GB/T 42457-2023 工业自动化和控制系统信息安全 产品安全开发生命周期要求.pdf

ICS25.040 CCS N 10 GB 中华人民共和国国家标准 GB/T42457-2023/IEC62443-4-1:2018 工业自动化和控制系统信息安全 产品安全开发生命周期要求 Security for industrial automation and control systems- Secure product development lifecycle requirements (IEC 62443-4-1:2018 Security for industrial automation and control systems- Part 4-1:Secure product development lifecycle requirements IDT) 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 国家标准化管理委员会 发布 GB/T42457-2023/IEC62443-4-1:2018 目 次 前言 … V 引言………………… 1范围…… 1 2规范性引用文件…… 1 3术语、定义、缩略语和惯例…………………………………………………………………… 1 3.1术语和定义……… …………1 3.2缩略语 5 3.3惯例……… …………………6 4通用原则 6 4.1概念…… 6 4.2成熟度模型………… ………………………………7 5实践1—一安全管理……………… 9 5.1目的 9 5.2 SM-1:开发过程……9 5.3原由和附加指南 ……9 5.4SM-2:明确职责 ………….9 5.5SM-3:明确适用性……………………………………………… ……………10 5.6 SM-4安全专业知识…………… …………………………………10 5.7SM-5:过程范围界定…… ….10 5.8SM-6:文件完整性……… ………………11 5.9SM-7:开发环境安全性………… ………11 5.10 SM-8:私钥控制 …….11 5.11 SM-9:外部提供组件的安全需求 …….11 5.12 SM-10:来自第三方供应商定制开发的组件…… ………12 5.13 SM-11:评估和解决与安全相关的问题 ……………………………12 5.14 SM-12:过程验证… ……………13 5.15 SM-13:持续改进………… ……………13 6实践2——安全需求规范……………… ………….14 6.1目的…… …………14 6.2SR-1:产品安全上下文…………… ……………………………………14 6.3SR-2:威胁模型 …15 6.4SR-3:产品安全需求…………… ……………16 6.5SR-4:产品安全需求内容…………… ……….16 6.6SR-5:安全需求审查……… ………16 7实践3一一安全设计……………… 1...