GB/T 37980-2019 信息安全技术 工业控制系统安全检查指南

GB/T 37980-2019 信息安全技术 工业控制系统安全检查指南
仅供个人学习
反馈
标准编号:GB/T 37980-2019
文件类型:.pdf
资源大小:1.9M
标准类别:电力标准
资源ID:207311
下载资源

GB/T 37980-2019标准规范下载简介

GB/T 37980-2019 信息安全技术 工业控制系统安全检查指南

本检查项包括: 检查企业是否对信息安全运行维护人员执行的日常操作制定运维流程和操作规程, 检查要素: 运维流程、操作规程。 检查方法: 文档审查.查阅组织制定的运维流程和操作规程文档

本检查项包括: 检查企业是否通过正式、有效的方式发布工业控制系统信息安全管理制度。 检查要素: 制度发布方式。 检查方法: 文档审查,查阅安全管理制度发布方式和相关记录

本检查项包括: 检查企业是否通过正式、有效的方式发布工业控制系统信息安全管理制度 检查要素: 制度发布方式 检查方法: 文档审查DA/T 72-2019 岩心档案管理规范,查阅安全管理制度发布方式和相关记录

本检查项包括: 检查企业是否将信息安全建设费用(安全软硬件购置、系统安全功能开发、安全验收测试、安全 容询与培训、安全专项研究等)和运行维护费用(日常安全运维、监测分析、应急演练、应急保障、信 息安全监督检查、测试评估等)纳人年度预算 检查要素: 信息安全建设费用、运行维护费用。 检查方法: 文档审查,查看年度预算计划

GB/T 379802019

8.5.1安全培训与考核

本检查项包括: 检查企业信息安全从业,工业控制系统设计、建设、运维等相关各类人员是否经培训合格后上 岗,是否定期接受相应的政策规划和专业技能培训。 检查要素: 人员安全培训及考核。 检查方法: 文档审查,查阅参加安全培训的人员名单及成绩单

8.5.2保密协议签订

本检查项包括: 检查企业是否与安全管理员、系统管理员、网络管理员等关键岗位的人员,工业控制系统相关 设备及系统的开发单位和供应商签署保密协议。 检查要素: 保密协议签订。 检查方法: 文档审查,查阅签署保密协议的人员名单及其岗位或单位,

本检查项包括: 检查企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。 检查要素: 人员的身份、背景和资质审查制度和审查结果记录。 检查方法: 文档审查,查阅信息安全岗位人员和其他敏感岗位人员的身份、背景和资质审查记录

检查企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查 检查要素: 人员的身份、背景和资质审查制度和审查结果记录。 检查方法: 文档审查,查阅信息安全岗位人员和其他敏感岗位人员的身份、背景和资质审查记录

8.5.4岗位调整管控

本检查项包括: 检查企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书 签署。 检查要素: 人员的权限回收记录、离岗承诺书, 检查方法: 文档审查,查阅信息安全岗位人员及其他敏感岗位人员的回收记录和离岗承诺书

8.6.1外包服务协议

本检查项包括: 检查企业与合约方签订的外包服务协议中是否具有信息安全管控和保密条款。 检查要素: 外包服务协议

检查方法: 文档审查,查阅外包服务协议中的信息安全管控和保密条款

8.6.2外部人员访问管

GB/T379802019

本检查项包括: 检查企业是否对外部人员访问机房等受控区域采取书面审批、人员陪同、进出记录等管控 措施。 检查要素: 受控区域访问控制措施和记录。 检查方法: 文档审查,查阅第三方人员访问管理制度和记录

8.6.3远程服务管控

本检查项包括: 检查企业是否采取远程服务,如采取远程服务,针对远程服务访问采取书面审批、访问控制、在 线监测、日志审计等管控措施。 检查要素: 远程服务管控措施和记录。 检查方法: a)人员访谈,询问对远程服务访问采取的控制措施。 b)文档审查,查阅远程服务管控措施制度和记录。 配置核查,如采取远程服务,查阅远程服务管控相关审计日志

8.6.4现场开发管控

本检查项包括: 检查企业是否采取技术措施实现开发测试环境与实际生产运行环境物理分离,并对开发人员 的活动范围和行为实施管控。 检查要素: 现场开发的管控措施和记录。 检查方法: a)人员访谈,询问是否将开发测试环境与实际生产环境物理分离。 b)文档审查,查阅开发人员的活动范围和行为管控制度

8.7关键信息资产管控

本检查项包括: 检查企业是否识别所有与工业控制系统相关的资产并编制了准确的资产清单,是否对每项资 产明确管理责任人及其职责。 检查要素: 资产清单。 检查方法: 文档审查,查阅资产清单,检查是否识别所有与信息系统相关的资产,是否对每项资产明确管 理责任人及其职责

GB/T 379802019

8.7.2资产维修报废管理

本检查项包括: 检查企业是否在系统、设备维修或报废时,选取了可信服务机构并对数据采取了备份、清除等 有效保护措施。 检查要素: 可信服务机构选择、数据保护措施和记录。 检查方法 文档审查,查阅系统、设备维修或报废管理制度和记录

8.8工业控制系统建设安全管理

8.8.1上线安全测评

本检查项包括: 检查企业工业控制系统在上线前是否通过信息安全测评。 检查要素: 上线前通过安全测评的系统清单、信息系统清单。 检查方法: 文档审查,查阅全部信息系统列表,查阅并统计已通过信息安全测评的系统测评报告

8.8.2产品采购和使用

本检查项包括: 检查企业安全产品和密码产品的采购及使用是否符合国家有关规定。 检查要素: 安全产品和密码产品。 检查方法: a)人员访谈,访谈相关人员是否了解相关制度,是否存在不执行相关制度的特殊情况 文档审查,查阅企业相关管理制度和资产清单等,检查其采购及使用是否符合国家有关规定。 C) 配置核查,核查已被通报存在隐患的在线运行的系统和设备是否已经整改及相关运行管理和 安全防护措施

8.8.3核心产品采购测试

本检查项包括: 企业应用的信息安全产品、系统基础软硬件、系统应用软件、工业控制系统或设备等在采购前 是否通过了安全性测试。 检查要素: 安全性测试报告。 检查方法: 文档审查,查阅企业应用的信息安全产品、系统基础软硬件、系统应用软件、工业控制系统或设 备等的安全性测试报告

8.9.1网络架构安全

GB/T379802019

检查企业是否根据业务特点对网络进行了分区分域管控,并对不同域之间采取了边界防护 措施。 检查要素: 网络拓扑结构图。 检查方法: a)人员访谈,访谈企业对网络的分区分域管控情况,了解每个分区边界的防护情况。 b)文档审查,查看网络拓扑结构图与访谈情况的一致性, 安全测试,利用相关命令语句等测试各分区的连通情况

8.9.2控制网边界防护

本检查项包括: 检查企业是否设置控制网边界防护的技术措施,检查网络边界连接情况和安全设备部署情况, 检查要素: a)控制网边界防护技术措施。 网络边界连接情况。 网络边界安全设备部署情况。 检查方法: a)人员访谈,询问采取的控制网边界防护的技术措施。 b) 配置核查,检查网络边界连接情况和安全设备部署情况, 安全测试,验证系统是否能够对非授权设备私自联到内部网络的行为进行有效阻断,验证系统 是否能够对内部网络用户私自联到外部网络的行为进行有效阻断

8.9.3网络安全审计

本检查项包括: a)检查企业是否建立控制服务器等工业控制系统关键设备安全配置和审计制度。 b)检查企业是否设置网络安全审计的技术措施和审计记录保护措施。 检查要素: a)网络安全审计记录。 b) 网络安全审计记录保护措施。 检查方法: a)人员访谈,询问采取的网络安全审计的技术措施和审计记录保护措施, 文档审查,查阅控制服务器等工业控制系统关键设备安全配置和审计制度 C) 配置核查,检查网络安全审计记录,对网络系统中的网络设备运行状况、网络流量、用户行为等 进行日志记录

8.9.4网络穴余和容差策略

本检查项包括: 检查企业是否设置网络余和容差策略。 检查要素: 网络穴余和容差策略。 检查方法: a)人员访谈,询问采取网络穴余和容差策略。 配置核查,检查关键节点的网络设备、安全设备的穴余,采用允余技术设计网络拓扑结构,避免 存在网络单点故障:检查控制网内网络设备、安全设备、重要服务器的备件情况

GB/T 379802019

本检查项包括: 检查企业是否按照远程访问方式的使用限制和操作指南进行远程访问,是否设置远程访问监 控机制,是否设置远程接人授权机制,是否设置远程接入过程安全性保护措施。 检查要素: 远程访问使用限制和操作指南、远程访问监控机制、远程接入授权机制、远程接人过程安全性 保护措施。 检查方法: a)文档审查,查阅远程访问方式的使用限制和操作指南,对每一个允许远程访问系统的方法建立 使用限制和操作指南。 D 配置核查,检查远程访同监控机制,监控未经授权的远程访同;检查远程接入授权机制,在建立 远程连接之前应用授权过程;检查远程接入过程安全性保护措施,采取无线组网采取严格的身 份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端 单元(RTU)进而控制部分或整个工业控制系统,能对非授权的远程访问进行阻断

8.9.6移动终端安全接入

本检查包括: 检查企业是否针对移动终端接人采取了安全性检测、书面审批、统一接入管理、访问控制、在线 监测、日志审计等必要管控措施。 检查要素: 移动终端安全管控措施和记录。 检查方法: a)人员访谈,询问对移动终端接人采取的控制措施。 b) 文档审查,查阅管理制度是否要求移动终端接入前采取安全性检测、书面审批、统一接人管控 访问控制、在线监测、日志审计等管控措施

8.10上位机主机和设备安全防护

本检查项包括: 检查企业是否按照补丁管理制度要求进行可更新补丁的更新。 检查要素: 补丁更新管理制度、补丁更新情况, 检查方法: a)文档审查,查阅补丁更新管理制度和补丁更新频率。 b 配置核查,检查主机操作系统和网络设备的补丁更新情况。 ) 安全测试,在确保应用系统的安全前提下,通过漏洞扫描工具验证主机操作系统和网络设备的 补丁更新情况

8.10.2恶意代码防护

本检查项包括: 检查企业是否按照恶意代码管理制度要求进行恶意代码检测和可更新恶意代码库的更新

GB/T379802019

检查要素: 恶意代码防范管理制度、恶意代码库更新情况。 检查方法: a)文档审查,查阅恶意代码防范管理制度和更新频率。 b)配置核查,检查恶意代码检测程序和可更新恶意代码库的更新情况

检查要素: 恶意代码防范管理制度、恶意代码库更新情况。 检查方法: a)文档审查,查阅恶意代码防范管理制度和更新频率。 b)配置核查,检查恶意代码检测程序和可更新恶意代码库的更新情况

8.10.3系统安全整改加固

本检查项包括: 检查企业生产控制主机和设备中对等级保护测评、风险评估、信息安全检查等工作中发现的问 题是否完成安全整改加固。 检查要素: 安全问题报告、安全整改加固实施工作报告。 检查方法: a)文档审查,查阅安全问题报告,查阅安全整改加固实施工作报告。 b)配置核查,检查与验证安全整改加固工作实施情况

本检查项包括: 检查企业生产控制主机和设备中对等级保护测评、风险评估、信息安全检查等工作中发现的问 题是否完成安全整改加固。 检查要素: 安全问题报告、安全整改加固实施工作报告。 检查方法: a)文档审查,查阅安全问题报告,查阅安全整改加固实施工作报告。 b)配置核查,检查与验证安全整改加固工作实施情况

8.10.4移动存储介质管

本检查项包括: 检查企业是否设置限制和管理移动存储介质使用的管理和技术措施,是否对移动存储介质的 分发、注册、使用、存放、销毁实施管理。 检查要素: 移动存储介质管理措施。 检查方法: a)文档审查,查阅移动存储介质安全管理制度 b)安全测试,验证系统中是否具备移动存储介质管理技术措施

8.10.5上位机终端管控

本检查项包括: 检查生产控制网上位机终端是否实施了安全管控(安全管理、接人管理等)并统一安装防病毒 软件。 检查要素: 终端安全管理措施、实施了安全管控措施的终端, 检查方法: a)人员访谈,询问采取了何种终端安全管理措施。 b)文档审查,查阅终端安全管理制度。 C)配置核查.检杏并统计终端安全管理措施部署情况

本检查项包括: 检查生产控制网上位机终端是否实施了安全管控(安全管理、接人管理等)并统一安装防病毒 软件。 检查要素: 终端安全管理措施、实施了安全管控措施的终端, 检查方法: a)人员访谈,询问采取了何种终端安全管理措施。 b)文档审查,查阅终端安全管理制度。 C)配置核查.检查并统计终端安全管理措施部署情况

本检查项包括: 检查上位机主机和设备中口令设置是否符合口令管理制度要求 检查要素: 符合口令管理制度要求的主机和设备。 检查方法:

GB/T 379802019

a)文档审查,查阅主机和设备安全检测报告 b)配置核查,检查并统计符合口令管理制度要求的主机和设备数量

8.11物理环境安全防

本检查项包括: 检查企业生产控制网机房是否按照等级保护要求落实物理安全防护。 检查要素: 按照等级保护要求落实物理安全防护的机房清单。 检查方法: 文档审查,查阅等级测评报告等并统计按照等级保护要求落实物理安全防护的机房

本检查项包括: 检查企业生产控制网机房是否按照等级保护要求落实物理安全防护。 检查要素: 按照等级保护要求落实物理安全防护的机房清单。 检查方法: 文档审查,查阅等级测评报告等并统计按照等级保护要求落实物理安全防护的机房。

本检查项包括: 检查企业是否按照制定的规章制度、运维流程、操作规程等执行生产控制系统日常维护并有详 尽记录。 检查要素: 日常运维制度、运维流程、操作规程和记录。 检查方法: 文档审查,查阅是否按照制定的规章制度、运维流程、操作规程等执行信息系统日常维护并有 详尽记录

本检查项包括: 检查企业是否按照制定的规章制度、运维流程、操作规程等执行生产控制系统日常维护并有详 尽记录。 检查要素: 日常运维制度、运维流程、操作规程和记录。 检查方法: 文档审查,查阅是否按照制定的规章制度、运维流程、操作规程等执行信息系统日常维护并有 详尽记录

本检查项包括: 检查是否对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日志、安全设备 和系统运行日志等进行集中收集、定期分析。 检查要素: 日志集中收集措施、日志定期分析报告。 检查方法: a)文档审查,查阅是否具备集中日志定期分析报告。 b)配置核查,检查是否对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日 志、安全设备和系统运行日志等进行集中收集

本检查项包括: 检查是否对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日志、安全设备 和系统运行日志等进行集中收集、定期分析。 检查要素: 日志集中收集措施、日志定期分析报告。 检查方法: a)文档审查,查阅是否具备集中日志定期分析报告。 b)配置核查,检查是否对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日 志、安全设备和系统运行日志等进行集中收集

本检查项包括: 检查企业是否按照补丁管理制度制定补丁升级策略,是否针对关键业务系统建立补丁升级测 试环境或建立了获取已测试补丁的有效渠道。 检查要素: 补丁管理制度和记录、补丁升级策略、补丁升级测试环境或渠道。 检查方法: a)文档审查,查阅是否具备补丁管理制度,是否明确补丁升级策略,查阅是否具备补丁升级记录, b)配置核查,检查是否对关键业务系统建立补丁升级测试环境或建立了获取已测试补丁的有效

本检查项包括: 检查企业是否按照补丁管理制度制定补丁升级策略,是否针对关键业务系统建立补丁升级测 试环境或建立了获取已测试补丁的有效渠道。 检查要素: 补丁管理制度和记录、补丁升级策略、补丁升级测试环境或渠道。 检查方法: a)文档审查,查阅是否具备补丁管理制度,是否明确补丁升级策略,查阅是否具备补丁升级记录。 b 配置核查,检查是否对关键业务系统建立补升级测试环境或建立了获取已测试补于的有效 14

B.12.4 安全监测

GB/T379802019

本检查项包括: 检查企业是否建立安全监测系统对控制网网络流量、重要网络设备、工控系统终端、病毒木马 情况、安全防护情况等进行实时监测。 检查要素: 安全监测系统、安全监测报告。 检查方法: a)文档审查,查阅是否描述了安全监测系统的监测对象范围和监测内容,查阅是否具备安全监测 报告。 b)配置核查,检查安全监测系统的监测对象范围和监测内容

本检查项包括: 检查企业是否建立安全监测系统对控制网网络流量、重要网络设备、工控系统终端、病毒木马 情况、安全防护情况等进行实时监测。 检查要素: 安全监测系统、安全监测报告。 检查方法: a)文档审查,查阅是否描述了安全监测系统的监测对象范围和监测内容,查阅是否具备安全监测 报告。 配置核查,检查安全监测系统的监测对象范围和监测内容

本检查项包括: 检查企业是否建立网络与信息安全信息通报机制,按要求向监管机构通报网络和信息系统安 全状况。 检查要素: 网络与信息安全信息通报机制。 检查方法: 文档审查,查阅是否通过制度建立网络与信息安全信息通报机制,是否明确需要通报的内容和 范围,是否落实负责人员

本检查项包括: 检查企业是否建立网络与信息安全信息通报机制,按要求向监管机构通报网络和信息系统安 全状况。 检查要素: 网络与信息安全信息通报机制。 检查方法: 文档审查,查阅是否通过制度建立网络与信息安全信息通报机制,是否明确需要通报的内容和 范围,是否落实负责人员

8.13.2应急预案制定

本检查项包括: 检查企业是否实施年度应急演练,是否有演练脚本和演练实施记录文档。 检查要素: 应急演练制度和记录。 检查方法: 文档审查,查阅是否制定应急演练制度,是否实施年度应急演练,是否有演练脚本和演练实施

8.13.4应急资源配备

本检查项包括: 检查企业是否根据信息安全工作需求,配置应急支援技术队伍并储备备机备件。 检查要素: 应急支援技术队伍与物资。 检查方法: a)人员访谈,询问是否具备应急支援技术队伍,是否具备应急备机备件并能正常工作, b)文档审查,查阅应急支援技术队伍人员名单,查阅应急备机备件清单

本检查项包括: 检查企业是否根据信息安全工作需求,配置应急支援技术队伍并储备备机备件。 检查要素: 应急支援技术队伍与物资。 检查方法: a)人员访谈,询问是否具备应急支援技术队伍,是否具备应急备机备件并能正常工 b)文档审查,查阅应急支援技术队伍人员名单,查阅应急备机备件清单

本检查项包括: 检查企业是否按照行业及本单位应急预案要求,配合或组织开展事故调查。 检查要素: 事故调查制度、事故调查记录或报告。 检查方法: a)人员访谈,询问是否曾配合或组织开展事故调查。 D 文档审查,查阅信息安全事故调查制度,查阅信息安全事故调查记录或报告是否记录引发安全 事故的原因,是否记录事故调查过程

A.1.1判断安全问题发生的可能性

GB/T379802019

判断工业控制系统安全问题发生的可能性是, 业控制系统定性分析方法的第一步,其取值范 中和低,详见表A.1。

表A.1工业控制系统安全问题发生的可能性取值表

A.1.2判断对工业控制系统造成的影响程度

工业控制系统的安全问题被威胁利用后,对工业控制系统安全造成的影响程度取值范围为高、中 详见表A.2。

表A.2对工业控制系统安全造成的影响程度取值表

A.1.3判断工业控制系统面临的安全风险

综合A.1.1和A.1.2的结果,对工业控制系统面临的安全风险进行赋值,风险值的取值范围为高, 中和低.详见表A.3。

GB/T 379802019

根据工业控制系统生产企业信息安全工作实际情况是否符合检查项描述,为检查项赋予权重 ),根据检查结果判定赋予量化判定值(P, ),安全检查结果量化由式(A.1)计算求得:

GB/T 40019-2021 基础制造工艺通用元数据.pdf式中: 一检查项个数; 一第i检查项中检查条款的个数 工业控制系统安全各检查项的权重值和量化判定值详见表A.

ISL=Z(ZV,P,)

表A.4工业控制系统安全定量分析赋值表

GB/T37980—2019表A.4(续)检查类检查项权重值量化判定值P,安全培训与考核1员工总数P,=比值的小数点后两位保密协议签订1员工总数P=比值的小数点后两位人员安全管理符合:P;=1人员审查1部分符合:P,=0.5不符合:P;=0符合:P;=1岗位调整管控1部分符合:P,=0.5不符合:P;=0符合:P;=1外包服务协议1部分符合:P,=0.5不符合:P;=0符合:P;=1外部人员访问管理部分符合:P;=0.5不符合:P。=0服务外包管控符合:P=1远程服务管控2部分符合:P;=0.5不符合:P,=0符合:P;=1现场开发管控1部分符合:P,=0.5不符合:P,=0符合:P;=1资产管理部分符合:P,,=0.5关键信息不符合:P;=0资产管控符合:P;=1资产维修报废管理1部分符合:P,=0.5不符合:P=0上线安全测评已投运系统总数P;=比值的小数点后两位符合:P,=1工业控制系统产品采购和使用部分符合:P;=0.5建设安全管理不符合:P,=0符合:P=1核心产品采购测试1部分符合:P;,=0.5不符合:P=019

GB/T 379802019

GB/T37980—2019表A.4(续)权重值检查类检查项量化判定值ViPsj符合:P=1日常维护2部分符合:P;=0.5不符合:P;=0未开启日志审计功能,P,=0仅开启日志审计功能,P,=0.3安全审计开启日志审计功能并定期分析,0.3

GB/T37980—2019附 录B(资料性附录)检查内容分类表工业控制系统安全检查内容分类按表B.1。表 B.1工业控制系统安全检查内容分类表序号检查类检查项第一责任人确立信息安全责任落实1组织体系专职机构及岗位设置安全人员配置整体策略及总体方案制定制度制定及体系完整性2规章制度操作规程制定制度发布3资金保障经费预算安全培训与考核保密协议签订4人员安全管理人员审查岗位调整管控外包服务协议外部人员访间管理5服务外包管控远程服务管控现场开发管控资产管理6关键信息资产管控资产维修报废管理上线安全测评7工业控制系统建设安全管理产品采购和使用核心产品采购测试网络架构安全控制网边界防护网络安全审计8网络安全防护网络穴余和容差策略远程访间移动终端安全接入22

GB/T379802019

DB35T 2002-2121 道路交通事故认定书制作.pdfGB/T 379802019

©版权声明
相关文章