《工业控制系统安全服务资质认证自评估表》由会员分享,可在线阅读,更多相关《工业控制系统安全服务资质认证自评估表(6页珍藏版)》请在金锄头文库上搜索。
1、工业控制系统安全服务资质认证自评估表(注明行业)填表说明:每个行业单独填写自评估表。组织名称申报级别评估时间评估部门/人员序 号要点条款需提供证明材料自评估 结论证明材料清单符合不 符 合1.服务技术 要求建立工业控制系统安全服务流程,并按 照流程实施。按照相关标准建立的工业控制系统 安全服务流程,流程图中应包括每个 阶段对应的职责、输入输出等。2.制定工业控制系统安全服务规范标准, 并按照规范实施。已制定的工控控制系统安全服务规 范。3.服务规划 阶段-调研 客户需求H1.1.1 a)编制业务情况和工业控制系统 调研表,并按照调研表收集有效信息。已完成业务情况调研表,收集有效信 息。4.H1
2、.1.1 b)有效掌握工业企业的组织结 构、了解对工业控制系统的管理机制。企业的组织结构、对生产控制系统管 理的文字材料。5.H1.1.1 c)采集客户对工业控制系统系统 安全管理和技术服务的目标和需求。客户对工控系统安全管理和技术服 务的目标和需求的文字材料。6.H2.1.1 a)调研客户工业控制系统的业 务逻辑、工作流程,工业控制系统系统 的设备组成、网络架构等。已完成业务情况和生产控制系统调 研表,包括客户控制系统的业务逻 辑、工作流程,控制系统的设备组成、现场网络等。7.编制完整的客户调研报告,调研的内容 包括组织架构、制度列表、业务流程、 工业控制系统资产信息、工业控制系统 相关的管
3、理人员信息等。已完成客户调研报告, 调研的内容包 括组织架构、制度列表、业务流程、 控制系统及设备、控制系统相关的管 理人员信息等。8.调研客户企业愿景,对工业控制系统安 全业务的发展规划和未来几年业务发 展目标。已完成客户调研报告, 包括客户企业 愿景,对工控安全业务的发展规划和 未来几年业务发展目标。9.服务规划 阶段-分析 服务业务识别工业控制系统面临的潜在威胁,分 析服务过程中可能生产的安全风险;10.识别影响工业控制系统服务的法律、政 策、标准、外部影响和约束条件;已完成坝日的服务方案中有女全风 险分析、识别法律及标准规范、客户 业务需求的证明材料。11.分析客户业务需求,明确客户工
4、业控制 系统安全服务的目标与需求。12.仅二级/一级要求:了解所属行业主管部 门对工业控制系统安全要求。已完成项目的服务方案中有识别行 业主管部门的安全要求的证明材料。13.仅一级要求:对客户的安全生产和网络 安全现状进行评估,调研行业安全防护 的水平,明确薄弱环节。已完成项目的服务方案中有调研行 业安全水平,分析薄弱环节的证明材 料。14.服务规划 阶段-编制 服务方案结合调研的安全需求,与客户、工业控 制系统系统开发单位及其他相关人员 充分沟通,编制安全服务技术方案和服 务预算。已完成项目的服务方案, 包含安全需 求、工作内容、服务方式、服务预算 等内容证明材料。15.与客户签订服务协议,
5、编制实施方案, 明确服务范围、目标、进度、内容、金 额、交付质量、沟通和风险等方面的要已完成项目的实施方案,包含服务范围、目标、进度、内容、金额、质量 输出、沟通和风险等内容的证明材求。料。16.仅二级/一级要求:制定针对人员、设备、 文档、系统的风险监控措施,有效保障 工业控制系统的安全、稳定。已元成项目的头施方案,包含人员、 设备、文档、系统的风险监控措施等 内容的证明材料。17.仅二级/一级要求:对于在运工业控制系 统,应考虑使用搭建临时模拟环境,模 拟真实系统的运行情况、配置、数据、 业务流程,验证方案的有效性。已完成项目的实施方案, 包含对运控 制系统搭建临时模拟环境验证方案 的证明
6、材料。18.仅二级/ 一级要求:安全服务技术 方案和实施方案应经过评审,并与 客户达成一致。已完成项目的实施方案经过客户评 审的证明材料19.仅一级要求:确定实施过程的备份机制 和应急处理方案,并与客户充分沟通, 预测应急处理方案可能造成的影响。已完成项目有实施过程的备份机制 和应急处理方案。20.服务规划阶段-组建服务团队应考虑服务项目的目标、内容、范围等 组建团队。已完成项目的实施方案中对安全服 务实施团队成员及团队构架的介绍。 队成员应由管理层、相关业务骨干、 IT技术人员、熟悉生产系统业务人员 等角色组成。21.选择工业控制系统安全服务项目负责 人应满足通用评价要求的人员能力要 求,熟
7、悉工业控制系统业务流程,能与 工业控制系统运行人员进行有效沟通。22.仅二级/一级要求:团队成员必须包括所服务业务领域工业控制系统专业知识已完成项目的实施方案中对安全服 务实施团队人员中须包括所服务业 务领域控制系统专业知识人员。人员,熟悉工业控制系统工作原理和业 务流程。23.仅一级要求:团队成员必须配备能够对工业控制系统进行应急处理服务人员。已完成项目的实施方案中对安全服 务实施团队人员中须包括对工业控 制系统进行应急处理服务人员。24.服务规划阶段-实施准备应根据服务内容的需求准备必要的工 具。已完成项目的实施方案中对工具的 介绍,工具列表及主要功能描述。25.对服务过程中可能会采取的操
8、作、处理等行为,获得用户的书面授权。已完成的项目应有客户的书面服务 授权。26.对团队成员进行安全教育、信息安全服务技能和工业控制系统操作规程培训。项目实施前的安全教育及技术培训 的证明材料,如启动会的PPT, PPT中包含培训的内容, 以及其他可证明 对其安全教育、技术方面培训的材 料。27.仅二级/一级要求:应根据服务的需求准 备必要的工具,具有工具定制研发的能 力。已实施项目中对工具选择清单,有对工具软件进行适用性确认的测试记 录,有工具定制能力的证明材料。28.仅二级/一级要求:结合项目需要,编制 安全服务项目施工手册和作业指导书。已实施项目中,有施工手册和作业指 导书。29.仅二级/
9、一级要求:对团队成员进行安全 服务技能培训和工业控制系统业务知 识的培训。项目实施前的服务技能和工控系统业务知识培训的证明材料。30.仅一级要求:具有根据工业控制系统特 点,自主开发专业检测工具的能力。有根据系统特点定制专业检测工具 的证明材料,如工具过检测试报告、 软件著作权。31.仅一级要求:配备有处理网络或信息安 全事件的工具包,包括常用的系统命 令、工具软件等。有处理安全事件的工具清单,工具、 软件操作手册等。32.仅一级要求:应根据服务的需求配备必 要的服务质量监测手段,具备对服务行 为进行审计的能力。对已实施项目中具备服务质量监测 的技术和管理措施,对服务行为的记 录、分析的证明材
10、料。33.服务实施 阶段-项目 实施实施初始服务,米集工业控制系统重要 资产以及资产的安全配置;收集与分析 网络及安全设备、服务器、数据库、中 间件、应用系统的日志;收集和分析工 业控制系统的硬件故障及安全事件。工作内容、流程、文档模板,对已实 施项目的内容应覆盖服务技术方案 和控制程序文件,包括工作内容、过 程、方法、文档模板,内容应覆盖审 核条款的要求。提供服务实施的记录 证明材料。34.依据已确认的安全服务技术方案和实 施方案,按照时间和质量要求进行安全 集成服务、安全运维和风险评估服务。对已实施项目中对控制系统操作章 程的规定、规避安全风险、沟通汇报 等记录。35.对工业控制系统的应用系统升级、补丁 升级和病毒库升级应在线下模拟环境 中进行验证,在不影响系统可用性、实时 性和稳定性的前提下实施更新。
