ICS35.030 CCS L 80 GB 中华人民共和国国家标准 GB/T41400-2022 信息安全技术工业控制系统信息安全 防护能力成熟度模型 Information security technology-Information security protection capability maturity model of industrial control systems 2022-04-15发布 2022-11-01实施 1 8 国家市场监督管理总局 国家标准化管理委员会 发布 余真伤 GB/T41400-2022 目 次 前言 V 1范围 ……….1 2规范性引用文件……… …1 3术语和定义 4缩略语…… .…………2 5工业控制系统信息安全防护能力成熟度模型………………3 5.1能力成熟度模型架构 3 5.2能力要素维度 ……………………………………………4 5.2.1能力构成 ………4 5.2.2机构建设 …4 5.2.3制度流程 … ……4 5.2.4技术工具 5.2.5人员能力 4 5.3能力成熟度等级维度 ……………………………………………4 5.4能力建设过程维度 5 5.4.1PA体系 5 5.4.2编码规则 ………6 5.4.3关系描述 ………6 6核心保护对象安全 ………………………………7 6.1工业设备安全 ………………7 6.1.1PA01控制设备安全……………… …………………………7 6.1.2PA02现场测控设备安全……… …………………8 6.1.3PA03设备资产管理…… ………9 6.1.4PA04存储媒体保护 .…9 6.2工业主机安全………………… ……11 6.2.1PA05专用安全软件…… ……………11 6.2.2PA06漏洞和补丁管理………… ………12 6.2.3PA07外设接口管理……… ……………12 6.3工业网络边界安全……………… …………13 6.3.1PA08安全区域划分…… ……….13 6.3.2 PA09网络边界防护……… …………………14 6.3.3 PA10远程访问安全………… ……………….15 6.3.4PA11身份认证 …… ………….16 6.4工业控制软件安全…………………… ……………17 6.4.1PA12安全配置…………………… ……17 6.4.2PA13配置变更 ……………18 6.4.3PA14账户管理 ……….19 I GB/T41400-2022 6.4.4PA15口令保护 19 6.4.5PA16安全审计 ……………… ……………20 6.5工业数据安全… ……21 6.5.1PA17数据分类分级管理…… ………21 6.5.2 PA18差异化防护 ………….23 6.5.3 PA19数据备份与恢复 …………23 6.5.4PA20...