什麼時候工業控制系統信息安全分級規范

① 工業控制系統信息安全等級分為幾級

工業控制系統信息安全等級分為三級。

工業控制系統信息安全中第一級威脅最大。信息安全服務級別分為一級、二級、三級，其中一級最高，三級最低。一共可以分為8個不同的方向，分別是：安全集成、安全運維、應急處理、風險評估、災難備份與恢復、安全軟體開發、網路安全審計、工業控制系統安全。

工業控制系統和信息化技術的融合，對國計民生的影響至關重要，這個已經不言而喻了。

1、工業控制系統(ICS)是由各種自動化控制組件以及對實時數據進行採集、監測的過程式控制制組件，共同構成的確保工業基礎設施自動化運行、過程式控制制與監控的業務流程管控系統。

2、工業控制系統信息安全等級是基於工業控制系統存在的信息安全風險劃分的，由工業控制系統資產重要程度、受侵害後潛在影響程度 、需抵禦的信息安全威脅程度等三個定級要素決定。

3、工業控制系統基本構成可以分為工業控制系統組成、工業控制系統控制過程、工業控制系統結構層次、工業控制系統安全區域等。

② 工業控制系統信息安全分級規范的發布單位是什麼

「國家標准GB/T 36324-2018 《信息安全技術 工業控制系統信息安全分級規范》 於2018年6月7日正式發布,並將於2019年1月1日正式實施。

③ 工業控制系統第幾級威脅最大

第四級。

第四級工業控制系統 會對關鍵領域的工業生產運行造成重大損害，或者對環境安全、社會秩序、公共利益和人員生命造成特別嚴重損害，或者對國家安全造成嚴重損害。

簡介：

分級規范中工業控制系統信息安全級別是依據風險影響等級來界定的，分為四級。

同時對1-4級工業控制系統的特徵進行了界定，主要從受破壞後的影響程度、抵禦威脅程度、安全防護能力和上級監管四個維度進行特徵的區分和定義，對工業企業的防護粒度、上級監管力度上有顯著的等級差異，為用戶方和監管單位提供參考。

④ 我國政府哪個部門，何時印發 關於加強工業控制系統信息安全管理的通知

工信部協[2011]451號
二〇一一年九月二十九日

關於加強工業控制系統信息安全管理的通知
工信部協[2011]451號
各省、自治區、直轄市人民政府，國務院有關部門，有關國有大型企業：
工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全，為切實加強工業控制系統信息安全管理，經國務院同意，現就有關事項通知如下：
一、充分認識加強工業控制系統信息安全管理的重要性和緊迫性
數據採集與監控（SCADA）、分布式控制系統（DCS）、過程式控制制系統（PCS）、可編程邏輯控制器（PLC）等工業控制系統廣泛運用於工業、能源、交通、水利以及市政等領域，用於控制生產設備的運行。一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患。隨著計算機和網路技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地採用通用協議、通用硬體和通用軟體，以各種方式與互聯網等公共網路連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。2010年發生的「震網」病毒事件，充分反映出工業控制系統信息安全面臨著嚴峻的形勢。與此同時，我國工業控制系統信息安全管理工作中仍存在不少問題，主要是對工業控制系統信息安全問題重視不夠，管理制度不健全，相關標准規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等，威脅著工業生產安全和社會正常運轉。對此，各地區、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業控制系統信息安全管理。
二、明確重點領域工業控制系統信息安全管理要求
加強工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進製造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。各地區、各部門、各單位要結合實際，明確加強工業控制系統信息安全管理的重點領域和重點環節，切實落實以下要求。
（一）連接管理要求。
1. 斷開工業控制系統同公共網路之間的所有不必要連接。
2. 對確實需要的連接，系統運營單位要逐一進行登記，採取設置防火牆、單向隔離等措施加以防護，並定期進行風險評估，不斷完善防範措施。
3. 嚴格控制在工業控制系統和公共網路之間交叉使用移動存儲介質以及攜帶型計算機。
（二）組網管理要求。
1. 工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施。
2. 採取虛擬專用網路（VPN）、線路冗餘備份、數據加密等措施，加強對關鍵工業控制系統遠程通信的保護。
3. 對無線組網採取嚴格的身份認證、安全監測等防護措施，防止經無線網路進行惡意入侵，尤其要防止通過侵入遠程終端單元（RTU）進而控制部分或整個工業控制系統。
（三）配置管理要求。
1. 建立控制伺服器等工業控制系統關鍵設備安全配置和審計制度。
2. 嚴格賬戶管理，根據工作需要合理分類設置賬戶許可權。
3. 嚴格口令管理，及時更改產品安裝時的預設口令，杜絕弱口令、空口令。
4. 定期對賬戶、口令、埠、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的後台程序和進程，關閉無關的埠和服務。
（四）設備選擇與升級管理要求。
1. 慎重選擇工業控制系統設備，在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務，確保產品安全可控。
2. 加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止採取遠程在線服務。
3. 密切關注產品漏洞和補丁發布，嚴格軟體升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟體升級、補丁安裝前要請專業技術機構進行安全評估和驗證。
（五）數據管理要求。
地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的採集、傳輸、存儲、利用等，要採取訪問許可權控制、數據加密、安全審計、災難備份等措施加以保護，切實維護個人權益、企業利益和國家信息資源安全。
（六）應急管理要求。
制定工業控制系統信息安全應急預案，明確應急處置流程和臨機處置許可權，落實應急技術支撐隊伍，根據實際情況採取必要的備機備件等容災備份措施。
三、建立工業控制系統安全測評檢查和漏洞發布制度
（一）加強重點領域工業控制系統關鍵設備的信息安全測評工作。全國信息安全標准化技術委員會抓緊制定工業控制系統關鍵設備信息安全規范和技術標准，明確設備安全技術要求。重點領域的有關單位要請專業技術機構對所使用的工業控制系統關鍵設備進行安全測評，檢測安全漏洞，評估安全風險。工業和信息化部會同有關部門對重點領域使用的工業控制系統關鍵設備進行抽檢。
（二）建立工業控制系統信息安全檢查制度。工業控制系統運營單位要從實際出發，定期組織開展信息安全檢查，排查安全隱患，堵塞安全漏洞。工業和信息化部適時組織專業技術力量對重點領域工業控制系統信息安全狀況進行抽查，及時通報發現的問題。
（三）建立信息安全漏洞信息發布制度。開展工業控制系統信息安全漏洞信息的收集、匯總和分析研判工作，及時發布有關漏洞、風險和預警信息。
四、進一步加強工業控制系統信息安全工作的組織領導
各地區、各部門、各單位要將工業控制系統信息安全管理作為信息安全工作的重要內容，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，建立健全信息安全責任制。各級政府工業和信息化主管部門要加強對工業控制系統信息安全工作的指導和督促檢查。有關行業主管或監管部門、國有資產監督管理部門要加強對重點領域工業控制系統信息安全管理工作的指導監督，結合行業實際制定完善相關規章制度，提出具體要求，並加強督促檢查確保落到實處。有關部門要加快推動工業控制系統信息安全防護技術研究和產品研製，加大工業控制系統安全檢測技術和工具研發力度。國有大型企業要切實加強工業控制系統信息安全管理的領導，健全工作機制，嚴格落實責任制，將重要工業控制系統信息安全責任逐一落實到具體部門、崗位和人員，確保領導到位、機構到位、人員到位、措施到位、資金到位。

二〇一一年九月二十九日

⑤ 工業控制系統定級對象是什麼的一部分

工業控制系統定級對象是一個具體的完整的工業控制系統，也可以是工業系統中一個相對獨立的工業控制系統。

對工業控制系統劃分信息安全等級，其定級對象是一個具體的完整的工業控制系統，也可以是這個工業控制系統中相對獨立的一部分。

以汽車製造企業為例，定級時可把沖壓、焊裝、塗裝和總裝車間整體工業控制系統進行定級，亦可對關鍵的總裝車間工業控制系統進行單獨定級，但是一般情況下工業控制系統中相對獨立的一部分的安全等級不應高於其整體的工業控制系統的安全等級。

分級規范中工業控制系統信息安全級別是依據風險影響等級來界定的，分為四級。同時對1-4級工業控制系統的特徵進行了界定，主要從受破壞後的影響程度、抵禦威脅程度、安全防護能力和上級監管四個維度進行特徵的區分和定義，對工業企業的防護粒度、上級監管力度上有顯著的等級差異，為用戶方和監管單位提供參考。

⑥ 工業控制系統種類分為哪三級

工業控制系統種類分為三級：現場級，設備級，系統級。此三級構成工業控制系統的本體，無論從生產功能還是安全防護功能考慮，都要在此三級中管理和設計。

我們依據工程式控制制論思想，設立設備級、現場級以及系統級等三個層級的工控本體，利用信息安全、人工智慧等技術，建立各級本體中工控個體的防危機制實現主動防禦；通過分析工控組成個體的屬性及其關系，建立用於協同防禦的關聯模式；通過對事件的態勢分析，實現工業全生命周期的安全防護和生產功能。

⑦ 工業控制系統信息安全分級規劃什麼時候開始

工業控制系統信息安全分級規劃是2019年1月1日開始的。

等保2.0相比1.0主要有四大方面的變化：

（1）名稱上的變化

名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。

（2）法律效力不同

《網路安全法》第21條規定「國家實行網路安全等級保護制度，要求網路運營者應當按照網路安全等級保護制度要求，履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。

（3）保護對象有擴展

等保1.0主要是信息系統。而等保2.0將網路基礎設施（廣電網、電信網、專用通信網路等）、雲計算平台／系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。

工業控制系統：

工業控制系統是對諸如圖像、語音信號等大數據量、高速率傳輸的要求，又催生了當前在商業領域風靡的乙太網與控制網路的結合。

這股工業控制系統網路化浪潮又將諸如嵌入式技術、多標准工業控制網路互聯、無線技術等多種當今流行技術融合進來，從而拓展了工業控制領域的發展空間，帶來新的發展機遇。

⑧ 工業控制系統信息安全分級規范發布單位是什麼

國家標准化管理委員會
中華人民共和國國家標准化管理委員會是中華人民共和國國務院授權履行行政管理職能、統一管理全國標准化工作的主管機構，正式成立於2001年10月。2018年3月，根據第十三屆全國人民代表大會第一次會議批準的國務院機構改革方案，將中華人民共和國國家標准化管理委員會職責劃入國家市場監督管理總局，對外保留牌子。
國家 標准化管理委員會是國務院授權履行行政管理職能，統一管理全國標准化工作的主管機構。國務院有關行政主管部門和有關行業協會也設有標准化管理機構，分工管理本部門本行業的標准化工作。各省、自治區、直轄市及市、縣 質量技術監督局統一管理本行政區域的標准化工作。各省、自治區、直轄市和市、縣政府部門也設有標准化管理機構。國家標准化管理委員會對省、自治區、直轄市質量技術監督局的標准化工作實行業務領導。國家標准化管理委員會的英文名稱是：'sRepublicofChina，簡稱：SAC。中國是ISO的正式成員，代表中國的組織為中國國家標准化管理委員會（，簡稱SAC）。


工業控制系統信息安全（以下簡稱「工控安全」）是國家網路和信息安全的重要組成部分，是推動中國製造2025、製造業與互聯網融合發展的基礎保障。2016年10月，工業和信息化部印發《工業控制系統信息安全防護指南》（以下簡稱《指南》），指導工業企業開展工控安全防護工作。工控安全事關經濟發展、社會穩定和國家安全。近年來，隨著信息化和工業化融合的不斷深入，工業控制系統從單機走向互聯，從封閉走向開放，從自動化走向智能化。在生產力顯著提高的同時，工業控制系統面臨著日益嚴峻的信息安全威脅。

工業控制系統信息安全等級是基於工業控制系統存在的信息安全風險劃分的，由工業控制系統資產重要程度、受侵害後潛在影響程度、需抵禦的信息安全威脅程度等三個定級要素決定。工業控制系統的分級，與網路安全等級保護的分級還是存在一定差異性的。二者都會注重國家安全、公共利益和社會秩序以及公民法人的合法權益等，而工業控制系統在此基礎上還需要考慮工業生產運行安全、工業控制系統及其相關生產裝置安全等事項。所以等級保護測評師，在進行工業控制系統等級測評過程中，也應該對此有所了解，懷著敬畏之心去接觸工業控制系統，去做測評。

⑨ 國家支持參與網路安全國家標准行業標準的規定

國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
國家標准
1. 2022年3月9日，GB/T 25069-2022《信息安全技術 術語》發布
本標准界定了信息安全技術領域中基本或通用概念的術語和定義，並對條目進行分類，是信息安全領域的重要基礎性標准，也是所有信息安全人員在信息安全領域中進行溝通交流、開展研究工作和項目實施的基本工具。
2. 2022年3月9日，GB/T 20278-2022《信息安全技術 網路脆弱性掃描產品安全技術要求和測試評價方法》發布
本標准規定了網路脆弱性掃描產品的安全技術要求和測試評價方法，其中安全技術要求分為基礎級和增強級，內容包括安全功能要求、自身安全保護要求、環境適應性要求、安全保障要求。
3. 2022年3月9日，GB/Z 41290-2022《信息安全技術 移動互聯網安全審計指南》發布
本標準定義了移動互聯網安全審計活動的概念，描述了移動互聯網安全審計活動中的角色職責、審計范圍和審計內容，給出安全審計活動的框架、功能任務以及各功能任務的具體指南。
4. 2022年3月9日，GB/Z 41288-2022《信息安全技術 重要工業控制系統網路安全防護導則》發布
本標准規定了重要工業控制系統網路安全防護的基本原則、安全防護技術、應急備用措施和安全管理等要求，以建立重要工業控制系統的網路安全防護體系。
5. 2022年3月9日，GB/T 41241-2022《核電廠工業控制系統網路安全管理要求》發布
本標准規定了核電廠工業控制系統網路安全方面的管理、技術防護和應急管理的要求，並給出核電廠工業控制系統網路安全定級說襪穗信明。
6. 2022年3月9日，GB/T 41260-2022《數字化車間信息安全要求》發布
本標准規定了數字化車間信息安全總則、管理要求和技術要求等，給出數字化車間信息安全常見威脅源、典型機械製造行業數字化車間信息安全示例，並提出數字化車間信息安全增強要求。
7. 2022年3月9日，GB/T 41267-2022《網路關鍵設備安全技術要求 交換機設備》、GB/T 41266-2022《網路關鍵設備安全檢測方法 交換機設備》發布
兩項標准互為配套，一個規定了列入網路關鍵設備目錄的交換機設備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應的安全檢測和評估方法。其中，安全功能要求包括設備標識安全、冗餘、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟體啟動及更新安全、默認狀態安全、抵禦常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日誌審計安全、通信安全、數據安全和密碼要求。
8. 2022年3月9日，GB/T 41269-2022《網路關鍵設備安全技術要求 路由器設備》、GB/T 41268-2022《網路關鍵設備安全檢測方法 路由器設備》發布
兩項標准互為配套，一個規定了列入網路關鍵設備目錄的路由器設備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應的安全檢測和評估方法。其中，安全功能要求包括設備標識族液安全、冗餘、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟體啟動及更新安全、默認狀態安全、抵禦常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日誌審計安全、通告輪信安全、數據安全和密碼要求。
9. 2022年3月9日，GB/T 41274-2022《可編程式控制制系統內生安全體系架構》發布
本標准規定了可編程式控制制系統內生安全體系架構，描述可編程式控制制系統內生安全的目標和各單元模塊的相關安全需求，規定可編程式控制制系統的內生安全要求。其中，可編程式控制制系統內生安全的目標為保障可編程式控制制系統的完整性，各單元模塊的相關安全需求包括全生命周期安全保護、綜合診斷與高可用實現等。
10. 2022年4月15日，GB/T 41387-2022《信息安全技術 智能家居通用安全規范》發布
本標准規定了智能家居安全通用技術要求，包括智能家居終端、智能家居網關、智能家居控制端、智能家居應用服務平台的安全要求，以及對應的安全測試評價方法。
11. 2022年4月15日，GB/T 41388-2022《信息安全技術 可信執行環境 基本安全規范》發布
本標准確立了可信執行環境系統整體技術架構，描述了可信執行環境基礎要求、可信虛擬化系統、可信操作系統、可信應用與服務管理、跨平台應用中間件等主要內容及其測試評價方法。
12. 2022年4月15日，GB/T 41389-2022《信息安全技術 SM9密碼演算法使用規范》發布
本標准規定了SM9密碼演算法的使用要求，描述了密鑰、加密與簽名的數據格式，主體內容包括SM9的密鑰對、技術要求、證實方法，並在附錄中提供了數據格式編碼測試用例。
13. 2022年4月15日，GB/T 41391-2022《信息安全技術 移動互聯網應用程序（App）收集個人信息基本要求》發布
本標准規定了App收集個人信息的基本要求，包括最小必要收集、必要個人信息、特定類型個人信息、告知同意、系統許可權、第三方收集管理及其他要求，並給出了常見服務類型App必要個人信息范圍和使用要求。
14. 2022年4月15日，GB/T 41400-2022《信息安全技術 工業控制系統信息安全防護能力成熟度模型》發布
本標准給出了工業控制系統信息安全防護能力成熟度模型，規定核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法。
15. 2022年4月15日，GB/T 41479-2022《信息安全技術 網路數據處理安全要求》發布
本標准規定了網路運營者開展網路數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理的安全技術與管理要求。同時，本標准被作為數據安全管理認證的依據。
16. 2022年4月15日，GB/T 20984-2022《信息安全技術 信息安全風險評估方法》發布
本標准描述了信息安全風險評估的基本概念、風險要素關系、風險分析原理、風險評估實施流程和評估方法，以及風險評估在信息系統生命周期不同階段的實施要點和工作形式。
17. 2022年4月15日，GB/T 29829-2022《信息安全技術 可信計算密碼支撐平台功能與介面規范》發布
本標准給出了可信計算密碼支撐平台的體系框架和功能原理，規定了可信密碼模塊的介面規范，描述了對應的證實方法。
18. 2022年4月15日，GB/T 30283-2022《信息安全技術 信息安全服務 分類與代碼》發布
本標准描述了信息安全服務的分類與代碼，主要包括信息安全咨詢類、信息安全設計與開發類、信息安全集成類、信息安全運營類、信息的安全處理與存儲類、信息安全測評與認證類及其他類七個方面。
法律依據
《中華人民共和國網路安全法》
第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責，組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。