《中华人民共和国网络安全法》第二十一条明确规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”
《关键信息基础设施安全保护条例》第四条明确指出“强化和落实关键信息基础设施运营者(以下简称运营者)主体责任”。第六条明确规定:“运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。”
GB∕T 22239-2019等等保2.0系列国家标准在对网络安全通用要求的基础上,对工业控制系统提出了安全扩展要求。