1、CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 1 页 共 15 页工业控制系统安全服务资质认证自评估表(注明行业)填表说明:每个行业单独填写自评估表。组织名称 申报级别评估时间 评估部门/人员自评估结论序号 要点 条款 需提供证明材料 符合不符合证明材料清单1. 建立工业控制系统安全服务流程,并按照流程实施。按照相关标准建立的工业控制系统安全服务流程,流程图中应包括每个阶段对应的职责、输入输出等。2.服务技术要求 制定工业控制系统安全服务规范标准,并按照规范实施。已制定的工控控制系统安全服务规范。3.H1.1.1 a) 编制业务情况
2、和工业控制系统调研表,并按照调研表收集有效信息。已完成业务情况调研表,收集有效信息。 4.H1.1.1 b) 有效掌握工业企业的组织结构、了解对工业控制系统的管理机制。 企业的组织结构、对生产控制系统管理的文字材料。5.服务规划阶段-调研客户需求H1.1.1 c) 采集客户对工业控制系统系统安全管理和技术服务的目标和需求。客户对工控系统安全管理和技术服务的目标和需求的文字材料。CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 2 页 共 15 页序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合6.H2.1.1 a) 调研
3、客户工业控制系统的业务逻辑、工作流程,工业控制系统系统的设备组成、网络架构等。已完成业务情况和生产控制系统调研表,包括客户控制系统的业务逻辑、工作流程,控制系统的设备组成、现场网络等。7.编制完整的客户调研报告,调研的内容包括组织架构、制度列表、业务流程、工业控制系统资产信息、工业控制系统相关的管理人员信息等。已完成客户调研报告,调研的内容包括组织架构、制度列表、业务流程、控制系统及设备、控制系统相关的管理人员信息等。8.调研客户企业愿景,对工业控制系统安全业务的发展规划和未来几年业务发展目标。 已完成客户调研报告,包括客户企业愿景,对工控安全业务的发展规划和未来几年业务发展目标。9.识别工业
4、控制系统面临的潜在威胁,分析服务过程中可能生产的安全风险;10. 识别影响工业控制系统服务的法律、政策、标准、外部影响和约束条件;11. 分析客户业务需求,明确客户工业控制系统安全服务的目标与需求。已完成项目的服务方案中有安全风险分析、识别法律及标准规范、客户业务需求的证明材料。12.服务规划阶段-分析服务业务仅二级/一级要求:了解所属行业主管部门对工业控制系统安全要求。已完成项目的服务方案中有识别行业主管部门的安全要求的证明材料。CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 3 页 共 15 页序号 要点 条款 需提供证明材料自评
5、估结论证明材料清单符合不符合13.仅一级要求:对客户的安全生产和网络安全现状进行评估,调研行业安全防护的水平,明确薄弱环节。已完成项目的服务方案中有调研行业安全水平,分析薄弱环节的证明材料。14.结合调研的安全需求,与客户、工业控制系统系统开发单位及其他相关人员充分沟通,编制安全服务技术方案和服务预算。已完成项目的服务方案,包含安全需求、工作内容、服务方式、服务预算等内容证明材料。15.与客户签订服务协议,编制实施方案,明确服务范围、目标、进度、内容、金额、交付质量、沟通和风险等方面的要求。已完成项目的实施方案,包含服务范围、目标、进度、内容、金额、质量输出、沟通和风险等内容的证明材料。16.
6、仅二级/一级要求:制定针对人员、设备、文档、系统的风险监控措施,有效保障工业控制系统的安全、稳定。已完成项目的实施方案,包含人员、设备、文档、系统的风险监控措施等内容的证明材料。17.仅二级/一级要求:对于在运工业控制系统,应考虑使用搭建临时模拟环境,模拟真实系统的运行情况、配置、数据、业务流程,验证方案的有效性。已完成项目的实施方案,包含对运控制系统搭建临时模拟环境验证方案的证明材料。18.服务规划阶段-编制服务方案仅二级/一级要求:安全服务技术方案和实施方案应经过评审,并与客户达已完成项目的实施方案经过客户评审的证明材料CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估
7、表中国网络安全审查技术与认证中心 第 4 页 共 15 页序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合成一致。19.仅一级要求:确定实施过程的备份机制和应急处理方案,并与客户充分沟通,预测应急处理方案可能造成的影响。已完成项目有实施过程的备份机制和应急处理方案。20.应考虑服务项目的目标、内容、范围等组建团队。21.选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求,熟悉工业控制系统业务流程,能与工业控制系统运行人员进行有效沟通。已完成项目的实施方案中对安全服务实施团队成员及团队构架的介绍。队成员应由管理层、相关业务骨干、IT 技术人员、熟悉生产系统业务人员
8、等角色组成。22.服务规划阶段-组建服务团队仅二级/一级要求:团队成员必须包括所服务业务领域工业控制系统专业知识人员,熟悉工业控制系统工作原理和业务流程。已完成项目的实施方案中对安全服务实施团队人员中须包括所服务业务领域控制系统专业知识人员。CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 5 页 共 15 页序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合23.仅一级要求:团队成员必须配备能够对工业控制系统进行应急处理服务人员。已完成项目的实施方案中对安全服务实施团队人员中须包括对工业控制系统进行应急处理服务人员。24
9、.应根据服务内容的需求准备必要的工具。已完成项目的实施方案中对工具的介绍,工具列表及主要功能描述。25.对服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。已完成的项目应有客户的书面服务授权。26.对团队成员进行安全教育、信息安全服务技能和工业控制系统操作规程培训。项目实施前的安全教育及技术培训的证明材料,如启动会的 PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。27.仅二级/一级要求:应根据服务的需求准备必要的工具,具有工具定制研发的能力。已实施项目中对工具选择清单,有对工具软件进行适用性确认的测试记录,有工具定制能力的证明材料。28.服务规划阶段
10、-实施准备仅二级/一级要求:结合项目需要,编制安全服务项目施工手册和作业指导已实施项目中,有施工手册和作业指导书。CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 6 页 共 15 页序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合书。29.仅二级/一级要求:对团队成员进行安全服务技能培训和工业控制系统业务知识的培训。项目实施前的服务技能和工控系统业务知识培训的证明材料。30.仅一级要求:具有根据工业控制系统特点,自主开发专业检测工具的能力。有根据系统特点定制专业检测工具的证明材料,如工具过检测试报告、软件著作权。31.
11、仅一级要求:配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。有处理安全事件的工具清单,工具、软件操作手册等。 32.仅一级要求:应根据服务的需求配备必要的服务质量监测手段,具备对服务行为进行审计的能力。对已实施项目中具备服务质量监测的技术和管理措施,对服务行为的记录、分析的证明材料。 33.服务实施阶段-项目实施实施初始服务,采集工业控制系统重要资产以及资产的安全配置;收集与分析网络及安全设备、服务器、数据工作内容、流程、文档模板,对已实施项目的内容应覆盖服务技术方案和控制程序文件,包括工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。提供服务实施CCRC-QOT
12、-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 7 页 共 15 页序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合库、中间件、应用系统的日志;收集和分析工业控制系统的硬件故障及安全事件。的记录证明材料。34.依据已确认的安全服务技术方案和实施方案,按照时间和质量要求进行安全集成服务、安全运维和风险评估服务。35.对工业控制系统的应用系统升级、补丁升级和病毒库升级应在线下模拟环境中进行验证,在不影响系统可用性、实时性和稳定性的前提下实施更新。36.在实施过程中,必须遵守工业控制系统的相关操作章程,以防止敏感信息泄漏和确保及时处理意外事
13、件。 37.对直接涉及在运工业控制系统的安全服务,尽可能避开安全生产的敏感时对已实施项目中对控制系统操作章程的规定、规避安全风险、沟通汇报等记录。CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 8 页 共 15 页序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合期和业务高峰期。38.针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。项目实施的控制程序,覆盖审核条款要求。提供沟通方案。39.项目实施人员按时提交服务记录,及时向项目经理汇报项目进度
14、。项目实施的控制程序,覆盖审核条款要求。提供质量检查方案及记录。40.建立安全服务项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施过程中能够有效充分的沟通。41.仅二级/一级要求:建立服务过程质量监控机制,监督工业控制系统系统安全服务实施的过程,定期开展工业控制系统安全服务质量检查。对已实施项目中安全措施列表。42. 仅二级/一级要求: 针对工业控制系统 对已实施项目中搭建仿真系统实施、测试验证方案及记录CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 9 页 共 15 页序号 要点 条款 需提供证明材料自评估结论证明
15、材料清单符合不符合业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪和验证工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。43.仅二级/一级要求:应编制服务过程中发现的工业控制系统安全风险列表。 对已实施项目保证质量一致性的程序文件及实施记录。44.实施结束后,对工业控制系统进行功能和性能检测,保障系统运行的可靠性和稳定性,并记录系统运行状况。45.必要时,制定系统安全性测试方案,对于系统改造或升级项目,还需进行兼容性测试,完整记录测试过程相关信息。服务实施程序文件,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。对已实施项目提供安全检查方案、计划、记录。46.建
16、立系统维保服务流程,制定维保方案并形成维保记录。 如有合同要求,提供方案及记录47.服务实施阶段-系统运行测试 仅二级/一级要求: 制定系统安全性测 对已实施项目提供安全测试方案、实施记录。CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表中国网络安全审查技术与认证中心 第 10 页 共 15 页序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合试方案,在运行系统中或模拟环境中进行测试,完整记录测试过程相关信息,形成系统测试报告。48.仅一级要求:制定系统安全性测试方案,模拟攻击场景,在模拟环境中进行安全性测试,形成测试报告。对已实施项目提供安全测试方案、模式攻击方案、实施记录。49.仅一级要求:综合分析系统运行状况,制定安全运维、应急响应方案。对已实施项目提供安全运维、应急响应方案及实施记录。50.仅二级/一级要求:识别工业控制系统的重要资产、安全威胁、脆弱性,验证已有的安全措施,构建风险分析模型进行风险计算和评价,给出风险评估报告;已完成的所安全服务项目提交风险评估报告,包括资产、威胁、脆弱性的识别,安全措施、风险计算和评价等。51.服务实施阶段-风险评估 仅二级/一级要求: 协助用户确定风险处置原则,对组织不可接受的风险提出风险处置措施。已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。