2016年10月13日,国家质量监督检验检疫总局、国家标准化管理委员会正式发布《工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序》(GB/T 33007)。该标准由中国机械工业联合会提出,全国工业过程测量、控制和自动化标准化技术委员会(SAC/TC124)和全国信息安全标准化技术委员会(SAC/TC260)归口管理。
GB/T 33007等同采纳了IEC 62443-2-1。IEC 62443是工业控制系统信息安全国际标准序列,包括多个标准文档,本标准是其中之一。
标准认为工业控制系统信息安全管理体系与通用的信息安全管理体系在工作方法上是一致的,因此,标准基于ISO/IEC 27001的PDCA过程方法,是ISO/IEC 27001在工业控制领域的具体应用。
标准将工业控制系统信息安全管理体系的元素分成三类,分别是:
- 风险分析
- 采用信息安全管理体系处理风险
- 监视和改进信息安全管理体系。
每个类别又进一步分成元素组和元素,下图是类、组和元素之间的关系。
标准列出了每个元素的目标、基本描术、解释元素存在的理由、和元素的要求。附录A介绍了实现每个元素的方法,附录B介绍了建设工业控制信息安全管理体系的过程,附录C是本标准与ISO/IEC 27001的映射关系。
阅读体会
该标准的内容很丰富,对每个元素的解释都可以找到相应的工作方法、工作重点,关于工业控制系统的大部分安全问题,在标准中都有介绍,能找到应对措施。
比较遗憾的是,标准引用了IEC 62443-1-1术语、概念与模型中的内容,但该部分内容暂时还没被采纳为国标。作者对IEC 62443做介绍的时候,会重点介绍62443-1-1的内容。
阅读建议
如果有时间,建议读者结合ISO/IEC 27001(已经等同采纳为国标,GB/T 22080—2008 信息技术 安全技术 信息安全管理体系要求)来阅读,如果读者对信息安全管理体系的PDCA过程方法有所了解,对本标准的阅读会非常有帮助。
本标准提供了一个工业控制信息安全管理体系的框架,同时也提倡读者根据实际情况对这个框架进行剪裁与调整,使它与实际相吻合,以便合理投入,有效产出。
标准获取途径:www.cnis.gov.cn
相关阅读
工控安全政策系列导读:国家安全战略、工控安全指南、GB/T 33009与中国制造2025
作者:亚光
