书 书 书犐犆犛 ３５ ． ０３０ 犆犆犛犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ４１４００ — ２０２２ 信息安全技术 　 工业控制系统信息安全防护能力成熟度模型 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狆狉狅狋犲犮狋犻狅狀犮犪狆犪犫犻犾犻狋狔犿犪狋狌狉犻狋狔犿狅犱犲犾狅犳犻狀犱狌狊狋狉犻犪犾犮狅狀狋狉狅犾狊狔狊狋犲犿狊 ２０２２  ０４  １５ 发布 ２０２２  １１  ０１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布书 书 书目 　　 次 前言 Ⅴ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 工业控制系统信息安全防护能力成熟度模型 ３ ………………………………………………………… 　 ５．１ 　 能力成熟度模型架构 ３ ……………………………………………………………………………… 　 ５．２ 　 能力要素维度 ４ ……………………………………………………………………………………… 　　 ５．２．１ 　 能力构成 ４ ……………………………………………………………………………………… 　　 ５．２．２ 　 机构建设 ４ ……………………………………………………………………………………… 　　 ５．２．３ 　 制度流程 ４ ……………………………………………………………………………………… 　　 ５．２．４ 　 技术工具 ４ ……………………………………………………………………………………… 　　 ５．２．５ 　 人员能力 ４ ……………………………………………………………………………………… 　 ５．３ 　 能力成熟度等级维度 ４ ……………………………………………………………………………… 　 ５．４ 　 能力建设过程维度 ５ ………………………………………………………………………………… 　　 ５．４．１ 　 ＰＡ 体系 ５ ………………………………………………………………………………………… 　　 ５．４．２ 　 编码规则 ６ ……………………………………………………………………………………… 　　 ５．４．３ 　 关系描述 ６ ……………………………………………………………………………………… ６ 　 核心保护对象安全 ７ ……………………………………………………………………………………… 　 ６．１ 　 工业设备安全 ７ ……………………………………………………………………………………… 　　 ６．１．１ 　 ＰＡ０１ 控制设备安全 ７ …………………………………………………………………………… 　　 ６．１．２ 　 ＰＡ０２ 现场测控设备安全 ８ ……………………………………………………………………… 　　 ６．１．３ 　 ＰＡ０３ 设备资产管理 ９ …………………………………………………………………………… 　　 ６．１．４ 　 ＰＡ０４ 存储媒体保护 ９ …………………………………………………………………………… 　 ６．２ 　 工业主机安全 １１ ……………………………………………………………………………………… 　　 ６．２．１ 　 ＰＡ０５ 专用安全软件 １１ ………………………………………………………………………… 　　 ６．２．２ 　 ＰＡ０６ 漏洞和补丁管理 １２ ……………………………………………………………………… 　　 ６．２．３ 　 ＰＡ０７ 外设接口管理 １２ ………………………………………………………………………… 　 ６．３ 　 工业网络边界安全 １３ ………………………………………………………………………………… 　　 ６．３．１ 　 ＰＡ０８ 安全区域划分 １３ ………………………………………………………………………… 　　 ６．３．２ 　 ＰＡ０９ 网络边界防护 １４ ………………………………………………………………………… 　　 ６．３．３ 　 ＰＡ１０ 远程访问安全 １５ ………………………………………………………………………… 　　 ６．３．４ 　 ＰＡ１１ 身份认证 １６ ……………………………………………………………………………… 　 ６．４ 　 工业控制软件安全 １７ ………………………………………………………………………………… 　　 ６．４．１ 　 ＰＡ１２ 安全配置 １７ ……………………………………………………………………………… 　　 ６．４．２ 　 ＰＡ１３ 配置变更 １８ ……………………………………………………………………………… 　　 ６．４．３ 　 ＰＡ１４ 账户管理 １９ ……………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ４１４００ — ２０２２ 　　 ６．４．４ 　 ＰＡ１５ 口令保护 １９ ……………………………………………………………………………… 　　 ６．４．５ 　 ＰＡ１６ 安全审计 ２０ ……………………………………………………………………………… 　 ６．５ 　 工业数据安全 ２１ ……………………………………………………………………………………… 　　 ６．５．１ 　 ＰＡ１７ 数据分类分级管理 ２１ …………………………………………………………………… 　　 ６．５．２ 　 ＰＡ１８ 差异化防护 ２３ …………………………………………………………………………… 　　 ６．５．３ 　 ＰＡ１９ 数据备份与恢复 ２３ ……………………………………………………………………… 　　 ６．５．４ 　 ＰＡ２０ 测试数据保护 ２４ ………………………………………………………………………… ７ 　 通用安全 ２５ ………………………………………………………………………………………………… 　 ７．１ 　 安全规划与架构 ２５ …………………………………………………………………………………… 　　 ７．１．１ 　 ＰＡ２１ 安全策略与规程 ２５ ……………………………………………………………………… 　　 ７．１．２ 　 ＰＡ２２ 安全机构设置 ２６ ………………………………………………………………………… 　　 ７．１．３ 　 ＰＡ２３ 安全职责划分 ２７ ………………………………………………………………………… 　 ７．２ 　 人员管理与培训 ２７ …………………………………………………………………………………… 　　 ７．２．１ 　 ＰＡ２４ 人员安全管理 ２７ ………………………………………………………………………… 　　 ７．２．２ 　 ＰＡ２５ 安全教育培训 ２８ ………………………………………………………………………… 　 ７．３ 　 物理与环境安全 ２９ …………………………………………………………………………………… 　　 ７．３．１ 　 ＰＡ２６ 物理安全防护 ２９ ………………………………………………………………………… 　　 ７．３．２ 　 ＰＡ２７ 应急电源 ３０ ……………………………………………………………………………… 　　 ７．３．３ 　 ＰＡ２８ 物理防灾 ３１ ……………………………………………………………………………… 　　 ７．３．４ 　 ＰＡ２９ 环境分离 ３２ ……………………………………………………………………………… 　 ７．４ 　 监测预警与应急响应 ３３ ……………………………………………………………………………… 　　 ７．４．１ 　 ＰＡ３０ 工业资产感知 ３３ ………………………………………………………………………… 　　 ７．４．２ 　 ＰＡ３１ 风险监测 ３４ ……………………………………………………………………………… 　　 ７．４．３ 　 ＰＡ３２ 威胁预警 ３５ ……………………………………………………………………………… 　　 ７．４．４ 　 ＰＡ３３ 应急预案 ３６ ……………………………………………………………………………… 　　 ７．４．５ 　 ＰＡ３４ 应急演练 ３７ ……………………………………………………………………………… 　 ７．５ 　 供应链安全保障 ３７ …………………………………………………………………………………… 　　 ７．５．１ 　 ＰＡ３５ 产品选型 ３７ ……………………………………………………………………………… 　　 ７．５．２ 　 ＰＡ３６ 供应商选择 ３８ …………………………………………………………………………… 　　 ７．５．３ 　 ＰＡ３７ 采购交付 ３９ ……………………………………………………………………………… 　　 ７．５．４ 　 ＰＡ３８ 合同协议控制 ４０ ………………………………………………………………………… 　　 ７．５．５ 　 ＰＡ３９ 源代码审计 ４１ …………………………………………………………………………… 　　 ７．５．６ 　 ＰＡ４０ 升级安全保障 ４２ ………………