GB/T 41400-2022
基本信息
标准号: GB/T 41400-2022
中文名称:信息安全技术 工业控制系统信息安全防护能力成熟度模型
标准类别:国家标准(GB)
英文名称:Information security technology—Information security protection capability maturity model of industrial control systems
标准状态:现行
发布日期:2022-04-15
实施日期:2022-11-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:38392430
相关标签: 信息安全 技术 工业 控制系统 防护 能力 成熟度 模型
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
出版社:中国标准出版社
页数:88页【胶订-大印张】
标准价格:90.0
相关单位信息
起草人:姚相振、李琳、甘俊杰、周睿康、龚洁中、周峰、李尧、刘贤刚、赵振学、赵金元、郝志强、赵梓桐、方进社、李俊、郭娴、夏冀、许玉娜、闵京华、邸丽清、孙彦、胡影、王惠莅、李弘彦、马强、程宇、陈柯宇、张宏伟、陈曦、牟文彪、张坚群、仵大奎、刘盈、杨帆、高瑞、闫涛、蒲戈
起草单位:中国电子技术标准化研究院、太极计算机股份有限公司、江苏赛西科技发展有限公司、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、广州赛宝认证中心服务有限公司、中国石油天然气股份有限公司西北销售分公司、中国石油天然气股份有限公司长庆石化分公司等
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
主管部门:全国信息安全标准化技术委员会(SAC/TC 260)
标准简介
本文件给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。本文件适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设,以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。
标准图片预览
标准内容
ICS35.030
CCS L80
中华人民共和国国家标准
GB/T41400—2022
信息安全技术
工业控制系统信息安全
防护能力成熟度模型
Information security technologyInformation security protection capabilitymaturitymodelofindustrialcontrolsystems2022-04-15发布
国家市场监督管理总局
国家标准化管理委员会
2022-11-01实施
规范性引用文件
术语和定义
缩略语
工业控制系统信息安全防护能力成熟度模型5.1能力成熟度模型架构
能力要素维度
能力构成
机构建设
制度流程
技术工具
人员能力
能力成熟度等级维度
能力建设过程维度
PA体系
编码规则
关系描述
核心保护对象安全
6.1工业设备安全
PA01控制设备安全
PA02现场测控设备安全
PA03设备资产管理
PA04存储媒体保护,
6.2工业主机安全
PA05专用安全软件
PA06漏洞和补丁管理
PA07外设接口管理
6.3工业网络边界安全
PA08安全区域划分
PA09网络边界防护
PA10远程访问安全
PA11身份认证
6.4工业控制软件安全
PA12安全配置
PA13配置变更
PA14账户管理
GB/T41400—2022
GB/T41400—2022
PA15口令保护
PA16安全审计
6.5工业数据安全
PA17数据分类分级管理
PA18差异化防护
PA19数据备份与恢复
PA20测试数据保护
通用安全
7.1安全规划与架构
PA21安全策略与规程
PA22安全机构设置
PA23安全职责划分
7.2人员管理与培训…
PA24人员安全管理
7.2.2PA25安全教育培训
7.3物理与环境安全
PA26物理安全防护
PA27应急电源
PA28物理防灾
PA29环境分离
监测预警与应急响应下载标准就来标准下载网
PA30工业资产感知
PA31风险监测
PA32威胁预警
PA33应急预案
PA34应急演练
供应链安全保障…
PA35产品选型
PA36供应商选择
PA37采购交付
PA38合同协议控制
PA39源代码审计
PA40升级安全保障
能力成熟度等级核验方法…·
工业设备安全
PA01控制设备安全
PA02现场测控设备安全
PA03设备资产管理
PA04存储媒体保护
8.2工业主机安全
PA05专用安全软件
PA06漏洞和补丁管理
8.2.3PA07外设接口管理
8.3工业网络边界安全..·
8.3.1PA08安全区域划分
8.3.2PA09网络边界防护
8.3.3PA10远程访问安全
8.3.4PA11身份认证
8.4工业控制软件安全
PA12安全配置
PA13配置变更
PA14账户管理
PA15口令保护
PA16安全审计
8.5工业数据安全:
PA17数据分类分级管理
PA18差异化防护
PA19数据备份与恢复
PA20测试数据保护
8.6安全规划与架构
8.6.1PA21安全策略与规程
8.6.2PA22安全机构设置
8.6.3PA23安全职责划分
8.7人员管理与培训
8.7.1PA24人员安全管理
PA25安全教育培训
8.8物理与环境安全
8.8.1PA26物理安全防护
8.8.2PA27应急电源
8.8.3PA28物理防灾
8.8.4PA29环境分离
监测预警与应急响应
PA30工业资产感知
PA31风险监测
PA32威胁预警
PA33应急预案
PA34应急演练
8.10供应链安全保障
PA35产品选型·
PA36供应商选择
PA37采购交付
PA38合同协议控制
PA39源代码审计.
PA40升级安全保障
附录A(资料性)
能力成熟度等级描述与GP
GB/T41400—2022
GB/T41400—2022
附录B(资料性)
附录C(资料性)
参考文献
能力成熟度模型使用方法
能力成熟度等级核验流程·
GB/T41400—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、太极计算机股份有限公司、江苏赛西科技发展有限公司、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、广州赛宝认证中心服务有限公司、中国石油天然气股份有限公司西北销售分公司、中国石油天然气股份有限公司长庆石化分公司、宁波和利时信息安全研究院有限公司、国家工业信息安全发展研究中心、国家信息技术安全研究中心、中国信息安全测评中心、浙江省能源集团有限公司、浙江浙能乐清发电有限责任公司、上海三零卫士信息安全有限公司、陕西省网络与信息安全测评中心、西门子(中国)有限公司、上海工业控制安全创新科技有限公司、华东师范大学、杭州安恒信息技术股份有限公司、中国网络安全审查技术与认证中心、昆仑电力有限公司电力科学研究院、中电长城网际系数智科技有限责任公司、西安电子科技大学、国网新疆统应用有限公司、中国石油天然气股份有限公司新疆油田分公司数据公司、杭州立思辰安科科技有限公司、东莞市擎洲光电科技有限公司、柳州源创电喷技术有限公司、江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)、北京六方云信息技术有限公司、中国科学院软件研究所、烽台科技(北京)有限公司、上海化工宝数字科技有限公司、北京和仲宁信息技术有限公司、杭州木链物联网科技有限公司、陕西科技大学、中石油华东设计院有限公司、中国能源建设集团浙江省电力设计院有限公司、陕西延长石油富县发电有限公司、上海大学、海澜智云科技有限公司、成都航天通信设备有限责任公司。本文件主要起草人:姚相振、李琳、甘俊杰、周睿康、龚洁中、周峰、李尧、刘贤刚、赵振学、赵金元、郝志强、赵梓桐、方进社、李俊、郭娴、夏冀、许玉娜、闵京华、邸丽清、孙彦、胡影、王惠莅、李弘彦、马强、程宇、陈柯宇、张宏伟、陈曦、牟文彪、张坚群、件大奎、刘盈、杨帆、高瑞、闫涛、蒲戈光、刘虹、费敏锐、彭晨、杜大军、布宁、申永波、焦程鹏、刘鸿运、张芝军、王飞、索涛、戴赞、张建新、强剑、石永杰、于慧超、王小宏、赵朋、沈玉龙、李峰、王斌、周燕华、孙军、于盟、肖威、林昕、姜亚光、刘丕群、孙军军、刘志乐、吴兰、杨晨、龚亮华、段沛鑫、陈艳、刘克松、高智伟、张浏骅、刘冬、李敏、张晓菲、曹禹、郝鑫、马孝磊、杨立军、林洪俊、陈若春、纪璐、晏敏、方静、莫韬、何双羽、赵峰、张俊峰、刘志刚、赵学全、程薇宸、王一蔚、赵建宏。
1范围
信息安全技术工业控制系统信息安全防护能力成熟度模型
GB/T41400—2022
本文件给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。本文件适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设,以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069信息安全技术术语
GB/T32919—2016信息安全技术工业控制系统安全控制应用指南3术语和定义
GB/T25069、GB/T32919一2016界定的以及下列术语和定义适用于本文件。3.1
工业控制系统industrialcontrolsystem由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。注:工业控制系统包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC)等。
[来源:GB/T36323-2018,3.1,有修改]3.2
工业控制系统信息安全防护能力informationsecurityprotectioncapabilityofindustrialcontrolsystem组织为避免工业控制系统遭到非授权或意外的访问、改、破坏及损失,在机构建设、制度流程、技术工具和人员能力等方面对工业控制系统的安全保障。3.3
能力成熟度capabilitymaturity对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的水平。
L来源:GB/T37988—2019,3.6
能力成熟度模型capabilitymaturitymodel对一个组织的能力成熟度进行度量的模型,包括一系列代表能力和进展的特征、属性、指示或者1
GB/T41400—2022
模式。
注:能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标。[来源:GB/T37988—2019,3.7]3.5
过程域
processarea
实现同一安全目标的相关工业控制系统信息安全防护基础实践的集合。3.6
基础实践
basepractice
实现某一安全目标的工业控制系统信息安全防护相关活动。3.7
通用实践
genericpractice
在等级核验中用于确定任何安全过程域或基础实践的实施能力的评定准则。3.8
核心保护对象
coreprotected object
组织在工业控制系统信息安全防护能力建设过程中具有价值的信息或资源。注:核心保护对象包括工业设备、工业主机、工业网络边界、工业控制软件和工业数据等。3.9
工业设备
industrialequipment
工业生产过程中用于控制执行器以及采集传感器数据的装置。注:工业设备包括控制设备、现场测控设备等。3.10
工业主机industrialhost
工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控、运行数据采集以及重要信息存储等工作的设备。
注:工业主机包括工程师站、操作员站、服务器等。4缩略语
下列缩略语适用于本文件。
APP:应用程序(Application)BP:基础实践(BasePractice)CF:公共特征(CommonFeature)DCS:分布式控制系统(DistributedControlSystem)DPU:分散处理单元(Distributed·ProcessingUnit)FTP:文件传输协议(FileTransferProtocol)GP:通用实践(GenericPractice)GPS:全球定位系统(GlobalPositioningSystem)HTTP:超文本传输协议(HyperTextTransferProtocol)IED:智能电子设备(IntelligentElectricDevice)OLE:对象连接与嵌人(ObjectLinkingandEmbedding)OPC:用于过程控制的OLE(OLEforProcessControl)PA:过程域(ProcessArea)
PLC:可编程逻辑控制器(ProgrammableLogicController)2
PKI:公钥基础设施(PublicKeyInfrastructure)RFID:射频识别(RadioFrequencyIdentification)RTU:远程终端单元(RemoteTerminalUnit)SCADA:监控和数据采集(SupervisoryControlAndDataAcquisition)SQL:结构化查询语言(StructuredQueryLanguage)SSH:安全外壳(SecureShell)
UPS:不间断电源(UninterruptiblePowerSupply)USB:通用串行总线(UniversalSerialBus)VPN:虚拟专用网络(VirtualPrivateNetwork)5工业控制系统信息安全防护能力成熟度模型5.1能力成熟度模型架构
GB/T41400—2022
工业控制系统信息安全防护能力成熟度模型的架构(见图1)由以下三个维度构成。a)安全能力要素
组织工业控制系统信息安全防护能力要素包括机构建设、制度流程、技术工具和人员能力。能力成熟度等级
组织工业控制系统信息安全防护能力成熟度等级划分为五级,具体包括:1级是基础建设级,2级是规范防护级,3级是集成管控级,4级是综合协同级,5级是智能优化级。能力建设过程
组织工业控制系统信息安全防护能力建设过程包括核心保护对象安全和通用安全:核心保护对象安全包括:工业设备安全、工业主机安全、工业网络边界安全、工业控制软件1)
安全、工业数据安全5个过程类;2)
通用安全包括:安全规划与架构、人员管理与培训、物理与环境安全、监测预警与应急响应、供应链安全保障5个过程类。安全能力要素
机构建
5级:智能优化
4级:综合协同
3级:集成管控
2级:规范防护
1级:基础建设
能力成熟度等级
核心保护
工业网络边界安全
通用安
工业控制软件安全
能力建
业数据安全
工业控制系统信息安全防护能力成熟度模型架构图3
GB/T41400—2022
5.2能力要素维度
5.2.1能力构成
通过对组织工业控制系统信息安全防护过程应具备安全能力的量化,进而核验每项安全过程的实现能力。组织工业控制系统信息安全防护能力要素包括:a)机构建设:工业控制系统信息安全机构的设立、职责分配和沟通协作;制度流程:组织在工业控制系统信息安全领域的制度和流程执行;b)
技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;c)
d)人员能力:执行工业控制系统信息安全防护工作的人员的安全意识及相关专业能力。5.2.2机构建设
从承担工业控制系统信息安全防护工作的组织应具备的机构建设能力角度,根据以下方面进行能力等级区分:
a)工业控制系统信息安全架构对组织业务的适用性;b)工业控制系统信息安全机构承担的工作职责的明确性;c)工业控制系统信息安全机构运作、沟通协调的有效性。5.2.3制度流程
从组织工业控制系统信息安全防护制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:
a)工业控制系统核心保护对象关键控制节点授权审批流程的明确性;b)相关制度流程的制定、发布、修订的规范性;制度流程实施的一致性和有效性。c)
5.2.4技术工具
从组织用于开展工业控制系统信息安全防护工作的安全技术、应用系统和工具角度,根据以下方面进行能力等级区分:
a)工业控制系统信息安全防护技术在系统核心保护对象中的利用情况,针对系统安全风险的应对能力;
利用技术工具对工业控制系统信息安全防护工作的自动化支持能力,对工业控制系统信息安b)
全防护制度流程固化执行的实现能力。5.2.5人员能力
从组织承担工业控制系统信息安全防护工作的人员应具备的能力角度,根据以下方面进行能力等级区分:
a)工业控制系统信息安全人员所具备的安全技能是否能够满足复合型能力要求(对工业控制系统相关业务的理解程度以及工业控制系统信息安全专业能力);工业控制系统信息安全人员的信息安全意识以及对关键工业控制系统信息安全岗位员工信息b)
安全能力的培养。
5.3能力成熟度等级维度
组织工业控制系统信息安全防护能力成熟度等级共分为5级,见图2。4
等级1:
基础建设
等级2:
规范防护
等级3:
集成管控
等级4:
综合协同
等级5:
智能优化
图2工业控制系统信息安全防护能力成熟度等级GB/T41400--2022
根据组织开展安全防护的能力分为5个能力成熟度等级,自低向高分别是基础建设级、规范防护级、集成管控级、综合协同级、智能优化级。各能力成熟度等级的CF如下:a)基础建设级:组织能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作安全防护能力建设主要基于特定业务场景,尚未形成规范化、流程化的工作方式,相关工作多依赖信息安全人员主观经验,建设过程未要求以文档形式记录,无法形成可复制;b)
规范防护级:组织建立并记录工业控制系统信息安全防护能力建设工作,能够针对工业控制设备、工业主机、工业网络、工业数据等方面,制定规范化安全防护制度、规章,使得组织能够以重复的方式执行,采用数字化装备、信息技术手段等,有针对性地开展安全防护,面向各方面形成独立、可复制的安全防护能力;集成管控级:组织能够对工业控制系统设备、主机、系统、网络、数据等方面,在规范防护已有工作基础上,通过集成化工具、系统等,对相对独立的单点防护设备进行集中统一管控,同时整合相关防护规章制度文件,形成体系化制度,实现组织内部工业控制系统信息安全的集中管理、统一控制的安全防护能力;
综合协同级:组织能够面向不同产线、厂区、工厂及产业链上下游相关单位,统筹考虑信息安全d)
风险需求,开展安全防护建设,建立多级协同的安全管理体系,并通过态势感知、统一管控等技术手段实现综合决策、协调防护的安全能力;智能优化级:组织能够采用人工智能、主动防御、内生安全等先进技术,与已有安全防护设备、e
系统、制度体系深度融合,使得可通过知识学习、智能建模分析等技术,构建可智能化演进的安全防护系统,形成具有自决策、自进化能力的安全防护体系。5.4能力建设过程维度
5.4.1PA体系
PA体系分为核心保护对象安全和通用安全两部分,共包含40个PA,见图3。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS L80
中华人民共和国国家标准
GB/T41400—2022
信息安全技术
工业控制系统信息安全
防护能力成熟度模型
Information security technologyInformation security protection capabilitymaturitymodelofindustrialcontrolsystems2022-04-15发布
国家市场监督管理总局
国家标准化管理委员会
2022-11-01实施
规范性引用文件
术语和定义
缩略语
工业控制系统信息安全防护能力成熟度模型5.1能力成熟度模型架构
能力要素维度
能力构成
机构建设
制度流程
技术工具
人员能力
能力成熟度等级维度
能力建设过程维度
PA体系
编码规则
关系描述
核心保护对象安全
6.1工业设备安全
PA01控制设备安全
PA02现场测控设备安全
PA03设备资产管理
PA04存储媒体保护,
6.2工业主机安全
PA05专用安全软件
PA06漏洞和补丁管理
PA07外设接口管理
6.3工业网络边界安全
PA08安全区域划分
PA09网络边界防护
PA10远程访问安全
PA11身份认证
6.4工业控制软件安全
PA12安全配置
PA13配置变更
PA14账户管理
GB/T41400—2022
GB/T41400—2022
PA15口令保护
PA16安全审计
6.5工业数据安全
PA17数据分类分级管理
PA18差异化防护
PA19数据备份与恢复
PA20测试数据保护
通用安全
7.1安全规划与架构
PA21安全策略与规程
PA22安全机构设置
PA23安全职责划分
7.2人员管理与培训…
PA24人员安全管理
7.2.2PA25安全教育培训
7.3物理与环境安全
PA26物理安全防护
PA27应急电源
PA28物理防灾
PA29环境分离
监测预警与应急响应下载标准就来标准下载网
PA30工业资产感知
PA31风险监测
PA32威胁预警
PA33应急预案
PA34应急演练
供应链安全保障…
PA35产品选型
PA36供应商选择
PA37采购交付
PA38合同协议控制
PA39源代码审计
PA40升级安全保障
能力成熟度等级核验方法…·
工业设备安全
PA01控制设备安全
PA02现场测控设备安全
PA03设备资产管理
PA04存储媒体保护
8.2工业主机安全
PA05专用安全软件
PA06漏洞和补丁管理
8.2.3PA07外设接口管理
8.3工业网络边界安全..·
8.3.1PA08安全区域划分
8.3.2PA09网络边界防护
8.3.3PA10远程访问安全
8.3.4PA11身份认证
8.4工业控制软件安全
PA12安全配置
PA13配置变更
PA14账户管理
PA15口令保护
PA16安全审计
8.5工业数据安全:
PA17数据分类分级管理
PA18差异化防护
PA19数据备份与恢复
PA20测试数据保护
8.6安全规划与架构
8.6.1PA21安全策略与规程
8.6.2PA22安全机构设置
8.6.3PA23安全职责划分
8.7人员管理与培训
8.7.1PA24人员安全管理
PA25安全教育培训
8.8物理与环境安全
8.8.1PA26物理安全防护
8.8.2PA27应急电源
8.8.3PA28物理防灾
8.8.4PA29环境分离
监测预警与应急响应
PA30工业资产感知
PA31风险监测
PA32威胁预警
PA33应急预案
PA34应急演练
8.10供应链安全保障
PA35产品选型·
PA36供应商选择
PA37采购交付
PA38合同协议控制
PA39源代码审计.
PA40升级安全保障
附录A(资料性)
能力成熟度等级描述与GP
GB/T41400—2022
GB/T41400—2022
附录B(资料性)
附录C(资料性)
参考文献
能力成熟度模型使用方法
能力成熟度等级核验流程·
GB/T41400—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、太极计算机股份有限公司、江苏赛西科技发展有限公司、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、广州赛宝认证中心服务有限公司、中国石油天然气股份有限公司西北销售分公司、中国石油天然气股份有限公司长庆石化分公司、宁波和利时信息安全研究院有限公司、国家工业信息安全发展研究中心、国家信息技术安全研究中心、中国信息安全测评中心、浙江省能源集团有限公司、浙江浙能乐清发电有限责任公司、上海三零卫士信息安全有限公司、陕西省网络与信息安全测评中心、西门子(中国)有限公司、上海工业控制安全创新科技有限公司、华东师范大学、杭州安恒信息技术股份有限公司、中国网络安全审查技术与认证中心、昆仑电力有限公司电力科学研究院、中电长城网际系数智科技有限责任公司、西安电子科技大学、国网新疆统应用有限公司、中国石油天然气股份有限公司新疆油田分公司数据公司、杭州立思辰安科科技有限公司、东莞市擎洲光电科技有限公司、柳州源创电喷技术有限公司、江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)、北京六方云信息技术有限公司、中国科学院软件研究所、烽台科技(北京)有限公司、上海化工宝数字科技有限公司、北京和仲宁信息技术有限公司、杭州木链物联网科技有限公司、陕西科技大学、中石油华东设计院有限公司、中国能源建设集团浙江省电力设计院有限公司、陕西延长石油富县发电有限公司、上海大学、海澜智云科技有限公司、成都航天通信设备有限责任公司。本文件主要起草人:姚相振、李琳、甘俊杰、周睿康、龚洁中、周峰、李尧、刘贤刚、赵振学、赵金元、郝志强、赵梓桐、方进社、李俊、郭娴、夏冀、许玉娜、闵京华、邸丽清、孙彦、胡影、王惠莅、李弘彦、马强、程宇、陈柯宇、张宏伟、陈曦、牟文彪、张坚群、件大奎、刘盈、杨帆、高瑞、闫涛、蒲戈光、刘虹、费敏锐、彭晨、杜大军、布宁、申永波、焦程鹏、刘鸿运、张芝军、王飞、索涛、戴赞、张建新、强剑、石永杰、于慧超、王小宏、赵朋、沈玉龙、李峰、王斌、周燕华、孙军、于盟、肖威、林昕、姜亚光、刘丕群、孙军军、刘志乐、吴兰、杨晨、龚亮华、段沛鑫、陈艳、刘克松、高智伟、张浏骅、刘冬、李敏、张晓菲、曹禹、郝鑫、马孝磊、杨立军、林洪俊、陈若春、纪璐、晏敏、方静、莫韬、何双羽、赵峰、张俊峰、刘志刚、赵学全、程薇宸、王一蔚、赵建宏。
1范围
信息安全技术工业控制系统信息安全防护能力成熟度模型
GB/T41400—2022
本文件给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。本文件适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设,以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069信息安全技术术语
GB/T32919—2016信息安全技术工业控制系统安全控制应用指南3术语和定义
GB/T25069、GB/T32919一2016界定的以及下列术语和定义适用于本文件。3.1
工业控制系统industrialcontrolsystem由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。注:工业控制系统包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC)等。
[来源:GB/T36323-2018,3.1,有修改]3.2
工业控制系统信息安全防护能力informationsecurityprotectioncapabilityofindustrialcontrolsystem组织为避免工业控制系统遭到非授权或意外的访问、改、破坏及损失,在机构建设、制度流程、技术工具和人员能力等方面对工业控制系统的安全保障。3.3
能力成熟度capabilitymaturity对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的水平。
L来源:GB/T37988—2019,3.6
能力成熟度模型capabilitymaturitymodel对一个组织的能力成熟度进行度量的模型,包括一系列代表能力和进展的特征、属性、指示或者1
GB/T41400—2022
模式。
注:能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标。[来源:GB/T37988—2019,3.7]3.5
过程域
processarea
实现同一安全目标的相关工业控制系统信息安全防护基础实践的集合。3.6
基础实践
basepractice
实现某一安全目标的工业控制系统信息安全防护相关活动。3.7
通用实践
genericpractice
在等级核验中用于确定任何安全过程域或基础实践的实施能力的评定准则。3.8
核心保护对象
coreprotected object
组织在工业控制系统信息安全防护能力建设过程中具有价值的信息或资源。注:核心保护对象包括工业设备、工业主机、工业网络边界、工业控制软件和工业数据等。3.9
工业设备
industrialequipment
工业生产过程中用于控制执行器以及采集传感器数据的装置。注:工业设备包括控制设备、现场测控设备等。3.10
工业主机industrialhost
工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控、运行数据采集以及重要信息存储等工作的设备。
注:工业主机包括工程师站、操作员站、服务器等。4缩略语
下列缩略语适用于本文件。
APP:应用程序(Application)BP:基础实践(BasePractice)CF:公共特征(CommonFeature)DCS:分布式控制系统(DistributedControlSystem)DPU:分散处理单元(Distributed·ProcessingUnit)FTP:文件传输协议(FileTransferProtocol)GP:通用实践(GenericPractice)GPS:全球定位系统(GlobalPositioningSystem)HTTP:超文本传输协议(HyperTextTransferProtocol)IED:智能电子设备(IntelligentElectricDevice)OLE:对象连接与嵌人(ObjectLinkingandEmbedding)OPC:用于过程控制的OLE(OLEforProcessControl)PA:过程域(ProcessArea)
PLC:可编程逻辑控制器(ProgrammableLogicController)2
PKI:公钥基础设施(PublicKeyInfrastructure)RFID:射频识别(RadioFrequencyIdentification)RTU:远程终端单元(RemoteTerminalUnit)SCADA:监控和数据采集(SupervisoryControlAndDataAcquisition)SQL:结构化查询语言(StructuredQueryLanguage)SSH:安全外壳(SecureShell)
UPS:不间断电源(UninterruptiblePowerSupply)USB:通用串行总线(UniversalSerialBus)VPN:虚拟专用网络(VirtualPrivateNetwork)5工业控制系统信息安全防护能力成熟度模型5.1能力成熟度模型架构
GB/T41400—2022
工业控制系统信息安全防护能力成熟度模型的架构(见图1)由以下三个维度构成。a)安全能力要素
组织工业控制系统信息安全防护能力要素包括机构建设、制度流程、技术工具和人员能力。能力成熟度等级
组织工业控制系统信息安全防护能力成熟度等级划分为五级,具体包括:1级是基础建设级,2级是规范防护级,3级是集成管控级,4级是综合协同级,5级是智能优化级。能力建设过程
组织工业控制系统信息安全防护能力建设过程包括核心保护对象安全和通用安全:核心保护对象安全包括:工业设备安全、工业主机安全、工业网络边界安全、工业控制软件1)
安全、工业数据安全5个过程类;2)
通用安全包括:安全规划与架构、人员管理与培训、物理与环境安全、监测预警与应急响应、供应链安全保障5个过程类。安全能力要素
机构建
5级:智能优化
4级:综合协同
3级:集成管控
2级:规范防护
1级:基础建设
能力成熟度等级
核心保护
工业网络边界安全
通用安
工业控制软件安全
能力建
业数据安全
工业控制系统信息安全防护能力成熟度模型架构图3
GB/T41400—2022
5.2能力要素维度
5.2.1能力构成
通过对组织工业控制系统信息安全防护过程应具备安全能力的量化,进而核验每项安全过程的实现能力。组织工业控制系统信息安全防护能力要素包括:a)机构建设:工业控制系统信息安全机构的设立、职责分配和沟通协作;制度流程:组织在工业控制系统信息安全领域的制度和流程执行;b)
技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;c)
d)人员能力:执行工业控制系统信息安全防护工作的人员的安全意识及相关专业能力。5.2.2机构建设
从承担工业控制系统信息安全防护工作的组织应具备的机构建设能力角度,根据以下方面进行能力等级区分:
a)工业控制系统信息安全架构对组织业务的适用性;b)工业控制系统信息安全机构承担的工作职责的明确性;c)工业控制系统信息安全机构运作、沟通协调的有效性。5.2.3制度流程
从组织工业控制系统信息安全防护制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:
a)工业控制系统核心保护对象关键控制节点授权审批流程的明确性;b)相关制度流程的制定、发布、修订的规范性;制度流程实施的一致性和有效性。c)
5.2.4技术工具
从组织用于开展工业控制系统信息安全防护工作的安全技术、应用系统和工具角度,根据以下方面进行能力等级区分:
a)工业控制系统信息安全防护技术在系统核心保护对象中的利用情况,针对系统安全风险的应对能力;
利用技术工具对工业控制系统信息安全防护工作的自动化支持能力,对工业控制系统信息安b)
全防护制度流程固化执行的实现能力。5.2.5人员能力
从组织承担工业控制系统信息安全防护工作的人员应具备的能力角度,根据以下方面进行能力等级区分:
a)工业控制系统信息安全人员所具备的安全技能是否能够满足复合型能力要求(对工业控制系统相关业务的理解程度以及工业控制系统信息安全专业能力);工业控制系统信息安全人员的信息安全意识以及对关键工业控制系统信息安全岗位员工信息b)
安全能力的培养。
5.3能力成熟度等级维度
组织工业控制系统信息安全防护能力成熟度等级共分为5级,见图2。4
等级1:
基础建设
等级2:
规范防护
等级3:
集成管控
等级4:
综合协同
等级5:
智能优化
图2工业控制系统信息安全防护能力成熟度等级GB/T41400--2022
根据组织开展安全防护的能力分为5个能力成熟度等级,自低向高分别是基础建设级、规范防护级、集成管控级、综合协同级、智能优化级。各能力成熟度等级的CF如下:a)基础建设级:组织能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作安全防护能力建设主要基于特定业务场景,尚未形成规范化、流程化的工作方式,相关工作多依赖信息安全人员主观经验,建设过程未要求以文档形式记录,无法形成可复制;b)
规范防护级:组织建立并记录工业控制系统信息安全防护能力建设工作,能够针对工业控制设备、工业主机、工业网络、工业数据等方面,制定规范化安全防护制度、规章,使得组织能够以重复的方式执行,采用数字化装备、信息技术手段等,有针对性地开展安全防护,面向各方面形成独立、可复制的安全防护能力;集成管控级:组织能够对工业控制系统设备、主机、系统、网络、数据等方面,在规范防护已有工作基础上,通过集成化工具、系统等,对相对独立的单点防护设备进行集中统一管控,同时整合相关防护规章制度文件,形成体系化制度,实现组织内部工业控制系统信息安全的集中管理、统一控制的安全防护能力;
综合协同级:组织能够面向不同产线、厂区、工厂及产业链上下游相关单位,统筹考虑信息安全d)
风险需求,开展安全防护建设,建立多级协同的安全管理体系,并通过态势感知、统一管控等技术手段实现综合决策、协调防护的安全能力;智能优化级:组织能够采用人工智能、主动防御、内生安全等先进技术,与已有安全防护设备、e
系统、制度体系深度融合,使得可通过知识学习、智能建模分析等技术,构建可智能化演进的安全防护系统,形成具有自决策、自进化能力的安全防护体系。5.4能力建设过程维度
5.4.1PA体系
PA体系分为核心保护对象安全和通用安全两部分,共包含40个PA,见图3。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。