国家标准GB/T 36324-2018 《信息安全技术 工业控制系统信息安全分级规范》 于2018年6月7日正式发布,并将于2019年1月1日正式实施。该标准由江南天安担任第一起草人单位,根据工信部协函[2012]579号文件和全国信息安全标准化技术委员会秘书处下达的国家信息安全战略研究与标准制定工作专项项目任务书编制,适用于工业自动化生产企业以及相关行政管理部门,为工业控制系统信息安全等级的划分提供指导,为工业控制系统信息安全的规划、设计、实现、运维以及评估和管理提供依据。
为贯彻落实国家关于切实加强工业控制系统信息安全管理的精神,实现对工业控制系统信息安全应采取分等级管理的要求,本标准的关键内容围绕如下几个方面:
(一)工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,有必要规范工业控制系统信息安全管理,对工业控制系统信息安全采取等级化管理;
(二)在本标准之前没有针对工业控制系统信息安全等级定义的上位标准,故本标准以“5.3工业控制系统信息安全等级特征”,对工业控制系统信息安全等级作了定义;
(三)为具有可操作性,本标准规定了基于风险评估的工业控制系统信息安全等级划分规则和定级方法,提出了等级划分模型和定级要素,以及相关的表格;
(四)兼顾工业控制系统信息安全级别具有工业控制系统的特殊性、专用性,以及国内信息安全保护等级、国际标准IEC62443的兼容性,同时完全符合工信部451号文件要求;
(五)基于工业控制系统安全等级在信息安全管理、规划设计和运行维护方面的需要,工业控制系统信息安全定级对象可以是一个具体的、完整的工业控制系统,也可以是这个工业控制系统中相对独立的一部分。
整体来说,本标准规定了以工业控制系统风险影响为基准的工业控制系统信息安全等级划分规则和定级方法,提出了等级模型和定级要素,明确了各个等级工业控制系统所具备的潜在风险影响、信息安全威胁、信息安全能力和信息安全管理方面的特征。
此外,由江南天安参与编写的国家标准GB/T 36323-2018 《信息安全技术工业控制系统安全管理基本要求》和GB/T 36470-2018 《信息安全技术工业控制系统现场测控设备通用安全功能要求》也同期发布。
