<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 縮略語
    4 縮略語
    5 安全控制概述
    5 安全控制概述
    6 安全控制基線及其設計
    6 安全控制基線及其設計
    7 安全控制選擇與規約
    7.1 選擇與規約概述 7.2 安全控制選擇 7.3 安全控制裁剪 7.4 安全控制補充 7.5 建立安全控制決策文檔
    附錄A(資料性附錄)工業控制系統面臨的安全風險
    A.1 工業控制系統與傳統信息系統對比 A.2 信息系統安全威脅與防護措施對工業控制系統的影響 A.3 工業控制系統面臨的威脅 A.4 工業控制系統脆弱性分析
    附錄B(資料性附錄)工業控制系統安全控制列表
    B.1 規劃(PL) B.2 安全評估與授權(CA) B.3 風險評估(RA) B.4 系統與服務獲取(SA) B.5 程序管理(PM) B.6 人員安全(PS) B.7 物理與環境安全(PE) B.8 應急計劃(CP) B.9 配置管理(CM) B.10 維護(MA) B.11 系統與信息完整性(SI) B.12 介質保護(MP) B.13 事件響應(IR) B.14 教育培訓(AT) B.15 標識與鑒別(IA) B.16 訪問控制(AC) B.17 審計與問責(AU) B.18 系統與通訊保護(SC)
    附錄C(規范性附錄)工業控制系統安全控制基線
    附錄C(規范性附錄)工業控制系統安全控制基線

    B.6 人員安全(PS)

    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南 /

    B.6 人員安全(PS)

    B.6.1 人員安全策略和規程(PS-1)

    控制:
    組織應:
    a) 制定并發布正式的人員安全策略,內容至少應包含:目的、范圍、角色、責任、管理承諾、相關部門間的協調以及合規性。
    b) 制定并發布正式的人員安全規程,以推動人員安全策略和相關人員安全控制的實施;
    c) 按【賦值:組織定義的時間間隔】,對人員安全策略和規程進行評審和更新。
    補充指導:
    a) 該控制有效實現該族中的安全控制和控制增強,編制所需要的策略和規程。
    b) 該策略和規程應與國家相關法律、法規、政策、標準和指南保持一致。
    c) 人員安全策略可作為組織信息安全策略的一部分。
    d) 人員安全規程可針對一般性的安全程序予以開發;需要時,可針對特殊ICS予以開發。
    e) 在開發人員安全策略時,組織風險管理策略是重要因素。

    B.6.2 崗位分類(PS-2)

    控制:
    組織應:
    a) 建立ICS崗位分類機制;
    b) 評估ICS所有崗位的風險;
    c) 建立人員審查制度,尤其對控制和管理ICS關鍵崗位的人員進行審查;
    d) 按【賦值:組織定義的時間間隔】對崗位風險進行評審和更新。
    補充指導:
    a) 崗位風險命名與實施的人員管理策略和指導是一致的;
    b) 篩選準則涉及顯式的信息安全角色委派需求(例如:培訓,安全清理)。
    c) 相關安全控制:AT-3、PL-2、PS-3。

    B.6.3 人員審查(PS-3)

    控制:
    組織應:
    a) 在授權訪問ICS及相關信息前進行人員審查;
    b) 在人員離職或崗位調整時對其進行審查。
    補充指導:
    a) 人員審查應符合國家相關法律、法規、政策、標準和指南;
    b) 組織可基于ICS的安全定級,為訪問ICS的人員【賦值:定義不同的審查條件和審查頻率】。
    c) 相關安全控制:AC-2、IA-4、PE-2、PS-5、PS-6。
    控制增強:
    a) 組織應確保每個訪問涉及國家秘密信息處理、存儲或傳輸ICS的用戶,按該ICS最高信息秘密等級進行人員審查,并對訪問人員進行了相應的保密教育;

    B.6.4 人員離職(PS-4)

    控制:
    組織應:
    a) 終止離職人員對ICS的訪問權限;
    b) 刪除與離職人員相關的任何身份鑒別信息;
    c) 與離職人員簽訂安全保密協議;
    d) 收回離職人員所有與安全相關系統的所有權;
    e) 確保離職人員移交與ICS相關資產和工具。
    補充指導:
    a) 與ICS相關資產和工具,包括:系統管理技術手冊,密鑰,身份標識卡;
    b) 離職談話,確保個體理解由前任雇傭人員所強加的任意安全約束,并對所有與ICS有關的特性,實現合理的可核查性;
    c) 在一些情況中,例如:在任務遺棄的情況,某些有病情況,以及沒有可用的監管人員情況,對人員的離職談話有可能是不能進行的;
    d) 離職談話對個體的安全清理是重要的,特別對由于某種原因所終止的雇員或合同方,該控制的及時執行是基本的控制。
    e) 相關安全控制:AC-2、IA-4、PE-2、PS-5、PS-6。

    B.6.5 人員調離(PS-5)

    控制:
    a) 當人員調離到組織內其它工作崗位時,組織應【賦值:在規定的時間】內,評審其對ICS的邏輯和物理訪問,并根據評審結果調整其訪問權限。
    補充指導:
    人員調離到組織內其它工作崗位,無論是永久還是臨時的,均應:
    a) 收回老的,并換發新的鑰匙、通行證等相關證件;
    b) 關閉ICS原賬戶,并根據新職位的需要開新帳號;
    c) 改變ICS的訪問權限;
    d) 提供個人以前的工作地點和ICS帳戶訪問官方記錄。
    e) 相關安全控制:AC-2、IA-4、PE-2、PE-2、PS-4。

    B.6.6 訪問協議(PS-6)

    控制:
    組織應:
    a) 制定ICS的訪問協議并形成文件;
    b) 按【賦值:組織定義的時間間隔】評審并更新訪問協議;
    c) 確保在授權人員訪問ICS前與其簽訂訪問協議,并在訪問協議更新或到期后重新簽訂。
    補充指導:
    a) 訪問協議,包括:保密協議、可接受的使用協議、行為規則等相關協議;
    b) 所簽訂的訪問協議包括承諾,即個人已閱讀、理解對ICS有關的授權訪問約束,并同意遵循;
    c) 在承諾的訪問協議中,可使用電子簽名,除非組織策略明文規定不能使用。
    d) 相關安全控制: PL-4、PS-2、PS-3、PS-4、PS-8。
    控制增強:
    a) 組織應確保特殊保護措施ICS的訪問,僅授權給:
    1) 具有有效訪問授權的人;
    2) 滿足相關人員安全準則的人。
    b) 組織應確保特殊保護措施的秘密信息的訪問,僅授權給:
    1) 具有有效訪問授權的人;
    2) 滿足相關的、符合可用的法律的人員安全準則的人;

    B.6.7 第三方人員安全(PS-7)

    控制:
    組織應:
    a) 為第三方供應商建立包含安全角色和責任的人員安全要求,并形成文件;
    b) 要求第三方供應商遵守已制定的人員安全策略和規程;
    c) 第三方供應商在人員調動或離職時予以告知;
    d) 監視第三方供應商的合規性。
    補充指導:
    a) 第三方供應商包括:服務單位,合同方以及提供ICS開發、ICS技術服務、 外源應用以及網絡安全管理等;
    b) 在與獲取有關的文檔中,組織一般會明確人員安全需求。
    c) 相關安全控制:PS-2、PS-3、PS-4、PS-5、PS-6、SA-9。

    B.6.8 人員處罰(PS-8)

    控制:
    a) 組織應對違反安全策略和規程的人員建立違規處罰制度。
    補充指導:
    a) 該制度應與相關法律、法規、制度相一致;
    b) 該制度應在訪問協議中描述,并可包含在一般性的人員策略和規程中;
    c) 相關安全控制:PL-4,PS-6。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类