【儀表網 儀表標準】近日，按照中國電子工業(yè)標準化技術協(xié)會團體標準制修訂項目工作安排，工業(yè)控制系統(tǒng)信息安全防護建設實施規(guī)范標準起草組已完成《工業(yè)控制系統(tǒng)信息安全防護建設實施規(guī)范》(項目號:CESA-2019-3-008)團體標準征求意見稿的編制工作?，F(xiàn)按照《團體標準制修訂程序(試行)》的要求，公開征求意見。請各有關單位認真研究，填寫“意見反饋表”，于2019年10月5日前，以電子郵件(standard_c@cesa.cn、573132665@qq.com)方式反饋給中國電子工業(yè)標準化技術協(xié)會聯(lián)系人。涉及修改重要技術指標時，請附上必要的技術數據。逾期未復函的按無異議處理。
 

　　《工業(yè)控制系統(tǒng)信息安全防護建設實施規(guī)范》由中國電子技術標準化研究院牽頭，中國石油天然氣股份有限公司西北銷售分公司、寧波和利時信息安全研究院有限公司、江蘇博智軟件科技股份有限公司、廣州賽寶認證中心服務有限公司、上海工業(yè)控制系統(tǒng)安全創(chuàng)新科技有限公司、華東師范大學、西門子(中國)有限公司、上海大學、中國石油天然氣股份有限公司長慶石化分公司、浙江信息安全行業(yè)協(xié)會、浙江網保科技有限公司、浙江遠望信息股份有限公司、浙江長天信息技術有限公司、北汽藍谷信息技術有限公司等單位聯(lián)合，共同開展標準研制工作。
 

　　標準規(guī)定了工業(yè)控制系統(tǒng)信息安全防護建設實施規(guī)范，針對工業(yè)企業(yè)新建/存量工業(yè)控制系統(tǒng)信息安全防護能力建設實施流程，以及實施過程中需考慮的物理與環(huán)境安全、通信網絡安全、工業(yè)主機安全、應用程序安全、數據安全防護、監(jiān)測預警與態(tài)勢感知、安全規(guī)劃與組織建設、人員管理及培訓、資產安全管理供應鏈安全、應急響應、配置管理、訪問控制與審計等13 個方面的安全要求，制定信息安全防護能力效果核驗及對標方法。
 

　　標準適用于工業(yè)企業(yè)非涉及國家秘密的工業(yè)控制系統(tǒng)設計、建設、運維等相關方進行工業(yè)控制系統(tǒng)信息安全防護能力建設，也可供工業(yè)控制系統(tǒng)安全測評與安全檢查工作作為參考依據。
 

　　標準在編寫時參考了《工業(yè)控制系統(tǒng)安全指南》(NIST SP 800-82)、《推薦的聯(lián)邦信息系統(tǒng)和組織的安全控制措施》(NIST SP 800-53)等國外標準。同時參考了《工業(yè)過程測量與控制安全：網絡與系統(tǒng)信息安全》系列標準(IEC62443)等標準，以及ISO 900X系列標準。
 

　　此外，標準是《工業(yè)控制系統(tǒng)信息安全防護指南》等政策文件的具體落實，規(guī)定的安全通用要求與《信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南》(GB/T32919-2016)、《信息安全技術工業(yè)控制系統(tǒng)安全管理基本要求》(GB/T36323-2018)等標準相一致，可為工業(yè)控制系統(tǒng)的使用方、供應方和管理者提供工業(yè)控制系統(tǒng)信息安全防護工作的開展提供標準化指導。
 

　　(資料來源：中國電子工業(yè)標準化技術協(xié)會)