TZISIA 1-2023 工业互联网企业资产分类分级安全管理指南

T/ZISIA1-2023ICSCCS团 体 标 准T/ZISIA1-2023工业互联网企业资产分类分级安全管理指南GuidelinesforCategorizedandClassifiedSecurityManagementofIndustrialInternetEnterpriseAssets2023-12-19发布 2023-12-19实施中关村网络安全与信息化产业联盟发布T/ZISIA1-2023T/ZISIA1-2023ii目 次前言 I引言 II1范围 12规性用件 13术和义 14缩语 25工互网业产围 26工互网业产类 26.1类则 26.2业联企资分类 37工互网业产级 67.1级则 67.2业联企资分级理流程 68工互网业产全管理 8一资安管要求 8二资安管要求 8三资安管要求 9附录资性）工互联企资分推编码法 11附录资性）工互联企业重度别 13参考献 16T/ZISIA1-2023T/ZISIA1-2023II前 言GB/T1.1-20201T/ZISIA1-2023T/ZISIA1-2023IIII引 言工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应本文件结合工业互联网特点提供资产分类分级方法，为工业互联网企业资产分类分级安全管理提供指导，供工业互联网行业相关组织和机构参考。T/ZISIA1-2023T/ZISIA1-2023PAGEPAGE1工业互联网企业资产分类分级安全管理指南范围本文件给出了工业互联网企业资产分类分级的适用的资产范围、资产分类分级的原则和方法，并提供了工业互联网企业资产安全管理的指导。（GB/T10113-2003分类与编码通用术语GB/T25069-2022信息安全技术术语GB/T42021-2022GB/T10113-2003、GB/T25069-2022、GB/T42021-20223.1工业互联网industrialinternet[来源：GB/T42021-2022，3.1]3.2保密性confidentialityGB/T25069-2022，3.41]3.3可用性availabilityGB/T25069-2022，3.345]3.4完整性integrity准确和完备的性质。[来源：GB/T25069-2022，3.613]3.5工业互联网企业资产industrialinternetenterpriseassets工业互联网企业过去的交易或者事项形成的、由企业拥有或者控制的、对工业互联网业务具有价值的、预期会给企业带来经济利益的信息或资源。注：工业互联网企业包括：应用工业互联网的工业企业、工业互联网平台企业、标识解析企业。3.6分类classification按照选定的属性(或特征)区分分类对象,将具有某种共同属性(或特征)的分类对象集合在一起的过程。[来源：GB/T10113-2003，2.1.2]3.7组织organization﹑GB/T25069-2022，3.816]缩略语下列缩略语适用于本文件。AGV：自动导引车（AutomatedGuidedVehicle）App：应用程序（Application）CAD：计算机辅助设计（ComputerAidedDesign）CPU：中央处理器（CentralProcessingUnit）DaaS：数据即服务（DataasaService）DCS（DistributedControlSystem)DDoS（DistributedDenialofService）ERP（EnterpriseResourcePlanning）IaaS（InfrastructureasService）MES（ManufacturingExecutionSystem）OA：（OfficeAutomationSystem）PaaS（PlatformasaService）PDM：产品数据管理（ProductDataManagement）PLC（ProgrammableLogicController）PLM（ProductLifecycleManagement）RTU（RemoteTerminalUnit）SaaS（SoftwareasaService）SCADA：监视控制与数据采集（SupervisoryControlandDataAcquisition）SIS：安全仪表系统（SafetyInstrumentedSystem）SOC：安全运营中心（SecurityOperationsCenter）UPS：不间断电源系统（UninterruptedPowerSystem）VR：虚拟现实（VirtualReality）工业互联网企业经营和管理活动中使用和管理的资产，包括但不限于：YD/T3865-2021工业互联网企业资产分类宜遵循以下原则：（（简称联网工业企业）工业互联网平台企业（），App）机构（）（）、AGB/T42021-2022/指与工业智能生产相关的各类资产，包括但不限于工业机器人、数控机床。AGV指工业互联网业务中与生产管理过程相关的终端设备，包括但不限于厂区电脑、VR设备、平板电脑、智能穿戴。SCADA、DCS、PLC、SISSCADA指以计算机为基础的面向工业生产过程控制与调度自动化监控的系统，负责对现场信号、工业设备的监测和控制，包括但不限于超级监控软件、RTU远程终端控制单元。DCS指面向工业生产过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统，由多个控制器、操作站和通信网络组成，用于实现工业过程的自动化控制。PLCCPU、I/OSIS指支持日常办公业务的通用软件，包括但不限于OA、邮件系统。指工业企业为达成所需的业务环节所部署的信息化系统，包括但不限于ERP、MES、标识解析。指为从事产品研发工作的单位开发、管理部分甚至所有与研发活动相关的研发管理工具。包括但不限于CAD、PDM、PLM。指面向企业内部生产制造的各类应用，如计划管理、作业管理、生产监控、物料管理、质量监控等各类应用软件。指面向企业内部经营管理的各类软件，如采购管理、销售管理、资产管理、项目管理、物流管理、财务管理、供应链管理等各类延伸应用。指用于网络存储的相关设备，包括但不限于网络存储、存储阵列、存储交换机。指用于信息通信的其他设备，包括但不限于网络摄像头、监控系统、UPS、门禁系统。（IaaSPaaSSaaSDaaS防DDoS）IaaSPaaSSaaS如AppWebDaaS指为工业互联网平台提供安全管理及运维服务的资产，包括平台运维管理类资产及平台安全管理类资产。SOC指识别和管理物品、信息等的基础资源，包括但不限于标识载体、标识读取设备。指通过建立统一的标识体系将工业中的设备、机器和物料等对象标识映射至实际信息指企业内部的生产制造和运维管理过程中，能够对监测设备或者传感器进行打码标识、注册、查询的各类应用。指面向企业和用户之间，对定制平台生成的订单打码标识、注册、查询的各类应用。（指为标识解析提供支撑的服务类资产，包括标识解析服务系统及标识解析安全服务系统。指用于对工业互联网标识注册服务、解析服务及其运行维护提供安全防护的各类资产。工业互联网企业资产分级宜遵循以下原则：（（资产安全属性（））（，资产安全属性（）（（资产安全属性（保密性、完整性、可用性）遭到破坏后，影响对象为行业产业，影响范围大（一个或多个子行业），影响程度为严重。资产分级要素包括影响对象和影响程度。影响对象影响对象包括以下三种情形：组织：影响范围可以是一个业务领域的部分组织。一般指资产的安全属性（（影响程度（）工业互联网企业资产的分级一般执行如下步骤：（）（性）（）1表1工业互联网企业资产级别矩阵表影响程度影响对象组织业务领域行业产业一般第一级第一级第二级中等第二级第二级第三级严重第三级第三级第三级本项要求包括：（IP本项要求包括：（A）本项要求包括：具有访问控制机制，管理资产使用权限，并定期审查和维护。本项要求包括：在满足第一级资产安全管理要求的基础上满足以下要求。本项要求包括：本项要求包括：AI本项要求包括：本项要求包括：本项要求包括：本项要求包括：在满足第二级资产安全管理要求的基础上满足以下要求。建立资产安全运营体系，充分融合人员、流程和技术手段，实现持续动态的安全运营。本项要求包括：本项要求包括：本项要求包括：本项要求包括：T/ZISIA1-2023T/ZISIA1-20231010本项要求包括：T/ZISIA1-2023T/ZISIA1-20231111附录A（资料性）工业互联网企业资产分类推荐编码方法工业互联网企业资产分类代码是对工业互联网企业资产类别的编码，采用层次编码方法，代码由本文规定的5位资产编码字符加企业自定义的字符构成：（）（A～Z）（）（01～99）（）（01～99）A.1

企业自定义（如：资产序号） 图A.1工业互联网企业资产编码结构工业互联网企业资产编码前5位编制规则示例见表A.1。表A.1工业互联网企业资产编码前5位编制规则示例表第一位第二、三位第四、五位工业互联网企业分类编码二层分类编码三层分类编码联网工业互联网企业资产A智能机器01智能生产设备01智能生产辅助设备02智能终端03物联网设备04工业控制系统02SCADA系统01DCS系统02PLC系统03SIS系统04工业信息系统/管理软件03办公软件01业务管理系统02研发管理系统03工业互联网应用软件04研发设计类应用软件01生产制造类应用软件02运维服务类应用软件03经营管理类应用软件04T/ZISIA1-2023T/ZISIA1-202311PAGE2表A.1工业互联网企业资产编码前5位编制规则示例表（续）第一位第二、三位第四、五位工业互联网企业分类编码二层分类编码三层分类编码网络设备05通信网络设备01网络安全设备02网络存储设备03其它04工业互联网平台企业资产B工业互联网平台01SaaS层资产01PaaS层资产02IaaS层资产03边缘接入层04平台管理服务类02平台运维与管理01平台安全管理02标识解析企业资产C基础平台类01标识解析基础设施01标识解析系统02其他基础设施03解析应用类02智能化生产标识解析应用01个性化定制标识解析应用02网络化协同标识解析应用03服役化延伸标识解析应用04解析服务类03标识解析服务系统01标识解析安全服务系统02示例：A0202表示联网工业互联网企业资产类别下的工业控制系统类中的DCS系统。附录B（资料性）工业互联网企业业务重要度识别B.1。表B.1联网工业企业业务重要度识别表业务等级等级说明业务内容识别（示例）一般业务主要指对企业运营和内部管理起到支持和辅助作用的业务。一般业务的有效运行可以提升企业的管理效率和智能化水平，为其他核心和重要业务的顺利开展提供支持和保障。人力资源管理：包括员工招聘、培训与发展、绩效评估、薪酬管理等人力资源相关的业务活动。及预算控制、成本管理和资金操作等方面的任务。划、客户服务等涉及企业销售与客户关系的业务。信息技术基础设施管理：管理企业的信息技术基础设施，包括网络设备、服务器、数据库等的搭建、维护和管理。项目管理与协作：管理企业内部和外部合作伙伴之间的项目计划、进度掌控、资源分配与协作沟通等业务。决策支持与业务分析：通过数据分析、统计建模等方法为企业决策提供支持，进行业务运营情况的分析和优化。知识管理与协同创新：包括企业内部知识资产的管理、共享与应用，以促进员工之间的协同创新和知识传播。重要业务主要涉及到对生产、运营和管理等方面具有一定重要性和影响力的业务。这些重要业务的实施可以提升工业企业的生产效率、质量和安全水平，同时也能进一步推动工业互联网的应用和发展。监测和分析，以优化生产效率、提高产品质量和降低生产成DCS、SCADA资源调度和智能控制：包括对设备、人力和物流资源的调度和优化，以实现更好的生产协调和资源利用效率。远程运维和维修支持：通过远程监控和诊断，提供远程支持和指导，对设备的故障检测、预测和维修进行有效管理和保障。数据安全和网络防护：确保工业互联网系统的数据安全性和网络防护能力，包括对网络通信的加密、访问控制以及威胁检测和响应等安全措施的实施。享、协同计划和业务合作，提高供应链的效率和灵活性。污染排放情况，实施有效的环境保护和可持续发展措施。核心业务主要涉及到对生产、运营和安全环境等方面具有重要意义、可能对整个工业企业的稳定运行和安全造成重大影响的业务。核心业务是根据企业自身的情况和需求来确定的，不同企业可能会有不同的核心业务，且随着技术和业务环境的不断发展变化，核心业务也可能随之有所调整。生产控制和过程管理：包括生产计划和调度、设备管理、质量控制等关键环节，在确保生产运行的安全性、高效性和可追溯性方面起着重要作用。能源管理和优化：涉及对能源供应、消耗和效率进行监控与管理，旨在降低能源消耗、提高能源利用效率以及保障能源安全和环境可持续发展。库存和供应链管理：包括原材料采购和库存管理、产品配送和物流控制等关键环节，用于确保供应链的稳定性和运作效益。设备健康与维修保养：通过对设备运行状态和故障预测的监测与分析，实现设备的健康管理和维修保养计划的制定，以最小化设备故障对工业生产的影响。安全和环境监测：涉及工业场所安全监测、环境污染监控、物质泄漏检测等关键任务，用于确保工作场所的安全和环境保护的可靠性。平台企业业务重要度识别见表B.2。表B.2平台企业业务重要度识别表业务等级等级说明业务内容识别（示例）一般业务主要涉及到为工业企业提供基础的数据连接、管理和分析服务。将设备接入到工业互联网平台，实现设备数据的实时采集和传输。和边缘存储，确保工业数据的安全性和可靠性。数据处理和分析：提供数据处理和分析的功能和工具，包括数据清洗、变换、聚合和统计，为用户提供产业洞察力和决策支持。实时监控和告警：通过数据实时监控和告警机制，帮助用户及时发现异常情况并做出相应的处理和调整。数据可视化和报告：基于工业数据，提供可视化和报告功能，将数据以图表、仪表盘等形式展现，使用户能够更直观地理解和分析数据。开放接口和集成支持：为企业提供开放的API接口和集成支持，方便与其他系统进行数据交换和业务协同。安全性和隐私保护：确保工业数据的安全性和隐私保护，包括数据加密、访问控制、权限管理等安全措施的实施。重要业务主要涉及到提供面向工业企业的综合性解决方案和服务，以实现产业数字化转型和智能化升级。设备接入和数据管理：支持工业设备的接入和连接，管理和处理工业数据，确保数据的准确性、完整性和可靠性。数据分析和决策支持：通过对工业数据进行分析和挖掘，提供生产运营分析、成本控制、质量监控等方面的决策支持。物联网平台和应用开发：提供物联网平台和开发环境，支持企业和开发者构建和部署物联网应用程序，实现设备连接和集成。基于云计算和边缘计算的架构设计与部署：为企业提供云计算和边缘计算的技术支持和解决方案，实现高可靠性、可扩展性和灵活性的系统架构。企业级安全防护和合规性支持：提供全面的安全防护措施，包括网络安全、数据隐私保护和合规性支持，确保工业互联网系统的安全性。供应链协同和可视化管理：通过供应链协同平台，实现供应链各环节的信息共享、协同作业和实时监控，提高物流效率和运作可视化程度。制造执行系统（MES）MES质量水平。核心业务主要涉及到为工业企业提供数据收集、存储、分析和应用的平台和服务。数据采集和传感器连接：建立和管理大规模设备的连接，实现工业设备和传感器数据的采集，确保数据的可靠性和安全性。数据存储和管理：提供数据存储和管理基础设施，包括云存储、数据库和数据仓库等高效、稳定的数据存储解决方案。数据分析和挖掘：通过对大数据的分析和挖掘，为企业提供实时的数据分析结果，帮助企业进行生产和运营决策。预测和优化分析：通过机器学习和人工智能技术，对历史数据进行分析和建模，实现设备故障预测、生产效率优化等功能。应用开发和集成：提供应用程序开发框架和工具，支持企业或第三方开发者开发和集成工业应用程序和服务。安全性和隐私保护：为工业互联网系统提供完善的安全防护措施，包括网络防护、数据加密、访问控制等安全保障功能。企业协同与连接：通过平台和服务，实现工业互联网平台与企业内外部系统的无缝连接和协同，促进企业间的合作与共享。标识解析企业业务重要度识别见表B.3。表B.3标识解析企业业务重要度识别表业务等级等级说明业务内容识别（示例）一般业务主要涉及到为工业企业提供标识码生成和管理、标识解析技术开发和部署、标识解析数据管理与分发等基础服务。标识码生成和管理：为设备和物体生成唯一的标识码，如条形码、二维码等，并进行标识码的管