GB/T 42445-2023 工業(yè)自動(dòng)化和控制系統安全 IACS環(huán)境下的補丁管理

本文件描述了對已經(jīng)建立并正在維護工業(yè)自動(dòng)化和控制系統(IACS)補丁管理計劃的資產(chǎn)所有者和IACS產(chǎn)品供應商的要求。 本文件推薦了一種定義好的格式涉及資產(chǎn)所有者和IACS產(chǎn)品供應商分發(fā)安全補丁信息并定義了IACS產(chǎn)品供應商對于補丁信息的開(kāi)發(fā)和資產(chǎn)所有者對于補丁的部署和安裝等一些相關(guān)活動(dòng)。所定義的交換格式和活動(dòng)主要用于安全相關(guān)的補丁。交換格式和活動(dòng)被定義用于安全相關(guān)的補丁但也可能應用于與安全無(wú)關(guān)的補丁或更新。 本文件不區分為操作系統(OS)應用程序或設備補丁也不區分提供基礎架構組件或IACS應用程序的產(chǎn)品供應商而是為適用于IACS的所有補丁提供指導。此外補丁類(lèi)型可以是用于解決缺陷、可靠性問(wèn)題、可操作性問(wèn)題或安全脆弱性。 注1:發(fā)現和披露影響IACS的安全脆弱性是本文件范圍之外的一般性問(wèn)題本文件不提供這方面的道德標準和處理方法的指導。如果不做特殊說(shuō)明本文件中的“安全”都是指“信息安全”。 注2;本文件沒(méi)有提供從發(fā)現脆弱性到創(chuàng )建脆弱性補丁期間如何緩解脆弱性的指導。減輕安全風(fēng)險的多種補償攢施是 IACS安全管理體系(IACS-SMS)的一部分若需要這方面內容的指導請參閱本文件附錄B的B.4.5、B.4.6和B.8.5以及IEC 62443系列標準的其他部分。