DB32∕T 2765-2015 工业控制系统信息安全管理监督检查工作规范

ICS25.040L70备案号：46298-2015江苏省地方标准DB32DB32/T2765-2015工业控制系统信息安全管理监督检查工作规范Supervisionandinspectionspecificationforinformationsecuritymanagementofindustrialcontrolsystems2015-06-15发布2015-08-15实施江苏省质量技术监督局发布DB32/T2765-2015I目次前言.....................................................................II引言....................................................................III1范围.......................................................................12规范性引用文件..............................................................13术语和定义..................................................................14符号和缩略语................................................................15总则.......................................................................25.1监督检查对象..........................................................25.2监督检查目的..........................................................25.3监督检查形式..........................................................25.4监督检查方法..........................................................25.5监督检查原则..........................................................36监督检查流程................................................................36.1前期准备..............................................................46.2现场检查..............................................................56.3后期分析..............................................................66.4报告编制..............................................................76.5安全整改..............................................................76.6结束.................................................................77监督检查内容................................................................77.1组织制度管理..........................................................77.2连接管理.............................................................107.3组网管理.............................................................127.4配置管理.............................................................137.5设备选择与运维管理...................................................157.6数据管理.............................................................167.7物理环境管理.........................................................17附录A（规范性附录）工业控制系统信息安全管理监督检查表及结果分析方法.....22A.1监督检查表...........................................................22A.2结果分析方法.........................................................27DB32/T2765-2015II前言本规范依据GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》编写。本标准附录A是规范性附录。本规范由江苏省经济和信息化委员会提出并归口。本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：黄申、吴兰、张腾标、李国琴、程恺、王坤、赵川、赵兆。DB32/T2765-2015III引言工业控制系统广泛应用于工业生产、电力设施、水利油气、交通运输和市政等领域，用以控制生产设备的运行。随着计算机和网络技术的发展，特别是我国信息化与工业化深度融合工作的不断推进，以及物联网等新一代信息技术的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题随之日益突出，如何保障工业控制系统信息安全已经成为国家战略问题。工业控制系统信息安全管理监督检查是帮助各重点领域工业控制系统运营、管理、维护和使用等部门充分认识工业控制系统信息安全重要性和紧迫性的重要手段，是切实加强工业控制系统信息安全管理保障工作的基础和重要环节。DB32/T2765-20151工业控制系统信息安全管理监督检查工作规范1范围本标准规定了工业控制系统信息安全管理监督检查工作的术语和定义、检查对象、检查目的、检查形式、检查方法、检查原则、检查流程和检查内容。本标准适用于规范工业控制系统的运营、使用、维护、管理等部门开展的工业控制系统信息安全管理监督检查工作。2规范性引用文件下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T26333工业控制网络安全风险评估规范GB/T26802.1工业控制计算机系统通用规范第1部分：通用要求GB/T30976.1工业控制系统信息安全第1部分：评估规范GB/T30976.2工业控制系统信息安全第2部分：验收规范DB32/T2289重点领域工业控制系统信息安全保护基本要求3术语和定义GB/T26333和DB32/T2289界定的及下列术语和定义适用于本标准。3.1工业控制系统industrialcontrolsystems在工业和关键基础设施领域，采用数据采集监控、分布式控制、过程控制、可编程逻辑控制等技术监测和控制生产设备运行的控制系统，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）、可编程逻辑控制器（PLC）等。3.2工业控制系统信息安全管理监督检查informationsecuritymanagementsupervisionandinspectioninindustrialcontrolsystems工业控制系统的运营、使用、维护、管理等部门依据国家相关政策法规、信息安全技术和管理标准，依法对重点领域工业控制系统的信息安全管理进行监督检查，并对其监督检查结果依法进行处理的活动。3.3强反馈strongfeedback电子信息系统自身不具备直接操控工业控制系统的能力，但其传递的数据会导致工业控制系统发生重大调整和变化，从而可能间接控制工业控制系统的能力。4符号和缩略语DB32/T2765-20152SCADA监控和数据采集（SupervisoryControlandDataAcquisition）DCS分布式控制系统（DistributedControlSystem）PLC可编程逻辑控制器（ProgrammableLogicController）IT信息技术（InformationTechnology）SNMP简单网络管理协议（SimpleNetworkManagementProtocol）VPN虚拟专用网（VirtualPrivateNetwork）5总则5.1监督检查对象江苏省行政区域内各重点领域工业控制系统，主要包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统，但不包括涉及国家秘密的工业控制系统。5.2监督检查目的工业控制系统信息安全管理监督检查的目的通常包括以下几个方面：——规范重点领域工业控制系统信息安全管理的监督检查工作，保障工业控制系统的安全、稳定运行；——指导监督检查方和被检查方开展工业控制系统信息安全管理监督检查工作，提升监督检查的质量和效率；——帮助重点领域工业控制系统的运营、使用、维护、管理等相关部门充分认识工业控制系统信息安全管理的重要性和紧迫性，增强风险意识和责任意识；——准确了解重点领域工业控制系统的信息安全管理现状和可能存在的安全威胁；——明确重点领域工业控制系统的信息安全管理需求，制定安全策略和安全解决方案；——通过监督检查工作的实施，着力培养专业的工业控制系统安全队伍和专业人才。5.3监督检查形式5.3.1自查各重点领域工业控制系统主管单位依据工业控制系统信息安全管理监督检查工作规范及其他信息安全技术和管理规范，对运维或使用工业控制系统的下属单位、内设机构自行组织实施的监督检查活动。自查是保障工业控制系统信息安全的基础。通过对本单位工业控制系统信息安全管理情况开展自查，了解和掌握工业控制系统的信息安全管理现状及存在的安全隐患，督促被检查方落实安全整改和加固措施，切实加强和保障工业控制系统的信息安全管理工作。5.3.2抽查省、市信息化主管部门联合行业主管部门或监管部门、国有资产监督管理部门等单位，依据工业控制系统信息安全管理监督检查工作规范及其他信息安全技术和管理规范，对各自行政区域内重点领域工业控制系统的主管、运维或使用单位共同组织实施的监督检查活动，旨在监督检查各重点领域工业控制系统主管、运维或使用单位是否已开展自查，工业控制系统信息安全管理基本措施落实情况，工业控制系统关键领域或关键点是否存在重大安全隐患，以及其信息安全风险是否在可接受的范围内。5.4监督检查方法DB32/T2765-20153监督检查方法是监督检查人员在工业控制系统信息安全管理监督检查工作过程中以获取检查证据或检查结果所使用的方法，主要包括人员访谈、人工查验和技术测试等方法。人员访谈是监督检查人员通过引导工业控制系统相关人员进行有目的和有针对性的交流以帮助其理解、分析和获取检查证据或结果的过程。人工查验是监督检查人员在监督检查过程中采取文档查阅、现场观察、实地查验、设备