工业控制系统安全服务资质三级评价要求

Date20 8月 2019

工业控制系统安全服务资质三级评价要求针对安全服务规划、服务实施、服务总结三个过程进
行，项目实施过程应形成文件，具体分级要求如下：
H1 工业控制系统安全服务资质三级评价要求
申请三级资质认证的单位，至少有1个针对工业生产行业领域的系统集成和系统运维的服务项目；
在技术和管理方面具备安全服务的过程管理、风险管理，以及识别跟踪信息安全漏洞的能力；具备
安全问题解决的验证和证据分析、安全服务不断提升改进的能力。
H1.1 服务规划阶段
H1.1.1 调研客户需求
a) 编制业务情况和工业控制系统调研表，并按照调研表收集有效信息。
b) 有效掌握工业企业的组织结构、了解对工业控制系统的管理机制。
c) 采集客户对工业控制系统安全管理和技术服务的目标和需求。
H1.1.2 分析服务业务
a) 识别工业控制系统面临的潜在威胁，分析服务过程中可能生产的安全风险；
b) 识别影响工业控制系统安全服务的法律、政策、标准、外部影响和约束条件；
c) 分析客户业务需求，明确客户工业控制系统安全服务的目标与需求。
H1.1.3 编制服务方案
a) 结合调研的安全需求，与客户、工业控制系统开发单位及其他相关人员充分沟通，编制安
全服务技术方案和服务预算。
b) 与客户签订服务协议，编制实施方案，明确服务范围、目标、进度、内容、金额、交付质
量、沟通和风险等方面的要求。
H1.1.4 组建服务团队
a) 应考虑服务项目的目标、内容、范围等组建团队。
b) 选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求，熟悉工业控
制系统业务流程,能与工业控制系统运行人员进行有效沟通。
H1.1.5 实施准备
a) 应根据服务内容准备必要的工具。
b) 对服务过程中可能会采取的操作、处理等行为，获得用户的书面授权。
c) 对团队成员进行安全教育、信息安全服务技能和工业控制系统操作规程培训。
H1.2 服务实施阶段
H1.2.1 项目实施
a) 实施初始服务，采集工业控制系统重要资产以及资产的安全配置；收集与分析网络及安全
设备、服务器、数据库、中间件、应用系统的日志；收集和分析工业控制系统的硬件故障
及安全事件。
b) 依据已确认的安全服务技术方案和实施方案，按照时间和质量要求进行安全集成服务\安全
运维和风险评估服务。
c) 对工业控制系统的应用系统升级、补丁升级和病毒库升级应在线下模拟环境中进行验证,
在不影响系统可用性、实时性和稳定性的前提下实施更新。
d) 在实施过程中，必须遵守工业控制系统的相关操作章程，以防止敏感信息泄漏和确保及时
处理意外事件。
e) 对直接涉及在运工业控制系统的安全服务，尽可能避开安全生产的敏感时期和业务高峰期。
f) 针对工业控制系统业务特点和系统组成，分析系统脆弱性形成原因，识别跟踪工业控制系
统的漏洞，在服务过程中采取有效措施避免安全风险。
g) 项目实施人员按时提交服务记录，及时向项目经理汇报项目进度。
h) 建立安全服务项目协调机制，明确责任人，畅通信息沟通渠道，保障各相关方在项目实施
过程中能够有效充分的沟通。
H1.2.2 系统运行测试
a) 实施结束后，对工业控制系统进行功能和性能检测，保障系统运行的可靠性和稳定性，并
记录系统运行状况。
b) 必要时，制定系统安全性测试方案，对于系统改造或升级项目，还需进行兼容性测试，完
整记录测试过程相关信息。
c) 建立系统维保服务流程，制定维保方案并形成维保记录。
H1.3 服务总结阶段
H1.3.1 服务验收
a) 根据合同约定，向客户提交完整的项目交付物，并提出终验申请。
b) 根据合同约定，配合组织项目验收，出具项目验收报告。
c) 验收报告中应描述工业控制系统在验收时的运行状况，以及客户单位的反馈意见。
H1.3.2 服务交接
a) 告知客户工业控制系统网络安全现状和可能存在的安全风险。
b) 提供针对安全风险的应对建议，必要时指导和协助客户实施。
c) 应建立报告的批准和交付程序，保留交付记录。
H1.3.3 服务总结
a) 应保存完整的安全服务工作记录，并对安全服务过程进行总结和分析，提交工业控制系统
网络安全服务的工作报告，内容应包括项目概况、依据、服务过程、结论、进一步工作建
议，以及工业控制系统安全服务过程中发现问题等。
b) 应形成和保存工业控制系统的状态和防护情况的记录，包括工业控制系统的业务流程、系
统组成、设备配置、存在漏洞，以及采取的安全措施。
c) 应指派至少一人复核与评价相关的所有信息和结果，复核应由未参与评价过程且熟悉相应
生产行业业务领域的人员进行。