ICS25.040 N10 GB 中华人民共和国国家标准 GB/T30976.1-2014 工业控制系统信息安全 第1部分:评估规范 Industrial control system security-Part 1:Assessment specification 2014-07-24发布 2015-02-01实施 中华人民共和国国家质量监督检验检疫总局 发布 智 中国国家标准化管理委员会 联来层查真情 GB/T30976.1-2014 目 次 前言 Ⅲ 1范围 2规范性引用文件 1 3术语、定义和缩略语 1 3.1术语和定义 1 3.2缩略语 3 4工业控制系统信息安全概述 3 4.1总则 3 4.2危险引人点 3 4.3传播途径 4.4危险后果的受体及其影响 4 4.5工业控制系统信息安全评估的内容概述 5 4.6评估结果 6 5组织机构管理评估 7 5.1安全方针 7 5.2信息安全组织机构 8 5.3资产管理 14 5.4人力资源安全 17 5.5物理和环境安全 2 5.6通信和操作管理26 5.7访问控制 40 5.8信息系统获取、开发和维护52 5.9信息安全事件管理 5.10业务连续性管理 63 5.11符合性 *66 6系统能力(技术)评估 71 6.1基本要求(FR)、系统要求(SR)和系统能力等级(CL.)的说明 71 6.2FR1:标识和认证控制 71 6.3FR2:使用控制 *77 6.4FR3:系统完整性 83 6.5FR4:数据保密性 87 6.6FR5:限制的数据流 88 6.7FR6:对事件的及时响应 91 6.8FR7:资源可用性 91 7评估程序 95 7.1评估工作过程 95 96 GB/T30976.1-2014 8工业控制系统生命周期各阶段的风险评估 98 8.1生命周期概述 98 8.2规划阶段的风险评估 98 8.3设计阶段的风险评估 98 8.4实施阶段的风险评估 99 8.5运行维护阶段的风险评估99 8.6废弃阶段的风险评估 100 9评估报告的格式要求 100 附录A(规范性附录)管理评估列表 102 附录B(规范性附录)系统能力(技术)评估列表 109 附录C(资料性附录)风险评估工具和工业控制系统常见的测试内容113 参考文献 117 图1风险可接受的程度 ..6 表1后果造成的侵害等级 4 表2工业控制系统的评估结果 7 表3评估的主要流程 95 表A.1信息安全管理评估列表 102 表B.1系统要求和增强要求与安全等级的映射109 ...