名称 |
主要内容 |
指导性要求 |
发布时间 |
《工业控制系统信息安全防护指南》 |
主要围绕管理和技术两个方面 |
11项共计30条 |
2016年10月 |
《工业控制系统网络安全防护指南》 |
主要围绕安全管理、技术防护、安全运营、责任落实四个方面 |
15项总计33条 |
2024年1月 |
(2)工控安全防护理论框架更加清晰:四个聚焦
一是聚焦安全风险管控,突出管理重点对象,提升工业企业工控安全管理能力。围绕工业控制系统资产、配置、供应链、人员四大管理重点提出安全要求,在理清系统资产底数、保障系统基本运行安全的基础上,避免网络安全风险引入工业控制系统,减少网络安全事件的可能性。
二是聚焦安全薄弱关键环节,强化技术应对策略,提升工业企业工控安全防护能力。在保障工业主机和终端设备自身安全的基础上,进一步防范来自内外部网络的入侵攻击,强调上云上平台新型场景下的设备与业务安全,同时规范软件和服务安全使用,落实数据安全分类分级保护。
三是聚焦易发网络安全风险,增强威胁发现及处置能力,提升工业企业安全运营能力。围绕网络安全事件的事前、事中、事后环节,提出部署网络安全监测手段、建设网络安全运营中心和做好应急处置等安全措施,并要求做好定期网络安全风险评估和防护能力评估,开展日常系统漏洞排查并实施安全加固。
四是聚焦工业企业资源保障,坚持统筹发展和安全,督促企业落实网络安全责任。围绕建立工控安全管理制度,明确工控安全保护责任,确保安全技术措施与工业控制系统建设同步推进等方面提出安全要求。
注:在新版中多次提到“重要”工业控制系统/设备/系统等,在GB/Z 41288-2022 《信息安全技术 重要工业控制系统网络安全防护导则》对“重要工业控制系统”如下定义:
重要工业控制系统 importantindustrial control system
按照GB/T 22239 描述的第三级和第四级的工业控制系统。即等保三级和四级的工业控制系统。
(二)安全管理防护要求对比分析