信息安全技术 工业控制系统安全管理基本要求.docx

ICS35.0401.80OB中华人民共和家标准GB/TXXXXX-XXXX信息安全技术工业控制系统安全管理基本要求Informationsecuritytechno1.ogy-Securitynanagcmcnfundamenta1.requirementsforindustria1.contro1.systems（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）（征求意见稿）2016年3月XXXX-XX-XX实施XXXX-XX-XX发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会1楚国本标准规定了工业控制系统安全管埋基本框架及谡框架包含的各关键活动，并提出为实现该安全管理塔本框架所衢的工业控制系统安全管理坛本控制措施，在此明础上，给出了各级工业控制系统安全管理基本控制措施对应去（参见附录A）,用于对各级工业控制系统安全管理提出安全管理荔本控制要求。本标准适用于工业控制系统建设、运行、使用、管理等相关方进行工业控制系统安全管理的规划和落实，也可供工业控制系统安全测评与安全检查工作作为参考依据，2规楚性引用文件下列文件对于本文件的应用是必不可少的.凡是注目期的引用文件,仅注日期的版本适用于本文件.凡是不注口期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语GB/T209842007信息安全技术信息安全风险评估规范GB/T22239-2008估恩安全技术信恩系统安全等级保妒基本要求GB/T222W-2008信息安全技术信息系统安全等级保护定级指南GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理实用规则GB/T30976.1-2011工业控制系统信息安全第I部分：评估规范GB/T30976.2-2014工业控制系统信息安全第2部分：验收规范GB/Z25320.3-2010电力系统管理及其信息交换数据和通信安全3术语和定义GB/T22080-2008、GB/T22081-2008,GB/T25069-2010中界定的以及下列术语和定义适用于本文件.3.1工业控制系统industria1.contro1.system工业生产中使用的控制系统,包括监控和数据采篥系统（SCADA）.分布式控制系统（DCS.和其他较小的控制系统,如可编程逻辑控制器（H-C）等.3.2分布式控制系统distributedcontro1.system以计算机为基础，在系统内部（单位内部）对生产过程进行分布控制、集中管埋的系统.注：DCS系统一般包括现场控制级、控制管理级两个层次，现场控制级主要是对单个子过程进行控制.控制管理级主要是对多个分筮的子过程进行我也采集'集中晶示、域一调度和管理，3.3监控和数据采集系统supervisorycontro1.anddataacquisitionsystem在工业生产控制过程中,对大规模远距离地理分布的资产和设符在广域网环境卜进行集中式数据来集与监控管理的控制系统.注：它以计算机为基础.对远程分布运行设备进行监控调度，其主要功能包括数据采集、参数赛量和调节、信号报警等.SCAOA系婉一俄由设在控制中心的主燧端控制单元(MTU).通信我路和设备'远程燧端单位(RnJ)等姐成，3.4可编程逻辑控制器Progranwab1.e1.ogiccontro1.Ier枭用可编程存储器，通过数字运算操作对工业生产装饴进行控制的电子设备。注；PtC主要执行各类运算、顺序控制,定时等指令，用于喇工业生产架各的动作，是工业控制系烷的达碇单元.3.5安全控制生饯securitycontro1.baseIine安全拄制选择过程的起始点和选择基点，注；安全拽制基线是为帮助组织选择满足安全需求的,索反成本效磕的、适当的安全控制集而制定的霞低安全基准建.4缩略语下列缩略用适用于本文件，AC访问控制(AccessContro1.)T教育培训(AwarenessandTraining)AU审计与问贡<AuditandAccountabi1.ity)CA安全评估与授权(SecurityAssessmentandAuthorization)CM配置管理(ConfigurationManagument)CP应急计划(ContingencyP1.anning)DCS分布式控制系统(DiStribUtedContro1.Syste«)HM1.人机界面(Human-MachineInterface)IA标识与签别<IdentificationandAuthentication)ICS工业捽制系统(Industria1.Contro1.System)IK事件响应(IncidentResponse)MA维护(Maintenance)MP介质保护(MCdiaProtection)PCS过程控制系统(ProdUCtionContro1.System)PE物理与环境安全(Physica1.andEnvironmenta1.Protection)P1.规划(P1.anning)P1.C可编程茂辑控制器(ProKraBmab1.e1.ogicContro1.1.er)PS人员安全(Personne1.Security)RA风险评估RiskAssessment)RTU远程终端单元(RCmOIeTeniina1.Unit)SA系统与服务获取(SystemandServicesAcquisition)SCDA数据监控1J数据采集系统(SupervisoryContro1.ndDataAcquisition)SI系统与估息完整性(SySteandInformationIntegrity)5ICS安全管理基本框架及关隘活动5.1ICS安全管理思本框架工业控制系统（ICS）与传统的信息技术（IT）系统存在的诸多我要差异决定了应在规划和管珅ICS信息安全过程中考虑ICSfi身的特点.参考传统侑理安全管理体系，结合IcS自身特点，将安全性需求整合到ICS中，形成了ICS安全管理基本框架（如图1所示。该框架在确定ICS安全管理具体意图，理解需求期望并明礴ICS体系范围的基础上，将ICS安全管理活动分为领导、规划、支持、运行、绩效评价和持续改进六个方面。其中，领导阶段需要俎织获得管理层的承诺，输定ICS安全管理的方针，明确加织各相关成员在ICS管理活动中的角色和权费：规划阶段中组织应确定规划总则.开展ICS安全风险评估和处置.明确目标和实现规划：在支持阶段级组应保障ICS安全所薪的资源，提供能力和意识培训，确定沟通机制并建立文档化制度：运行阶段祖线应规划、实现和控制满足ICS安全管理活动要求的具体过程，定期开展ICS安全风险评估和处理工作：在绩效评价阶段.组织对ICS开展监视、测址、分析和评价,定期开展内部审核和管理评审：持续改诳阶段组织应对ICS的安全开展持续监控，在发生ICS安全异常等情况下，开展纠正措施并持续改进。!确定ICS安全管理的具牯；I意图及H1.美事攻，理解需I;求期型,明确体系苑悯;领导获得管理层承诺确定方计,明确用色和权费规划确定规划总财.开班KS安全风险评估和处JR.明确口标和实现规划/-支持保障IeS安全所需的资源.提供能力和意识培训,确定沟通和文档化制度持续改进发生ICS安全井常等情况下,开展料正指正并持绘改进绩效评价对ICS开展监视、测量、分析和评价,定期开屣内部审核和管理印审<运行制定运行规划并拽制或实现.定期开展ICS安全风¾W估和处置工作图1ICS安全管理基本枢架图为具体实现ICS安全管理基本框架各阶段的安全功能,本标准在第6章给出了ICS安全管埋基本框架各阶段所需的范本控制措施，并在附录A中给出了针对不同级别的工业控制系统安全管理要求对应去，用以指导组织根据自身工业控制系统的不同安全级别选择安全管挥基本控制措施，并根据工业控制系统安全控制应用指南、安全分级等相关标准.对所选安全管理基本捽制措施进行剪破、选择等操作.5.2领导5.2.1领导和承诺最高管理层应通过以下活动，证实对I。S安全管理然木框架中相关内容的领导和承诺:a）确保建立了IcS信息安全策略和信息安全目标，井与组织战珞方向一致：b）确保将ICS信息安全管理体系要求整合到组织过程中；c）确保ICS信息安全管理体系所需资源Ur用：d）沟通有效的IeS信息安全管理及符合信息安全管理体系要求的重要性：C）确保ICS信息安全管理体系达到预期结果；f）指导并支持相关人员为ICS信息安全管理体系的有效性检出贡献：g）促进持续改进：h）支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围.5.2.2方针最高管理层应建立ICS信息安全方针,该方针应：a）与组织意图相适宜：b）包括ICS信息安全目标（见5.3.2）或为设定ICS信息安全目标提供框架：O包括对满足适用的ICS信息安全相关要求的承诺：d）包括对排续改进ICS信息安全管理基本框架的承诺.信息安全方针应：a）形成文件化信息并可用；b）在坦织内得到沟通：c）适当时,对相关方可用.5.2.3组织的角色，责任和权限最高管理层应瑜保与IeS信息安全相关角色的责任和权限得到分配和沟通.最高管理层应分配责任和权限,以：a）确保ICS安全管理基本框架符合本标准的要求：b）向城商管理者报告ICS安全管理携本框架缄效。53规划5.3.1应对风险和机会的措施5.3.1.1总则当规划ICS安全管理基本框架时.组织应理解ICS安全管理活动的预期成果、内外部注意事项等内容.明确相关方的需求和期望，并确定需要应对的风险和机会,以：a）确保ICS安全管理体系可达到预期结果；b）预防或然少不良影响；C）达到持续改进.组织应规划：a）应对这些风险和机会的措施；b）如何：D招这些措6包整合到ICS安全管理基本框架的各个过程中,并予以实现：2）评价这些措循的有效性.c）应在ICS建设阶段加入保障ICS信息安全的相关内容。5.3.1.2ICS信息安全风险评估组织应定义并应用ICS信息安全风险评估过程,以：a）建立并维护I。S信息安全风险准则，包括：1）风险接受准则：2）ICS信息安全风险评估实施准则：b）确保反笑的ICS信息安全风险评估产生一致的、有效的和可比较的结果：c）识别IcS信息安全风险：1）应用ICS信息安全风险评估过程,以识别ICS信息安全管理体系范围内与信息保密性、完第性和可用性损失有关的风险：2）识别风险贡任人：（1）分析IeS信息安全风险：0评f15.3.1.2c）D中所识别的风险发生后,可能导致的潜在后果:2）评估5.3.1.2）D中所识别的风险实际发生的可能性:3）确定风险线别；e）评价ICS信息安全风险：1）将风险分析结果与5.3.】.2a）中建立的风险准则进行比较：2）为风险处置排序已分析风险的优先级.组织应保留有关ICS信息安全风险评估过程的文件化信息，53.1.3ICS信息安全风哙处置组织应定义并应用ICS信息安全风险处置过程，以：a）在考虑风险评估结果的菸础上，选择适合的IcS信息安全风险处置选项：b）确定实现己选的ICS信息安全风险处置选项所必需的所有控制：注：当需要时，姐织可设计控制，或识别采自任何来源的控制.C）将5.3.1.3b）确定的控制与第6章ICS安全管理基本控制措施中的控制进行比较，并验证没有忽略必要的控制；d>制定一个适用性声明,包含必要的控制见5.3.1.3b）和C）及其选择的合理性说明无论该控制是否已实现）,以及相关控制措6邕削减的合理性说明：e）制定正式的ICS信息安全风险处置计划：f）获得风险出任人对ICS信息.安全风险处附计划以及时ICS信息安全残余风险的接受的批准，组织应保刊有关ICS信息安全风险处置过程的文件化信息。5. 3.2ICS信息安全目标及其实现设划组织应在相关职能和层级上建立ICS信息安全目标，ICS信刖安全目标应：a）与信息安全方针一致：b）可测显（如可行：C）考虑适用的IcS信息安全要求，以及风险评估和风险处祝的结果：d）得到沟通:e）适当时更新.组织应保留有关ICS估息安全目标的文件化信总.在猊划如何达到ICS信息安全R标时，殂织应确定：a）要做什么：b）需要什么资淑:c）由谁负近：<0什么时候完成：e）如何耀价结果。1.4 支持1.4.1 4.1资源组织应确定并提供建立、实现、维护和持续改进ICS估恩安全管埋体系所需的资源.1.4.2 转力组织应：a）确定在组织控制下从事会影响组织ICS佑息安全缴效的工作人W的必要能力：b）确保上述人员在适当的教育、培训或经蛤的基础上能够胜任其工作：O适用时,采取措施以获得必要的能力，并评估所枭取措质的有效性：d）保留适当的文件化信息作为能力的证据.1.4.3 意识在组织控制下工作的人员应了解：a）ICS信息安全方针：b）其对ICS安全管理基本根架有效性的贡献，包括改进ICS估息安全绩效带来的益处：C）不符合ICS安全管理基本框架要求带来的影响。1.4.4 沟通组织应确定与ICS安全管埋基本框架相关的内剖和外部的沟通衢求，包括：a）沟通什么；b）何时沟通：c）与谁沟通:di隹来沟通：e）影响沟通的过程：。沟通的预期结果如何.1.5 运行5. 5.1运行规划和控制为了满足ICS信息安全要求以及实现5.3.1中确定的措施,组织应规划、实现和控制所需要的过程.组织还应实现为达到5.3.2中确定的伯恩安全目标一系列计划.组织应保持文件化信息达到必要的程度，以确信这些过程按计划得到执行。组织应控制计划内的变更并评审非预期变更的后果，必要时采取措施减轻任何负面影响.组织应确保外包过程是确定的和受控的。6. 5.2ICS信息安全风险评估组织应考虑5.3.1.2a）所建立的准则，按计划的时间间隔,或当重人变更提出或发生时，执行ICS信息安全风险评估.组织应保留ICS信息安全风险评估结果的文件化信息，7. 5.3ICS信息安全风险处置组织应实现ICS信息安全风险处世计划.组织应保留ICS信息安全风险处祝结果的文件化信息。56绩效评价5.6.1监视、测量、分析和评价组织应评价ICS信息安全绩效以及ICS安全管理的有效性，组织应造定：a）需要被赛视和测量的内容,包括ICS信息安全过程和控制：b）适用的监视、测信、分析和评价的方法,以确保得到彳T效的结聚.c）何时应执行监视和测出；d）谁应赛视和测1ft：e）何时应分析和评价监视和测某的结果：f）谁应分析和评价这些结果。组织应保留适当的文件化信息作为监视和祗状结果的证据，5.6.2内部审核组织应按计划的时间间隔进行内部审核,以提供估息，确定IeS安全管理基本框架：a）是否符合D组织自身对ICS安全管理基本框架的要求：2）本标准的要求.b）姑否得到有效实现和维护.组织应：c）规划、建立.实现和维护审核方案（一个或多个）,包括审核频次、方法、责任、规划要求和报告.审核方案应考虑相关过程的重要性和以往审核的结果；<0定义每次审核的审核准则和范阳；e）选择审核员并实能审核，确保审核过程的客观性和公正性；f）确保招审核结果报告至相关管理层：g）保留文件化信息作为审核方案和审核结果的证据.5.6.3管理评宙最高管理层应按计划的时间间隔评审组织的ICS安全管理基本框架.以确保其持续的适宜性、充分性和有效性.管理评审应考虑：a）以往管理评审提出的措施的状态：b）与ICS安全管理基本框架相关的外部和内部事项的变化：c）有关信息安全绩效的反馈，包括以下方面的趋势：1）不符合和纠正措施：2）监视和测量结果:3）审核结果：4） ICS信息安全目标完成情况：<0相关方反馍;c）风险评估结果及风险处置计划的状态：O持续改进的机会.管理评审的输出应包括与持续改进机会相关的决定以及变更ICS安全管理本框架的任何需求.组织应保用文件化信息作为管理评审结果的证据。5.7持续改进5. 7.1不符合及纠正措您当发生不符合时，加税应：a）对不符合做出反应.适用时：1）采取措施，以控制并予以纠正：2）处理后果；b）通过以下活动评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其他地方发生：1）评审不符合；2）确定不符合的原因；3）确定类似的不符合是否存在,或可能发生：c）实现任何需要的措施：d）评审任何所采取的纠正措施的有效性：e）必要时,对ICS安全管理基本板架进行变更.纠正措施应与所遇到的不符合的影响相适合.组织应保留文件化信息作为以下方面的证据：a）不符合的性质及所采取的任何后续措施：b）任何纠正措施的结果.5 .7.2持坡改进组织应持续改iM1.CS安全管理范本框架的适宜性、充分性和有效性。6 ICS安全管理基本控制措施6.1 安全评估和授权（CA）61.1安全评估和授权方针策略及规程（CA-I）本项要求包括：a）应制定并发布安全评估和授权爱略及规程方针策珞，内容至少应包括；目的、范用、角色、货任、管理层承诺、相关部门间的协调和合规性；b）应制定并发布安全评估和授权方针策略及规程，以推动安全评估和授权策略及与相关安全控制的实施：c）应定期对安全评估与授权策略和规程迸行评审和更新。6.1.2安全评估（CA-2）木顶要求包括：a）应制定安全评估计划。该评估计划应包括：应评估的安全控制指施：判定安全措施有效性的评估流程：钾估环境、队伍、用色及责任：b）应定期对ICS采取的安全措施实施的正确性、有效性诳行评估，并判断是否满足相关安全制求:c）应根据评估结果生成评估报告，并向相关人员报告评估结果；d）应授权独立且具有评审资质的机构进行评估,并确保评砧不干扰ICS运行和功能：e）应确保评估人员充分了解伯息安全相关方针策略和规程，ICS的安全方针策珞和规程，以及特定的设备和/或工艺相关的凡体的安全、环境风险：f）时于不能直接采取在找评估的ICS,应采取离线评估或在发制系统中进行。6.1.3ICS连接管理（CA-3）本项要求包括：a）应制定ICS互联安全规定,授权ICS与外部其他信息系统进行连接：b）应对IcS与外部其他工业控制系统连接的接口特征、安全要求、通信伯恩特性等内容进行记录:c）应定期评审IcS与外部的连接情况，以验证ICS连接是否符合规定要求：d）应阻止把未分保密等级的国家安全系统直接连接到外部网络；e）应R1.止把具有保密等级的国家安全系统直接连接到外部网络.6.1.4行动计划与里程碑（CA-4）本项要求包括：a）制定行动计划和里程碑,在其中记录下拟采取的整改行动.以改正在安全控制措施评估中发现的弱点和不足，减少或消除系统中的己知漏洞；b）根据安全评估、后果分析和持续监控的情况，每季度至少更新1次现有的行动计划和里程碑：c）组织应使用有助于实施计划准确、适时和到时可用的自动化机制.6.1.5安全授权（CAT）本项要求包括：a）应指定一位南层管理人员作为ICS的授权说任人：BICS未经授权贡任人正式授权，不汨投入运行；C）应对ICS定期或发生重大变更时，重新进行安全授权：d）应识别并定期评审反应组织机构信息保护需要的保密性或不泄露协议的要求:e）开发、测试和运行设施应分离.以减少未授权访问或改变运行系统的风险.6.1.6持续监控（CA-6）本项要求包括：a）应制定持续的监控策略，并实施持续的监控计划，计划内容包括：被监控的目标、监控的频率、以及对监控进行评估的频率；b）应使用独立评砧人员或评估组织,在持坡的基础上来监视匚业抄制系统的安全控制：c）组织应定期规划、安排并进行评估，公开或不公开该评估信息，以便倘保符合所有肥弱性缓蚱过程；O应根据如织的连续监控策略，实施安全控制评估：d）应根据组织的连续监捽战略.对组织已确定的度状指标.进行安全状态监控：e）应对评估和监控产生的安全相关信息诳行关联和分析,并根据分析结果，采取相应的响应措施：f）应定期向相关人员报告信息系统安全状态.6.1.7 修透测试（CA-7）本项要求包括：a）应定期对ICS进行液透测试.要明确渗透测试的短率与目标：b）组织应聘请专业的第三方渗透组织或团队对ICS开展海透测试：c）对ICS系统渗透测试，应在ICS系统非在规状态或在复制系统中进行,6.1.8 内部系统的连接（CA-8）木政要求包括：a）应授权祖织定义的ICS系统或组件连接到内部信息系统：b）应为每个内部连接建立文件,包括连接的接口特性.安全性要求,和传物信息的性质:c）在建立内部连接的，在ICS系统或组件上执行安全合规性检查.6.2系统和服务获取（SA）6. 2.1系统及股务获取的方针烫略及规程（SA-I）本项要求包括：a）应制定并发布系统眼分及获取的方针策略,内容至少的包括：目的、范阳、角色、费任、管理层承诺、相关部门的协调及合规性：b）应制定并发布系统限务及获取的规程，以推动系统限务及获取的方针第略及与相关安全控制的实施；C）应定期对系统眼务及获取的方计策略及规程进行评审和更新.7. 2.2资源配置（SA-2）本项要求包括：a）应在业务过程规划中明确提出ICS或系统服务的安全需求：b）应明确、配置保护信息系统及相关服务所需的资源，形成相关文档并将其作为资本计划和投资管理过程的组成部分：C）应在如织的工作计划和预豫文件中应考虑信息安全。62.3系统开发生命周期（SA-3）本要求包括：a）应在ICS的开发生命周期内实施全生命网期的安全管埋，并将信息安全风险管理过程集成到ICS的开发生命周期活动中：b）应明确ICS开发生命周期内的信息安全角色及黄仔，并明确相应的责任人；c）应在IcS开发的各阶段应用安全工程原则.8. 2.4采购过程（SA-4）本项要求包括：a）在ICS采购合同中，应明确描述系统的预期运行环境、开发环境及验收标准，并提出系统的安全功能、安全增强、安全保障及安全文档需求；b）采的合同内容应遵守相关的法律、法规、规章、标准或指南：c）组织应要求供应商或合同方在文档中提供描述该ICS及其部件和服务中所使用的那些安全控制之功能特性信息，而这些信息应当是相当详细的，以至于可对安全控制进行分析和测试；d）如织应要求供应商或合同方在文档中提供描述该ICS及其部件和服务中所使用的那些安全控制的设计和实现的详细信息,以至于可对安全抄制进行分析和测试：e）组织应要求软件供应商或制造方证实他们的软件开发过程使用了安全的工程方法、质量控制过程和确认技术，使软件弱点和忍感最小化：f）加税应限制获取市场上具有安全能力的信息技术产品，对于这样的产品应时其进行评估和确认;g）组织应确保所获取的每一个部件W式地分配给一个cs,并且系统拥有拧承认该分配：h）组织应要求狭取文档中的ICS部件，以安全和规定的配置方式予以交付，并且该安全配置对任何软件地新安装或调招均是默认的配词：i）现织应限制在市场上获取的现成信息技术产品，是那些己通过国家安全相关部门评估的产品，具有信息保障和旎使达到保障管治的现成信息技未：j）为了保护公共发布的信息，免遭恶意的干扰或破坏，并确保它的可用性，组织应确保使用了市场上具有基本的信息保隔能力的信息技术产品；k）当信息向公英网传输时，或当信息对加”未被授权访问ICS中所有信息的个体是可访问的时候,为了保护受控的非机密信息,组织应确保使用市场上基本信息保障能力的信息技术产品：1）当使用的网络在比该两络较低的机密层上来传输该信息时，为了保护国家机密的安全信息,仅使用市场上高信息安全保障能力的信息技术产品；确保高信息安全保障能力的信息技术产品已通过国家安全相关部门的评估和确认。9. 2.5ICS信息系统文档（SA-5）本项要求包括：a）应提供描述系统、组件或服务的管理员文档,文档陶包括：系统、组件、服务及安全功能的安袋、配混、使用、管理及运行维护信息以及系统管理员功能相关的脆弱性：b）应提供描述系统、祖件或限务的用户文档，文档应包括：用户可访问的安全功Ife描述及其有效使用方法：用户时系统、祖件或服务的安全使用方法及安全维护说任：C）当文档或是不可用时或不存在时，记录企图要获得的ICS文档：d）当需要时，获取并保护描述ICS中所使用的安全控制的功能特性的文档，该文档具有充分的详细程度，允许对其中功能特性进行分析和测试，从而使文档对授权人员、供应商、制造者是可用的：e）当备要时,获取并保护描述了ICS与安全有关的外部接口的文档,该文档具有充分的详细程度.允许对其中外部接口诳行分析和冽试，从而使文档对授权人员、供应商、制造者是可用的：f）当需要时，获取并保护以子系统以及安全控制的实现细节来描述ICS高层设计的文档，并具有充分的详细程度.允许对其中的子系统和实现细节进行分析和测试，从而使文档时授权人员、供应商、制造者是可用的：f）组织应要求I。S开发人员和集成人员依据独立验证和确认代理的证据，创建并实现一个安全测i和评估计划。62.9供应链保护（SAT）本项要求包括：a）应招供应性安全作为综合信息安全防护战略的组成部分.以防ICS、系统组件与ICS服务遭受供应让安全所造成或胁：b）组织应使用匿名的获取过程；O组织应购置初始获取中所有ICS部件以及相关附件：d）对要获取的硬件、软件、固件或机务,在编入合同协议之前组织应对供应方进行认真的评审：e）有关ICS、IcS部件以及伯恩技术产M，组织应使用可信的运输途径：f）组织应使用多种多样的ICS、ICS部件、信息技术产品和ICS服务的供应方；X）加税应使用标准配用的ICS、ICS部件、信息技术产品：h）组织应使ICS、ICS部件、信息技术产品的政置决策和交付之间的时间最短：i）组织对交付的ICS、IcS构件、信息技术产品进行独立分析和诿透测试：j）应建立供应链的安全评估规程：k）应采用指定的安全措施来保障ICS关键组件的供应：D应符危害性分析作为供应於风险管理的关键原则,确定供应鞋活动的优先级.在系统开发生命周期中的指定决策点对1CS、系统组件或系统服务进行危害性分析，以识别关次的ICS模块或功能。6. 2.10开发过程、标准及工具（SA-10）木项要求包括：a）ICS、系统加件或系统服务的开发人员应遵循软件工程的开发流程：b）应明确安全需求、开发过程中需遵循的标准及可使用的工具并记录工具的配置信息与特殊选第C）应对开发过程中的工具与变更iS行管理：（1）应定期对开发过程、标准、工具及配置文件进行审核。62.11网络服务安全（SA-II）本项要求包括：a）安全特性、根务级别以及所行网络服务的管理要求应予以确定并包括在所有网络服务协议中.无论这些服务是由内部提供的还是外包的.6.3人员安全（PS）6.3.1人员安全的方针策略及规程（PST）本项要求包括：a）应制定并发布人协安全的方计策略，内容至少应包括：目的、范田、角色'而任'管理层承送、相关部门的处调、合规性：b）应制定并发布人员安全的规程,以推动人员安全的方针策略及与相关安全控制的实施：c）应定期对人员安全的方叶策略及规程进行评审和更新.63.2岗位风险（PS-2）本JiH要求包括：a）应建立ICS岗位分类机制：b）应评估ICS所有岗位的风险：c）应建立人员审查制度,尤其对控制和管理【CS的关键岗位的人员进行审查:d）应定期对岗位风险进行评审和更新.63.3人员审笠（PS-3）本项要求包括：a）应在授权访问ICS之前进行人制审杳：b）应在人员离职或岗位调动时对其进行审查；C）组织应确保短个访问涉及国家秘密信息处理、存精或传输ICS的用户,按该ICS最高信息秘密等被进行人员审查，并时访问人G进行了相应的保密教育：d）组织确保傩个访问涉及敏感信息处理、存储或传输ICS的用户，按该系统政博信息的坦裔秘密等级进行人员审查，并时访问人员进行了相应的保密教方.6.3.4人员离职（PS-4）本项要求包括：a）应终止离职人员对ICS系绘的访问权限：b）应删除与离职人相关的任何身份朕别信息；C）应与离职人员签订安全保密办议：d）应收回禹职人员所有与安全相关的系统的相关所行权:e）应确保怒职人员移交信恩和ICS的可用性.63.5人员调动（PS-5）本项要求包括：a）应在人员调动至其他岗位时，评审该人员时ICS的逻辑和物理访问权限并根据评审结果调整访问权限。6.3.6访问协议（PS-6）本项要求包括：a）应制定IeS的访问协议并形成文件：b）应定期评审并更新访问协议；c）应确保在人员授权访问ICS之用与其签订访问协议，并在访问协议更新或到期后重新签订:d）组织应确保特殊保护措施ICS的访问,仅授权给：D具有有效访问授权的人：2）满足相关人员安全准则的人，e）加织应确保特殊保护措施的秘率信息的访问,仅授权给：D具有有效访问授权的人：2）满足相关的、符合可用的法律的人员安全准则的人：3）已阅读、理解己签署保曲1.议的人。6.3.7第三方人员安全（PS-7）木政要求包括：a）应为第三方提供商建立包含安全角色和出任的人员安全要求，井形成文件;b）第三方提供商应遵守已制定的人员安全方针策略和规程：c）应要求第三方提供商在任何人id调动或离职时予以告知：d）应监视第三方提供商的合规性，6. 3.8人员处罚（PS-8）本项要求包括：a）应对违反信息安全方针策略和规程的人员建立违规处罚制度.1 .4规划（P1.）6 4.1安全规划策珞及规程（P1.I）本原要求包括：a）应制定并发布安全规划的第略，内容至少应包括：目的、莅围、角色、正任、管理层承诺、相关部门的跳调、合规性：b）应制定并发布安全燃划规程,以推动安全规划的策略及与相关安全控制的实施：c）应定期对安全规划的策略及规程进行评审和更新，7 4.2系统安全规划（P1.-2）本项要求包括：a）应结合当前信息系统安全的实践运验，并考虑信息系统与工业控制系统间的关键差异，制订系统的安全规划，并获得管理者的审核批准；b）在安全规划中应明确定义ICS系统的授权边界、描述系统使命与业务流程的相关性'提供系统的安全分类、描述系统的运营环境及与其他系统的关联关系、提供系统安全需求的概要描述及针对这些安全JB求的安全控制等：c）应定期对ICS系统安全规划进行评审和更新；d）当ICS系统或运行环境发生变化，或者在系统安全规划实施或评估过程中发现问胭时，应及时更新系统安全规划：e）向指定的角色或个人分发系统安全规划.并舒对安全规划的后续变化进行沟通：f）应对ICS系统安全规划的内容进行保护，以防止泄懿或未授权更改：g）对影响ICS系统安全的活动，在其实施前应进行规划及人坊协调，以减少时其他系统的影响，6.4.3行为规则（P1.-3）木顶要求包括：a）应建立用户对ICS进行访问的行为规则，明确其职责及其对信息系统的预期使用方式：b）应签订用户协议.确保用户在授权访问信息及ICS之前,已清晰理耨并同意遵守行为规则的约束:c）在行为规则中，组织应显式限制对社会网站的使用,限制在商业网站上那送估息，限制共享系统的帐户信息：d）应定期对用户信息系统的访问行为规则进行更新与评审。6.4.4信息安全架构（P1.-4）本项要求包括：a）应基于纵深防御的思想制订ICS的信息安全架构,描述信息安全保护的需求、方法及有关外部IM芬的安全假设或依赖关系：b）应考虑ICS信息安全体系的变更对安全规划、系统采购过程的影响；c）应定期审核并更新ICS信息安全架构；d）应在预定义的位置和架构层部署特定的安全防护以获得全面的安全保冏.64.5安全活动规划（P1.-5）本原要求包括：a）时于可影响ICS的安全活动，在进行前，£11织应规划并协调,以便战少对M织运行、组织资产和个体的影晌。6.5风险评估（RA）65.1风险评估方针策略与规程（RA-D本项要求包括：a）应制定并发布风险评估的方针策略,内存至少应包括：目的、范胸、角色、费任、管理层承诺、相关部门的协调、合规性；b）应制定并发布风险评估规程，以推动风险评估的方针策略及与相关安全控制的实施：c）应定期对风险评f1.的方针策略及规程进行评审和更新.65.2安全分类(RA-2)本项要未包括:a）应依据适用的法修、法规、规点及相关标准，对ICS诳行安全分类:b）应在ICS安全规划文件中包含IeS的安全分类及分类依据：c）安全分类应通过主管部门的审查和批准.65.3安全风险评估（RA-3）本要求包括：a）应制订ICS及相关信息系统的安全风限评估计划，明确风险评估的对象、内容及评估流程：b）应按安全风险评估计划在系统上戏前或系统维修期间时指定系统实施风隐评怙，并形成风嗓评估报告；c）应招风险评估结果向相关人员通报,并定期对风险评砧的结果进行评审：d）当系统或其运行环境发生重大变更（包括发现新的威胁和漏洞，或出现其他可能影响系统安全状态的条件时，应Hi新进行风冷评估。6. 5.4漏洞扫描（RAY）木项要求包括：a）应在IeS系统上城施、系统维修期间或非业务而峥期时指定系统及相关应用程序进行脆弱性扫描分析.标识并报告可影响该系统或应用的新漏洞：b）推荐在规定的响应时间内对漏洞进行修史,修复用的补丁必须经过充分的验证,修复后需更新对ICS系统进行风险评估；c）应在指定的人员及受限范的内共享脆弱性扫描及安全评估过程中发现的涮洞信息，以便消除其他ICS系统中的类似漏洞：d）组织使用的扫描工具，应具有容易调整用描配置能力，并地过实际验证：e）组织定期或当标识和报告新的漏涧或者脆弱性时，调整已扫描的ICS扫描计划；f）加税应明确ICS中的何种信息需要保密；g）为支持更全面的扫描活动,对组织标识的【CS组件,应被赋予特定的访问授权：h）组织评审历史审计日志，确定所标识的脆弱性是否以的得以利用：i）组织应进行ICS的腑弱性分析，肥于脆弱性分析，执行ICS上的渗透测试，以便确定所标识的脆弱性的可利用性：j）应规定漏洞扫描工具更新的领率,并在漏洞扫描之前脸证工具的有效性：k）应专门针对老IH设备制定A；洞扫描策略.明确规定潴洞扫描工具的版本、适用设备型号等内容：1）应根据ICS系统腌弱性扫描结果及报告，度域漏涧的影响