GB/T 36324-2018信息安全技術工業(yè)控制系統(tǒng)信息安全分級規(guī)范

ICS35040

L80.

中華人民共和國國家標準

GB/T36324—2018

信息安全技術

工業(yè)控制系統(tǒng)信息安全分級規(guī)范

Informationsecuritytechnology—

Informationsecurityclassificationspecificationsofindustrialcontrolsystems

2018-06-07發(fā)布2019-10-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T36324—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………2

工業(yè)控制系統(tǒng)概述

4………………………2

工業(yè)控制系統(tǒng)基本構成

4.1……………2

工業(yè)控制系統(tǒng)定級對象

4.2……………3

工業(yè)控制系統(tǒng)信息安全等級劃分規(guī)則

5…………………3

工業(yè)控制系統(tǒng)信息安全等級劃分模型

5.1……………3

工業(yè)控制系統(tǒng)信息安全定級要素

5.2…………………5

工業(yè)控制系統(tǒng)信息安全等級特征

5.3…………………10

工業(yè)控制系統(tǒng)信息安全等級定級方法

6…………………11

工業(yè)控制系統(tǒng)信息安全定級流程

6.1…………………11

確定工業(yè)控制系統(tǒng)定級對象

6.2………………………12

確定工業(yè)控制系統(tǒng)資產(chǎn)重要程度

6.3…………………14

確定受侵害后的潛在影響程度

6.4……………………14

確定需抵御的信息安全威脅程度

6.5…………………20

確定工業(yè)控制系統(tǒng)信息安全等級

6.6…………………22

附錄規(guī)范性附錄有關生產(chǎn)安全事故和突發(fā)環(huán)境事件分級

A()………23

參考文獻

……………………25

Ⅰ

GB/T36324—2018

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位北京江南天安科技有限公司中國電子技術標準化研究院全球能源互聯(lián)網(wǎng)研究

:、、

院有限公司上海三零衛(wèi)士信息安全有限公司網(wǎng)神信息技術北京股份有限公司

、、()。

本標準主要起草人陳冠直鄧冬柏范科峰高昆侖周睿康李琳梁瀟程鵬張翀斌堯相振

:、、、、、、、、、、

龔潔中李航

、。

Ⅲ

GB/T36324—2018

引言

工業(yè)控制系統(tǒng)信息安全事關工業(yè)生產(chǎn)運行國家經(jīng)濟安全和人民生命財產(chǎn)安全為加強工業(yè)控制系

、,

統(tǒng)信息安全管理對工業(yè)控制系統(tǒng)信息安全采取等級化管理本標準規(guī)定了基于風險評估的工業(yè)控制

,。

系統(tǒng)信息安全等級劃分規(guī)則和定級方法提出了等級劃分模型和定級要素包括工業(yè)控制系統(tǒng)資產(chǎn)重要

,,

程度存在的潛在風險影響程度和需抵御的信息安全威脅程度并提出了對工業(yè)控制系統(tǒng)信息安全劃分

、,

四個等級的特征

。

本標準第章工業(yè)控制系統(tǒng)概述描述了工業(yè)控制系統(tǒng)基本構成工業(yè)控制系統(tǒng)定級對象第章

4,,;5

工業(yè)控制系統(tǒng)信息安全等級劃分規(guī)則規(guī)定了工業(yè)控制系統(tǒng)信息安全等級劃分模型工業(yè)控制系統(tǒng)信息

,,

安全定級要素工業(yè)控制系統(tǒng)信息安全等級特征第章工業(yè)控制系統(tǒng)信息安全定級方法提出了工業(yè)

,;6,

控制系統(tǒng)信息安全定級流程陳述了確定工業(yè)控制系統(tǒng)定級對象確定工業(yè)控制系統(tǒng)資產(chǎn)重要程度確

,、、

定受侵害后的潛在影響程度確定需抵御的信息安全威脅程度確定工業(yè)控制系統(tǒng)信息安全等級附錄

、、;A

說明了有關生產(chǎn)安全事故和突發(fā)環(huán)境事件分級

。

在中為清晰表示工業(yè)控制系統(tǒng)每一個信息安全等級比較低一級安全等級的安全技術要求的

5.3,

增加和增強每一級的新增部分用宋體加粗字表示

,“”。

Ⅳ

GB/T36324—2018

信息安全技術

工業(yè)控制系統(tǒng)信息安全分級規(guī)范

1范圍

本標準規(guī)定了基于風險評估的工業(yè)控制系統(tǒng)信息安全等級劃分規(guī)則和定級方法提出了等級劃分

,

模型和定級要素包括工業(yè)控制系統(tǒng)資產(chǎn)重要程度存在的潛在風險影響程度和需抵御的信息安全威脅

,、

程度并提出了工業(yè)控制系統(tǒng)信息安全四個等級的特征

,。

本標準適用于工業(yè)生產(chǎn)企業(yè)以及相關行政管理部門為工業(yè)控制系統(tǒng)信息安全等級的劃分提供指

,

導為工業(yè)控制系統(tǒng)信息安全的規(guī)劃設計運維以及評估和管理提供依據(jù)

,、、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息安全管理體系要求

GB/T22080—2016

信息技術安全技術信息安全風險管理

GB/T31722—2015

生產(chǎn)安全事故報告和調查處理條例國務院第號令

493

突發(fā)環(huán)境事件信息報告辦法環(huán)境保護部令第號

17

3術語和定義縮略語

、

31術語和定義

.

界定的以及下列術語和定義適用于本文件

GB/T22080—2016。

311

..

信息安全風險informationsecurityrisk

特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害