工业控制系统安全服务资质一级评价要求

Date22 8月 2019

工业控制系统安全服务资质一级评价要求针对安全服务规划、服务实施、服务总结三个过程进
行，项目实施过程应形成文件，具体分级要求如下：

H3 工业控制系统安全服务资质一级评价要求
组织申报一级资质，除满足二级能力要求外，还应满足以下要求：
申请一级资质认证的单位，至少完成10个与申请工业控制领域一致的完整的安全集成和安全运
维服务项目；在技术和管理方面具备安全服务的过程管理、风险管理能力；具备针对工业控制系统
开展风险评估服务、应急处理服务的能力；具备安全问题解决的验证和证据分析、安全服务不断提
升改进的能力。
H3.1 服务规划阶段
H3.1.1 调研客户需求
a) 调研客户企业愿景，对工业控制系统安全业务的发展规划和未来几年业务发展目标。
H3.1.2 分析服务业务
a) 对客户的安全生产和网络安全现状进行评估，调研行业安全防护的水平，明确薄弱环节。
H3.1.3 编制服务方案
a) 确定实施过程的备份机制和应急处理方案，并与客户充分沟通，预测应急处理方案可能造
成的影响。
H3.1.4 组建服务团队
a) 团队成员必须配备能够对工业控制系统进行应急处理的服务人员。
H3.1.5 实施准备
a) 具有根据工业控制系统特点，自主开发专业检测工具的能力。
b) 配备有处理网络或信息安全事件的工具包，包括常用的系统命令、工具软件等。
c) 应根据服务的需求配备必要的服务质量监测手段，具备对服务行为进行审计的能力。
H3.2 服务实施阶段
H3.2.1 项目实施
a) 有能力利用客户的备用设备或仿真环境搭建控制系统的模拟环境，模拟真实系统的结果、
配置、数据、业务流程，在仿真系统中验证服务内容和测试，以保障在运系统的安全、稳
定运行。
b) 建立服务过程质量监控机制，定期开展服务质量评价工作，能够对多个团队的服务质量的
一致性进行把控。
H3.2.2 风险评估及应急处置
a) 能够对工业控制系统发生的网络安全事件进行原因分析，采取措施抑制或根除潜在的安全
风险，提交应急处置方案。
b) 网络与信息安全事件处理记录应具备可追溯性。
H3.2.3 系统运行测试
a) 制定系统安全性测试方案，模拟攻击场景，在模拟环境中进行安全性测试，形成测试报告。
b) 综合分析控制系统运行状况，制定安全运维、应急响应方案。
H3.3 服务总结阶段
H3.3.1 服务验收
无
H3.3.2 服务交接
a) 建立应急保障团队，及时响应客户需求。
H3.3.3 服务总结
a) 建立服务项目知识库，积累和汇总不同行业的业务知识和系统特点。
b) 提供详实的网络与信息安全事件处理报告，完整展现应急处理服务的整个过程