1、CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术与 认证中心 第 1 页 共 15 页 工业控制系统安全服务资质认证自评估表 (注明 行业 ) 填表 说明:每个行业 单独 填写自评估表 。 组织名称 申报级别 评估时间 评估部门 /人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 1. 服务技术要求 建立工业控制系统安全服务流程,并按照流程实施。 按照相关标准建立的工业控制系统安全服务流程,流程图中应包括每个阶段对应的职责、输入输出等。 2. 制定工业控制系统安全服务规范标准,并按照规范实施。 已制定的工控控制系统
2、安全服务规范。 3. 服务规划阶 段 -调研客户需求 H1.1.1 a) 编制 业务情况和工业控制系统调研表 , 并按照调研表收集有效信息。 已完成业务情况调研表,收集有效信息。 4. H1.1.1 b) 有效掌握工业企业的组织结构、了解对工业控制系统的管理机制。 企业的组织结构、对生产控制系统管理的文字材料。 5. H1.1.1 c) 采集客户对工业控制系统系统安全管理和技术服务的目标和需求。 客户对工控系统安全管理和技术服务的目标和需求的文字材料。 6. H2.1.1 a) 调研客户工业控制系统的业 已完成业务情况和生产控制系统调 CCRC-QOT-0436-B/0 工业控制系统安全服务资
3、质认证自评估表 中国 网 络安全审查技术与 认证中心 第 2 页 共 15 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 务逻辑、工作流程,工业控制 系统系统的设备组成、网络架构等。 研表,包括 客户控制系统的业务逻辑、工作流程,控制系统的设备组成、现场网络等。 7. 编制完整的客户调研报告,调研的内容包括组织架构、制度列表、业务流程、工业控制系统资产信息、工业控制系统相关的管理人员信息等。 已完成客户调研报告,调研的内容包括组织架构、制度列表、业务流程、控制系统及设备、控制系统相关的管理人员信息等。 8. 调研客户企业愿景,对工业控制系统安全业务的发展规划和未
4、来几年业务发展目标。 已完成客户调研报告,包括客户企 业愿景,对工控安全业务的发展规划和未来几年业务发展目标。 9. 服务规划阶段 -分析服务业务 识别 工业控制系统 面临 的潜在威胁 ,分析服务过程中可能生产的安全风险; 已完成项目的服务方案中有安全风险分析、识别法律及标准规范、客户业务需求的证明材料。 10. 识别影响 工业控制系统 服务的法律、政策、标准、外部影响和约束条件; 11. 分析客户业务需求,明确 客户 工业控制系统 安全 服务 的目标与 需求 。 12. 仅二级 /一级要求: 了解所属行业主管部门对工业控制系统安全要求。 已完成项目的服务方案中有识别行业主管部门的安全要求的证
5、明材料。 13. 仅一级要求: 对客户的安全生产和网络安全现状进行评估,调研行业安全防护的水平,明确薄弱环节。 已完成项目的服务方案中有调研行业安全水平,分析薄弱环节的证明材料。 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术与 认证中心 第 3 页 共 15 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 14. 服务规划阶段 -编制服务方案 结合调研的安全需求, 与客户、 工业控制系统系统开发单位及其他相关 人员充分沟通, 编制安全服务技术方案 和 服务 预算。 已完成项目的服务方案,包含安全需求、工作内容、
6、服务方式、服务预算等内容证明材料。 15. 与客户签订服务协议 ,编制实施方案,明确 服务 范围、目标、 进度、 内容 、金额、 交付质量、 沟通 和 风险 等 方面的要求。 已完成项目的 实施方案,包含服务 范围、目标、 进度、 内容、金额、质量输出 、 沟通 和 风险 等 内容的证明材料 。 16. 仅二级 /一级要求: 制定针对人员、设备、文档、系统的风险监控措施,有效保障工业控制系统的安全、稳定。 已完成项目的 实施方案,包含人员、设备、文档、系统的风险监控措施等内容 的证明材料 。 17. 仅二级 /一级要求: 对于在运工业控制系统,应考虑使用搭建临时模拟环境,模拟真实系统的运行情况
7、、配置、数据、业务流程,验证方案的有效性。 已完成项目的 实施方案,包含对 运控制系统搭建临时模拟环境验证方案的证明材料。 18. 仅二级 /一级要求: 安全服务技术方案和实施方案应经过评审,并与客户达成一致。 已完成项目的 实施方案经过客户评审的证明材料 19. 仅一级要求: 确定实施过程的备份机制和 应急处理方案 ,并与 客户充分沟通,已完成项目有实施过程的备份机制和 应急处理方案 。 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术与 认证中心 第 4 页 共 15 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不
8、符合 预测应急处理方案可能造成的影响。 20. 服务规划阶段 -组建服务团队 应考虑服务项目的目标、内容、范围等组建团队。 已完成项目的实施方案中对安全服务实施团队成员及团队构架的介绍。 队成员应由管理层、相 关业务骨干、IT 技术人员、熟悉生产系统业务人员等角色组成。 21. 选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求,熟悉工业控制系统业务流程,能与工业控制系统运行人员进行有效沟通。 22. 仅二级 /一级要求: 团队成员必须包括所服务业务领域工业控制系统专业知识人员,熟悉工业控制系统工作原理和业务流程。 已完成项目的实施方案中对安全服务实施团队人员中须包括所服务业务
9、领域控制系统专业知识人员。 23. 仅一级要求: 团队成员必须 配备 能够对工业控制系统进行 应急处理服务人员。 已完成项 目的实施方案中对安全服务实施团队人员中须包括 对工业控制系统进行 应急处理服务人员 。 24. 服务规划阶段 -实施应根据 服务内容 的需求准备必要的工具。 已完成项目的实施方案中对工具的介绍,工具列表及主要功能描述。 25. 对服务过程中可能会采取的操作、处理 已完成的项目应有客户的书面服务 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术与 认证中心 第 5 页 共 15 页 序号 要点 条款 需提供证明材料 自评估结
10、论 证明材料清单 符合 不符合 准备 等行为,获得用户的书面授权。 授权。 26. 对团队成员进行安全教育、信息安全服务技能和工业控制系统操作规程培训。 项目实施前的安全教育及技术培训的证明材料,如启动会的 PPT, PPT中包含培训的内容,以及 其他 可 证 明对其安全教育、技术方面培训的材料 。 27. 仅二级 /一级要求: 应根据 服务 的需求准备必要的工具 ,具有工具定制研发的能力。 已实施项目中对工具选择清单,有对工具软件进行适用性确认的测试记录,有工具定制能力的证明材料。 28. 仅二级 /一级要求: 结合项目需要,编制安全 服务 项目施工手册和作业指导书。 已实施项目中,有施工手
11、册和作业指导书。 29. 仅二级 /一级要求: 对团队成员进 行 安全服务技能培训和工业控制系统业务知识的培训。 项目实施前的服务技能和工控系统业务知识培训的证明材料。 30. 仅一级 要求: 具有 根据工业控制系统特点, 自主开发专业检测工具的能力。 有根据系统特点定制专业检测工具的证明材料,如工具过检测试报告、软件著作权。 31. 仅一级要求: 配备有处理网络或信息安 有处理安全事件的工具清单,工具、软件操作手册等。 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术与 认证中心 第 6 页 共 15 页 序号 要点 条款 需提供证明材料 自
12、评估结论 证明材料清单 符合 不符合 全事件的工具包,包括常用的系统命令、工具软件等。 32. 仅一级要求: 应根据 服务 的需求 配备必要的服务质量监测手段,具备对服务行为进行审计的能力。 对已实施项目中具备服务质量监测的技术和管理措施,对服务行为的记录、分析的证明材料。 33. 服务实施阶段 -项目实施 实施初 始服务,采集工业控制系统重要资产以及资产的安全配置;收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志;收集和分析工业控制系统的硬件故障及安全事件。 工作内容、流程、文档模板,对已实施项目的内容应覆盖服务技术方案和控制程序文件,包括工作内容、过程、方法、文档模板,内容
13、 应覆盖 审核条款的要求 。提供 服务实施的记录证明材料。 34. 依据已确认的安全服务技术方案和实施方案,按照时间和质量要求进行安全集成服务 、 安全运维 和 风险评估 服务。 对已实施项目中对控制系统操作章程的规定、规避安全风险、沟通汇报等 记录。 35. 对工业控制系统的应用系统升级、补丁升级和病毒库升级应在线下模拟环境中进行验证 ,在不影响系统可用性、实时CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术与 认证中心 第 7 页 共 15 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 性和稳定性的前提下实施
14、更新。 36. 在实施过程中,必须遵守工业控制系统的相关操作章程,以防止敏感信息泄漏和确保及时处理意外事件。 37. 对直接涉及在运工业控制系统的安全服务,尽可能避开安全生产的敏感时期和业务高峰期。 38. 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。 项目实施的控制程序, 覆盖 审核条款要求 。提供沟通方案。 39. 项目实施人员按时提交服务记录,及时向项目经理汇报项目进度。 项目实施的控制程序, 覆盖 审核条款要求 。提供质量检查方案及记录。 40. 建立安全服务项目协调机制,明确责任人,畅通信息沟通渠道,保
15、障各相关方在项目实施过程中能够有效充分的沟对已实施项目中安全措施列表。 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术与 认证中心 第 8 页 共 15 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 通。 41. 仅二级 /一级要求: 建立服务过程质量监控机制,监督工业控制系统系统安全服务实施的过程,定期开展工业控制系统安全服务质量检查。 42. 仅二级 /一级要求 : 针对 工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪和验证工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。 对已实
16、施项目中搭建仿真系统实施、测试验证方案及记录 43. 仅二级 /一级要求: 应编制服务过程中发现的工业控制系统安全风险列表 。 对已实施项目保证质量一致性的程序文件及实施记录。 44. 服务实施阶段 -系统运行 测试 实施结束后,对工业控制系统进行功能和性能检测,保障 系统运行的可靠性和稳定性,并记录系统运行状况。 服务实施程序文件,包括明确工作内容、过程、方法、文档模板, 内容 应覆盖 审核条款的要求 。对已实施项目提供 安全检查方案、计划、记录。 45. 必要时,制定系统安全性测试方案, 对 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术
17、与 认证中心 第 9 页 共 15 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 于系统改造或升级项目,还需进行兼容性测试 , 完整记录测试过程相关信息。 46. 建立系统维保服务流程,制定维保方案并形成维保记录 。 如有合同要求,提供方案及记录 47. 仅二级 /一级要求 : 制定系统安全性测试方案,在运行系统中或模拟环境中进行测试, 完整记录测试过程相关信息 ,形成系统测试报告。 对已实施项目提供 安全测试方案、实施记录。 48. 仅一级要求: 制定系统安全性测试方案,模拟 攻击场景,在模拟环境中进行安全性测试,形成测试报告。 对已实施项目提供 安全测试方案
18、、模式攻击方案、实施记录。 49. 仅一级要求: 综合分析系统运行状况,制定安全运维、应急响应方案。 对已实施项目提供 安全运维、应急响应方案及实施记录。 50. 服务实施阶段 -风险仅二级 /一级要求 :识别工业控制系统的重要资产、安全威胁、脆弱性,验证已有的安全措施,构建风险分析模型进已完成的所安全服务项目提交风险评估报告,包括资产、威胁、脆弱性的识别,安全措施、风险计算和评价等 。 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 中国 网 络安全审查技术与 认证中心 第 10 页 共 15 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不
19、符合 评估 行风险计算和评价,给出风险评估报告; 51. 仅二级 /一级要求 : 协助用户确定风险处置原则,对组织不可接受的风险提出风险处置措施。 已完成项目的风险评估报告或建议报告中 对组织不可接受的风险提出风险处置措施或建议的证明材料。 52. 仅一级要求: 能够对工业控制系统发生的网络安全事件进行原因分析,采取措施抑制或根除潜在的安全风险,提交应急处置方案。 已完成项目的应急处置方案。 53. 仅一级要求: 网络与信息安全事件处理记录应具备可追溯性。 已完成项目的安全事件处理记录。 54. 服务总结阶段 -服务验收 根据合同约定,向客户提交完 整的项目交付物,并提出终验申请。 服务总结阶段的程序文件,内容 应覆盖 审核条款的要求 。 已完成服务项目的终验申请、验收报告。 55. 根据合同约定,配合组织项目验收,出具项目验收报告。 56. 验收报告中应描述工业控制系统在验 已完成项目的验收报告中应描述工控系统在验收时的运行情况,有用户
