工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級評價要求針對安全服務(wù)規(guī)劃、服務(wù)實施、服務(wù)總結(jié)三個過程進
行，項目實施過程應(yīng)形成文件，具體分級要求如下：
H1 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級評價要求
申請三級資質(zhì)認證的單位，至少有1個針對工業(yè)生產(chǎn)行業(yè)領(lǐng)域的系統(tǒng)集成和系統(tǒng)運維的服務(wù)項目；
在技術(shù)和管理方面具備安全服務(wù)的過程管理、風險管理，以及識別跟蹤信息安全漏洞的能力；具備
安全問題解決的驗證和證據(jù)分析、安全服務(wù)不斷提升改進的能力。
H1.1 服務(wù)規(guī)劃階段
H1.1.1 調(diào)研客戶需求
a) 編制業(yè)務(wù)情況和工業(yè)控制系統(tǒng)調(diào)研表，并按照調(diào)研表收集有效信息。
b) 有效掌握工業(yè)企業(yè)的組織結(jié)構(gòu)、了解對工業(yè)控制系統(tǒng)的管理機制。
c) 采集客戶對工業(yè)控制系統(tǒng)安全管理和技術(shù)服務(wù)的目標和需求。
H1.1.2 分析服務(wù)業(yè)務(wù)
a) 識別工業(yè)控制系統(tǒng)面臨的潛在威脅，分析服務(wù)過程中可能生產(chǎn)的安全風險；
b) 識別影響工業(yè)控制系統(tǒng)安全服務(wù)的法律、政策、標準、外部影響和約束條件；
c) 分析客戶業(yè)務(wù)需求，明確客戶工業(yè)控制系統(tǒng)安全服務(wù)的目標與需求。
H1.1.3 編制服務(wù)方案
a) 結(jié)合調(diào)研的安全需求，與客戶、工業(yè)控制系統(tǒng)開發(fā)單位及其他相關(guān)人員充分溝通，編制安
全服務(wù)技術(shù)方案和服務(wù)預(yù)算。
b) 與客戶簽訂服務(wù)協(xié)議，編制實施方案，明確服務(wù)范圍、目標、進度、內(nèi)容、金額、交付質(zhì)
量、溝通和風險等方面的要求。
H1.1.4 組建服務(wù)團隊
a) 應(yīng)考慮服務(wù)項目的目標、內(nèi)容、范圍等組建團隊。
b) 選擇工業(yè)控制系統(tǒng)安全服務(wù)項目負責人應(yīng)滿足通用評價要求的人員能力要求，熟悉工業(yè)控
制系統(tǒng)業(yè)務(wù)流程,能與工業(yè)控制系統(tǒng)運行人員進行有效溝通。
H1.1.5 實施準備
a) 應(yīng)根據(jù)服務(wù)內(nèi)容準備必要的工具。
b) 對服務(wù)過程中可能會采取的操作、處理等行為，獲得用戶的書面授權(quán)。
c) 對團隊成員進行安全教育、信息安全服務(wù)技能和工業(yè)控制系統(tǒng)操作規(guī)程培訓(xùn)。
H1.2 服務(wù)實施階段
H1.2.1 項目實施
a) 實施初始服務(wù)，采集工業(yè)控制系統(tǒng)重要資產(chǎn)以及資產(chǎn)的安全配置；收集與分析網(wǎng)絡(luò)及安全
設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)的日志；收集和分析工業(yè)控制系統(tǒng)的硬件故障
及安全事件。
b) 依據(jù)已確認的安全服務(wù)技術(shù)方案和實施方案，按照時間和質(zhì)量要求進行安全集成服務(wù)\安全
運維和風險評估服務(wù)。
c) 對工業(yè)控制系統(tǒng)的應(yīng)用系統(tǒng)升級、補丁升級和病毒庫升級應(yīng)在線下模擬環(huán)境中進行驗證,
在不影響系統(tǒng)可用性、實時性和穩(wěn)定性的前提下實施更新。
d) 在實施過程中，必須遵守工業(yè)控制系統(tǒng)的相關(guān)操作章程，以防止敏感信息泄漏和確保及時
處理意外事件。
e) 對直接涉及在運工業(yè)控制系統(tǒng)的安全服務(wù)，盡可能避開安全生產(chǎn)的敏感時期和業(yè)務(wù)高峰期。
f) 針對工業(yè)控制系統(tǒng)業(yè)務(wù)特點和系統(tǒng)組成，分析系統(tǒng)脆弱性形成原因，識別跟蹤工業(yè)控制系
統(tǒng)的漏洞，在服務(wù)過程中采取有效措施避免安全風險。
g) 項目實施人員按時提交服務(wù)記錄，及時向項目經(jīng)理匯報項目進度。
h) 建立安全服務(wù)項目協(xié)調(diào)機制，明確責任人，暢通信息溝通渠道，保障各相關(guān)方在項目實施
過程中能夠有效充分的溝通。
H1.2.2 系統(tǒng)運行測試
a) 實施結(jié)束后，對工業(yè)控制系統(tǒng)進行功能和性能檢測，保障系統(tǒng)運行的可靠性和穩(wěn)定性，并
記錄系統(tǒng)運行狀況。
b) 必要時，制定系統(tǒng)安全性測試方案，對于系統(tǒng)改造或升級項目，還需進行兼容性測試，完
整記錄測試過程相關(guān)信息。
c) 建立系統(tǒng)維保服務(wù)流程，制定維保方案并形成維保記錄。
H1.3 服務(wù)總結(jié)階段
H1.3.1 服務(wù)驗收
a) 根據(jù)合同約定，向客戶提交完整的項目交付物，并提出終驗申請。
b) 根據(jù)合同約定，配合組織項目驗收，出具項目驗收報告。
c) 驗收報告中應(yīng)描述工業(yè)控制系統(tǒng)在驗收時的運行狀況，以及客戶單位的反饋意見。
H1.3.2 服務(wù)交接
a) 告知客戶工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀和可能存在的安全風險。
b) 提供針對安全風險的應(yīng)對建議，必要時指導(dǎo)和協(xié)助客戶實施。
c) 應(yīng)建立報告的批準和交付程序，保留交付記錄。
H1.3.3 服務(wù)總結(jié)
a) 應(yīng)保存完整的安全服務(wù)工作記錄，并對安全服務(wù)過程進行總結(jié)和分析，提交工業(yè)控制系統(tǒng)
網(wǎng)絡(luò)安全服務(wù)的工作報告，內(nèi)容應(yīng)包括項目概況、依據(jù)、服務(wù)過程、結(jié)論、進一步工作建
議，以及工業(yè)控制系統(tǒng)安全服務(wù)過程中發(fā)現(xiàn)問題等。
b) 應(yīng)形成和保存工業(yè)控制系統(tǒng)的狀態(tài)和防護情況的記錄，包括工業(yè)控制系統(tǒng)的業(yè)務(wù)流程、系
統(tǒng)組成、設(shè)備配置、存在漏洞，以及采取的安全措施。
c) 應(yīng)指派至少一人復(fù)核與評價相關(guān)的所有信息和結(jié)果，復(fù)核應(yīng)由未參與評價過程且熟悉相應(yīng)
生產(chǎn)行業(yè)業(yè)務(wù)領(lǐng)域的人員進行。

安信達咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

相關(guān)文章：

信息系統(tǒng)安全集成服務(wù)資質(zhì)三級評價要求 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級評價要求 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級評價要求 信息安全軟件安全開發(fā)服務(wù)資質(zhì)三級評價要求