GB/T 40682-2021 工业自动化和控制系统安全 IACS服务提供商的安全程序要求

标准编号：GB/T 40682-2021

标准名称：工业自动化和控制系统安全 IACS服务提供商的安全程序要求

英文名称：Security for industrial automation and control system—Security program requirements for IACS service providers

发布日期：2021-10-11

实施日期：2022-05-01

归口单位：全国工业过程测量控制和自动化标准化技术委员会

执行单位：全国工业过程测量控制和自动化标准化技术委员会

主管部门：中国机械工业联合会

起草人

王玉敏、梅恪、华镕、孙静、周纯杰、李锐、魏旻、王浩、成继勋、赵军凯、张为群、刘枫、尚羽佳、郭永振、肖衍、陆妹、高镜媚、闫韬、甘杰夫、宋文刚、张晋宾、王彦君、张晨艳、冯冬芹、陈小淙、朱镜灵、王弢、刘杰、兰昆、尚文利、刘志祥、袁晓舒、杜振华、张哲宇、丁长富、肖煦媛、袁静、任卫红

起草单位

机械工业仪器仪表综合技术经济研究所、中国核电工程有限公司、北京市自来水集团有限责任公司、华中科技大学、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、施耐德电气（中国）有限公司、中国科学院沈阳自动化研究所、北京国电智深控制技术有限公司、中国电子科技集团公司第三十研究所、西南大学、北京四方继保自动化股份有限公司、北京市轨道交通设计研究院有限公司、重庆信安网络安全等级测评有限公司、中国网络安全审查技术与认证中心、电力规划总院有限公司、和利时科技集团有限公司、浙江大学、重庆邮电大学、西门子（中国）有限公司、罗克韦尔自动化（中国）有限公司、北京启明星辰信息安全技术有限公司、深圳万讯自控股份有限公司、工业和信息化部电子第五研究所、中国东方电气集团有限公司、国家工业信息安全发展研究中心、上海自动化仪表有限公司、公安部第三研究所、北京网御星云信息技术有限公司

标准范围

本标准定义了在自动化解决方案的集成和维护活动中IACs服务提供商可以向资产所有者提供的安全能力的一系列综合要求。因为并不是所有的要求都适用于所有的工业门类和组织，所以4.1.4为 行规制定提供了这些要求的子集。行规用于将本标准适用于特定环境，也包括不基于IACS的环境。

 注1：术语““自动化解决方案”在本标准中用作专有名词。防止与这一术语的其他用法混淆，本标准中的“安全”指 ”网络安全”。

总之，IACS服务提供商提供的安全能力。被称为安全程序。在相关规范中．IEC62443-2-1描述了 对资产所有者安全管理系统的要求。

注2：这些安全能力通常指的是策略、规程、实践和相关人员。

图1说明了集成和维护能力是如何与IACS以及集成到自动化解决方案中的控制系统产品相关的。某些能力参考了IEC62443-3-3里定义的安全措施，服务提供商必须确保在自动化解决方案中（包含在控制系统产品中或单独添加到自动化解决方案中）支持这些措施。

在图1中，自动化解决方案的图示包括一个基本过程控制系统（HPCS），可选的安全仪表系统（SIS） 和可选的支持应用程序，例如先进控制。虚线框表示这些组件是“可选的”。

注3：在BPCS中术语“过程”可用于多种工业过程。包括连续过程和（离散）制造流程。

注4:  4.1.4描述了概述文件（profile）以及工业集团和其他组织可以如何使用它，从而使本标31适应其特定环境，包 括不基于IACS的环境。

注5：自动化解决方案通常有一个单独的控制系统（产品），但并不仅限于此。通常，自动化解决方案是硬件和软件的集合。与产品组合无关，用于控制资产所有者定义的（例如连续的或制造的）物理过程。

标准文档截图