什么时候工业控制系统信息安全分级规范

① 工业控制系统信息安全等级分为几级

工业控制系统信息安全等级分为三级。

工业控制系统信息安全中第一级威胁最大。信息安全服务级别分为一级、二级、三级，其中一级最高，三级最低。一共可以分为8个不同的方向，分别是：安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计、工业控制系统安全。

工业控制系统和信息化技术的融合，对国计民生的影响至关重要，这个已经不言而喻了。

1、工业控制系统(ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。

2、工业控制系统信息安全等级是基于工业控制系统存在的信息安全风险划分的，由工业控制系统资产重要程度、受侵害后潜在影响程度 、需抵御的信息安全威胁程度等三个定级要素决定。

3、工业控制系统基本构成可以分为工业控制系统组成、工业控制系统控制过程、工业控制系统结构层次、工业控制系统安全区域等。

② 工业控制系统信息安全分级规范的发布单位是什么

“国家标准GB/T 36324-2018 《信息安全技术 工业控制系统信息安全分级规范》 于2018年6月7日正式发布,并将于2019年1月1日正式实施。

③ 工业控制系统第几级威胁最大

第四级。

第四级工业控制系统 会对关键领域的工业生产运行造成重大损害，或者对环境安全、社会秩序、公共利益和人员生命造成特别严重损害，或者对国家安全造成严重损害。

简介：

分级规范中工业控制系统信息安全级别是依据风险影响等级来界定的，分为四级。

同时对1-4级工业控制系统的特征进行了界定，主要从受破坏后的影响程度、抵御威胁程度、安全防护能力和上级监管四个维度进行特征的区分和定义，对工业企业的防护粒度、上级监管力度上有显着的等级差异，为用户方和监管单位提供参考。

④ 我国政府哪个部门，何时印发 关于加强工业控制系统信息安全管理的通知

工信部协[2011]451号
二〇一一年九月二十九日

关于加强工业控制系统信息安全管理的通知
工信部协[2011]451号
各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：
一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性
数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。
二、明确重点领域工业控制系统信息安全管理要求
加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。各地区、各部门、各单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求。
（一）连接管理要求。
1. 断开工业控制系统同公共网络之间的所有不必要连接。
2. 对确实需要的连接，系统运营单位要逐一进行登记，采取设置防火墙、单向隔离等措施加以防护，并定期进行风险评估，不断完善防范措施。
3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
（二）组网管理要求。
1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
2. 采取虚拟专用网络（VPN）、线路冗余备份、数据加密等措施，加强对关键工业控制系统远程通信的保护。
3. 对无线组网采取严格的身份认证、安全监测等防护措施，防止经无线网络进行恶意入侵，尤其要防止通过侵入远程终端单元（RTU）进而控制部分或整个工业控制系统。
（三）配置管理要求。
1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。
2. 严格账户管理，根据工作需要合理分类设置账户权限。
3. 严格口令管理，及时更改产品安装时的预设口令，杜绝弱口令、空口令。
4. 定期对账户、口令、端口、服务等进行检查，及时清理不必要的用户和管理员账户，停止无用的后台程序和进程，关闭无关的端口和服务。
（四）设备选择与升级管理要求。
1. 慎重选择工业控制系统设备，在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务，确保产品安全可控。
2. 加强对技术服务的信息安全管理，在安全得不到保证的情况下禁止采取远程在线服务。
3. 密切关注产品漏洞和补丁发布，严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。
（五）数据管理要求。
地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等，要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护，切实维护个人权益、企业利益和国家信息资源安全。
（六）应急管理要求。
制定工业控制系统信息安全应急预案，明确应急处置流程和临机处置权限，落实应急技术支撑队伍，根据实际情况采取必要的备机备件等容灾备份措施。
三、建立工业控制系统安全测评检查和漏洞发布制度
（一）加强重点领域工业控制系统关键设备的信息安全测评工作。全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。重点领域的有关单位要请专业技术机构对所使用的工业控制系统关键设备进行安全测评，检测安全漏洞，评估安全风险。工业和信息化部会同有关部门对重点领域使用的工业控制系统关键设备进行抽检。
（二）建立工业控制系统信息安全检查制度。工业控制系统运营单位要从实际出发，定期组织开展信息安全检查，排查安全隐患，堵塞安全漏洞。工业和信息化部适时组织专业技术力量对重点领域工业控制系统信息安全状况进行抽查，及时通报发现的问题。
（三）建立信息安全漏洞信息发布制度。开展工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作，及时发布有关漏洞、风险和预警信息。
四、进一步加强工业控制系统信息安全工作的组织领导
各地区、各部门、各单位要将工业控制系统信息安全管理作为信息安全工作的重要内容，按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，建立健全信息安全责任制。各级政府工业和信息化主管部门要加强对工业控制系统信息安全工作的指导和督促检查。有关行业主管或监管部门、国有资产监督管理部门要加强对重点领域工业控制系统信息安全管理工作的指导监督，结合行业实际制定完善相关规章制度，提出具体要求，并加强督促检查确保落到实处。有关部门要加快推动工业控制系统信息安全防护技术研究和产品研制，加大工业控制系统安全检测技术和工具研发力度。国有大型企业要切实加强工业控制系统信息安全管理的领导，健全工作机制，严格落实责任制，将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员，确保领导到位、机构到位、人员到位、措施到位、资金到位。

二〇一一年九月二十九日

⑤ 工业控制系统定级对象是什么的一部分

工业控制系统定级对象是一个具体的完整的工业控制系统，也可以是工业系统中一个相对独立的工业控制系统。

对工业控制系统划分信息安全等级，其定级对象是一个具体的完整的工业控制系统，也可以是这个工业控制系统中相对独立的一部分。

以汽车制造企业为例，定级时可把冲压、焊装、涂装和总装车间整体工业控制系统进行定级，亦可对关键的总装车间工业控制系统进行单独定级，但是一般情况下工业控制系统中相对独立的一部分的安全等级不应高于其整体的工业控制系统的安全等级。

分级规范中工业控制系统信息安全级别是依据风险影响等级来界定的，分为四级。同时对1-4级工业控制系统的特征进行了界定，主要从受破坏后的影响程度、抵御威胁程度、安全防护能力和上级监管四个维度进行特征的区分和定义，对工业企业的防护粒度、上级监管力度上有显着的等级差异，为用户方和监管单位提供参考。

⑥ 工业控制系统种类分为哪三级

工业控制系统种类分为三级：现场级，设备级，系统级。此三级构成工业控制系统的本体，无论从生产功能还是安全防护功能考虑，都要在此三级中管理和设计。

我们依据工程控制论思想，设立设备级、现场级以及系统级等三个层级的工控本体，利用信息安全、人工智能等技术，建立各级本体中工控个体的防危机制实现主动防御；通过分析工控组成个体的属性及其关系，建立用于协同防御的关联模式；通过对事件的态势分析，实现工业全生命周期的安全防护和生产功能。

⑦ 工业控制系统信息安全分级规划什么时候开始

工业控制系统信息安全分级规划是2019年1月1日开始的。

等保2.0相比1.0主要有四大方面的变化：

（1）名称上的变化

名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。

（2）法律效力不同

《网络安全法》第21条规定“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。

（3）保护对象有扩展

等保1.0主要是信息系统。而等保2.0将网络基础设施（广电网、电信网、专用通信网络等）、云计算平台／系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。

工业控制系统：

工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求，又催生了当前在商业领域风靡的以太网与控制网络的结合。

这股工业控制系统网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种当今流行技术融合进来，从而拓展了工业控制领域的发展空间，带来新的发展机遇。

⑧ 工业控制系统信息安全分级规范发布单位是什么

国家标准化管理委员会
中华人民共和国国家标准化管理委员会是中华人民共和国国务院授权履行行政管理职能、统一管理全国标准化工作的主管机构，正式成立于2001年10月。2018年3月，根据第十三届全国人民代表大会第一次会议批准的国务院机构改革方案，将中华人民共和国国家标准化管理委员会职责划入国家市场监督管理总局，对外保留牌子。
国家 标准化管理委员会是国务院授权履行行政管理职能，统一管理全国标准化工作的主管机构。国务院有关行政主管部门和有关行业协会也设有标准化管理机构，分工管理本部门本行业的标准化工作。各省、自治区、直辖市及市、县 质量技术监督局统一管理本行政区域的标准化工作。各省、自治区、直辖市和市、县政府部门也设有标准化管理机构。国家标准化管理委员会对省、自治区、直辖市质量技术监督局的标准化工作实行业务领导。国家标准化管理委员会的英文名称是：'sRepublicofChina，简称：SAC。中国是ISO的正式成员，代表中国的组织为中国国家标准化管理委员会（，简称SAC）。


工业控制系统信息安全（以下简称“工控安全”）是国家网络和信息安全的重要组成部分，是推动中国制造2025、制造业与互联网融合发展的基础保障。2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》（以下简称《指南》），指导工业企业开展工控安全防护工作。工控安全事关经济发展、社会稳定和国家安全。近年来，随着信息化和工业化融合的不断深入，工业控制系统从单机走向互联，从封闭走向开放，从自动化走向智能化。在生产力显着提高的同时，工业控制系统面临着日益严峻的信息安全威胁。

工业控制系统信息安全等级是基于工业控制系统存在的信息安全风险划分的，由工业控制系统资产重要程度、受侵害后潜在影响程度、需抵御的信息安全威胁程度等三个定级要素决定。工业控制系统的分级，与网络安全等级保护的分级还是存在一定差异性的。二者都会注重国家安全、公共利益和社会秩序以及公民法人的合法权益等，而工业控制系统在此基础上还需要考虑工业生产运行安全、工业控制系统及其相关生产装置安全等事项。所以等级保护测评师，在进行工业控制系统等级测评过程中，也应该对此有所了解，怀着敬畏之心去接触工业控制系统，去做测评。

⑨ 国家支持参与网络安全国家标准行业标准的规定

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
国家标准
1. 2022年3月9日，GB/T 25069-2022《信息安全技术 术语》发布
本标准界定了信息安全技术领域中基本或通用概念的术语和定义，并对条目进行分类，是信息安全领域的重要基础性标准，也是所有信息安全人员在信息安全领域中进行沟通交流、开展研究工作和项目实施的基本工具。
2. 2022年3月9日，GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》发布
本标准规定了网络脆弱性扫描产品的安全技术要求和测试评价方法，其中安全技术要求分为基础级和增强级，内容包括安全功能要求、自身安全保护要求、环境适应性要求、安全保障要求。
3. 2022年3月9日，GB/Z 41290-2022《信息安全技术 移动互联网安全审计指南》发布
本标准定义了移动互联网安全审计活动的概念，描述了移动互联网安全审计活动中的角色职责、审计范围和审计内容，给出安全审计活动的框架、功能任务以及各功能任务的具体指南。
4. 2022年3月9日，GB/Z 41288-2022《信息安全技术 重要工业控制系统网络安全防护导则》发布
本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求，以建立重要工业控制系统的网络安全防护体系。
5. 2022年3月9日，GB/T 41241-2022《核电厂工业控制系统网络安全管理要求》发布
本标准规定了核电厂工业控制系统网络安全方面的管理、技术防护和应急管理的要求，并给出核电厂工业控制系统网络安全定级说袜穗信明。
6. 2022年3月9日，GB/T 41260-2022《数字化车间信息安全要求》发布
本标准规定了数字化车间信息安全总则、管理要求和技术要求等，给出数字化车间信息安全常见威胁源、典型机械制造行业数字化车间信息安全示例，并提出数字化车间信息安全增强要求。
7. 2022年3月9日，GB/T 41267-2022《网络关键设备安全技术要求 交换机设备》、GB/T 41266-2022《网络关键设备安全检测方法 交换机设备》发布
两项标准互为配套，一个规定了列入网络关键设备目录的交换机设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中，安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。
8. 2022年3月9日，GB/T 41269-2022《网络关键设备安全技术要求 路由器设备》、GB/T 41268-2022《网络关键设备安全检测方法 路由器设备》发布
两项标准互为配套，一个规定了列入网络关键设备目录的路由器设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中，安全功能要求包括设备标识族液安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通告轮信安全、数据安全和密码要求。
9. 2022年3月9日，GB/T 41274-2022《可编程控制系统内生安全体系架构》发布
本标准规定了可编程控制系统内生安全体系架构，描述可编程控制系统内生安全的目标和各单元模块的相关安全需求，规定可编程控制系统的内生安全要求。其中，可编程控制系统内生安全的目标为保障可编程控制系统的完整性，各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。
10. 2022年4月15日，GB/T 41387-2022《信息安全技术 智能家居通用安全规范》发布
本标准规定了智能家居安全通用技术要求，包括智能家居终端、智能家居网关、智能家居控制端、智能家居应用服务平台的安全要求，以及对应的安全测试评价方法。
11. 2022年4月15日，GB/T 41388-2022《信息安全技术 可信执行环境 基本安全规范》发布
本标准确立了可信执行环境系统整体技术架构，描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。
12. 2022年4月15日，GB/T 41389-2022《信息安全技术 SM9密码算法使用规范》发布
本标准规定了SM9密码算法的使用要求，描述了密钥、加密与签名的数据格式，主体内容包括SM9的密钥对、技术要求、证实方法，并在附录中提供了数据格式编码测试用例。
13. 2022年4月15日，GB/T 41391-2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》发布
本标准规定了App收集个人信息的基本要求，包括最小必要收集、必要个人信息、特定类型个人信息、告知同意、系统权限、第三方收集管理及其他要求，并给出了常见服务类型App必要个人信息范围和使用要求。
14. 2022年4月15日，GB/T 41400-2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》发布
本标准给出了工业控制系统信息安全防护能力成熟度模型，规定核心保护对象安全和通用安全的成熟度等级要求，提出了能力成熟度等级核验方法。
15. 2022年4月15日，GB/T 41479-2022《信息安全技术 网络数据处理安全要求》发布
本标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。同时，本标准被作为数据安全管理认证的依据。
16. 2022年4月15日，GB/T 20984-2022《信息安全技术 信息安全风险评估方法》发布
本标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
17. 2022年4月15日，GB/T 29829-2022《信息安全技术 可信计算密码支撑平台功能与接口规范》发布
本标准给出了可信计算密码支撑平台的体系框架和功能原理，规定了可信密码模块的接口规范，描述了对应的证实方法。
18. 2022年4月15日，GB/T 30283-2022《信息安全技术 信息安全服务 分类与代码》发布
本标准描述了信息安全服务的分类与代码，主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理与存储类、信息安全测评与认证类及其他类七个方面。
法律依据
《中华人民共和国网络安全法》
第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。