工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求

Date22 8 月 2019

工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求針對(duì)安全服務(wù)規(guī)劃、服務(wù)實(shí)施、服務(wù)總結(jié)三個(gè)過(guò)程進(jìn)
行，項(xiàng)目實(shí)施過(guò)程應(yīng)形成文件，具體分級(jí)要求如下：

H3 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì)，除滿足二級(jí)能力要求外，還應(yīng)滿足以下要求：
申請(qǐng)一級(jí)資質(zhì)認(rèn)證的單位，至少完成10個(gè)與申請(qǐng)工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運(yùn)
維服務(wù)項(xiàng)目；在技術(shù)和管理方面具備安全服務(wù)的過(guò)程管理、風(fēng)險(xiǎn)管理能力；具備針對(duì)工業(yè)控制系統(tǒng)
開(kāi)展風(fēng)險(xiǎn)評(píng)估服務(wù)、應(yīng)急處理服務(wù)的能力；具備安全問(wèn)題解決的驗(yàn)證和證據(jù)分析、安全服務(wù)不斷提
升改進(jìn)的能力。
H3.1 服務(wù)規(guī)劃階段
H3.1.1 調(diào)研客戶需求
a) 調(diào)研客戶企業(yè)愿景，對(duì)工業(yè)控制系統(tǒng)安全業(yè)務(wù)的發(fā)展規(guī)劃和未來(lái)幾年業(yè)務(wù)發(fā)展目標(biāo)。
H3.1.2 分析服務(wù)業(yè)務(wù)
a) 對(duì)客戶的安全生產(chǎn)和網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行評(píng)估，調(diào)研行業(yè)安全防護(hù)的水平，明確薄弱環(huán)節(jié)。
H3.1.3 編制服務(wù)方案
a) 確定實(shí)施過(guò)程的備份機(jī)制和應(yīng)急處理方案，并與客戶充分溝通，預(yù)測(cè)應(yīng)急處理方案可能造
成的影響。
H3.1.4 組建服務(wù)團(tuán)隊(duì)
a) 團(tuán)隊(duì)成員必須配備能夠?qū)I(yè)控制系統(tǒng)進(jìn)行應(yīng)急處理的服務(wù)人員。
H3.1.5 實(shí)施準(zhǔn)備
a) 具有根據(jù)工業(yè)控制系統(tǒng)特點(diǎn)，自主開(kāi)發(fā)專業(yè)檢測(cè)工具的能力。
b) 配備有處理網(wǎng)絡(luò)或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。
c) 應(yīng)根據(jù)服務(wù)的需求配備必要的服務(wù)質(zhì)量監(jiān)測(cè)手段，具備對(duì)服務(wù)行為進(jìn)行審計(jì)的能力。
H3.2 服務(wù)實(shí)施階段
H3.2.1 項(xiàng)目實(shí)施
a) 有能力利用客戶的備用設(shè)備或仿真環(huán)境搭建控制系統(tǒng)的模擬環(huán)境，模擬真實(shí)系統(tǒng)的結(jié)果、
配置、數(shù)據(jù)、業(yè)務(wù)流程，在仿真系統(tǒng)中驗(yàn)證服務(wù)內(nèi)容和測(cè)試，以保障在運(yùn)系統(tǒng)的安全、穩(wěn)
定運(yùn)行。
b) 建立服務(wù)過(guò)程質(zhì)量監(jiān)控機(jī)制，定期開(kāi)展服務(wù)質(zhì)量評(píng)價(jià)工作，能夠?qū)Χ鄠€(gè)團(tuán)隊(duì)的服務(wù)質(zhì)量的
一致性進(jìn)行把控。
H3.2.2 風(fēng)險(xiǎn)評(píng)估及應(yīng)急處置
a) 能夠?qū)I(yè)控制系統(tǒng)發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行原因分析，采取措施抑制或根除潛在的安全
風(fēng)險(xiǎn)，提交應(yīng)急處置方案。
b) 網(wǎng)絡(luò)與信息安全事件處理記錄應(yīng)具備可追溯性。
H3.2.3 系統(tǒng)運(yùn)行測(cè)試
a) 制定系統(tǒng)安全性測(cè)試方案，模擬攻擊場(chǎng)景，在模擬環(huán)境中進(jìn)行安全性測(cè)試，形成測(cè)試報(bào)告。
b) 綜合分析控制系統(tǒng)運(yùn)行狀況，制定安全運(yùn)維、應(yīng)急響應(yīng)方案。
H3.3 服務(wù)總結(jié)階段
H3.3.1 服務(wù)驗(yàn)收
無(wú)
H3.3.2 服務(wù)交接
a) 建立應(yīng)急保障團(tuán)隊(duì)，及時(shí)響應(yīng)客戶需求。
H3.3.3 服務(wù)總結(jié)
a) 建立服務(wù)項(xiàng)目知識(shí)庫(kù)，積累和匯總不同行業(yè)的業(yè)務(wù)知識(shí)和系統(tǒng)特點(diǎn)。
b) 提供詳實(shí)的網(wǎng)絡(luò)與信息安全事件處理報(bào)告，完整展現(xiàn)應(yīng)急處理服務(wù)的整個(gè)過(guò)程