DCS具有安全性要求，DCS一般部署在重要的生产领域，系统不允许出现安全事故

4.1.2.4完整性要求

DCS具有完整性要求，不允许未授权用户或者恶意程序对信息和数据的修改。

4.1.2.5稳定性要求

DCS具有稳定性要求。DCS一且工作不稳定，将存在严重的威胁城市轨道标准规范范本，导致大批的不合格产品流出 加剧设备的损耗等。

4.1.2.6高可靠性要求

4.2DCS网络安全管理体系

图2应用于ISMS过程的PDCA模型

4.2.2建立DCS的ISMS

建立与管理DCS安全风险和改进DCS网络安全有关的方针、目标、过程和规程，提供与组织或企 方针和总目标相一致的结果。应做以下几方面工作： a）根据DCS业务、组织机构、物理场所、价值资产和技术手段等方面的特性，确定DCS的ISMS 的范围和边界； 6） 根据DCS业务、组织机构、物理场所、价值资产和技术手段等方面的特性，确立DCS的ISMS 方针。DCS的ISMS方针应： 1）包括设定DCS网络安全目标的框架和建立DCS网络安全工作的总方向和原则； 2）考虑DCS业务和相关法律法规的要求，及合同中的安全义务； 3）在组织或企业的战略性风险管理环境下，设定DCS风险管理框架，建立和保持DCS的 ISMS; 4） 建立风险评价的准则，确定可接受风险的范围； 5） 获得组织或企业管理者的批准和支持。 确定DCS的风险评估方法： 1）选择适合DCS的ISMS、已识别的业务网络安全和法律法规要求的风险评估方法，基于 DCS资产的安全威胁、脆弱性以及影响后果来识别与分级风险： 2 建立一套指标体系，用于DCS各业务流程与子系统在风险处理上的分级排序；制定接受 风险的准则，识别可接受的风险级别。 选择的风险评估方法应确保风险评估产生可比较的、可再现的结果。 d）识别DCS风险： 1）创建DCS网络拓扑图，收集DCS资产信息，识别ISMS范围内的资产及其负责人； 注：负责人标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人和实体，并非 资产拥有者。 2） 识别DCS资产可能面临的威胁及威胁发生的可能性； 3）识别DCS控制功能单元和工艺环节可能被威胁利用的脆弱点； 4） 识别丧失DCS实时性、可用性、可靠性、安全性时，对企业或组织的财产、人员及环境的 影响。 e 分析和评价DCS风险： 1）在考虑丧失DCS的可用性、实时性、可靠性所造成的后果的情况下，评估安全失误可能对 系统造成的影响； 2） 评估由主要威胁和脆弱点导致安全失误的可能性，对财产、人员及环境的影响，以及当前 可采用的控制措施； 3）估计风险的级别，确定风险是否可接受。 f）识别和评价DCS风险处理的可选措施： 对于不可接受的DCS风险选择安全措施，降低风险到可接受范围。可能的措施包括： 1）采用适当的控制措施，5.6列举了可选择的安全控制措施； 2 在满足企业或组织方针策略、安全要求和风险接受准则的情况下，可有意识地、客观地接 受风险； 3 调整相关风险环节，避免风险； 4）转移相关业务风险，如保险公司、供应商等。 名g）为处理风险选择控制目标和控制措施：

安全要求。这种选择应考虑接收风险的准则以及法律法规和合同要求。控制措施的实施应以不影响 DCS正常运行为前提。 h）获得管理者对建议的残余风险的批准； 1 获得管理者对实施和运行ISMS的授权； 准备适用性声明，适用性声明的内容包括以下几方面： 1）当前已有的安全目标和安全控制措施； 2）在4.2.2f)中的不可接受的风险及所选择的安全措施，以及选择的理由； 3）其他需要增加或删减的安全措施及其增加/删减的理由。

4.2.3实施与运行DCS的ISMS

实施和运行DCS的ISMS方针、控制措施、过程和规程，应做好以下几方面工作： a）为管理DCS网络安全风险，根据风险等级选择适当的管理措施、可用资源、职责分配和优先顺 序，即制定DCS风险管理规程； b） 建立DCS分区及分区目标安全等级，配置分区内设备，实施DCS风险管理规程，使DCS各分 区达到目标安全等级和已识别的控制目标； C 实施5.6中所选择的控制措施，以满足控制目标风险管理与实施； d） 确定如何测量所选择的控制措施或控制措施集的有效性，并指明如何评估控制措施的有效性 及其对DCS系统性能的影响； e) 开展培训和安全实施意识教育，确保参与ISMS工作的人员具备企业或组织要求的执行任务 的能力； f) 管理ISMS的运行； g 管理DCS的ISMS资源，包括资源的提供及人员管理； h）实施能够迅速检测DCS运行的安全事态的监控软件、响应安全事件的报警系统及其他控制 措施。

4.2.4监视与评审 DCS 的 ISMS

对照ISMS方针、目标和实践经验，评估并测量ISMS过程的执行情况，包括验证是否按照文件化 流程执行以及所选择的控制措施是否部署，是否有效等，并将结果报告管理者以供评审，应包括： a）制定ISMS审计流程与方法； b） 保持审计工作人员的独立性；对于特定DCS系统的审核，所要求的审计工作人员的能力范围 应符合企业或组织的相关规定； C 实行ISMS定期审计，检测过程运行结果中的错误，识别试图的和得遥的安全违规和事件，确 保所制定的网络安全策略与规程被正确执行以及DCS分区的网络安全目标得到满足； d 从组织机构、技术、DCS业务目标和工艺流程、已识别威胁、外部事态等方面考虑，监测DCS风 险评估、风险处置的ISMS最佳实践，并定期进行DCS风险评估、残余风险和可容忍风险的 评审； e 管理者应定期执行管理评审，包括对ISMS范围、ISMS控制措施状态、以往未强调的脆弱点威 胁等的评审，确保ISMS持续的适宜性、充分性和有效性； f 建立符合性测量体系，应定义一套性能指标项（performanceindicators），每次定期审计的结果 应能以各指标项表述，以此保证DCS的安全性能和安全态势； g）考虑监视和评审结果，以更新安全计划； h）建立审计文件跟踪记录，记录影响ISMS有效性和执行情况的措施和事态； 设定惩罚性措施，应定义“违反符合性”的行为以及相关的惩罚措施。

GB/T33009.2—2016

4.2.5保持与改进DCS的ISMS

基于ISMS评审结果与其他外部相关信息，采取预防和纠正措施，持续改进ISMS。应包括： 建立专门负责管理ISMS改进及其实施的部门或团队（见5.2）； 实施已识别的ISMS改进与预防措施，调整ISMS以满足企业或组织的DCS网络安全目标；从 其他组织和组织自身的安全经验中吸取教训 C 基于企业或组织的可容忍风险标准建立可能引起ISMS改进的触发（重大网络安全事件发生、 法律法规的变动、DCS重大结构变化等），根据一系列触发重新评估并改进ISMS； 积极寻求DCS现场操作人员的安全建议反馈，并及时反馈给管理层。向所有相关方沟通措施 和改进情况，其详细程度应与环境相适应。必要时，商议协定如何进行

5.1方针、策略与规程

5.1.1管理目标与范围

本项要求包括但不仅限于： a）应制定DCS网络安全工作的总体方针和安全策略，明确工控安全工作的总体目标、范围、原则 和安全框架等； b 应对DCS安全管理活动中的各类管理内容建立安全管理制度； 应对DCS各层管理人员或操作人员执行的日常管理操作建立操作规程； d）应形成由安全策略、管理制度、操作规程等构成的全面的工控网络安全管理制度体系。

本项要求包括但不仅限于： a）企业或组织应指定或授权专门的部门及其人员负责DCS安全管理制度的制定： b）DCS各项安全管理制度应具有统一的格式，并进行版本控制； c）应组织相关人员对制定的DCS安全管理制度进行论证和审定； d）DCS安全管理制度应以有效的方式在企业或组织内部正式进行发布； e）DCS安全管理制度应注明发布范围、对收发文件进行登记

本项要求包括但不仅限于： 应根据DCS安全管理制度的相应密级（如有要求）确定评审和修订的操作范围； b） 应具有专门的部门与人员负责DCS安全管理制度的日常维护； DCS网络安全管理机构应负责定期组织相关部门与人员对DCS安全管理制度体系的合理性 和适用性进行再评定，对存在不足或需要改进的地方进行再修订

本项要求包括但不仅限于： a）应具备管理DCS安全的职能； b）应单独设立DCS安全管理的职能部门，设立安全主管、安全管理等负责人岗位：部门人员应

本项要求包括但不仅限于： a）应根据DCS的各层规模合理配备管理与审计人员的数量； 6） 宜坚持岗位不可兼任原则，安全管理人员不能兼任网络管理员、操作员、数据库管理员、技术工 程师等； C）对于DCS的主要站点，包括控制站、工程师站、操作员站、服务器等，应配备专人管理

5.2.4 安全意识与培训

本项要求包括但不仅限于： a）在企业整体培训计划中，应包括工业控制系统网络安全方面的培训计划； 6 培训种类包括针对全体员工的一般培训和针对特定岗位的培训，应包括安全责任、法律责任和 业务控制措施等内容； 针对特定岗位的培训，宜邀请网络安全领域的专家进行授课； d）在员工人职时安排培训，并在后续以固定周期进行； 应能对工控网络安全培训的有效性进行评估； 应具备对工控网络安全培训进行评审和改进的方法与规程

本项要求包括但不仅限于 a）应加强与企业或组织内部物理安全管理部门的沟通与合作； b 应在与外部供应商、第三方以及利益相关者等的商业合同中建立或改进DCS在物理与网 全方面的流程与规程

本项要求包括但不仅限于： a 应清晰识别与DCS相关的资产，编制并保存资产清单，包括资产责任部门、重要程度和所处位 置等内容； b） 应建立资产安全管理制度，规定系统资产管理的责任人员或责任部门，并规范资产管理和使用 的行为； c） 应根据资产的重要程度、敏感度等对资产进行标识管理，根据资产的价值选择相应的管理 措施； d） 应按照企业或组织所采纳的分类机制建立和实施一组合适的资产标记和处理规程。资产标记 应包括物理和资料格式的资产； 应对系统相关的各种设备（包括备份和穴余设备）、网络等指定专门的部门或人员定期进行维 护管理：

本项要求包括但不仅限于： 应清晰识别与DCS相关的资产，编制并保存资产清单，包括资产责任部门、重要程度和所处位 置等内容； 6） 应建立资产安全管理制度，规定系统资产管理的责任人员或责任部门，并规范资产管理和使用 的行为； 应根据资产的重要程度、敏感度等对资产进行标识管理，根据资产的价值选择相应的管理 措施； d） 应按照企业或组织所采纳的分类机制建立和实施一组合适的资产标记和处理规程。资产标记 应包括物理和资料格式的资产； 应对系统相关的各种设备（包括备份和余设备）、网络等指定专门的部门或人员定期进行维 护管理；

实现主要设备（包括备份和

本项要求包括但不仅限于： a）应对DCS重要岗位的内、外部应聘者进行背景审查，包括财务情况、犯罪记录、从业经历以及 历史信用等； b） 宜对DCS第三方合作的工作人员、供应商进行背景审查，包括财务情况、犯罪记录、从业经历 以及历史信用等； c）如有必要，应对所有访问DCS的外部人员进行背景审查； d）如有必要，企业或组织应与利益相关者、供应商、第三方、顾客等外部方签署保密协议； e）在可能的情况下，录用人员应

5.4.2人员考核与审查

本项要求包括但不仅限于： a）应明确定义员工的网络安全责任，同时与第三方合作单位人员、供应商等利益相关者明确合作 中的网络安全责任； b）应定期对DCS工程师、各操作站点的系统管理员与操作人员进行相关的安全认知和安全技能 的考核； c） 如发现违反DCS网络安全有关规定的人员，应采取相应的惩罚措施，

本项要求包括但不仅限于： a） 应立即中止企业或组织被解雇的、退休的、辞职的或其他原因离开的人员对DCS的所有物理 或逻辑上的访同权限； b）I DCS安全管理层和DCS关键岗位人员调离岗位，应根据离岗单位相关的保密管理要求和流程 执行； ） DCS安全管理层和DCS关键岗位人员调离单位，应根据调离单位相关的保密管理要求和流程 进行离岗安全审查，办理移交手续

本项要求包括但不仅限于： a）应建立密码控制的使用管理方法，确保密码安全等级符合DCS安全保护级别 b）应使用加密技术保护经由移动设备，可移动介质或通信网络上传输的数据

5.6.1系统部署环增

本项要求包括但不仅限于： a）应指定专门人员定期对机房供配电、空调、温湿度控制等设施进行维护管理； b）应配备机房安全管理人员，对出人机房、服务器的开机或关机等工作进行管理； c）应建立机房安全管理制度，规定有关机房物理访问，物品带进、带出机房和机房环境安全等

面的管理要求； 应规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接 待来访人员、工作人员离开座位应确保终端计算机退出登录状态等

5.6.2系统资产与设备

本项要求包括但不仅限于： a）妥善安置或保护设备，尽量减少对工作区域的不必要访问，避免由环境威胁和危险所造成的各 种风险以及未授权访问的机会； b）采取相应控制手段最小化潜在的物理威胁和风险，例如偷窃、火灾、爆炸等； c）应保护设备免受其他支持性设施（如电、供水、排污、空调）的失效而引起的电源故障和其他 中断； d）应保护网络布缆免受未授权的窃听或损坏，分开电源电缆和通信电缆，防止互相干扰； 应定期检查、正确维护设备，确保其持续的可用性、可靠性； 应确保重要设备必须经过审批才能带离机房或办公地点

5.6.3数据存储介质

本项要求包括但不仅限于： 应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定； 6）应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理； 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，对介质归档和查询等进 行登记记录，并根据存档介质的目录清单定期盘点； 应对存储介质的使用过程、送出维修以及销毁等进行登记管理，对送出维修或销毁的介质应首 先清除介质中的数据

5.7.1.1授权管理

本项要求包括但不仅限于： a）应初始化DCS验证器内容，包括令牌、密匙、口令卡、生物识别等； b）应对DCS的主要操作节点与控制节点分别实施逻辑与物理上的验证； c）DCS安装完成后应更改所有默认的验证器； d）应定期对所有DCS各操作节点的验证器进行更改； e）应能保护所有的验证器在存储与传输过程中不受到非授权的泄露或更改； f）对于DCS的软件过程与设备，应能提供硬件机制来保护相应的验证器； 对DCS的重要操作域与控制域，应实行多重验证来实施访问控制； h）必要时，企业 和应用需求，定义相应的授权等级要求进行授权

5.7.1.2账户管理

本项要求包括但不仅限于： a 应建立DCS账户管理流程与策略，根据不同安全要求规定账户级别，规范DCS账户的使 程；并定期对DCS账户管理流程与策略进行评审，如发现不足或有缺陷需重新修订该管 程与策略；

本项要求包括但不仅限于： a 应建立DCS账户管理流程与策略，根据不同安全要求规定账户级别，规范DCS账户的使 程；并定期对DCS账户管理流程与策略进行评审，如发现不足或有缺陷需重新修订该管 程与策略；

GB/T33009.22016

b）应根据DCS安全授权策略进行账户分类，并分配相应的访问权限，应具备统一账户管理的 能力； 应确保所有账户的授权、变动与终止均经过相应的授权管理； d) 应对所有DCS操作节点的访问账户进行记录，包括使用人、被访问设备、权限以及管理者等； e） 操作员站、工程师站等DCS操作节点与控制站/控制器的过程通信应进行安全账户管理； f) 应及时停止或移除DCS各操作节点上不使用的账户； 应定期对DCS各操作节点的所有账户进行检查； h DCS首次安装建立的系统默认账户应及时移除。

5.7.1.3身份鉴别

本项要求包括但不仅限于： a）应对DCS的主要操作节点，包括工程师站、操作员站、组态服务器、数据服务器、时钟同步服务 器，以及连接在DCS的MES层网络和现场控制层网络上的人机会话接口等，所有使用者进行 身份鉴别； b）对通过非信任网络访问DCS的使用者应实施多重鉴别策略； c）应对DCS主要操作节点、控制节点的软件过程与任务间通信实施鉴别控制，防止不安全的数 据交换； d） 应鉴别访问DCS设备与网络的便携式、可移动设备； DCS的组态管理与应用配置应启用高强度的鉴别方法； 应记录对DCS主要操作节点与控制节点的设备或系统的所有访问尝试； 应对DCS远程访问用户进行高强度的鉴别策略，应对远程登录与连接建立安全策略； 当远程登录失败超过一定次数时，应能终止该账户对DCS设备或网络的访问； i） 当长时间不启用的设备重新启用时，应重新鉴别远程访问该设备的用户身份； 应能对DCS物理环境中无线通信的使用者、软件过程以及设备进行识别或鉴别（见5.7.5）； k 应能对DCS中使用非授权的无线设备进行识别（见5.7.5）

5.7.2.1加强授权

本项要求包但不仪限于： a） 在DCS操作站与控制站的所有接口上，应能提供对所有用户的加强授权能力，以保证职责分 离和最小特权原则； b） 应设置某个授权用户或角色，能定义与修改所有用户的权限映射； 使用权限的更改

在DCS操作站与控制站的所有接口上，应能提供对所有用户的加强授权能力，以保证职责 离和最小特权原则； b） 应设置某个授权用户或角色，能定义与修改所有用户的权限映射； c）应能支持高层管理者在特定时间 使用权限的更改

5.7.2.2无线使用（见57.5）

5.7.2.3可移动设备、代码的使用

本项要求包括但不仅限于： a 应具有自动识别外部设备接人内部网络，并限制其使用的能力，如禁止便携式与移动设备接人 DCS过程监控层网络、禁止移动代码等； b 便携式或移动设备在DCS不同分区层次和不同网络层次的使用，应考虑它们的接人是否满足 接人分区或网络的安全要求，并根据安全要求实施不同级别的授权； c） 应禁止从便携式设备上传代码与数据至DCS应用环境中，同时禁止从DCS应用环境中下载

代码与数据至便携式设备中； ） 在保证系统功能正常可用的前提下，应禁止Java、JavScript、ActiveX、PDF、Shockwaremovies 等移动代码在DCS各服务器中进行选择与使用，和在DCS各工作站中进行下载与执行； 在执行Java、JavScript、ActiveX、PDF、Shockwaremovies等移动代码前，应能进行对移动会话 的完整性的验证，防止执行被恶意篡改的移动代码，

5.7.2.4安全会话

本项要求包括但不仅限于： a）对于关键控制流程或区域的监控与维护应使用安全远程会话； 6） 应对DCS的关键接口设定网络通信的安全策略（如最大带宽、最大连接数、并发会话数量），降 低DoS攻击的风险； 当会话不活动状态超过设定时间，应能自动终止会话； 会话发起者应能手动终止会话

5.7.2.5 安全审讯

本项要求包括但不仅限于： a）DCS应能提供产生包括访问控制、请求错误、操作系统事件、控制系统事件、备份与存储事件、 配置更改、潜在侦查活动、审计日志事件等记录的能力； 6） 单个审计记录应包括时间标识、源、分类、事件ID与事件结果； c）应能从DCS的多个组件中记录审计信息，集中管理审计事件； d）应能根据日志管理和系统配置来合理分配审计存储容量，当审计记录到达存储容量应能发出 告警信息； e) 当审计处理失败时，应能提供报警功能，防止基本服务和功能的丢失

5.7.3.1网络分区

本项要求包括但不仅限于： a）应具有提供对DCS的MES层网络与过程监控层网络进行逻辑隔离或物理隔离的能力； 应具有提供对DCS的过程监控层网络与现场控制层网络进行数据检测和数据过滤的防护 能力； ） 应具有提供对DCS现场控制层的关键控制区网络与非关键控制区网络进行逻辑隔离或物理 隔离的能力： d）应具有提供对现场控制层实施独立网络服务的能力。

5.7.3.2区域边界保护

本项要求包括但不仅限于： a）应根据不同网络层次、安全要求，以及可能面对的威胁，制定区域边界保护策略； b）任何与外界网络或控制系统所进行的连接，其接口处应具有边界保护或旁路监测措施； c）DCS各层网络的边界保护应提供相应等级的防护和管理措施，采用代理、网关、路由器、防火 墙等合适的边界防护设备对不同网络层次进行隔离； d）当边界保护机制出现失败时，DCS应具备告警能力，及时告知管理人员DCS系统异常； e）DCS系统应配置能阻断各层网络边界上任何通信的管理人员；在必要时，阻断异常的通信

线路； 安全人员应定期对防护日志和监测记录进行分析，对安全策略进行优化。

本项要求包括但不仅限于： a）应对涉及DCS的信息与数据进行分类，确定数据涉密类型，如DCS网关与路由器上的网络配 置信息应视为保密信息； 6） 应通过写授权来确保DCS的核心和敏感信息在存储或传输过程中的保密性； 应能提供DCS存储信息（包括备份信息）与不信任网络下安全远程会话信息的保密能力； d 应能保证DCS组态信息、控制指令信息、关键工艺参数在区域边界进行传输时的保密性； e） 应能保证DCS组件的移除和更换不会造成组件上具有写授权信息的泄露； f 应能阻止未授权的信息通过共享内存资源进行传输； g） 应能保证存储或包含DCS的核心和敏感信息的载体，在其传递或销毁过程中信息不会发生 泄露； h）加密方法的选择应与需要保护的信息的价值、被泄露的影响后果以及DCS控制系统的运行约 束等要素相匹配； 销毁储存DCS核心和敏感信息的物理载体，可选择物理破坏或化学腐蚀等方法解决数据泄露 问题。

5.7.5.1使用审批

本项要求包括但不仅限于： a）应制定使用无线连接的申报、审批及备案制度； b）应明确与工业控制系统进行无线通信的范围； c）应防止用户拥有未经授权而独立配置无线联网能力。

5.7.5,2 访问控制

本项要求包括但不仅限于： a）在允许用户通过无线连接访问工业控制系统前，应对用户的身份进行鉴别；必要时还需对用户 使用的设备身份进行鉴别，禁止非授权访问； b）应能监控并告警未授权的无线连接。

5.7.5.3数据安全

本项要求包括但不仅限于： 应视具体应用需求，采用控制无线接人点的发射功率、无线信号屏蔽等措施，使得在工业控制 系统工作区域物理边界之外的信号强度在可接受的范围内；必要时，应通过测试、验证，确保达 到设计要求； b 应使用加密机制保护无线连接信道不被窃听； C 无线接人点应配置为点对点性质的无线访问； d）应能及时禁止未使用的嵌人系统无线联网的功能。

.7.5.4未授权设备监测

本项要求包括但不仅限于：

本项要求包括但不仅限于：

应能扫描、识别和报告在工业控制系统物理环境内，已开启且能够接人工业控制系统在用无 线网络的未授权无线设备（如发送WiFi，蓝牙或其无线信号的设备），确保没有任何非授权无 线访问点与系统连接； 在识别出未授权无线设备后，应能及时查找定位并关闭其发射功能或采用保护措施，尽可能消 除未授权无线设备干扰控制系统正常运行或泄漏通信数据的风险； 应制定在控制系统物理环境内使用未授权无线设备的惩罚措施或规章制度；并定期进行安全 意识教育。

5.8.1网络安全管理

本项要求包括但不仅限于： ） 应建立DCS中的网络设备管理职责和规程，确保控制网络中的信息和支持信息处理组件的 安全； b 应使用具体的控制措施，确保通过公共网络或无线网的数据的保密性和完整性； 应采用防护手段，隔离控制网络和外部管理网络，限制外部网络对控制网络的连接，禁止对控 制服务或应用的直接访间

本项要求包括但不仅限于： 建立网络安全传输的策略、规程，以保证企业/组织与外部方之间安全的商业信息传输； b） 应定义控制和通知信息传输、派遣、接收过程的管理职责： 应具有能检测和防止通过电子通信传输的恶意代码的程序； 1 应使用密码技术，保护信息的完整性、保密性和真实性； e 应明确机密信息，并对其做保密处理，防止未授权的泄露或机密信息遭受破坏

本项要求包括但不仅限于： a）应测试DCS组件的安全功能与能力； b）应要求设备供应商进行DCS组件安全测试，并由企业或组织进行核实与确认； c）应要求设备集成商进行集成安全测试，并由企业或组织进行核实与确认； d）系统交付后，企业或组织应开展系统测试，确定DCS系统满足企业或组织的安全目标。

本项要求包括但不仅限于： 应建立DCS变更管理策略与规程并实施DCS变更管理系统，至少包括授权跟踪、备份与存 储、补丁管理以及防恶意代码升级等； b） 应对DCS设备或系统的变更进行评审，确定对HSE以及网络安全可能造成的风险； 应详细说明变更的内容与位置，并符合变更申请要求； 变更的批准与实施应分别交付不同的职能部门或个人进行； DCS网络安全变更管理应与现运行的PSM程序保持一致； f 应定期对变更管理的安全策略与规程进行评审。

本项要求包括但不仅限于： a）应建立并实施补丁管理和反病毒管理程序； b）应评估并确定补丁安装对系统安全的影响，确保补丁安装后系统能够满足目标安全等级 C）系统升级与维护应满足所在网络分区或环境的安全防护要求，

本项要求包括但不仅限于： a）应建立备份与储存流程； b） 应能提供当前控制系统安装的DCS组件及其属性的组件清单，清单内容至少应包括元件ID 功能与维修等级； c 应采用配置管理过程来控制清单里组件信息的更改； d）应明确DCS用户级信息、系统级信息中关键文件的身份和位置； e）应确认所备份的介质与数据能成功使用。

本项要求包括但不仅限于： a）DCS各操作站与控制站应能提供在不影响现有安全状态的情况下切换至紧急电源的能力； b）DCS各操作域与控制域应能提供从一个失败或破坏中恢复与重建到一个已知安全状态的 能力； c） 安全状态应包括控制系统参数已配置安全、主要补丁已安装、安全相关的配置已启用、系统文 件与运行规程可用、系统软件与应用软件重新安装与安全配置、信息已从安全备份中下载、系 统经过测试并且功能良好等方面要求

5.10.1供应商关系中的网络安全

本项要求包括但不仅限于： a 应建立与供应商关系相关的网络安全管理规程，识别和记录供应商的类型，并定义不同类型的 供应商允许访问的信息类型，确保供应商可访问的DCS资产的安全； b） 满足企业或组织对DCS网络安全要求和控制目标的条件，应记录在企业/组织与供应商签订 的协议中； C 应监视和评审系统运行维护过程中，每个对应的供应商类型和访问类型的操作执行过程是否 满足已经建立的网络安全管理规程； d）企业或组织应能处理与供应商访问相关联的突发事件和意外事故； e） 更多供应商关系中的网络安全要求可参照ISO/IEC27002一2013中的15.1

5.10.2供应商服务交付管理

本项要求包括但不仅限于： a 应监测和评审供应商服务交付水平，是否满足双方签订的协议中的网络安全条款；监控服务 行级别以检查对协议的符合度； b）检阅供应商产生的服务报告，并结合独立审计员的审计报告（如有可能）对供应商进行审计

识别存在的问题； 解决和管理任何已识别的供应商服务问题； d） 当供应商提供的服务发生变更时，应变更供应商协议，改进现有的网络安全策略，加强供应商 提供的现有服务； 更多供应商服务交付管理的网络安全要求可参照ISO/IEC27002一2013中的15.2。

识别存在的问题； c） 解决和管理任何已识别的供应商服务问题； d） 当供应商提供的服务发生变更时，应变更供应商协议，改进现有的网络安全策略，加强供应商 提供的现有服务； e）更多供应商服务交付管理的网络安全要求可参照ISO/IEC27002一2013中的15.2

5.11信息与文件管理

本项要求包括但不仅限于： a）应建立DCS生命周期的文件管理流程，以维护控制系统配置的安全性、可用性与使用性； b）对所访问的信息应定义相应的保密等级及其对应的共享、复制、传输与发布等权限限制； 对涉及DCS的敏感信息，如控制系统设计参数、脆弱性评估结果、网络结构信息、工业运行控 制项目信息等应进行分类保护，根据信息的敏感程度以及泄漏后可能所造成的后果来决定保 护等级； 应对需要特殊保护与处理的信息进行定期评审，以验证特殊保护是否依然需要； 应定期对信息与文件管理流程实施审计。

园林设计图纸、效果图本项要求包括但不仅限于： a）应建立策略与规程来确保纸质版、电子版以及其他介质内信息的更新、保留、破坏、清除等的详 细记录； b）应采取方法与措施确保数据在备份与记录过程中不受到破坏

本项要求包括但不仅限于： a）应建立信息的存储、修改、交换等介质管理规程； b）应建立安全处置介质的规程；

5.12业务连续性规划

本项要求包括但不仅限于： 应建立DCS业务连续性规划小组，制定业务连续性规划；小组成员应包括企业或组织的关键 股东； b 应对业务连续性规划小组的成员岗位与职责进行分配，可根据职能不同建立分小组，成员应包 括DCS以及其他工业操作者； C 应根据组织或企业的风险容忍度与恢复目标决定关键业务与DCS子系统的重建优先级； d） DCS各操作域和控制域应确定相应的系统恢复目标与数据恢复目标； e） 应明确DCS关键业务流程或系统恢复所需要的时间与资源，包括备份文件的位置、硬件、备份 频率、热备份空间等； 应确保存储备份系统（硬件、软件、文件等）的地方是安全的； 应保证涉及文件管理与备份/恢复流程的多种形式（纸质、电子版）的记录有效； h）应考虑业务活动中断对供应链以及利益相关团体可能造成的影响：

本项要求包括但不仅限于： 应建立DCS业务连续性规划小组，制定业务连续性规划；小组成员应包括企业或组织的关键 股东； b 应对业务连续性规划小组的成员岗位与职责进行分配，可根据职能不同建立分小组，成员应包 括DCS以及其他工业操作者； 应根据组织或企业的风险容忍度与恢复目标决定关键业务与DCS子系统的重建优先级； d） DCS各操作域和控制域应确定相应的系统恢复目标与数据恢复目标； 应明确DCS关键业务流程或系统恢复所需要的时间与资源，包括备份文件的位置、硬件、备份 频率、热备份空间等； f 应确保存储备份系统（硬件、软件、文件等）的地方是安全的； g） 应保证涉及文件管理与备份/恢复流程的多种形式（纸质、电子版）的记录有效； h）应考虑业务活动中断对供应链以及利益相关团体可能造成的影响；

水泥标准规范范本GB/T33009.22016