1 范圍

      本標(biāo)準(zhǔn)給出了工業(yè)控制系統(tǒng)信息安全檢查的范圍、方式、流程、方法和內(nèi)容。

      本標(biāo)準(zhǔn)適用于開展工業(yè)控制系統(tǒng)的信息安全監(jiān)督檢查、委托檢查工作，同時(shí)也適用于各企業(yè)在本集團(tuán)（系統(tǒng)）范圍內(nèi)開展相關(guān)系統(tǒng)的信息安全自檢查。

      注：本標(biāo)準(zhǔn)適用的檢查范圍是廣泛應(yīng)用于核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鋼鐵、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3 術(shù)語和定義

      GB/T 25069-2010和GB/T32919-2016界定的以及下列術(shù)語和定義適用于本文件。

3.1

      工業(yè)控制系統(tǒng) industrial control system

      由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè)的過程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。

      注：工業(yè)控制系統(tǒng)的核心組件包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)、可編程邏輯控制器、主終端單元、遠(yuǎn)程終端單元、上位機(jī)，以及確保各組件通信的接口技術(shù)。

3.2

      監(jiān)控和數(shù)據(jù)采集系統(tǒng) supervisory control and data acquisition system

      在工業(yè)生產(chǎn)控制過程中，對(duì)大規(guī)模遠(yuǎn)距離地理分布的資產(chǎn)和設(shè)備在廣域網(wǎng)環(huán)境下進(jìn)行集中式數(shù)據(jù)采集與監(jiān)控管理的控制系統(tǒng)。

      注：SCADA系統(tǒng)以計(jì)算機(jī)為基礎(chǔ)，對(duì)遠(yuǎn)程分布運(yùn)行設(shè)備進(jìn)行監(jiān)控調(diào)度，其主要功能包括數(shù)據(jù)采集、參數(shù)測(cè)量和調(diào)節(jié)、信息報(bào)警等。SCADA系統(tǒng)一般由設(shè)在控制中心的主終端單元（MTU）、通信線路和設(shè)備、遠(yuǎn)程終端單元（RTU）等組成。

3.3

      分布式控制系統(tǒng) distributed control system

      以計(jì)算機(jī)為基礎(chǔ)，在系統(tǒng)內(nèi)部（單位內(nèi)部）對(duì)生產(chǎn)過程進(jìn)行分布控制、集中管理的系統(tǒng)。

      注：DCS一般包括現(xiàn)場(chǎng)控制級(jí)、控制管理級(jí)兩個(gè)層次，現(xiàn)場(chǎng)控制級(jí)主要是對(duì)單個(gè)過程進(jìn)行控制，控制管理級(jí)主要是對(duì)多個(gè)分散的子過程進(jìn)行數(shù)據(jù)采集、統(tǒng)一調(diào)度和管理。

3.4

      工業(yè)控制設(shè)備 industrial control device

      對(duì)工業(yè)生產(chǎn)過程及裝置進(jìn)行檢測(cè)與控制的設(shè)備

3.5

      可編程邏輯控制器 programmable logic controller

      采用可編程存儲(chǔ)器，通過數(shù)字運(yùn)算操作對(duì)工業(yè)生產(chǎn)裝備進(jìn)行控制的電子設(shè)備。

      注：PLC主要執(zhí)行各類運(yùn)算、順序控制、定時(shí)執(zhí)行等指令，用于控制工業(yè)生產(chǎn)裝備的動(dòng)作，是工業(yè)控制系統(tǒng)的主要基礎(chǔ)單元。

3.6

      主終端單元 master terminal unit

      SCADA系統(tǒng)中的服務(wù)器，用于集中控制，同遠(yuǎn)程終端單元進(jìn)行通信。

3.7

      遠(yuǎn)程終端單元 remote terminal unit

      對(duì)較長通信距離和惡劣工業(yè)現(xiàn)場(chǎng)環(huán)境而設(shè)計(jì)的具有模塊化結(jié)構(gòu)的、特殊的計(jì)算機(jī)測(cè)控單元。

3.8

      上位機(jī) supervisory computer

      直接發(fā)出操控命令的計(jì)算機(jī)。

3.9

      控制網(wǎng) control network

      控制層網(wǎng)絡(luò)，主要部署工程師站、操作員站、工業(yè)控制設(shè)備，為高安全等級(jí)的信任區(qū)域。

3.10

      安全檢查 security inspection

      以查代促、以查促改、以查促管、以查促防，旨在推動(dòng)提高信息安全工作能力和防護(hù)水平。

4 縮略語

      下列縮略語適用于本文件。

      ICS  工業(yè)控制系統(tǒng)（Industrial Control System）

      SCADA 監(jiān)控和數(shù)據(jù)采集（Supervisory Control And Data Acquisition）

      DCS 分布式控制系統(tǒng)（Distributed Control System）

      PLC 可編程邏輯控制器（Programmable Logic Controller）

      MTU 主終端控制單元（Master Terminal Unit）

      RTU 遠(yuǎn)程終端單元（Remote Terminal Unit）

5 檢查方式

5.1 監(jiān)督檢查

      監(jiān)督檢查是指上級(jí)管理部門組織的或國家有關(guān)職能部門依法開展的檢查。

      監(jiān)督檢查可依據(jù)本標(biāo)準(zhǔn)的要求，實(shí)施完整的信息安全檢查過程。

      監(jiān)督檢查也可在自檢查的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施檢查。

5.2 自檢查

      自檢查是指信息系統(tǒng)所有者、運(yùn)營或使用單位發(fā)起的對(duì)本單位工業(yè)控制系統(tǒng)安全狀況進(jìn)行的檢查。自檢查在本標(biāo)準(zhǔn)的指導(dǎo)下，結(jié)合系統(tǒng)特定的安全要求進(jìn)行實(shí)施。

5.3 委托檢查

      受檢單位或監(jiān)督檢查的組織部門不具備檢查能力的，可委托經(jīng)相關(guān)主管部門認(rèn)可的機(jī)構(gòu)開展檢查。

6 檢查工作流程

6.1 檢查準(zhǔn)備

6.1.1 概述

      檢查準(zhǔn)備是開展檢查工作的前提和基礎(chǔ)，是整個(gè)檢查過程有效性的保證。檢查準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本階段的主要內(nèi)容是明確檢查工作的方式、依據(jù)、范圍和內(nèi)容，調(diào)研被檢查單位和被檢查系統(tǒng)的情況，確定被檢查單位的聯(lián)系人和聯(lián)絡(luò)方式，確定檢查組成員和檢查工具，制定檢查方案和計(jì)劃并通知被檢查單位。

6.1.2 檢查準(zhǔn)備過程工作內(nèi)容

      根據(jù)檢查工作的要求，明確安全檢查工作的方式，包括監(jiān)管機(jī)構(gòu)監(jiān)督檢查、企業(yè)信息安全自查等。

      明確安全檢查工作的依據(jù)，包括國家信息安全規(guī)范性文件及標(biāo)準(zhǔn)、行業(yè)信息安全規(guī)范性文件及標(biāo)準(zhǔn)、主管機(jī)構(gòu)要求等。

      明確安全檢查工作的范圍，包括被檢查單位、被檢查系統(tǒng)、涉及的人員、被檢查單位的上級(jí)主管單位等，并通過調(diào)研形成“工業(yè)控制系統(tǒng)信息安全檢查工作調(diào)研表”。

      明確安全檢查工作的內(nèi)容。由兩部分內(nèi)容組成，一部分為基本檢查內(nèi)容，相關(guān)要求詳見本標(biāo)準(zhǔn)第8章；另外一部分為補(bǔ)充檢查內(nèi)容，由檢查機(jī)構(gòu)在每次檢查前，依據(jù)有關(guān)主管單位要求、信息安全發(fā)展態(tài)勢(shì)和企業(yè)的信息安全管理工作開展情況進(jìn)行擬定。

      由檢查機(jī)構(gòu)統(tǒng)一組織實(shí)施檢查工作，確定現(xiàn)場(chǎng)檢查組的人員和設(shè)備，可委托第三方信息安全服務(wù)機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)檢查工作，檢查機(jī)構(gòu)安排專人陪同。

      根據(jù)檢查工作的內(nèi)容，制定“工業(yè)控制系統(tǒng)信息安全檢查方案”“工業(yè)控制系統(tǒng)信息安全檢查計(jì)劃”和“工業(yè)控制系統(tǒng)信息安全檢查工作表”。

      在現(xiàn)場(chǎng)檢查開始前，檢查組至少提前兩天將“工業(yè)控制系統(tǒng)信息安全檢查方案”和“工業(yè)控制系統(tǒng)信息安全檢查計(jì)劃”下發(fā)至被檢查單位，明確要求被檢查單位對(duì)必要的系統(tǒng)和數(shù)據(jù)進(jìn)行備份，被檢查單位積極配合，并提供必要的配合人員和辦公條件。

6.1.3 檢查準(zhǔn)備過程的角色和職責(zé)

      檢查機(jī)構(gòu)職責(zé)：

      a）向被檢查單位介紹安全檢查的意義和目的、檢查流程和工作方法；

      b）了解被檢查單位的工業(yè)控制系統(tǒng)建設(shè)狀況；

      c）指出被檢查單位需提供的基本資料；

      d）向被檢查單位說明檢查工作自身的風(fēng)險(xiǎn)和規(guī)避方法；

      e）準(zhǔn)備被檢查系統(tǒng)基本情況調(diào)查表單；

      f）了解被檢查系統(tǒng)基本情況；

      g）初步分析系統(tǒng)的安全情況；

      h）準(zhǔn)備檢查工具和文檔。

      被檢查單位職責(zé)：

      a）向檢查機(jī)構(gòu)介紹本單位的工業(yè)控制系統(tǒng)建設(shè)狀況與發(fā)展情況；

      b）準(zhǔn)備檢查機(jī)構(gòu)需要的資料；

      c）為檢查人員的信息收集提供支持和協(xié)調(diào)；

      d）根據(jù)被檢查系統(tǒng)的具體情況，如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)布置情況等，為檢查時(shí)間安排提供適宜的建議；

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。