@风铃
3年前 提问
1个回答
工业控制系统信息安全分级规范发布单位是什么
Simon
3年前
工业控制系统信息安全分级规范发布单位是国家国务院,该规范由多家网络安全企业起草并与2018年6月7人发布隔年1月1号开始实施,该规范是基于工业控制系统存在的信息安全风险划分的,由工 业控制系统资产重要程度、受侵害后潜在影响程度 、需抵御的信息安全威胁程度等三个定级要素决定。
工业控制系统信息安全分为四级,具体如下:
第一级工业控制系统
按照基于风险评估的信息安全等级划分的工业控制系统,第一级应具有以下主要特征:
a)第一级工业控制系统信息安全受到破坏后,会对一般领域的工业生产运行造成损害,或者对公民、企业和其他组织的合法权益及重要财产造成损害。但不会损害国家安全(特别是其中的国家经济安全),环境安全、社会秩序、公共利益和人员生命; b)第一级工业控制系统的信息安全保护,应使工业控制系统能够抵御来自个人、拥有少量资源的故意威胁,一般的环境威胁,一般的意外威胁,以及其他相当危害程度威胁所造成资产损失的信息安全风险; c)第一级工业控制系统应至少具有对系统资产、运行环境、安全风险的基本认识,采取基本的信息安全控制措施,检测系统异常和安全事件,应急响应的执行和维护等方面的安全保护能力; d)第一级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的保护和管理。
第二级工业控制系统
按照基于风险评估的信息安全等级划分的工业控制系统,第二级应具有以下主要特征:
a)第二级工业控制系统信息安全受到破坏后,会对一般领域的工业生产运行造成重大损害,或者对重点领城的工业生产运行造成损害,或者财公民、企业和其他组织的合法权益及重要财产造成严重损害,或若对环境安全、社会秩序、公共利益和人员生命造成损害,但不会损害国家安全(特别是其中的国家经济安全); b)第二级工业控制系统的信息安全保护,应使工业控制系统能够抵御来自有组织的团体、拥有中等资源的故意威胁,一般的环境威胁,严重的意外威胁,以及其他相当危害程度威胁所造成资产损失的信息安全风险; c)第二级工业控制系统应至少具有对系统资产、运行环境、安全风险的比较全面认识,初步建立风险管理战略;采取比较全面的信息安全控制措施,及时检测系统异常和安全事件;应急响应的执行和维护,防止事件扩大和减轻影响;基本恢复受安全事件影响的工业控制系统运行等方面的安全保护能力; d)第二级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的保护和管理,以及国家主管部门和信息安全监管都门的指导。
第三级工业控制系统
按照基于风险评估的信息安全等级划分的工业控制系统,第三级应具有以下主要特征:
a)第三级工业控制系统信息安全受到破坏后,会对重点领域的工业生产运行造成重大损害,或者对关键领城的工业生产运行造成损失,或者对环境安全、社会秩序、公共利益和人员生命造成严重损害,或者会对国家安全(特别是其中的国家经济安全)造成损害; b)第三级工业控制系统的信息安全保护,应使工业控制系统能够抵御来自敌对组织、有组织的团体拥有中等程度资源的故意威胁,严重的环境威胁,特别严重的意外威胁,以及其他相当危害程度威胁所造成资产损失的信息安全风险; c)第三级工业控制系统应至少具有对系统资产、运行环境、安全风险的全面认识,建立风险管理战略,实施信息安全治理;采取全面的信息安全控制措施,确保与组织的风险管理战略相一致;及时和全而监测系统异常和安全事件;应急响应的执行和维护,防止事件扩大和减轻影响;恢复受安全事件影响的工业控制系统运行等方面的安全保护能力; d)第三级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的保护和管理,以及国家主管部门和信息安全监管部门的监督、检查。
第四级工业控制系统
按照基于风险评估的信息安全等级划分的工业控制系统,第四级应具有以下主要特征:
a)第四级工业控制系统信息安全受到破坏后,会对关键领域的工业生产运行造成重大损害,或者对环境安全、社会秩序、公共利益和人员生命造成特别严重损害,或者对国家安全(特别是其中的国家经济安全)造成严重损害; b)第四级工业控制系统的信息安全保护,应使工业控制系统能够抵御来白敌对组织、拥有丰富资源的故意威胁,特别严重的环境威胁,特别严重的意外威胁,以及其他相当危害程度威胁所造成资产损失的信息安全风险; c)第四级工业控制系统应至少具有对系统资产、运行环境、安全风险的全面认识,建立全面风险管理战略,实施信息安全治理;采取全面的信息安全控制措施,确保与组织的风险管理战略相致;连续和全而监测系统异常和安全事件,采取必要的应对措施;应急响应的执行和维护,防止事件扩大和减轻影响,采取改进措施;及时恢复受安全事件影响的工业控制系统运行等方面的安全保护能力; d)第四级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的管理,以及园家主管部门和信息安全监管部门强化的监督、检查。