工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求

Date21 8 月 2019

工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求針對(duì)安全服務(wù)規(guī)劃、服務(wù)實(shí)施、服務(wù)總結(jié)三個(gè)過程進(jìn)
行，項(xiàng)目實(shí)施過程應(yīng)形成文件，具體分級(jí)要求如下：

H2 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求
組織申報(bào)二級(jí)資質(zhì)，除滿足三級(jí)能力要求外，還應(yīng)滿足以下要求：
申請(qǐng)二級(jí)資質(zhì)認(rèn)證的單位，至少完成6個(gè)與申請(qǐng)工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運(yùn)維
服務(wù)項(xiàng)目；在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險(xiǎn)管理能力；具備針對(duì)工業(yè)控制系統(tǒng)開
展風(fēng)險(xiǎn)評(píng)估服務(wù)的能力；具備安全問題解決的驗(yàn)證和證據(jù)分析、安全服務(wù)不斷提升改進(jìn)的能力。
H2.1 服務(wù)規(guī)劃階段
H2.1.1 調(diào)研客戶需求
a) 調(diào)研客戶工業(yè)控制系統(tǒng)的業(yè)務(wù)邏輯、工作流程，工業(yè)控制系統(tǒng)的設(shè)備組成、網(wǎng)絡(luò)架構(gòu)等。
b) 編制完整的客戶調(diào)研報(bào)告，調(diào)研的內(nèi)容包括組織架構(gòu)、制度列表、業(yè)務(wù)流程、工業(yè)控制系
統(tǒng)資產(chǎn)信息、工業(yè)控制系統(tǒng)相關(guān)的管理人員信息等。
H2.1.2 分析服務(wù)業(yè)務(wù)
a) 了解所屬行業(yè)主管部門對(duì)工業(yè)控制系統(tǒng)安全要求。
H2.1.3 編制服務(wù)方案
a) 制定針對(duì)人員、設(shè)備、文檔、系統(tǒng)的風(fēng)險(xiǎn)監(jiān)控措施，有效保障工業(yè)控制系統(tǒng)的安全、穩(wěn)定。
b) 對(duì)于在運(yùn)工業(yè)控制系統(tǒng)，應(yīng)搭建控制系統(tǒng)的模擬環(huán)境，模擬真實(shí)系統(tǒng)的運(yùn)行情況、配置、
數(shù)據(jù)、業(yè)務(wù)流程，驗(yàn)證方案的有效性。
c) 安全服務(wù)技術(shù)方案和實(shí)施方案應(yīng)經(jīng)過評(píng)審，并與客戶達(dá)成一致。
H2.1.4 組建服務(wù)團(tuán)隊(duì)
a) 團(tuán)隊(duì)成員必須包括所服務(wù)業(yè)務(wù)領(lǐng)域的工業(yè)控制系統(tǒng)專業(yè)人員，熟悉工業(yè)控制系統(tǒng)工作原理、
業(yè)務(wù)流程和操作規(guī)程。
H2.1.5 實(shí)施準(zhǔn)備
a) 應(yīng)根據(jù)服務(wù)的需求準(zhǔn)備必要的工具，具有工具定制研發(fā)的能力。
b) 結(jié)合項(xiàng)目需要，編制安全服務(wù)項(xiàng)目施工手冊(cè)和作業(yè)指導(dǎo)書。
c) 對(duì)團(tuán)隊(duì)成員進(jìn)行安全服務(wù)技能培訓(xùn)和工業(yè)控制系統(tǒng)原理、組成和操作的培訓(xùn)。
H2.2 服務(wù)實(shí)施階段
H2.2.1 項(xiàng)目實(shí)施
a) 建立服務(wù)過程質(zhì)量監(jiān)控機(jī)制, 監(jiān)督工業(yè)控制系統(tǒng)安全服務(wù)實(shí)施的過程，定期開展工業(yè)控制
系統(tǒng)安全服務(wù)質(zhì)量檢查。
b) 針對(duì)工業(yè)控制系統(tǒng)業(yè)務(wù)特點(diǎn)和系統(tǒng)組成，分析系統(tǒng)脆弱性形成原因，識(shí)別跟蹤和驗(yàn)證工業(yè)
控制系統(tǒng)的漏洞，在服務(wù)過程中采取有效措施避免安全風(fēng)險(xiǎn)。
c) 如有遠(yuǎn)程服務(wù)的需求，應(yīng)建立遠(yuǎn)程訪問審批流程，經(jīng)批準(zhǔn)后方能實(shí)施，實(shí)施過程應(yīng)采取必
要的訪問控制策略并對(duì)操作過程進(jìn)行安全審計(jì)。
d) 應(yīng)編制服務(wù)過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)的風(fēng)險(xiǎn)列表。
H2.2.2 風(fēng)險(xiǎn)評(píng)估
a) 識(shí)別工業(yè)控制系統(tǒng)的重要資產(chǎn)、安全威脅、脆弱性，驗(yàn)證已有的安全措施，構(gòu)建風(fēng)險(xiǎn)分析
模型進(jìn)行風(fēng)險(xiǎn)計(jì)算和評(píng)價(jià)，給出風(fēng)險(xiǎn)評(píng)估報(bào)告；
b) 協(xié)助用戶確定風(fēng)險(xiǎn)處置原則，對(duì)組織不可接受的風(fēng)險(xiǎn)提出風(fēng)險(xiǎn)處置措施。
c) 對(duì)客戶提出完整的風(fēng)險(xiǎn)處置方案，協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)處置，必要時(shí)，對(duì)殘余風(fēng)險(xiǎn)進(jìn)行再評(píng)
估。
H2.2.3 系統(tǒng)運(yùn)行測(cè)試
a) 制定系統(tǒng)安全性測(cè)試方案，在運(yùn)行系統(tǒng)中或模擬環(huán)境中進(jìn)行測(cè)試，完整記錄測(cè)試過程相關(guān)
信息，形成系統(tǒng)測(cè)試報(bào)告。
H2.3 服務(wù)總結(jié)階段
H2.3.1 服務(wù)驗(yàn)收
a) 應(yīng)建立程序，對(duì)服務(wù)驗(yàn)收中可能存在的重要分歧或者遺漏及時(shí)更正，并將更正后的驗(yàn)收?qǐng)?bào)
告提交給用戶方。
H2.3.2 服務(wù)交接
a) 建立客戶滿意度調(diào)查機(jī)制。
H2.3.3 服務(wù)總結(jié)
a) 驗(yàn)證在服務(wù)過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)的漏洞，建立管理機(jī)制跟蹤漏洞的消缺情況。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)一級(jí)申請(qǐng)咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。