《信息安全技术 信息系统安全等级保护测评要求 第5部分 工业控制安全扩展测评要求-编制说明》

一、编制背景

1994年，国家印发《中华人民共和国计算机信息系统安

全保护条例》，明确规定“计算机信息系统实行安全等级保

护”。之后，公安部会同有关部门陆续出台了《关于信息安

全等级保护工作的实施意见》、《信息安全等级保护管理办

法》、《关于开展信息系统等级保护安全建设整改工作的指

导意见》等一系列政策文件。全国信息安全标准化技术委员

会和公安部信息系统安全标准化技术委员会组织制定了信

息安全等级保护工作基础类、应用类、产品类和其他类急需

的一系列标准。各相关单位按照国家要求执行信息安全等级

保护制度，信息安全等级保护工作已取得很大的进展。

2010年“震网”病毒出现后，工业控制系统安全引起了

国家各级组织的高度重视，美国等发达国家陆续发布了针对

工控系统保护的系列标准和框架等。由于工控系统的特殊

性，实时打补丁，补漏洞等通用信息系统保护手段，在线扫

描渗透等测评手段不适用于已投运工控系统亟需根据工业

控制系统特点制定工业控制系统的等级保护系列标准。

为提升国家重要工业控制系统安全防护能力，规范工控

系统安全防护建设，促进我国信息安全产业发展，国家能源

局信息中心组织测评机构、工控安全厂商、电力企业等，对

工业控制系统测评方法进行专题研究，编制了《信息系统安

1

全等级保护测评要求第5部分工业控制安全扩展测评要

求》。

《信息安全技术网络安全等级保护测评要求第5部

分：工业控制系统安全扩展要求》是以《信息安全技术信

息系统安全等级保护测评要求》（GB/T28448-2012）修订

稿为基础，针对工业控制系统的特点进行了适度调整，更适

用于工业控制系统测评的现状。

二、编制依据

1、《关于加强工业控制系统信息安全管理的通知》（工

信部协[2011]451号）、《电力监控系统安全防护规定》（国

家发改委2014年第14号令）。

2、《信息技术安全技术信息安全管理体系要求》

（GB/T22080-2008）、《信息技术安全技术信息安全实用

规则》（GB/T22081-2008）、《信息安全技术信息系统通

用安全技术要求》（GB/T20271-2006）、《信息安全技术信

息安全等级保护基本要求》（GB/T22239-2008）、《信息安

全技术信息安全等级保护测评要求》（GB/T28448-2012）。

3、《联邦信息系统推荐安全措施》（NISTSP800-53）、

《控制系统安全指南》（NISTSP800-82）。

三、标准范围

本标准规定了对信息系统安全等级保护状况进行安全

测试评估的要求，包括对第一级信息系统、第二级信息系统、

2

第三级信息系统和第四级信息系统进行安全测试评估的单

元测评要求和信息系统整体测评要求。本标准略去对第五级

信息系统进行单元测评的具体内容要求。

本标准适用于信息安全测评服务机构、信息系统的主

管部门及运营使用单位对信息系统安全等级保护状况进行

的安全测试评估。信息安全监管职能部门依法进行的信息安

全等级保护监督检查可以参考使用。

四、主要内容

《信息安全技术网络安全等级保护测评要求第5部

分：工业控制系统安全扩展要求》按照GB/T1.1-2009的规则

起草。包含范围、规范性引用文件、术语和定义、总则、总

体要求、第一级到第四级信息系统单元测评、整体测评、等

级测评结论等。

总则包括五个方面：1、测评原则；2、测评内容；3、

测评力度；4、结果重用；5、使用方法。

总体要求包括两个方面：1、总体技术要求；2、总体管

理要求。

第一、二、三、四级信息系统单元测评包括两个方面：

1、安全技术测评（总体技术、物理环境、网络通信、设备

和计算、应用和数据）；2、安全管理测评（安全策略和管

理制度、安全管理机构和人员、安全建设管理、安全运维管

3

理）。整体测评包括控