<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 縮略語
    4 縮略語
    5 安全控制概述
    5 安全控制概述
    6 安全控制基線及其設計
    6 安全控制基線及其設計
    7 安全控制選擇與規約
    7.1 選擇與規約概述 7.2 安全控制選擇 7.3 安全控制裁剪 7.4 安全控制補充 7.5 建立安全控制決策文檔
    附錄A(資料性附錄)工業控制系統面臨的安全風險
    A.1 工業控制系統與傳統信息系統對比 A.2 信息系統安全威脅與防護措施對工業控制系統的影響 A.3 工業控制系統面臨的威脅 A.4 工業控制系統脆弱性分析
    附錄B(資料性附錄)工業控制系統安全控制列表
    B.1 規劃(PL) B.2 安全評估與授權(CA) B.3 風險評估(RA) B.4 系統與服務獲取(SA) B.5 程序管理(PM) B.6 人員安全(PS) B.7 物理與環境安全(PE) B.8 應急計劃(CP) B.9 配置管理(CM) B.10 維護(MA) B.11 系統與信息完整性(SI) B.12 介質保護(MP) B.13 事件響應(IR) B.14 教育培訓(AT) B.15 標識與鑒別(IA) B.16 訪問控制(AC) B.17 審計與問責(AU) B.18 系統與通訊保護(SC)
    附錄C(規范性附錄)工業控制系統安全控制基線
    附錄C(規范性附錄)工業控制系統安全控制基線

    B.5 程序管理(PM)

    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南 /

    B.5 程序管理(PM)

    B.5.1 程序管理計劃(PM-1)

    控制:
    a) 組織應開發并宣貫一套組織層面的ICS信息安全程序管理計劃,包括:
    1) 提供安全程序要求概述,以及滿足這些要求的安全程序管理控制的說明;
    2) 提供有關程序管理控制的充分信息,以便能夠實現該計劃的意圖,并確定該計劃是否能夠按計劃實施;
    3) 應包括角色、責任、管理承諾、組織機構之間的協調和合規性;
    4) 獲得組織內【賦值:相關責任人】的批準。
    b) 應按【賦值:組織定義的時間間隔】,修訂完善該信息安全程序管理計劃;
    c) 應修改計劃來滿足組織變更的需求,或滿足計劃實施和安全評估過程中發現問題的需求。
    補充指導:
    a) 信息安全程序管理計劃可作為獨立文件,或大型文件的一部分;
    b) 信息安全程序管理計劃控制是組織范圍內的通用控制;
    c) 程序管理策略可作為組織信息安全策略的一部分。

    B.5.2 信息安全高管(PM-2)

    控制:
    組織應任命高級信息安全官,負責資源協調、開發、實現和維護組織范圍的ICS信息安全。
    補充指導:無

    B.5.3 信息安全資源(PM-3)

    控制:
    組織應:
    a) 確保實現信息安全程序和文檔所有例外要求所需的資源;
    b) 雇傭一個能夠實現ICS信息安全需求所需資源的合作伙伴;
    c) 確保信息安全資源可按照計劃提供。
    補充指導:
    a) 組織可指定并授權投資審查委員會來管理和監督的信息安全相關資本規劃和投資支出過程。

    B.5.4 行動和里程碑計劃(PM-4)

    控制:
    組織應實現一個確保ICS信息安全行動計劃,以減輕風險發生時對組織使命、業務運行和資產造成的影響。
    補充指導:
    a) 該計劃是信息安全程序的重要關鍵文檔;
    b) 該計劃的更新是基于安全控制的結果評估、安全影響分析,是持續的監控活動;
    c) 相關的控制:CA-5。

    B.5.5 安全資產清單(PM-5)

    控制:
    a) 組織應開發并維護一套ICS的安全資產清單。
    補充指導:
    a) 該控制應滿足相關標準對資產清單的要求。

    B.5.6 安全性能度量(PM-6)

    控制:
    a) 組織應開發、監控并報告ICS信息安全性能度量結果。
    補充指導:
    a) 安全性能度量是組織ICS信息安全程序和安全控制設施效果的基礎指標。

    B.5.7 組織架構(PM-7)

    控制:
    a) 設計組織架構時應充分考慮ICS信息安全風險對組織使命、業務運行、資產、個人、國家等的影響。
    補充指導:
    a) 組織架構設計應考慮國家對組織架構的相關要求;
    b) 將安全需求和安全控制整合到組織架構中,有助于確保早期ICS生命周期中的安全考慮得以滿足,并符合組織業務流程需要;
    c) 完整的安全體系與組織風險管理應和安全策略相一致;
    d) 通過實施風險管理、安全標準和指南,能有效地實現了安全要求和安全控制的集成。
    e) 相關控制:PM-11、RA-2。

    B.5.8 關鍵基礎設施計劃(PM-8)

    控制:
    a) 組織應開發、發布并按【賦值:組織定義的時間間隔】更新一套滿足相關要求的關鍵基礎設施和關鍵資源保護計劃。
    補充指導:
    a) 定義關鍵基礎設施和關鍵資源保護計劃應滿足相關法律、法規、規章、制定、標準和指南的要求;
    b) 相關控制:PM-1、PM-9、PM-11、RA-3。

    B.5.9 風險管理策略(PM-9)

    控制:
    組織應:
    a) 開發一套全面的風險管理策略來保護組織業務和資產;
    b) 風險管理策略應與組織戰略相一致。
    補充指導:
    a) 組織層面的風險管理策略應包括:明確表達組織風險承受能力、可接受的風險評估方法、風險緩解策略、隨著時間的推移持續的評估和監控風險的方法;
    b) 風險執行功能可促進組織范圍內風險管理策略的一致性;
    c) 組織范圍內的風險管理策略應是廣泛和全面的;
    d) 相關控制:RA-3。

    B.5.10 安全授權過程(PM-10)

    控制:
    組織應:
    a) 通過安全授權過程管理組織信息安全狀態;
    b) 指定專人負責風險管理過程中安全授權的角色和職責;
    c) 將安全授權過程集成到組織范圍內的風險管理流程中。
    補充指導:
    a) 安全授權過程是實施風險管理和滿足相關標準規范的必要組成部分;
    b) 為每個ICS指定安全授權負責人。
    c) 相關控制:CA-6。

    B.5.11 業務流程定義(PM-11)

    控制:
    組織應:
    a) 在考慮信息安全及安全風險對組織運營、組織資產、個人、其他組織和國家等影響的基礎上定義業務流程;
    b) 根據信息安全需要定義業務流程和修改業務流程,直到滿足信息安全保護需要。
    補充指導:
    a) 信息安全保護需求是技術無關的,須對抗來自組織、個人或國家等層面對機密性、完整性和可用性的威脅;
    b) 信息安全保護需求來自于組織業務需求,選擇符合【賦值:組織定義的業務流程和風險管理策略】;
    c) 信息安全保護需求確定組織所需的安全控制和支撐業務流程的ICS;
    d) 固有的組織信息安全保護需求定義存在明顯不足,可能無法有效保護ICS信息安全;
    e) 業務流程定義和關聯信息安全保護需求應按組織政策和程序進行歸檔。
    f) 相關控制:PM-7、PM-8、RA-2。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类