注册

核电厂仪表和控制系统网络安全防范管控

Security controls of Instrumentation and control systems in nuclear power plants
国家标准项目 制定 推荐性

国家标准计划《核电厂仪表和控制系统网络安全防范管控》由 TC30(全国核仪器仪表标准化技术委员会)归口,TC30SC2(全国核仪器仪表标准化技术委员会反应堆仪表分会)执行 ,主管部门为国家标准化管理委员会

主要起草单位 华能核电开发有限公司华能山东石岛湾核电有限公司核工业标准化研究所中核武汉核电运行技术股份有限公司上海核工程研究设计院有限公司西安热工研究院有限公司北京奇虎科技有限公司

目录

基础信息

计划号
20214976-T-469
制修订
制定
项目周期
18个月
下达日期
2021-12-31
申报日期
2021-02-03
公示开始日期
2021-11-10
公示截止日期
2021-11-24
标准类别
安全
国际标准分类号
27.120.20
27 能源和热传导工程
27.120 核能工程
27.120.20 核电站、安全
归口单位
全国核仪器仪表标准化技术委员会
执行单位
全国核仪器仪表标准化技术委员会反应堆仪表分会
主管部门
国家标准化管理委员会

起草单位

华能核电开发有限公司
核工业标准化研究所
上海核工程研究设计院有限公司
北京奇虎科技有限公司
华能山东石岛湾核电有限公司
中核武汉核电运行技术股份有限公司
西安热工研究院有限公司

采标情况

本标准修改采用IEC国际标准:IEC 63096:2020。

采标中文名称:核电厂仪表和控制系统网络安全防范管控。

目的意义

1、项目相关政策文件 国务院于2015年印发了《国家标准化体系建设发展规划(2016-2020年)》,其中明确提出“吸纳各方力量,加强标准外文版翻译出版工作。

加大国际标准跟踪、评估力度,加快转化适合我国国情的国际标准。

”同时,国家《2020年全国标准化工作要点》中也明确要求“开展国际标准转化行动,推动先进适用国际标准在我国转化应用”。

因此,根据国情和具体行业需要,将国际标准转化为适合的国内标准,符合国家总体战略和有关政策文件的要求。

2、项目必要性和可行性 伊朗“震网病毒”事件以来,全球核电厂仪表和控制系统(简称“仪控系统”)面临日趋严重的网络攻击威胁,而仪控系统的安全直接影响核电厂的安全稳定运行。

目前国内各核电企业开展仪控系统网络安全工作的主要依据为网络安全等级保护有关标准以及能源局14号令有关要求,但等级保护标准是一个适合于所有行业的标准,而14号令主要是针对电力行业,并没有专门针对核电厂的网络安全标准。

因此国内核电企业迫切需要关于核电厂网络安全防范管控措施的实施指引,该指引应能有效地将核电业务、核安全的特殊性与网络安全防范等级有效结合,真正使网络安全成为核安全的有机组成部分。

本标准拟修改采用IEC 63096 Nuclear Power Plants – Instrumentation, Control and Electrical Power Systems – Security Controls。

本标准将在IEC 62645、IEC/ISO 27000系列标准、IAEA有关指导文件的基础上,根据核电厂特有的网络安全需求,针对不同安全级别的仪控系统,分别为其在系统设计、工程开发以及运行维修等阶段提出了推荐的安全控制指引。

因此开展本标准的制定工作非常有必要。

同时,根据IEC以往历史经验,如果国际标准在具体的国家没有相应的官方对应标准,则可能会通过非官方渠道产生对标准的不同理解和解释,从而为企业在标准的参考执行时带来不利影响。

综上所述,尽快开展IEC 63096对应的国内标准制定工作非常必要。

3、项目已有条件 IEC 63096由IEC SC45A WG9工作组开发,已于2020年10月份正式发布,华能核电开发有限公司相关人员为该工作组中国区注册专家,对IEC 63096标准的上下游结构及标准内容有着深入了解,从而为本标准的制定工作提供了有利条件。

同时参与编制的各成员单位涉及到核电项目涉及到从设计到运营等多个阶段,有利于根据国内核电厂在各个生命周期阶段的实际业务需求出发制定标准内容。

此外,各编制单位的相关业务骨干曾参与能源局核电行业网络安全规划、密码规划等有关标准的编制,熟悉国内核电厂仪控系统网络安全有关要求,有利于将国内合规性要求与国际标准进行深度有效融合,从而为实现IEC 63096向国内标准的转化工作提供了有利条件。

并且,该项目已经与IEC SC45A秘书处及有关专家进行了沟通,从而为后续相关工作的开展提供了国际支持。

4、项目的先进性、创新性和解决问题、产生效益等情况。

本标准最重要的特点在于,它是专门针对核电厂仪控系统的网络安全防范管控标准。

核电厂仪控系统与信息系统(IT系统)或是一般的工业控制系统相比,最大的差别在于核电厂仪控系统采用“分级策略”,即将核电厂的仪控(仪控)功能按照其核安全(避免过量辐射照射危害)重要性进行分类,再依据功能分类对执行不同功能类别的的仪控系统进行分级。

而本标准就是对不同安全级别的仪控系统规定了特定的网络安全防范管控,可用于指导国内各核电厂结合核电厂的具体业务以及核安全需要,实施有针对性地网络安全防范管控措施。

范围和主要技术内容

本标准适用于指导新建核电厂的仪控系统网络安全设计,同时适用于指导在建/在运核电厂对仪控系统实施全生命周期的网络安全防范管控,适用对象包括核电厂工控系统的设计者、运营者、评估者、供应商和分包商等。 本标准目标是针对核电厂数字化仪表和控制(仪控)系统提供基于分级和特定于生命周期的详细安全防范管控指引,帮助核电厂预防、检测和响应网络攻击,以保障仪控系统的可用性、完整性和保密性。 标准内容主要包括仪控系统网络安全级别的划分、核安全与网络安全的关系、选择安全防范管控的流程、各安全领域(包括信息安全方针、信息安全组织、人力资源安全、资产管理、 访问控制、密码学、物理和环境安全、操作安全、通信安全、信息系统获取开发和维护、供应商关系、信息安全事件管理、 信息安全方面业务连续性管理、符合性、网络安全和架构、虚拟化环境和基础设施等)具体的安全防范管控措施。

  • 版权所有 侵权必究
  • 主管:国家市场监督管理总局 国家标准化管理委员会
  • 主办:国家市场监督管理总局国家标准技术审评中心
  • 技术支持:北京中标赛宇科技有限公司
  • 支持电话:010-82261036
  • 备案号:京ICP备09001239号-6