工业控制系统安全服务资质二级评价要求

Date21 8月 2019

工业控制系统安全服务资质二级评价要求针对安全服务规划、服务实施、服务总结三个过程进
行，项目实施过程应形成文件，具体分级要求如下：

H2 工业控制系统安全服务资质二级评价要求
组织申报二级资质，除满足三级能力要求外，还应满足以下要求：
申请二级资质认证的单位，至少完成6个与申请工业控制领域一致的完整的安全集成和安全运维
服务项目；在技术和管理方面具备安全服务的过程管理、风险管理能力；具备针对工业控制系统开
展风险评估服务的能力；具备安全问题解决的验证和证据分析、安全服务不断提升改进的能力。
H2.1 服务规划阶段
H2.1.1 调研客户需求
a) 调研客户工业控制系统的业务逻辑、工作流程，工业控制系统的设备组成、网络架构等。
b) 编制完整的客户调研报告，调研的内容包括组织架构、制度列表、业务流程、工业控制系
统资产信息、工业控制系统相关的管理人员信息等。
H2.1.2 分析服务业务
a) 了解所属行业主管部门对工业控制系统安全要求。
H2.1.3 编制服务方案
a) 制定针对人员、设备、文档、系统的风险监控措施，有效保障工业控制系统的安全、稳定。
b) 对于在运工业控制系统，应搭建控制系统的模拟环境，模拟真实系统的运行情况、配置、
数据、业务流程，验证方案的有效性。
c) 安全服务技术方案和实施方案应经过评审，并与客户达成一致。
H2.1.4 组建服务团队
a) 团队成员必须包括所服务业务领域的工业控制系统专业人员，熟悉工业控制系统工作原理、
业务流程和操作规程。
H2.1.5 实施准备
a) 应根据服务的需求准备必要的工具，具有工具定制研发的能力。
b) 结合项目需要，编制安全服务项目施工手册和作业指导书。
c) 对团队成员进行安全服务技能培训和工业控制系统原理、组成和操作的培训。
H2.2 服务实施阶段
H2.2.1 项目实施
a) 建立服务过程质量监控机制, 监督工业控制系统安全服务实施的过程，定期开展工业控制
系统安全服务质量检查。
b) 针对工业控制系统业务特点和系统组成，分析系统脆弱性形成原因，识别跟踪和验证工业
控制系统的漏洞，在服务过程中采取有效措施避免安全风险。
c) 如有远程服务的需求，应建立远程访问审批流程，经批准后方能实施，实施过程应采取必
要的访问控制策略并对操作过程进行安全审计。
d) 应编制服务过程中发现的工业控制系统安全风险的风险列表。
H2.2.2 风险评估
a) 识别工业控制系统的重要资产、安全威胁、脆弱性，验证已有的安全措施，构建风险分析
模型进行风险计算和评价，给出风险评估报告；
b) 协助用户确定风险处置原则，对组织不可接受的风险提出风险处置措施。
c) 对客户提出完整的风险处置方案，协助客户进行风险处置，必要时，对残余风险进行再评
估。
H2.2.3 系统运行测试
a) 制定系统安全性测试方案，在运行系统中或模拟环境中进行测试，完整记录测试过程相关
信息，形成系统测试报告。
H2.3 服务总结阶段
H2.3.1 服务验收
a) 应建立程序，对服务验收中可能存在的重要分歧或者遗漏及时更正，并将更正后的验收报
告提交给用户方。
H2.3.2 服务交接
a) 建立客户满意度调查机制。
H2.3.3 服务总结
a) 验证在服务过程中发现的工业控制系统的漏洞，建立管理机制跟踪漏洞的消缺情况。