![点击分享此内容可以赚币 分享](/master/images/share_but.png)
DB32∕T 2765-2015 工业控制系统信息安全管理监督检查工作规范.pdf
《DB32∕T 2765-2015 工业控制系统信息安全管理监督检查工作规范.pdf》由会员分享,可在线阅读,更多相关《DB32∕T 2765-2015 工业控制系统信息安全管理监督检查工作规范.pdf(31页珍藏版)》请在咨信网上搜索。
1、 ICS 25.040 L 70 备案号:46298-2015 江苏省地方标准 DB32 DB32/T 2765-2015 工业控制系统信息安全管理监督检查工作规范 Supervision and inspection specification for information security management of industrial control systems 2015-06-15 发布 2015-08-15 实施 江苏省质量技术监督局 发布 DB32/T 2765-2015 I 目 次 前 言. II 引 言. III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和
2、定义 . 1 4 符号和缩略语 . 1 5 总则 . 2 5.1 监督检查对象 . 2 5.2 监督检查目的 . 2 5.3 监督检查形式 . 2 5.4 监督检查方法 . 2 5.5 监督检查原则 . 3 6 监督检查流程 . 3 6.1 前期准备. 4 6.2 现场检查. 5 6.3 后期分析. 6 6.4 报告编制. 7 6.5 安全整改. 7 6.6 结束 . 7 7 监督检查内容 . 7 7.1 组织制度管理 . 7 7.2 连接管理. 10 7.3 组网管理. 12 7.4 配置管理. 13 7.5 设备选择与运维管理 . 15 7.6 数据管理. 16 7.7 物理环境管理 .
3、17 附 录 A (规范性附录) 工业控制系统信息安全管理监督检查表及结果分析方法 . 22 A.1 监督检查表. 22 A.2 结果分析方法 . 27 DB32/T 2765-2015 II 前 言 本规范依据 GB/T 1.1-2009标准化工作导则 第 1 部分:标准的结构和编写编写。 本标准附录 A 是规范性附录。 本规范由江苏省经济和信息化委员会提出并归口。 本规范起草单位: 江苏省电子信息产品质量监督检验研究院 (江苏省信息安全测评中心) 。 本规范起草人:黄申、吴兰、张腾标、李国琴、程恺、王坤、赵川、赵兆。 DB32/T 2765-2015 III 引 言 工业控制系统广泛应用于
4、工业生产、电力设施、水利油气、交通运输和市政等领域,用以控制生产设备的运行。随着计算机和网络技术的发展,特别是我国信息化与工业化深度融合工作的不断推进,以及物联网等新一代信息技术的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题随之日益突出,如何保障工业控制系统信息安全已经成为国家战略问题。 工业控制系统信息安全管理监督检查是帮助各重点领域工业控制系统运营、管理、维护和使用等部门充分认识工业控制系统信息安全重要性和紧迫性的重要手段,是切实加强工业控制系统信息安全管理保障工作的
5、基础和重要环节。 DB32/T 2765-2015 1 工业控制系统信息安全管理监督检查工作规范 1 范围 本标准规定了工业控制系统信息安全管理监督检查工作的术语和定义、 检查对象、 检查目的、检查形式、检查方法、检查原则、检查流程和检查内容。 本标准适用于规范工业控制系统的运营、使用、维护、管理等部门开展的工业控制系统信息安全管理监督检查工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的, 凡是注日期的引用文件, 仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 26333 工业控制网络安全风险评估规范 GB/T 268
6、02.1 工业控制计算机系统 通用规范 第 1 部分:通用要求 GB/T 30976.1 工业控制系统信息安全 第 1 部分:评估规范 GB/T 30976.2 工业控制系统信息安全 第 2 部分:验收规范 DB32/T 2289 重点领域工业控制系统信息安全保护基本要求 3 术语和定义 GB/T 26333 和 DB32/T 2289 界定的及下列术语和定义适用于本标准。 3.1 工业控制系统 industrial control systems 在工业和关键基础设施领域,采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术监测和控制生产设备运行的控制系统,包括监控和数据采集(SCA
7、DA)系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)等。 3.2 工 业 控 制 系 统 信 息 安 全 管 理 监 督 检 查 information security management supervision and inspection in industrial control systems 工业控制系统的运营、使用、维护、管理等部门依据国家相关政策法规、信息安全技术和管理标准, 依法对重点领域工业控制系统的信息安全管理进行监督检查, 并对其监督检查结果依法进行处理的活动。 3.3 强反馈 strong feedback 电子信息系统自身不具备直接操控工业控制系统的能
8、力, 但其传递的数据会导致工业控制系统发生重大调整和变化,从而可能间接控制工业控制系统的能力。 4 符号和缩略语 DB32/T 2765-2015 2 SCADA 监控和数据采集(Supervisory Control and Data Acquisition ) DCS 分布式控制系统(Distributed Control System) PLC 可编程逻辑控制器(Programmable Logic Controller) IT 信息技术(Information Technology) SNMP 简单网络管理协议(Simple Network Management Protocol) V
9、PN 虚拟专用网(Virtual Private Network) 5 总则 5.1 监督检查对象 江苏省行政区域内各重点领域工业控制系统,主要包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统, 但不包括涉及国家秘密的工业控制系统。 5.2 监督检查目的 工业控制系统信息安全管理监督检查的目的通常包括以下几个方面: 规范重点领域工业控制系统信息安全管理的监督检查工作, 保障工业控制系统的安全、稳定运行; 指导监督检查方和被检查方开展工业控制系统信息安全管理监督检查工作, 提
10、升监督检查的质量和效率; 帮助重点领域工业控制系统的运营、使用、维护、管理等相关部门充分认识工业控制系统信息安全管理的重要性和紧迫性,增强风险意识和责任意识; 准确了解重点领域工业控制系统的信息安全管理现状和可能存在的安全威胁; 明确重点领域工业控制系统的信息安全管理需求,制定安全策略和安全解决方案; 通过监督检查工作的实施,着力培养专业的工业控制系统安全队伍和专业人才。 5.3 监督检查形式 5.3.1 自查 各重点领域工业控制系统主管单位依据工业控制系统信息安全管理监督检查工作规范及其他信息安全技术和管理规范, 对运维或使用工业控制系统的下属单位、 内设机构自行组织实施的监督检查活动。 自
11、查是保障工业控制系统信息安全的基础。 通过对本单位工业控制系统信息安全管理情况开展自查, 了解和掌握工业控制系统的信息安全管理现状及存在的安全隐患, 督促被检查方落实安全整改和加固措施,切实加强和保障工业控制系统的信息安全管理工作。 5.3.2 抽查 省、市信息化主管部门联合行业主管部门或监管部门、国有资产监督管理部门等单位,依据工业控制系统信息安全管理监督检查工作规范及其他信息安全技术和管理规范, 对各自行政区域内重点领域工业控制系统的主管、运维或使用单位共同组织实施的监督检查活动,旨在监督检查各重点领域工业控制系统主管、 运维或使用单位是否已开展自查, 工业控制系统信息安全管理基本措施落实
12、情况,工业控制系统关键领域或关键点是否存在重大安全隐患,以及其信息安全风险是否在可接受的范围内。 5.4 监督检查方法 DB32/T 2765-2015 3 监督检查方法是监督检查人员在工业控制系统信息安全管理监督检查工作过程中以获取检查证据或检查结果所使用的方法,主要包括人员访谈、人工查验和技术测试等方法。 人员访谈是监督检查人员通过引导工业控制系统相关人员进行有目的和有针对性的交流以帮助其理解、 分析和获取检查证据或结果的过程。 人工查验是监督检查人员在监督检查过程中采取文档查阅、现场观察、实地查验、设备配置核查等方式分析、评估和掌握工业控制系统安全属性的过程。 技术测试是监督检查人员使用
13、专业成熟的测试工具、 技术手段和操作方法,对工业控制系统进行扫描、测试以验证其安全状况的过程。 5.5 监督检查原则 为保证监督检查的质量和检查结果的客观性、 准确性, 工业控制系统信息安全管理监督检查工作遵循以下原则: 5.5.1 可控性原则 在监督检查的实施过程中, 主要从人员可控性、 工具可控性和过程可控性三个方面对监督检查工作进行监管,以确保整个监督检查工作过程的可控性。 监督检查的所有实施人员应经过严格的身份背景、 专业资格和资质审查, 具备相关领域的学习或工作经历、专业知识和技能,签署保密协议,确保人员可控。 监督检查实施过程中使用的专业工具应经过相关部门的认证和认可,确保工具可控
14、。 监督检查的实施应具有相应的过程控制规程和质量保证要求,确保过程可控。 5.5.2 保密性原则 监督检查实施人员均应签署保密协议, 对监督检查工作中产生的过程数据和结果数据严格保密,未经授权不得泄露和利用。 5.5.3 整体性原则 在监督检查的实施过程中, 严格按照与被检查方约定的监督检查范围和检查内容进行全面检查,避免由于遗漏或越界检查造成潜在的安全隐患。 5.5.4 最小影响原则 从管理层面和技术工具层面, 将监督检查工作对被检查方的工业控制系统和网络的正常运行可能造成的影响或干扰,降至最低。 6 监督检查流程 工业控制系统信息安全管理监督检查的实施流程如图1所示。 DB32/T 276
15、5-2015 4 图 1 工业控制系统信息安全管理监督检查流程 6.1 前期准备 前期准备是整个工业控制系统信息安全管理监督检查过程有效性的前提和保证。因此,在监督检查活动正式实施前,应: a) 确定监督检查的目标; b) 确定监督检查的范围; c) 组建监督检查管理与实施团队; d) 开展前期系统调研; e) 明确监督检查依据; f) 制定监督检查方案; g) 获得最高管理者对监督检查工作的支持。 6.1.1 确定目标 在满足和保障组织业务稳定持续发展的前提下, 明确其在工业控制系统信息安全管理方面的需求、 法律法规的符合性等内容, 识别现有工业控制系统信息安全管理上的不足或存在的安全威胁,
16、以及可能造成的影响或危害。 6.1.2 确定范围 工业控制系统信息安全管理监督检查范围可以是组织全部的信息及与信息处理相关的各类资产、管理机构,也可以是某个独立的工业控制系统、关键业务流程、与工业控制系统相关的系统或部门等。 6.1.3 组建团队 监督检查实施团队,由管理层、相关业务骨干、IT 技术工程师等人员组成监督检查实施小组,设立项目负责人一名。必要时,可组建由监督检查方、被检查方领导和相关部门负DB32/T 2765-2015 5 责人参加的监督检查领导小组,或聘请相关专业的技术专家和技术骨干组成专家小组。 监督检查实施团队应做好评估前的表格、文档、检测工具等各项准备工作,开展工业控制
17、系统检查实施工作的技术培训和保密教育, 制定监督检查实施过程管理的相关规定。 可根据被检查方要求,双方签署保密合同,或适情签署个人保密协议。 6.1.4 系统调研 系统调研是确定具体被检查对象的过程。 监督检查小组应进行充分的系统调研, 为监督检查依据和方法的选择、检查内容的实施奠定基础。调研内容至少应包括: a) 主要业务功能、业务范围和业务流程; b) 网络结构与网络区域划分,包括内部连接和外部连接; c) 系统边界,与其他系统的连接情况; d) 主要的软、硬件资产; e) 系统和数据的敏感性; f) 维护和使用系统的人员; g) 管理制度、操作规程等文档。 系统调研采取问卷调查为主、 现
18、场访谈为辅的方式进行, 在问卷调查不能完全达到系统调研目的的情况下, 可结合现场访谈的方式进行。 调查问卷是提供一套关于系统资产或管理相关的表格, 供被检查方的系统技术或管理人员填写; 现场访谈则是由监督检查人员到现场观察、了解并收集系统在物理、环境和操作等方面的相关信息。 6.1.5 确定依据 根据前期的系统调研结果, 并依据业务实施对系统安全运行的需求, 确定监督检查的依据和方法,使之能够与组织的环境和安全要求相适应。监督检查依据包括(但不仅限于): a) 国家法律、法规及有关规定; b) 现有国际标准、国家标准、行业标准、地方标准和按规定程序备案的企业标准等; c) 行业主管部门针对业务
19、系统制定的要求和规定; d) 系统的安全保护等级要求; e) 系统互联单位的安全要求; f) 系统本身的实时性或性能要求等。 6.1.6 制定方案 制定监督检查方案的目的是为后期的监督检查实施活动提供一个总体计划, 用于指导监督检查实施小组开展后续的检查工作。监督检查方案的内容一般包括(但不仅限于): a) 安全检查计划:监督检查各阶段的具体检查计划,包括检查目标、检查内容、检查范围、检查形式、检查交付成果等内容; b) 实施团队组织:包括监督检查团队成员组成、成员角色与定义、成员职责等内容; c) 时间进度安排:监督检查工作实施的时间进度安排。 6.1.7 获得支持 在确定上述内容的基础上,
20、 应形成科学合理和较为完整的监督检查实施方案, 并得到组织最高管理者的支持和批准; 及时向监督检查实施小组内的所有人员进行传达, 明确相关人员在监督检查实施过程中的任务和责任,并就监督检查的相关内容开展培训和保密教育。 6.2 现场检查 6.2.1 首次会议 DB32/T 2765-2015 6 在现场检查正式实施前, 检查实施方与被检查方应共同召开本次监督检查工作的首次会议,参会人员应包括: a) 被检查方的管理层领导或负责人; b) 双方的项目负责人; c) 监督检查实施小组的所有成员; d) 被检查方相关部门的中层领导或负责人; e) 系统使用和维护人员等。 在首次会议上, 被检查方的管
21、理层领导或负责人应明确表示对本次监督检查工作的大力支持, 以确保监督检查工作的参与人员在检查实施过程中全力配合, 从而保证监督检查实施的质量和效果,确保监督检查工作的顺利开展。 在首次会议上, 监督检查方的项目负责人根据前期所确定的检查实施方案, 介绍监督检查工作的大体流程、检查的目的与范围、检查工作的实施方法、工作交付成果等信息,与被检查方确认检查实施时间和检查计划、 人员配合与沟通渠道, 并向被检查方提供询问的机会,使与会人员能够对即将开始的监督检查工作有一个清晰、全面的认识。 首次会议结束后, 被检查方的与会相关领导或负责人应及时将首次会议的主要内容有效传达给相关部门和人员。 6.2.2
22、 检查实施 在现场检查的实施过程中,结合人员访谈、 现场观察、实地查验、 配置核查、 文档审查、工具扫描等方式, 监督检查人员应按照附录 A 的检查内容和检查条款进行逐项检查, 对照被检查工业控制系统的实际安全状况如实、准确填写检查结果,形成检查结果原始记录,为后续的结果分析做准备。 监督检查实施的具体内容和实施要求详见本标准第 6 部分。 6.2.3 过程控制 监督检查实施小组成员应严格按照监督检查方案和实施计划开展现场检查工作。必要时,为了更好地达到检查目的或适应实际环境变化的需求,可适当调整检查计划,及时告知并与双方相关人员进行商榷,直到得到相关人员的认同。 监督检查项目负责人应及时与被
23、检查方的相关人员交换意见, 对已收集获取的检查证据进行确认。对于被检查方存有异议的检查结果,应采取检查核对的方法进行再次确认。当收集到的检查证据不能达到检查目的时, 应及时向被检查方报告理由, 并商定相应的解决措施,包括调整检查计划,以及改变检查目的、检查范围等。 6.2.4 末次会议 在完成现场检查实施后,检查方与被检查方应共同召开本次监督检查工作的末次会议,除参与首次会议的各方人员外, 与会人员还包括监督检查实施过程中被访谈对象、 被调查对象以及其他相关参与人员。 在末次会议上, 监督检查方的项目负责人根据现场检查的实施情况, 向被检查方报告监督检查中发现的具体问题和整体检查结果。 6.3
24、 后期分析 检查方应根据现场收集获取的信息和检查结果原始记录, 对被检查工业控制系统的实际安全管理情况进行梳理和汇总,分析被检查工业控制系统面临的安全威胁和安全风险情况,评估其是否存在严重安全隐患, 根据检查分析评估结果形成检查结论。 在对工业控制系统的检查证据和结果进行分析评估时, 应按照附录 A 的结果分析方法对被检查工业控制系统的风DB32/T 2765-2015 7 险情况进行分析与评估。 6.4 报告编制 检查方应在规定时间内编制完成监督检查报告, 反馈给被检查方。 对监督检查过程中发现的共性问题,监督检查机构应及时通报行业主管部门,并协助其开展信息安全管理咨询、业务培训及安全整改工
25、作。 工业控制系统信息安全管理监督检查报告应清晰、 准确、 客观地给出监督检查的实施情况、检查结果和相关内容,说明被检查工业控制系统存在的安全隐患和缺陷,并给出改进建议。 工业控制系统信息安全管理监督检查报告至少应包含以下内容: 检查系统名称; 系统主管部门; 检查时间和地点; 监督检查依据; 监督检查结论; 报告编制人; 报告审核人; 报告批准人; 检查结果汇总表; 安全整改建议; 检查实施机构的公章。 工业控制系统信息安全管理监督检查报告应附封面, 封面注明报告标题、 统一的报告编号、检查系统名称、系统主管部门和检查实施机构。 6.5 安全整改 工业控制系统经检查发现存在安全隐患的, 其主
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB32T 2765-2015 工业控制系统信息安全管理监督检查工作规范 DB32 2765 2015 工业 控制系统 信息 安全管理 监督 检查 工作 规范
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【sp****10】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【sp****10】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。