

6.3.4PA11………………16

工業(yè)控制軟件安全

6.4…………………17

安全配置

6.4.1PA12………………17

配置變更

6.4.2PA13………………18

賬戶管理

6.4.3PA14………………19

Ⅰ

GB/T41400—2022

口令保護

6.4.4PA15………………19

安全審計

6.4.5PA16………………20

工業(yè)數據安全

6.5………………………21

數據分類分級管理

6.5.1PA17……………………21

差異化防護

6.5.2PA18……………23

數據備份與恢復

6.5.3PA19………………………23

測試數據保護

6.5.4PA20…………24

通用安全

7…………………25

安全規(guī)劃與架構

7.1……………………25

安全策略與規(guī)程

7.1.1PA21………………………25

安全機構設置

7.1.2PA22…………26

安全職責劃分

7.1.3PA23…………27

人員管理與培訓

7.2……………………27

人員安全管理

7.2.1PA24…………27

安全教育培訓

7.2.2PA25…………28

物理與環(huán)境安全

7.3……………………29

物理安全防護

7.3.1PA26…………29

應急電源

7.3.2PA27………………30

物理防災

7.3.3PA28………………31

環(huán)境分離

7.3.4PA29………………32

監(jiān)測預警與應急響應

7.4………………33

工業(yè)資產感知

7.4.1PA30…………33

風險監(jiān)測

7.4.2PA31………………34

威脅預警

7.4.3PA32………………35

應急預案

7.4.4PA33………………36

應急演練

7.4.5PA34………………37

供應鏈安全保障

7.5……………………37

產品選型

7.5.1PA35………………37

供應商選擇

7.5.2PA36……………38

采購交付

7.5.3PA37………………39

合同協議控制

7.5.4PA38…………40

源代碼審計

7.5.5PA39……………41

升級安全保障

7.5.6PA40…………42

能力成熟度等級核驗方法

8………………43

工業(yè)設備安全

8.1………………………43

控制設備安全

8.1.1PA01…………43

現場測控設備安全

8.1.2PA02……………………43

設備資產管理

8.1.3PA03…………44

存儲媒體保護

8.1.4PA04…………45

工業(yè)主機安全

8.2………………………45

專用安全軟件

8.2.1PA05…………45

漏洞和補丁管理

8.2.2PA06………………………46

Ⅱ

GB/T41400—2022

外設接口管理

8.2.3PA07…………47

工業(yè)網絡邊界安全

8.3…………………47

安全區(qū)域劃分

8.3.1PA08…………47

網絡邊界防護

8.3.2PA09…………48

遠程訪問安全

8.3.3PA10…………48

身份認證

8.3.4PA11………………49

工業(yè)控制軟件安全

8.4…………………50

安全配置

8.4.1PA12………………50

配置變更

8.4.2PA13………………51

賬戶管理

8.4.3PA14………………51

口令保護

8.4.4PA15………………52

安全審計

8.4.5PA16………………53

工業(yè)數據安全

8.5………………………54

數據分類分級管理

8.5.1PA17……………………54

差異化防護

8.5.2PA18……………55

數據備份與恢復

8.5.3PA19………………………56

測試數據保護

8.5.4PA20…………56

安全規(guī)劃與架構

8.6……………………57

安全策略與規(guī)程

8.6.1PA21………………………57

安全機構設置

8.6.2PA22…………57

安全職責劃分

8.6.3PA23…………58

人員管理與培訓

8.7……………………58

人員安全管理

8.7.1PA24…………58

安全教育培訓

8.7.2PA25…………59

物理與環(huán)境安全

8.8……………………60

物理安全防護

8.8.1PA26…………60

應急電源

8.8.2PA27………………61

物理防災

8.8.3PA28………………61

環(huán)境分離

8.8.4PA29………………63

監(jiān)測預警與應急響應

8.9………………63

工業(yè)資產感知

8.9.1PA30…………63

風險監(jiān)測

8.9.2PA31………………64

威脅預警

8.9.3PA32………………65

應急預案

8.9.4PA33………………65

應急演練

8.9.5PA34………………66

供應鏈安全保障

8.10…………………66

產品選型

8.10.1PA35………………66

供應商選擇

8.10.2PA36……………67

采購交付

8.10.3PA37………………68

合同協議控制

8.10.4PA38…………68

源代碼審計

8.10.5PA39……………69

升級安全保障

8.10.6PA40…………70

附錄資料性能力成熟度等級描述與

A()GP…………71

Ⅲ

GB/T41400—2022

附錄資料性能力成熟度模型使用方法

B()……………74

附錄資料性能力成熟度等級核驗流程

C()……………75

參考文獻

……………………78

Ⅳ

GB/T41400—2022

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術標準化研究院太極計算機股份有限公司江蘇賽西科技發(fā)展有限

:、、

公司工業(yè)和信息化部計算機與微電子發(fā)展研究中心中國軟件評測中心廣州賽寶認證中心服務有限

、()、

公司中國石油天然氣股份有限公司西北銷售分公司中國石油天然氣股份有限公司長慶石化分公司

、、、

寧波和利時信息安全研究院有限公司國家工業(yè)信息安全發(fā)展研究中心國家信息技術安全研究中心

、、、

中國信息安全測評中心浙江省能源集團有限公司浙江浙能樂清發(fā)電有限責任公司上海三零衛(wèi)士信

、、、

息安全有限公司陜西省網絡與信息安全測評中心西門子中國有限公司上海工業(yè)控制安全創(chuàng)新科

、、()、

技有限公司華東師范大學杭州安恒信息技術股份有限公司中國網絡安全審查技術與認證中心昆侖

、、、、

數智科技有限責任公司西安電子科技大學國網新疆電力有限公司電力科學研究院中電長城網際系

、、、

統(tǒng)應用有限公司中國石油天然氣股份有限公司新疆油田分公司數據公司杭州立思辰安科科技有限公

、、

司東莞市擎洲光電科技有限公司柳州源創(chuàng)電噴技術有限公司江蘇省電子信息產品質量監(jiān)督檢驗研

、、、

究院江蘇省信息安全測評中心北京六方云信息技術有限公司中國科學院軟件研究所烽臺科技北

()、、、(

京有限公司上?；殧底挚萍加邢薰颈本┖椭賹幮畔⒓夹g有限公司杭州木鏈物聯網科技有限

)、、、

公司陜西科技大學中石油華東設計院有限公司中國能源建設集團浙江省電力設計院有限公司陜西

、、、、

延長石油富縣發(fā)電有限公司上海大學海瀾智云科技有限公司成都航天通信設備有限責任公司

、、、。

本文件主要起草人姚相振李琳甘俊杰周?？谍彎嵵兄芊謇顖騽①t剛趙振學趙金元

:、、、、、、、、、、

郝志強趙梓桐方進社李俊郭嫻夏冀許玉娜閔京華邸麗清孫彥胡影王惠蒞李弘彥馬強

、、、、、、、、、、、、、、

程宇陳柯宇張宏偉陳曦牟文彪張堅群仵大奎劉盈楊帆高瑞閆濤蒲戈光劉虹費敏銳

、、、、、、、、、、、、、、

彭晨杜大軍布寧申永波焦程鵬劉鴻運張芝軍王飛索濤戴赟張建新強劍石永杰于慧超

、、、、、、、、、、、、、、

王小宏趙朋沈玉龍李峰王斌周燕華孫軍于盟肖威林昕姜亞光劉丕群孫軍軍劉志樂

、、、、、、、、、、、、、、

吳蘭楊晨龔亮華段沛鑫陳艷劉克松高智偉張瀏驊劉冬李敏張曉菲曹禹郝鑫馬孝磊

、、、、、、、、、、、、、、

楊立軍林洪俊陳若春紀璐晏敏方靜莫韜何雙羽趙峰張俊峰劉志剛趙學全程薇宸王一蔚

、、、、、、、、、、、、、、

趙建宏

。

Ⅴ

GB/T41400—2022

信息安全技術工業(yè)控制系統(tǒng)信息安全

防護能力成熟度模型

1范圍

本文件給出了工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型規(guī)定了核心保護對象安全和通用安全

,

的成熟度等級要求提出了能力成熟度等級核驗方法

,。

本文件適用于工業(yè)控制系統(tǒng)設計建設運維等相關方進行工業(yè)控制系統(tǒng)信息安全防護能力建設

、、,

以及對組織工業(yè)控制系統(tǒng)信息安全防護能力成熟度等級進行核驗

。

2規(guī)范性引用文件

下列文件中的內