工业控制系统安全:DCS管理要求思维导图
DCS网络安全管理的核心是网络安全管理体系的建立、维护和改进过程, 宜按照GB/T 22080(ISO/IEC 27001)建立相应的组织管理体系。在明确体系建立和运行过程中必要的管理要素和具体要求,需要结合具体DCS应用实际情况选择执行裁剪。
DCS网络安全管理体系(Information Security Management System) 旨在指导企业或组织在已有网络安全管理体系的框架或环境下, 建立、实施、运行、监视、评审、保持与改进文件化的DCS网络安全管理体系(ISMS) 。DCS网络安全管理体系应综合考虑资产重要性、资产地理位置、系统功能、控制对象和生产厂商等因素,将控制系统进行分区域管理。
企业可以参考管理要求,按照ISMS的建立、实施、运行、监视、评审、保持和改进过程中的安全要求。DCS用户和DCS设备生产企业和系统集成企业应成立相关的组织承担相应的网络安全管理职责。最终,实现IT与OT科学融合。
通过,“规划(Plan) -实施(Do) -检查(Check) -处置(Act) ”,(PDCA) 模型来建立DCS系统的 ISMS过程,建立与管理DCS安全风险和改进DCS网络安全有关的方针、目标、过程和规程, 提供与组织或企 业总方针和总目标相一致的结果。
管理体系需要满足符合法律要求 ,其实在各种标准中,都会提到合规性这个问题,其中很多国际标准都要求满足当地法律,所以合规性是世界通用要求。在明确定义所有与DCS相关的法令、法规和合同的要求以及满足这些要求企业或组织所采取的方法,并形成文件,保持更新; 应实施适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求; 防止重要记录(如数据库记录、安全事件记录、审计日志等)的遗失,毁坏和伪造,以满足法令、法规、合同和业务的要求;
应依照相关的法律、法规和合同条款的要求, 确保DCS重要工艺参数、数据的保护和隐私。 还需要符合安全策略、标准,技术符合性本项要求等。
参考文件:
《工业自动化和控制系统网络安全 集散控制系统(DCS)第1部分:防护要求》
《工业自动化和控制系统网络安全 集散控制系统(DCS)第2部分:管理要求》
《信息安全技术 网络基础安全技术要求》
《信息安全技术 网络安全等级保护基本要求》
本文授权转载自:“祺印说信安”公众号,如需转载,请联系原作者。
