工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級評價要求

Date22 8 月 2019

工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級評價要求針對安全服務(wù)規(guī)劃、服務(wù)實施、服務(wù)總結(jié)三個過程進(jìn)
行，項目實施過程應(yīng)形成文件，具體分級要求如下：

H3 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應(yīng)滿足以下要求：
申請一級資質(zhì)認(rèn)證的單位，至少完成10個與申請工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運
維服務(wù)項目；在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險管理能力；具備針對工業(yè)控制系統(tǒng)
開展風(fēng)險評估服務(wù)、應(yīng)急處理服務(wù)的能力；具備安全問題解決的驗證和證據(jù)分析、安全服務(wù)不斷提
升改進(jìn)的能力。
H3.1 服務(wù)規(guī)劃階段
H3.1.1 調(diào)研客戶需求
a) 調(diào)研客戶企業(yè)愿景，對工業(yè)控制系統(tǒng)安全業(yè)務(wù)的發(fā)展規(guī)劃和未來幾年業(yè)務(wù)發(fā)展目標(biāo)。
H3.1.2 分析服務(wù)業(yè)務(wù)
a) 對客戶的安全生產(chǎn)和網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行評估，調(diào)研行業(yè)安全防護(hù)的水平，明確薄弱環(huán)節(jié)。
H3.1.3 編制服務(wù)方案
a) 確定實施過程的備份機制和應(yīng)急處理方案，并與客戶充分溝通，預(yù)測應(yīng)急處理方案可能造
成的影響。
H3.1.4 組建服務(wù)團隊
a) 團隊成員必須配備能夠?qū)I(yè)控制系統(tǒng)進(jìn)行應(yīng)急處理的服務(wù)人員。
H3.1.5 實施準(zhǔn)備
a) 具有根據(jù)工業(yè)控制系統(tǒng)特點，自主開發(fā)專業(yè)檢測工具的能力。
b) 配備有處理網(wǎng)絡(luò)或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。
c) 應(yīng)根據(jù)服務(wù)的需求配備必要的服務(wù)質(zhì)量監(jiān)測手段，具備對服務(wù)行為進(jìn)行審計的能力。
H3.2 服務(wù)實施階段
H3.2.1 項目實施
a) 有能力利用客戶的備用設(shè)備或仿真環(huán)境搭建控制系統(tǒng)的模擬環(huán)境，模擬真實系統(tǒng)的結(jié)果、
配置、數(shù)據(jù)、業(yè)務(wù)流程，在仿真系統(tǒng)中驗證服務(wù)內(nèi)容和測試，以保障在運系統(tǒng)的安全、穩(wěn)
定運行。
b) 建立服務(wù)過程質(zhì)量監(jiān)控機制，定期開展服務(wù)質(zhì)量評價工作，能夠?qū)Χ鄠€團隊的服務(wù)質(zhì)量的
一致性進(jìn)行把控。
H3.2.2 風(fēng)險評估及應(yīng)急處置
a) 能夠?qū)I(yè)控制系統(tǒng)發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行原因分析，采取措施抑制或根除潛在的安全
風(fēng)險，提交應(yīng)急處置方案。
b) 網(wǎng)絡(luò)與信息安全事件處理記錄應(yīng)具備可追溯性。
H3.2.3 系統(tǒng)運行測試
a) 制定系統(tǒng)安全性測試方案，模擬攻擊場景，在模擬環(huán)境中進(jìn)行安全性測試，形成測試報告。
b) 綜合分析控制系統(tǒng)運行狀況，制定安全運維、應(yīng)急響應(yīng)方案。
H3.3 服務(wù)總結(jié)階段
H3.3.1 服務(wù)驗收
無
H3.3.2 服務(wù)交接
a) 建立應(yīng)急保障團隊，及時響應(yīng)客戶需求。
H3.3.3 服務(wù)總結(jié)
a) 建立服務(wù)項目知識庫，積累和匯總不同行業(yè)的業(yè)務(wù)知識和系統(tǒng)特點。
b) 提供詳實的網(wǎng)絡(luò)與信息安全事件處理報告，完整展現(xiàn)應(yīng)急處理服務(wù)的整個過程