【
仪表网 仪表标准】近日,按照中国电子工业标准化技术协会团体标准制修订项目工作安排,工业
控制系统信息安全防护建设实施规范标准起草组已完成《工业控制系统信息安全防护建设实施规范》(项目号:CESA-2019-3-008)团体标准征求意见稿的编制工作。现按照《团体标准制修订程序(试行)》的要求,公开征求意见。请各有关单位认真研究,填写“意见反馈表”,于2019年10月5日前,以电子邮件(standard_c@cesa.cn、573132665@qq.com)方式反馈给中国电子工业标准化技术协会联系人。涉及修改重要技术指标时,请附上必要的技术数据。逾期未复函的按无异议处理。
《工业控制系统信息安全防护建设实施规范》由中国电子技术标准化研究院牵头,中国石油天然气股份有限公司西北销售分公司、宁波和利时信息安全研究院有限公司、江苏博智软件科技股份有限公司、广州赛宝认证中心服务有限公司、上海工业控制系统安全创新科技有限公司、华东师范大学、西门子(中国)有限公司、上海大学、中国石油天然气股份有限公司长庆石化分公司、浙江信息安全行业协会、浙江网保科技有限公司、浙江远望信息股份有限公司、浙江长天信息技术有限公司、北汽蓝谷信息技术有限公司等单位联合,共同开展标准研制工作。
标准规定了工业控制系统信息安全防护建设实施规范,针对工业企业新建/存量工业控制系统信息安全防护能力建设实施流程,以及实施过程中需考虑的物理与环境安全、通信网络安全、工业主机安全、应用程序安全、数据安全防护、监测预警与态势感知、安全规划与组织建设、人员管理及培训、资产安全管理供应链安全、应急响应、配置管理、访问控制与审计等13 个方面的安全要求,制定信息安全防护能力效果核验及对标方法。
标准适用于工业企业非涉及国家秘密的工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设,也可供工业控制系统安全测评与安全检查工作作为参考依据。
标准在编写时参考了《工业控制系统安全指南》(NIST SP 800-82)、《推荐的联邦信息系统和组织的安全控制措施》(NIST SP 800-53)等国外标准。同时参考了《工业过程测量与控制安全:网络与系统信息安全》系列标准(IEC62443)等标准,以及ISO 900X系列标准。
此外,标准是《工业控制系统信息安全防护指南》等政策文件的具体落实,规定的安全通用要求与《信息安全技术工业控制系统安全控制应用指南》(GB/T32919-2016)、《信息安全技术工业控制系统安全管理基本要求》(GB/T36323-2018)等标准相一致,可为工业控制系统的使用方、供应方和管理者提供工业控制系统信息安全防护工作的开展提供标准化指导。
(资料来源:中国电子工业标准化技术协会)