GB/T 36324-2018信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T36324—2018

信息安全技術(shù)

工業(yè)控制系統(tǒng)信息安全分級規(guī)范

Informationsecuritytechnology—

Informationsecurityclassificationspecificationsofindustrialcontrolsystems

2018-06-07發(fā)布2019-10-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T36324—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………2

工業(yè)控制系統(tǒng)概述

4………………………2

工業(yè)控制系統(tǒng)基本構(gòu)成

4.1……………2

工業(yè)控制系統(tǒng)定級對象

4.2……………3

工業(yè)控制系統(tǒng)信息安全等級劃分規(guī)則

5…………………3

工業(yè)控制系統(tǒng)信息安全等級劃分模型

5.1……………3

工業(yè)控制系統(tǒng)信息安全定級要素

5.2…………………5

工業(yè)控制系統(tǒng)信息安全等級特征

5.3…………………10

工業(yè)控制系統(tǒng)信息安全等級定級方法

6…………………11

工業(yè)控制系統(tǒng)信息安全定級流程

6.1…………………11

確定工業(yè)控制系統(tǒng)定級對象

6.2………………………12

確定工業(yè)控制系統(tǒng)資產(chǎn)重要程度

6.3…………………14

確定受侵害后的潛在影響程度

6.4……………………14

確定需抵御的信息安全威脅程度

6.5…………………20

確定工業(yè)控制系統(tǒng)信息安全等級

6.6…………………22

附錄規(guī)范性附錄有關(guān)生產(chǎn)安全事故和突發(fā)環(huán)境事件分級

A()………23

參考文獻(xiàn)

……………………25

Ⅰ

GB/T36324—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京江南天安科技有限公司中國電子技術(shù)標(biāo)準(zhǔn)化研究院全球能源互聯(lián)網(wǎng)研究

:、、

院有限公司上海三零衛(wèi)士信息安全有限公司網(wǎng)神信息技術(shù)北京股份有限公司

、、()。

本標(biāo)準(zhǔn)主要起草人陳冠直鄧冬柏范科峰高昆侖周?？道盍樟簽t程鵬張翀斌堯相振

:、、、、、、、、、、

龔潔中李航

、。

Ⅲ

GB/T36324—2018

引言

工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全為加強(qiáng)工業(yè)控制系

、,

統(tǒng)信息安全管理對工業(yè)控制系統(tǒng)信息安全采取等級化管理本標(biāo)準(zhǔn)規(guī)定了基于風(fēng)險(xiǎn)評估的工業(yè)控制

,。

系統(tǒng)信息安全等級劃分規(guī)則和定級方法提出了等級劃分模型和定級要素包括工業(yè)控制系統(tǒng)資產(chǎn)重要

,,

程度存在的潛在風(fēng)險(xiǎn)影響程度和需抵御的信息安全威脅程度并提出了對工業(yè)控制系統(tǒng)信息安全劃分

、,

四個(gè)等級的特征

。

本標(biāo)準(zhǔn)第章工業(yè)控制系統(tǒng)概述描述了工業(yè)控制系統(tǒng)基本構(gòu)成工業(yè)控制系統(tǒng)定級對象第章

4,,;5

工業(yè)控制系統(tǒng)信息安全等級劃分規(guī)則規(guī)定了工業(yè)控制系統(tǒng)信息安全等級劃分模型工業(yè)控制系統(tǒng)信息

,,

安全定級要素工業(yè)控制系統(tǒng)信息安全等級特征第章工業(yè)控制系統(tǒng)信息安全定級方法提出了工業(yè)

,;6,

控制系統(tǒng)信息安全定級流程陳述了確定工業(yè)控制系統(tǒng)定級對象確定工業(yè)控制系統(tǒng)資產(chǎn)重要程度確

,、、

定受侵害后的潛在影響程度確定需抵御的信息安全威脅程度確定工業(yè)控制系統(tǒng)信息安全等級附錄

、、;A

說明了有關(guān)生產(chǎn)安全事故和突發(fā)環(huán)境事件分級

。

在中為清晰表示工業(yè)控制系統(tǒng)每一個(gè)信息安全等級比較低一級安全等級的安全技術(shù)要求的

5.3,

增加和增強(qiáng)每一級的新增部分用宋體加粗字表示

,“”。

Ⅳ

GB/T36324—2018

信息安全技術(shù)

工業(yè)控制系統(tǒng)信息安全分級規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了基于風(fēng)險(xiǎn)評估的工業(yè)控制系統(tǒng)信息安全等級劃分規(guī)則和定級方法提出了等級劃分

,

模型和定級要素包括工業(yè)控制系統(tǒng)資產(chǎn)重要程度存在的潛在風(fēng)險(xiǎn)影響程度和需抵御的信息安全威脅

,、

程度并提出了工業(yè)控制系統(tǒng)信息安全四個(gè)等級的特征

,。

本標(biāo)準(zhǔn)適用于工業(yè)生產(chǎn)企業(yè)以及相關(guān)行政管理部門為工業(yè)控制系統(tǒng)信息安全等級的劃分提供指

,

導(dǎo)為工業(yè)控制系統(tǒng)信息安全的規(guī)劃設(shè)計(jì)運(yùn)維以及評估和管理提供依據(jù)

,、、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2016

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

GB/T31722—2015

生產(chǎn)安全事故報(bào)告和調(diào)查處理?xiàng)l例國務(wù)院第號令

493

突發(fā)環(huán)境事件信息報(bào)告辦法環(huán)境保護(hù)部令第號

17

3術(shù)語和定義縮略語

、

31術(shù)語和定義

.

界定的以及下列術(shù)語和定義適用于本文件

GB/T22080—2016。

311

..

信息安全風(fēng)險(xiǎn)informationsecurityrisk

特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害