ICS25040

CCSN.10

中華人民共和國國家標準

GB/T44861—2024/IEC62443-3-22020

:

工業(yè)自動化和控制系統(tǒng)安全

系統(tǒng)設(shè)計的安全風險評估

Securityforindustrialautomationandcontrolsystems—

Securityriskassessmentforsystemdesign

IEC62443-3-22020Securitforindustrialautomationandcontrolsstems—

(:,yy

Part3-2SecuritriskassessmentforsstemdesinIDT

:yyg,)

2024-10-26發(fā)布2025-05-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T44861—2024/IEC62443-3-22020

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義縮略語和約定

3、、………………1

區(qū)域管道和風險評估要求

4、………………4

概述

4.1…………………4

識別

4.2ZCR1:SUC…………………5

初始網(wǎng)絡(luò)安全風險評估

4.3ZCR2:……………………6

將劃分為區(qū)域和管道

4.4ZCR3:SUC………………6

風險比較

4.5ZCR4:……………………8

執(zhí)行詳細網(wǎng)絡(luò)安全風險評估

4.6ZCR5:………………8

文檔化網(wǎng)絡(luò)安全要求假定和約束

4.7ZCR6:、………13

資產(chǎn)所有者批準

4.8ZCR7:…………17

附錄資料性安全等級

A()………………18

附錄資料性風險矩陣

B()………………19

參考文獻

……………………22

Ⅰ

GB/T44861—2024/IEC62443-3-22020

:

前言

本文件按照標準化工作導(dǎo)則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件等同采用工業(yè)自動化和控制系統(tǒng)安全第部分系統(tǒng)設(shè)計的安全

IEC62443-3-2:2020《3-2:

風險評估

》。

本文件做了下列最小限度的編輯性改動

:

為與現(xiàn)有標準協(xié)調(diào)將標準名稱改為工業(yè)自動化和控制系統(tǒng)安全系統(tǒng)設(shè)計的安全風險

———,《

評估

》。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由中國機械工業(yè)聯(lián)合會提出

。

本文件由全國工業(yè)過程測量控制和自動化標準化技術(shù)委員會歸口

(SAC/TC124)。

本文件起草單位機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所北京天地和興科技有限公司重慶信安

:、、

網(wǎng)絡(luò)安全測評有限公司電力規(guī)劃總院有限公司中國工程物理研究院動力部東方電氣集團科學(xué)技術(shù)

、、、

研究院有限公司國能智深控制技術(shù)有限公司北京市自來水集團有限責任公司施耐德電氣中國有

、、、()

限公司羅克韋爾自動化中國有限公司國網(wǎng)遼寧省電力有限公司電力科學(xué)研究院國網(wǎng)遼寧省電力

、()、、

有限公司大連供電公司華北電力大學(xué)淄博市標準化研究院深圳市奧圖威爾科技有限公司北京機械

、、、、

工業(yè)自動化研究所有限公司北京市自來水集團大通供水技術(shù)有限公司華北電力科學(xué)研究院有限責任

、、

公司國網(wǎng)思極網(wǎng)安科技北京有限公司北京卓識網(wǎng)安技術(shù)股份有限公司中國電力科學(xué)研究院有限

、()、、

公司國網(wǎng)北京市電力公司電力科學(xué)研究院國家電網(wǎng)有限公司信息通信分公司國網(wǎng)山東省電力公司

、、、

濰坊供電公司北京電安信科技有限公司廣東電網(wǎng)有限責任公司中國電子科技集團公司第三十研

、、、

究所

。

本文件主要起草人尚羽佳李凱斌周彥暉張一彬周沫燃張晉賓王玉敏李云張晨艷

:、、、、、、、、、

楊書評朱鏡靈高鏡媚王勇胡博楊超李桐孫峰孫躍唐聰高濤楊波程平翟婉波張強

、、、、、、、、、、、、、、、

龔鋼軍陸俊何劍劉韌屠競哲楊德龍高陽王立永陳亮王懷宇李志宏孫華忠張琪李燕平

、、、、、、、、、、、、、、

施又丹王海城周澤龍李祉岐蘭昆

、、、、。

Ⅲ

GB/T44861—2024/IEC62443-3-22020

:

引言

之所以沒有簡單的方法來保證工業(yè)自動化和控制系統(tǒng)的安全是因為安全是一個風險管理

(IACS),

問題由于面臨的威脅產(chǎn)生這些威脅的可能性系統(tǒng)中固有的脆弱性以及系統(tǒng)被破壞時的后果不

。、、

同使得每一個都會給組織帶來不同的風險此外不同組織對風險的容忍度都不同

,IACS。,。

本文件旨在指導(dǎo)組織評估特定的風險識別并應(yīng)用安全對策將風險降低到可承受的水平

IACS,,。

本文件中的關(guān)鍵概念是區(qū)域和管道的應(yīng)用定義見

,GB/T40211。

本文件的使用者包括資產(chǎn)所有者系統(tǒng)集成商產(chǎn)品供應(yīng)商服務(wù)提供商和合規(guī)管理機構(gòu)等

、、、。

本文件通過目標安全等級與能力安全等級達成一致來為確定安全對抗措施提供

(SL-T)(SL-C)

依據(jù)

。

Ⅳ

GB/T44861—2024/IEC62443-3-22020

:

工業(yè)自動化和控制系統(tǒng)安全

系統(tǒng)設(shè)計的安全風險評估

1范圍

本文件規(guī)定了以下方面的要求

:

確定工業(yè)自動化和控制系統(tǒng)的被評估系統(tǒng)

a)(IACS)(SUC);

劃分的區(qū)域和管道

b)SUC;

評估每個區(qū)域和管道的風險

c);

建立每個區(qū)域和管道的目標安全等級

d)(SL-T);

文檔化安全要求

e)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級

GB/T35673—2017