工业控制系统信息安全管理监督检查工作规范.doc

DB32/T XXXX—XXXX DB32/T XXXX—XXXX PAGE \* MERGEFORMAT2 PAGE I 江苏省质量技术监督局 发布XXXX-XX-XX实施XXXX-XX-XX 江苏省质量技术监督局 发布 XXXX-XX-XX实施 XXXX-XX-XX发布 工业控制系统信息安全管理监督检查工作规范 Supervision and inspection specification for information security management of industrial control systems DB32/T XXXX—XXXX DB32 江苏省地方标准 ICS 25.040 L 70 备案号： PAGE III 目 次 TOC \o 1-3 \h \z \u 前 言 h II 引 言 h III 1 范围 h 1 2 规范性引用文件 h 1 3 术语和定义 h 1 4 符号和缩略语 h 1 5 总则 h 2 5.1 监督检查对象 h 2 5.2 监督检查目的 h 2 5.3 监督检查形式 h 2 5.4 监督检查方法 h 2 5.5 监督检查原则 h 3 6 监督检查流程 h 3 6.1 前期准备 h 4 6.2 现场检查 h 5 6.3 后期分析 h 6 6.4 报告编制 h 7 6.5 安全整改 h 7 6.6 结束 h 7 7 监督检查内容 h 7 7.1 组织制度管理 h 7 7.2 连接管理 h 10 7.3 组网管理 h 12 7.4 配置管理 h 13 7.5 设备选择与运维管理 h 15 7.6 数据管理 h 16 7.7 物理环境管理 h 17 附 录 A （规范性附录） 工业控制系统信息安全管理监督检查表及结果分析方法 h 22 A.1 监督检查表 h 22 A.2 结果分析方法 h 27 前 言 本规范依据GB/T 1.1-2009《标准化工作导则 第1部分：标准的结构和编写》编写。 本标准附录A是规范性附录。 本规范由江苏省经济和信息化委员会提出并归口。 本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。 本规范起草人：黄申、吴兰、张腾标、李国琴、程恺、王坤、赵川、赵兆。 引 言 工业控制系统广泛应用于工业生产、电力设施、水利油气、交通运输和市政等领域，用以控制生产设备的运行。随着计算机和网络技术的发展，特别是我国信息化与工业化深度融合工作的不断推进，以及物联网等新一代信息技术的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题随之日益突出，如何保障工业控制系统信息安全已经成为国家战略问题。 工业控制系统信息安全管理监督检查是帮助各重点领域工业控制系统运营、管理、维护和使用等部门充分认识工业控制系统信息安全重要性和紧迫性的重要手段，是切实加强工业控制系统信息安全管理保障工作的基础和重要环节。 PAGE \* MERGEFORMAT27 工业控制系统信息安全管理监督检查工作规范 1 范围 本标准规定了工业控制系统信息安全管理监督检查工作的术语和定义、检查对象、检查目的、检查形式、检查方法、检查原则、检查流程和检查内容。 本标准适用于规范工业控制系统的运营、使用、维护、管理等部门开展的工业控制系统信息安全管理监督检查工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。 GB/T 26333 工业控制网络安全风险评估规范 GB/T 26802.1工业控制计算机系统 通用规范 第1部分：通用要求 GB/T 30976.1 工业控制系统信息安全 第1部分：评估规范 GB/T 30976.2 工业控制系统信息安全 第2部分：验收规范 DB32/T 2289 重点领域工业控制系统信息安全保护基本要求 3 术语和定义 GB/T 26333和DB32/T 2289界定的及下列术语和定义适用于本标准。 3.1 工业控制系统 industrial control systems 在工业和关键基础设施领域，采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术监测和控制生产设备运行的控制系统，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）、可编程逻辑控制器（PLC