GB/T 42445-2023 工业自动化和控制系统安全 IACS环境下的补丁管理

本文件描述了对已经建立并正在维护工业自动化和控制系统(IACS)补丁管理计划的资产所有者和IACS产品供应商的要求。
本文件推荐了一种定义好的格式,涉及资产所有者和IACS产品供应商分发安全补丁信息,并定义了IACS产品供应商对于补丁信息的开发和资产所有者对于补丁的部署和安装等一些相关活动。所定义的交换格式和活动主要用于安全相关的补丁。交换格式和活动被定义用于安全相关的补丁,但也可能应用于与安全无关的补丁或更新。
本文件不区分为操作系统(OS),应用程序或设备补丁,也不区分提供基础架构组件或IACS应用程序的产品供应商,而是为适用于IACS的所有补丁提供指导。此外,补丁类型可以是用于解决缺陷、可靠性问题、可操作性问题或安全脆弱性。
注1:发现和披露影响IACS的安全脆弱性是本文件范围之外的一般性问题,本文件不提供这方面的道德标准和处理方法的指导。如果不做特殊说明,本文件中的“安全”都是指“信息安全”。
注2;本文件没有提供从发现脆弱性到创建脆弱性补丁期间如何缓解脆弱性的指导。减轻安全风险的多种补偿攒施是 IACS安全管理体系(IACS-SMS)的一部分,若需要这方面内容的指导,请参阅本文件附录B的B.4.5、B.4.6和B.8.5以及IEC 62443系列标准的其他部分。