信息安全技术工业控制系统安全管理基本要求(GB-T 36323-2018).pdf

《信息安全技术工业控制系统安全管理基本要求(GB-T 36323-2018).pdf》由会员分享，可在线阅读，更多相关《信息安全技术工业控制系统安全管理基本要求(GB-T 36323-2018).pdf（58页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术工业控制系统安全管理基本要求Information security technology-Security management fundamental requirements for industrial control systems（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）（报批稿）2016 年 12 月XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.VI引言.VII1 范围.12 规范性引

2、用文件.13 术语和定义.14 缩略语.25 ICS 安全管理基本框架及关键活动.35.1 ICS 安全管理基本框架.35.2 顶层承诺.35.3 规划评估.45.4 资源支持.45.5 策略实施.55.6 绩效评价.55.7 持续改进.56 ICS 安全管理基本控制措施.66.1 安全控制措施分类.66.2 安全评估和授权（CA）.66.2.1 安全评估和授权方针策略及规程（CA-1）.66.2.2 安全评估（CA-2）.66.2.3 ICS 连接管理（CA-3）.76.2.4 行动计划与时间节点（CA-4）.76.2.5 安全授权（CA-5）.76.2.6 持续监控（CA-6）.76.2.

3、7 渗透测试（CA-7）.86.2.8 内部系统的连接（CA-8）.86.3 系统和服务获取（SA）.86.3.1 系统及服务获取的方针策略及规程（SA-1）.86.3.2 资源配置（SA-2）.86.3.3 系统开发生命周期（SA-3）.86.3.4 采购过程（SA-4）.96.3.5 ICS 信息系统文档（SA-5）.96.3.6 外部 ICS 服务（SA-6）.106.3.7 开发者配置管理（SA-7）.106.3.8 开发者安全测评（SA-8）.106.3.9 供应链保护（SA-9）.116.3.10 开发过程、标准及工具（SA-10）.116.3.11 网络服务安全（SA-11）.1

4、1GB/T XXXXXXXXXII6.4 人员安全（PS）.116.4.1 人员安全的方针策略及规程（PS-1）.126.4.2 岗位风险（PS-2）.126.4.3 人员审查（PS-3）.126.4.4 人员离职（PS-4）.126.4.5 人员调动（PS-5）.126.4.6 访问协议（PS-6）.126.4.7 第三方人员安全（PS-7）.136.4.8 人员处罚（PS-8）.136.5 规划(PL).136.5.1 安全规划策略及规程(PL-1).136.5.2 系统安全规划(PL-2).136.5.3 行为规则(PL-3).146.5.4 信息安全架构(PL-4).146.5.5 安

5、全活动规划(PL-5).146.6 风险评估（RA）.146.6.1 风险评估方针策略与规程（RA-1）.146.6.2 安全分类（RA-2）.146.6.3 安全风险评估（RA-3）.156.6.4 漏洞扫描（RA-4）.156.7 应急规划（CP）.156.7.1 应急规划方针策略与规程（CP-1）.156.7.2 应急计划（CP-2）.166.7.3 应急培训（CP-3）.166.7.4 应急计划的测试和演练（CP-4）.166.7.5 备用存储场所（CP-5）.176.7.6 备用处理场所（CP-6）.176.7.7 电信服务（CP-7）.176.7.8 系统备份（CP-8）.176.

6、7.9 ICS 恢复和重建（CP-9）.186.8 物理和环境安全(PE).186.8.1 物理和环境保护方针策略与规程(PE-1).186.8.2 物理访问授权(PE-2).186.8.3 物理访问控制(PE-3).186.8.4 传输介质的访问控制(PE-4).196.8.5 输出设备的访问控制(PE-5).196.8.6 物理访问监控(PE-6).196.8.7 访问记录(PE-7).196.8.8 电源设备与电缆(PE-8).196.8.9 紧急断电(PE-9).206.8.10 应急电源(PE-10).206.8.11 应急照明(PE-11).206.8.12 消防(PE-12).2

7、0GB/T XXXXXXXXXIII6.8.13 温湿度控制(PE-13).206.8.14 防水(PE-14).216.8.15 交付及移除(PE-15).216.8.16 备用工作场所(PE-16).216.8.17 信息泄露(PE-17).216.9 配置管理（CM）.216.9.1 配置管理方针策略和规程（CM-1）.216.9.2 基线配置（CM-2）.216.9.3 配置变更控制（CM-3）.226.9.4 变更安全影响分析（CM-4）.226.9.5 对变更的访问限制（CM-5）.226.9.6 配置设置（CM-6）.236.9.7 配置最小功能化（CM-7）.236.9.8 I

8、CS 部件清单（CM-8）.236.9.9 配置管理计划（CM-9）.246.10 系统和信息完整性(SI).246.10.1 系统和信息完整性方针策略和规程(SI-1).246.10.2 漏洞修复(SI-2).246.10.3 恶意代码防护(SI-3).246.10.4 ICS 监视(SI-4).256.10.5 安全警报、建议和指示(SI-5).256.10.6 安全功能验证(SI-6).256.10.7 软件、固件和信息完整性(SI-7).266.10.8 信息输入验证(SI-8).266.10.9 错误处理(SI-9).266.10.10 信息处理和留存(SI-10).266.10.1

9、1 防止可预计的故障(SI-11).266.10.12 信息的输出过滤(SI-12).276.10.13 内存防护(SI-13).276.10.14 入侵检测和防护(SI-14).276.11 介质保护(MP).276.11.1 介质保护方针策略与规程（MP-1）.276.11.2 介质访问（MP-2）.276.11.3 介质标记（MP-3）.276.11.4 介质存储（MP-4）.276.11.5 介质传递（MP-5）.286.11.6 介质净化（MP-6）.286.11.7 介质使用（MP-7）.286.12 事件响应（IR）.286.12.1 事件响应方针策略与规程（IR-1）.286.

10、12.2 事件响应培训（IR-2）.296.12.3 事件响应测试和演练（IR-3）.296.12.4 事件处理（IR-4）.29GB/T XXXXXXXXXIV6.12.5 事件监控（IR-5）.296.12.6 事件报告（IR-6）.306.12.7 事件响应帮助（IR-7）.306.12.8 事件响应计划（IR-8）.306.13 意识和培训（AT）.306.13.1 安全意识培养和安全培训方针策略和规程（AT-1）.306.13.2 安全意识培训（AT-2）.306.13.3 基于角色的安全培训（AT-3）.316.13.4 安全培训记录（AT-4）.316.14 访问控制（AC）.3

11、16.14.1 访问控制方针策略和规程（AC-1）.316.14.2 账户管理（AC-2）.316.14.3 访问执行（AC-3）.326.14.4 信息流执行（AC-4）.326.14.5 职责的分割（AC-5）.326.14.6 最小权限（AC-6）.336.14.7 不成功的录入尝试（AC-7）.336.14.8 会话封锁（AC-8）.336.14.9 远程访问（AC-9）.336.14.10 无线访问（AC-10）.346.14.11 移动设备的访问控制（AC-11）.346.14.12 外部 ICS 的使用（AC-12）.356.14.13 对程序源代码的访问控制（AC-13）.35

12、6.15 维护（MA）.356.15.1 系统维护方针策略与规程（MA-1）.356.15.2 受控维护（MA-2）.356.15.3 维护工具（MA-3）.366.15.4 非本地维护（MA-4）.366.15.5 维护人员（MA-5）.376.15.6 及时维护（MA-6）.376.16 审计和可核查性（AU）.376.16.1 审计和可核查性方针策略和规程（AU-1）.376.16.2 审计事件（AU-2）.376.16.3 审计记录内容（AU-3）.386.16.4 对审计处理失败的响应（AU-4）.386.16.5 审计评审、分析和报告（AU-5）.386.16.6 审计归约和报告生

13、成（AU-6）.386.16.7 时间戳（AU-7）.396.16.8 审计信息的保护（AU-8）.396.16.9 抗抵赖（AU-9）.396.16.10 审计记录保留（AU-10）.396.16.11 审计生成（AU-11）.396.17 标识和鉴别（IA）.40GB/T XXXXXXXXXV6.17.1 标识与鉴别方针策略和规程（IA-1）.406.17.2 组织用户的标识与鉴别（IA-2）.406.17.3 设备的标识与鉴别（IA-3）.406.17.4 标识符管理（IA-4）.406.17.5 鉴别管理（IA-5）.416.17.6 鉴别反馈信息（IA-6）.416.17.7 密码模

14、块鉴别（IA-7）.426.17.8 非组织用户的标识与鉴别（IA-8）.42附录A（资料性附录）不同安全级别的 ICS 安全管理基本要求对应表.43GB/T XXXXXXXXXVI前言本标准按照GB/T1.1-2009标准化工作导则 第一部分：标准的结构和编写给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。本标准起草单位：中国电子技术标准化研究院、机械工业仪器仪表综合技术经济研究所、国家信息技术安全研究中心、华东师范大学、中国电子科技集团公司第三十研究所、中国信息安全研究院有限公司、北京神州绿盟信息安全科技股份有限公司、启明星辰信息技术有限公司、烽台科

15、技（北京）有限公司、北京工业大学、桂林电子科技大学、西安电子科技大学、清华大学、浙江大学、中国科学院沈阳自动化研究所、和利时集团、沈阳（上海）智能系统研发设计有限公司、浙江中控研究院有限公司、深圳赛西信息技术有限公司、广州数控设备有限公司，中京天裕科技（北京）有限公司，北京匡恩网络科技有限责任公司。本标准主要起草人：范科峰、高林、上官晓丽、李琳、周睿康、姚相振、龚洁中、刘贤刚、许东阳、蔡磊、徐克超、刘硕、李冰、刘鸿运、何道敬、龚亮华、尚文利、杨晨、王玉敏、兰昆、张建军、王晓鹏、阮伟、杨震、赖英旭、沈玉龙、裴庆祺、许川佩、王勇、黄云鹰、杨堂勇，晏培。GB/T XXXXXXXXXVII引言随着计算

16、机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统，包括分布式控制系统（DCS）、监控与数据采集（SCADA）系统和可编程逻辑控制器（PLC）等产品广泛应用于核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等国家重要领域。工业控制系统（ICS）由单机走向互联、从封闭走向开放、从自动化走向智能化进程的加快，使得工业控制系统的信息安全问题日益突出，工业控制系统一旦遭受攻击，将严重威胁人民生命财产安全和国家政权稳定。对此，全国信息安全标准化技术委员会（SAC/TC 260）立项研制了工业控制系统信息安全分级、管理要求、控制应用指南

17、等多项标准。本标准针对各行业工业控制系统的安全管理活动的共性特点，提出了工业控制系统安全管理基本框架，从领导、规划、支持、运行、绩效评价和持续改进等方面为工业控制系统安全管理活动提出了规范性要求，并给出了为实现该安全管理基本框架所需的安全管理基本控制措施和各级工业控制系统安全管理基本控制措施对应表，以满足组织对各级工业控制系统的安全管理需求，为实现对工业控制系统适度、有效的安全管理控制提供参考。GB/T XXXXXXXXX1信息安全技术 工业控制系统安全管理基本要求1范围本标准规定了工业控制系统安全管理基本框架及该框架包含的各关键活动，并提出为实现该安全管理基本框架所需的工业控制系统安全管理基

18、本控制措施，在此基础上，给出了各级工业控制系统安全管理基本控制措施对应表（参见附录A），用于对各级工业控制系统安全管理提出安全管理基本控制要求。本标准适用于非涉及国家秘密的工业控制系统建设、运行、使用、管理等相关方进行工业控制系统安全管理的规划和落实，也可供工业控制系统安全测评与安全检查工作作为参考依据。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 250692010 信息安全技术 术语GB/T 209842007 信息安全技术 信息安全风险评估规范GB/T

19、222392008 信息安全技术 信息系统安全等级保护基本要求GB/T 222402008 信息安全技术 信息系统安全等级保护定级指南GB/T 220802016 信息技术 安全技术 信息安全管理体系要求GB/T 220812016 信息技术 安全技术 信息安全管理实用规则GB/T 30976.12014 工业控制系统信息安全第1部分：评估规范GB/T 30976.22014 工业控制系统信息安全第2部分：验收规范GB/T 329192016 信息安全技术 工业控制系统安全控制应用指南GB/Z 25320.32010 电力系统管理及其信息交换 数据和通信安全3术语和定义GB/T 22080-2

20、016、GB/T 22081-2016、GB/T 25069-2010中界定的以及下列术语和定义适用于本文件。3.1工业控制系统industrial control system工业控制系统（ICS）是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统（SCADA），分布式控制系统（DCS），和其他较小的控制系统，如可编程逻辑控制器（PLC），现已广泛应用在工业部门和关键基础设施中。3.2分布式控制系统distributed control system以计算机为基础，在系统内部（单位内部）对生产过程进行分布控制、集中管理的系统。GB/T XXXXXXXXX2注：DCS系

21、统一般包括现场控制级、控制管理级两个层次，现场控制级主要是对单个子过程进行控制，控制管理级主要是对多个分散的子过程进行数据采集、集中显示、统一调度和管理。3.3监控和数据采集系统supervisory control and data acquisition system在工业生产控制过程中，对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。注：它以计算机为基础、对远程分布运行设备进行监控调度，其主要功能包括数据采集、参数测量和调节、信号报警等。SCADA系统一般由设在控制中心的主终端控制单元（MTU）、通信线路和设备、远程终端单位（RTU）等组成。3.4

22、可编程逻辑控制器programmable logic controller采用可编程存储器，通过数字运算操作对工业生产装备进行控制的电子设备。注：PLC主要执行各类运算、顺序控制、定时等指令，用于控制工业生产装备的动作，是工业控制系统的基础单元。3.5安全控制基线security control baseline安全控制选择过程的起始点和选择基点。注：安全控制基线是为帮助组织选择满足安全需求的、最具成本效益的、适当的安全控制集而制定的最低安全基准线。4缩略语下列缩略语适用于本文件。AC 访问控制（Access Control)AT 教育培训（Awareness and Training)AU

23、审计与问责（Audit and Accountability)CA 安全评估与授权（Security Assessment and Authorization)CM 配置管理（Configuration Management)CP 应急计划（Contingency Planning)DCS 分布式控制系统（Distributed Control System)IA 标识与鉴别（Identification and Authentication)ICS 工业控制系统（Industrial Control System)IR 事件响应（Incident Response)MA 维护（Mainten

24、ance)MP 介质保护（Media Protection)PE 物理与环境安全（Physical and Environmental Protection)PL 规划（Planning)PLC 可编程逻辑控制器（Programmable Logic Controller)PS 人员安全（Personnel Security)RA 风险评估（Risk Assessment)SA 系统与服务获取（System and Services Acquisition)SCADA 数据监控与数据采集系统（Supervisory Control And Data Acquisition)GB/T XXXXX

25、XXXX3SI 系统与信息完整性（System and Information Integrity)5ICS 安全管理基本框架及关键活动5.1ICS 安全管理基本框架工业控制系统（ICS）与传统的信息技术（IT）系统存在的诸多重要差异决定了应在规划和管理ICS信息安全过程中考虑ICS自身的特点。参考传统信息安全管理体系，结合ICS自身特点，将安全性需求整合到ICS中，形成了ICS安全管理基本框架（如图1所示）。该框架在确定ICS安全管理具体意图，理解需求期望并明确ICS体系范围的基础上，将ICS安全管理活动分为顶层承诺、规划评估、资源支持、策略实施、绩效评价、持续改进六个方面。其中，顶层承诺方

26、面需要组织获得管理层的承诺，确定ICS安全管理的方针，明确组织各相关成员在ICS管理活动中的角色和权责；规划评估中组织应确定规划总则，开展ICS安全风险评估和处置，明确目标和实现规划；在资源支持部分组织应保障ICS安全所需的资源，提供能力和意识培训，确定沟通机制并建立文档化制度；策略实施方面组织应规划、实现和控制满足ICS安全管理活动要求的具体过程，定期开展ICS安全风险评估和处置工作；在绩效评价阶段，组织对ICS开展监视、测量、分析和评价，定期开展内部审核和管理评审；持续改进阶段组织应对ICS的安全开展持续监控，在发生ICS安全异常等情况下，开展纠正措施并持续改进。图1 ICS安全管理基本框

27、架为具体实现ICS安全管理基本框架各阶段的安全功能，本标准在第6章给出了ICS安全管理基本框架各阶段所需的基本控制措施，并在附录A中给出了针对不同级别的工业控制系统安全管理要求对应表，用以指导组织根据自身工业控制系统的不同安全级别选择安全管理基本控制措施，并根据工业控制系统安全控制应用指南、安全分级等相关标准，对所选安全管理基本控制措施进行剪裁、选择等操作。5.2顶层承诺5.2.1 管理层承诺组织应依据 GB/T 22080-2016 中 5.1 节中的条款作出针对 ICS 安全的承诺。5.2.2 方针组织应依据GB/T 22080-2016中5.2节中的条款制定适用于ICS安全的方针，此外，

28、还应：a)制定相应的将ICS安全的方针与组织信息安全整体方针保持一致，并作为其有机组成部分。GB/T XXXXXXXXX45.2.3 成立 ICS 安全联合管理团队为确保ICS安全的实施落实，组织应：a)建立跨部门、跨职能的ICS安全联合管理团队；b)该管理团队应至少包括IT人员、控制工程师、控制系统操作员、网络和信息系统安全专家、管理层代表，以及物理安全部门代表；c)最高管理层应确保该团队开展ICS安全管理活动的权利和责任，并提供相应承诺。5.2.5 组织的角色，责任和权限最高管理层应确保与ICS信息安全相关角色的责任和权限得到分配和沟通。最高管理层应分配责任和权限，以：a)确保ICS安全管

29、理基本框架符合本标准的要求；b)向最高管理者报告ICS安全管理基本框架绩效；c)接收联合管理团队的定期汇报。5.3规划评估5.3.1 应对风险和机会的措施5.3.1.1 总则组织应依据 GB/T 22080-2016 中 6.1.1 节中的条款作出针对 ICS 总则，同时还应：a)在总则中加入对于ICS安全运行和维护的期望。5.3.1.2 ICS 信息安全风险评估组织应依据GB/T 22080-2016中6.1.2节中的条款定义并应用针对ICS的风险评估过程，同时还应充分论证风险评估过程对ICS的可用性和稳定性产生的后果，以确保工业生产活动的正常开展。5.3.1.3 ICS 信息安全风险处置组

30、织应依据GB/T 22080-2016中6.1.3节中的条款定义并应用ICS信息安全风险处置过程。5.3.2ICS 信息安全目标及其实现规划组织应依据GB/T 22080-2016中6.2节中的条款建立针对ICS信息安全的目标及其实现规划。5.4资源支持5.4.1资源组织应确定并提供建立、实现、维护和持续改进ICS信息安全管理体系所需的资源。5.4.2能力GB/T 22080-2016中7.2节中的条款适用于本小节。5.4.3意识应定期开展教育培训，并确保在组织控制下工作的人员了解：GB/T XXXXXXXXX5a)ICS信息安全方针；b)其对ICS安全管理基本框架有效性的贡献，包括改进ICS

31、信息安全绩效带来的益处；c)不符合ICS安全管理基本框架要求带来的影响。5.4.4沟通GB/T 22080-2016中7.4节中的条款适用于本小节。5.5策略实施5.5.1 运行规划和控制组织应依据GB/T 22080-2016中8.1节中的条款开展针对ICS信息安全的运行规划和控制工作，同时还应：a)在针对ICS实施安全控制措施前，详细评估该安全控制对ICS可能造成的危害；b)在具体实施安全控制措施前，应获得安全控制措施授权。5.5.2 ICS 信息安全风险评估组织应依据GB/T 22080-2016中8.1节中的条款开展针对ICS信息安全的风险评估工作。在风险评估过程中，依据GB/T 32

32、919-2016附录A中的内容，充分考虑ICS与传统信息系统的差异性。5.5.3 ICS 信息安全风险处置GB/T 22080-2016中8.3节中的条款适用于本小节，并依据ICS特点开展风险处置。5.6绩效评价5.6.1 监视、测量、分析和评价GB/T 22080-2016中9.1节中的条款适用于本小节，同时还应持续监控已实施的安全控制措施，识别安全违规事件，检测ICS中的安全异常事件的发生。5.6.2内部审核GB/T 22080-2016中9.2节中的条款适用于本小节，并依据ICS特点开展内部审核。5.6.3 管理评审GB/T 22080-2016中9.3节中的条款适用于本小节，并依据IC

33、S特点开展管理评审。5.7持续改进5.7.1 不符合及纠正措施GB/T 22080-2016中10.1节中的条款适用于本小节，并依据ICS特点开展措施。5.7.2 持续改进GB/T XXXXXXXXX6组织应持续改进ICS安全管理基本框架的适宜性、充分性和有效性，并在ICS生产业务或系统安全防护发生重大变更时向联合管理团队和最高管理层汇报。6ICS 安全管理基本控制措施6.1安全控制措施分类本标准从管理制度、运维管理和技术管理三方面给出安全控制，共十六个安全控制族，其对照关系如表1所示：表 1安全控制分类表族标识符族标识符安全控制族安全控制族安全控制类安全控制类CA安全评估和授权（Securi

34、ty Assessment and Authorization）管理制度SA系统与服务获取（System and Services Acquisition）管理制度PL规划（Planning）管理制度RA风险评估（Risk Assessment）管理制度PS人员安全（Personnel Security）运维管理CP应急规划（Contingency Planning）运维管理PE物理与环境安全（Physical and Environmental Protection）运维管理CM配置管理（Configuration Management）运维管理SI系统与信息完整性（System and I

35、nformation Integrity）运维管理MP介质保护（Media Protection）运维管理IR事件响应（Incident Response）运维管理AT意识和培训（Awareness and Training）运维管理MA维护（Maintenance）运维管理AC访问控制（Access Control）技术管理AU审计和可核查性（Audit and Accountability）技术管理IA标识和鉴别（Identification and Authentication）技术管理6.2安全评估和授权（CA）6.2.1安全评估和授权方针策略及规程（CA-1）本项要求包括：a)应制定

36、并发布安全评估和授权策略及规程方针策略，内容至少应包括：目的、范围、角色、责任、管理层承诺、相关部门间的协调和合规性；b)应制定并发布安全评估和授权方针策略及规程，以推动安全评估和授权策略及与相关安全控制的实施；c)应定期对安全评估与授权策略和规程进行评审和更新。6.2.2安全评估（CA-2）本项要求包括：GB/T XXXXXXXXX7a)应制定安全评估计划。该评估计划应包括：应评估的安全控制措施；判定安全措施有效性的评估流程；评估环境、队伍、角色及责任；b)应定期对ICS采取的安全措施实施的正确性、有效性进行评估，并判断是否满足相关安全需求；c)应根据评估结果生成评估报告，并向相关人员报告评

37、估结果；d)应授权独立且具有评审资质的机构进行评估，并确保评估不干扰ICS运行和功能；e)应确保评估人员充分了解信息安全相关方针策略和规程，ICS的安全方针策略和规程，以及特定的设备和/或工艺相关的具体的安全、环境风险；f)对于不能直接采取在线评估的ICS，应采取离线评估或在复制系统中进行。6.2.3ICS 连接管理（CA-3）本项要求包括：a)应制定ICS互联安全规定，授权ICS与外部其他信息系统进行连接；b)应对ICS与外部其他工业控制系统连接的接口特征、安全要求、通信信息特性等内容进行记录；c)应定期评审ICS与外部的连接情况，以验证ICS连接是否符合规定要求；d)应阻止把未分保密等级的

38、国家安全系统直接连接到外部网络；e)应阻止把具有保密等级的国家安全系统直接连接到外部网络。6.2.4行动计划与时间节点（CA-4）本项要求包括：a)制定行动计划和时间节点，在其中记录下拟采取的整改行动，以改正在安全控制措施评估中发现的弱点和不足，减少或消除系统中的已知漏洞；b)根据安全评估、后果分析和持续监控的情况，每季度至少更新1次现有的行动计划和时间节点；c)组织应使用有助于实施计划准确、适时和到时可用的自动化机制。6.2.5安全授权（CA-5）本项要求包括：a)应指定一位高层管理人员作为ICS的授权责任人；b)ICS未经授权责任人正式授权，不得投入运行；c)应对ICS定期或发生重大变更时

39、，重新进行安全授权；d)应识别并定期评审反应组织机构信息保护需要的保密性或不泄露协议的要求；e)开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。6.2.6持续监控（CA-6）本项要求包括：a)应制定持续的监控策略，并实施持续的监控计划，计划内容包括：被监控的目标、监控的频率、以及对监控进行评估的频率；b)应使用独立评估人员或评估组织，在持续的基础上来监视工业控制系统的安全控制；c)组织应定期规划、安排并进行评估，公开或不公开该评估信息，以便确保符合所有脆弱性缓解过程；GB/T XXXXXXXXX8c)应根据组织的连续监控策略，实施安全控制评估；d)应根据组织的连续监控战略，对

40、组织已确定的度量指标，进行安全状态监控；e)应对评估和监控产生的安全相关信息进行关联和分析，并根据分析结果，采取相应的响应措施；f)应定期向相关人员报告信息系统安全状态。6.2.7渗透测试（CA-7）本项要求包括：a)应定期对ICS进行渗透测试，要明确渗透测试的频率与目标；b)组织应聘请专业的第三方渗透组织或团队对ICS开展渗透测试；c)对ICS系统渗透测试，应在ICS系统非在线状态或在复制系统中进行。6.2.8内部系统的连接（CA-8）本项要求包括：a)应授权组织定义的ICS系统或组件连接到内部信息系统；b)应为每个内部连接建立文件，包括连接的接口特性，安全性要求，和传输信息的性质；c)在建

41、立内部连接前，在ICS系统或组件上执行安全合规性检查。6.3系统和服务获取（SA）6.3.1系统及服务获取的方针策略及规程（SA-1）本项要求包括：a)应制定并发布系统服务及获取的方针策略，内容至少应包括：目的、范围、角色、责任、管理层承诺、相关部门的协调及合规性；b)应制定并发布系统服务及获取的规程，以推动系统服务及获取的方针策略及与相关安全控制的实施；c)应定期对系统服务及获取的方针策略及规程进行评审和更新。6.3.2资源配置（SA-2）本项要求包括：a)应在业务过程规划中明确提出ICS或系统服务的安全需求；b)应明确、配置保护信息系统及相关服务所需的资源，形成相关文档并将其作为资本计划和

42、投资管理过程的组成部分；c)应在组织的工作计划和预算文件中应考虑信息安全。6.3.3系统开发生命周期（SA-3）本项要求包括：a)应在ICS的开发生命周期内实施全生命周期的安全管理，并将信息安全风险管理过程集成到ICS的开发生命周期活动中；GB/T XXXXXXXXX9b)应明确ICS开发生命周期内的信息安全角色及责任，并明确相应的责任人；c)应在ICS开发的各阶段应用安全工程原则。6.3.4采购过程（SA-4）本项要求包括：a)在ICS采购合同中，应明确描述系统的预期运行环境、开发环境及验收标准，并提出系统的安全功能、安全增强、安全保障及安全文档需求；b)采购合同内容应遵守相关的法律、法规、

43、规章、标准或指南；c)组织应要求供应商或合同方在文档中提供描述该ICS及其部件和服务中所使用的那些安全控制之功能特性信息，而这些信息应当是相当详细的，以至于可对安全控制进行分析和测试；d)组织应要求供应商或合同方在文档中提供描述该ICS及其部件和服务中所使用的那些安全控制的设计和实现的详细信息，以至于可对安全控制进行分析和测试；e)组织应要求软件供应商或制造方证实他们的软件开发过程使用了安全的工程方法、质量控制过程和确认技术，使软件弱点和恶意最小化；f)组织应限制获取市场上具有安全能力的信息技术产品，对于这样的产品应对其进行评估和确认；g)组织应确保所获取的每一个部件显式地分配给一个ICS，并

44、且系统拥有者承认该分配；h)组织应要求获取文档中的ICS部件，以安全和规定的配置方式予以交付，并且该安全配置对任何软件重新安装或调整均是默认的配置；i)组织应限制在市场上获取的现成信息技术产品，是那些已通过国家安全相关部门评估的产品，具有信息保障和能使达到保障管治的现成信息技术；j)为了保护公共发布的信息，免遭恶意的干扰或破坏，并确保它的可用性，组织应确保使用了市场上具有基本的信息保障能力的信息技术产品；k)当信息向公共网传输时，或当信息对那些未被授权访问ICS中所有信息的个体是可访问的时候，为了保护受控的非机密信息，组织应确保使用市场上基本信息保障能力的信息技术产品；l)当使用的网络在比该网

45、络较低的机密层上来传输该信息时，为了保护国家机密的安全信息，仅使用市场上高信息安全保障能力的信息技术产品；确保高信息安全保障能力的信息技术产品已通过国家安全相关部门的评估和确认。6.3.5ICS 信息系统文档（SA-5）本项要求包括：a)应提供描述系统、组件或服务的管理员文档，文档应包括：系统、组件、服务及安全功能的安装、配置、使用、管理及运行维护信息以及系统管理员功能相关的脆弱性；b)应提供描述系统、组件或服务的用户文档，文档应包括：用户可访问的安全功能描述及其有效使用方法；用户对系统、组件或服务的安全使用方法及安全维护责任；c)当文档或是不可用时或不存在时，记录企图要获得的ICS文档；d)

46、当需要时，获取并保护描述ICS中所使用的安全控制的功能特性的文档，该文档具有充分的详细程度，允许对其中功能特性进行分析和测试，从而使文档对授权人员、供应商、制造者是可用的；e)当需要时，获取并保护描述了ICS与安全有关的外部接口的文档，该文档具有充分的详细程度，允许对其中外部接口进行分析和测试，从而使文档对授权人员、供应商、制造者是可用的；GB/T XXXXXXXXX10f)当需要时，获取并保护以子系统以及安全控制的实现细节来描述ICS高层设计的文档，并具有充分的详细程度，允许对其中的子系统和实现细节进行分析和测试，从而使文档对授权人员、供应商、制造者是可用的；g)当需要时，获取并保护描述了I

47、CS与安全有关外部接口的文档，该文档具有充分的详细程度，允许对其中外部接口进行分析和测试，从而使文档对授权人员、供应商、制造者是可用的；h)当需要时，获取和保护ICS的源码，并对授权人员是可用的，允许进行分析和测试；i)应基于风险管理策略要求对ICS文档进行保护；j)ICS文档应分发到指定的角色或个人。6.3.6外部 ICS 服务（SA-6）本项要求包括：a)外部ICS服务的提供商应遵从组织的信息安全策略要求、采用组织规定的安全控制措施，并遵守相关的法律、法规、规章、标准和指南；b)明确与外部ICS服务相关的安全角色和责任，并形成文档；c)应采用规定的过程、方法和技术，对外部服务提供商所提供的

48、安全控制措施的合规性进行持续监控；d)在获取指定的ICS安全服务前，进行组织层面上的风险评估；e)确保获取的指定ICS安全服务，得到高层领导的批准；f)应管理服务提供的变更，包括保持和改进现有的ICS信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的再评估。6.3.7开发者配置管理（SA-7）本项要求信息系统、系统组件及系统服务的开发者:a)应在系统、组件或服务的设计、开发、实现和运行的过程中实施配置、变更管理，并形成相关文档；b)信息系统的变更应经过批准，考虑系统、组件及服务变更的安全影响并形成文档；c)应跟踪系统、组件及服务的安全缺陷及应对措施；d)组织要求ICS开

49、发人员和集成人员提供软件的完整性检测，以便在软件交付后，支持组织进行软件完整性验证；e)在开发人员和集成人员指定的配置管理项缺少的情况下，组织为相关人员提供可选的配置管理过程。6.3.8开发者安全测评（SA-8）本项要求信息系统、系统组件及系统服务的开发者：a)应制订并实施安全评估计划，针对相关的功能属性、外部可见接口、顶层设计、底层设计、系统硬件、源代码等进行安全测评；b)应对ICS、系统组件及系统服务实施测试与评估（单元、集成、系统或回归测试），形成安全测评报告；c)应对安全测评过程中发现的系统漏洞进行更正；GB/T XXXXXXXXX11d)组织应要求系统开发人员和集成人员使用代码分析工

50、具检查软件中的公共漏洞，并建立分析结果文档；e)组织应要求系统开发人员和集成人员执行脆弱性分析，建立脆弱性、利用可能性以及风险缓解文档；f)组织应要求ICS开发人员和集成人员依据独立验证和确认代理的证据，创建并实现一个安全测试和评估计划。6.3.9供应链保护（SA-9）本项要求包括：a)应将供应链安全作为综合信息安全防护战略的组成部分，以防ICS、系统组件与ICS服务遭受供应链安全所造成威胁；b)组织应使用匿名的获取过程；c)组织应购置初始获取中所有ICS部件以及相关附件；d)对要获取的硬件、软件、固件或服务，在编入合同协议之前，组织应对供应方进行认真的评审；e)有关ICS、ICS部件以及信息