2020年9月4日,工業(yè)控制系統(tǒng)安全服務(wù)圍繞提升工業(yè)控制系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性,提升功能安全、物理安全和信息安全的保障能力為目標(biāo),涉及工業(yè)控制系統(tǒng)設(shè)計、建設(shè)、運(yùn)維和技改各個階段,主要包括系統(tǒng)集成、系統(tǒng)運(yùn)維、應(yīng)急處理、風(fēng)險評估等工業(yè)控制系統(tǒng)安全服務(wù),形成系統(tǒng)的、獨(dú)立的、形成文件的過程。
工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證是對工業(yè)控制系統(tǒng)安全服務(wù)方的基本資格、管理能力、技術(shù)能力和工業(yè)控制系統(tǒng)安全服務(wù)過程能力等方面進(jìn)行評價。
工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)專業(yè)評價要求針對安全服務(wù)規(guī)劃、服務(wù)實施、服務(wù)總結(jié)三個過程進(jìn)行,項目實施過程應(yīng)形成文件,三級要求如下:
申請三級資質(zhì)認(rèn)證的單位,至少有1個針對工業(yè)生產(chǎn)行業(yè)領(lǐng)域的系統(tǒng)集成和系統(tǒng)運(yùn)維的服務(wù)項目;
在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險管理,以及識別跟蹤信息安全漏洞的能力;
具備安全問題解決的驗證和證據(jù)分析、安全服務(wù)不斷提升改進(jìn)的能力。
1 服務(wù)規(guī)劃階段
1.1 調(diào)研客戶需求
a) 編制業(yè)務(wù)情況和工業(yè)控制系統(tǒng)調(diào)研表,并按照調(diào)研表收集有效信息。
b) 有效掌握工業(yè)企業(yè)的組織結(jié)構(gòu)、了解對工業(yè)控制系統(tǒng)的管理機(jī)制。
c) 采集客戶對工業(yè)控制系統(tǒng)安全管理和技術(shù)服務(wù)的目標(biāo)和需求。
1.2 分析服務(wù)業(yè)務(wù)
a) 識別工業(yè)控制系統(tǒng)面臨的潛在威脅,分析服務(wù)過程中可能生產(chǎn)的安全風(fēng)險;
b) 識別影響工業(yè)控制系統(tǒng)安全服務(wù)的法律、政策、標(biāo)準(zhǔn)、外部影響和約束條件;
c) 分析客戶業(yè)務(wù)需求,明確客戶工業(yè)控制系統(tǒng)安全服務(wù)的目標(biāo)與需求。
1.3 編制服務(wù)方案
a) 結(jié)合調(diào)研的安全需求,與客戶、工業(yè)控制系統(tǒng)開發(fā)單位及其他相關(guān)人員充分溝通,編制安全服務(wù)技術(shù)方案和服務(wù)預(yù)算。
b) 與客戶簽訂服務(wù)協(xié)議,編制實施方案,明確服務(wù)范圍、目標(biāo)、進(jìn)度、內(nèi)容、金額、交付質(zhì)量、溝通和風(fēng)險等方面的要求。
1.4 組建服務(wù)團(tuán)隊
a) 應(yīng)考慮服務(wù)項目的目標(biāo)、內(nèi)容、范圍等組建團(tuán)隊。
b) 選擇工業(yè)控制系統(tǒng)安全服務(wù)項目負(fù)責(zé)人應(yīng)滿足通用評價要求的人員能力要求,熟悉工業(yè)控 制系統(tǒng)業(yè)務(wù)流程,能與工業(yè)控制系統(tǒng)運(yùn)行人員進(jìn)行有效溝通。
1.5 實施準(zhǔn)備
a) 應(yīng)根據(jù)服務(wù)內(nèi)容準(zhǔn)備必要的工具。
b) 對服務(wù)過程中可能會采取的操作、處理等行為,獲得用戶的書面授權(quán)。
c) 對團(tuán)隊成員進(jìn)行安全教育、信息安全服務(wù)技能和工業(yè)控制系統(tǒng)操作規(guī)程培訓(xùn)。
2 服務(wù)實施階段
2.1 項目實施
a) 實施初始服務(wù),采集工業(yè)控制系統(tǒng)重要資產(chǎn)以及資產(chǎn)的安全配置;收集與分析網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)的日志;收集和分析工業(yè)控制系統(tǒng)的硬件故障 及安全事件。
b) 依據(jù)已確認(rèn)的安全服務(wù)技術(shù)方案和實施方案,按照時間和質(zhì)量要求進(jìn)行安全集成服務(wù)安全 運(yùn)維和風(fēng)險評估服務(wù)。
c) 對工業(yè)控制系統(tǒng)的應(yīng)用系統(tǒng)升級、補(bǔ)丁升級和病毒庫升級應(yīng)在線下模擬環(huán)境中進(jìn)行驗證, 在不影響系統(tǒng)可用性、實時性和穩(wěn)定性的前提下實施更新。
d) 在實施過程中,必須遵守工業(yè)控制系統(tǒng)的相關(guān)操作章程,以防止敏感信息泄漏和確保及時 處理意外事件。
e) 對直接涉及在運(yùn)工業(yè)控制系統(tǒng)的安全服務(wù),盡可能避開安全生產(chǎn)的敏感時期和業(yè)務(wù)高峰期。
f) 針對工業(yè)控制系統(tǒng)業(yè)務(wù)特點和系統(tǒng)組成,分析系統(tǒng)脆弱性形成原因,識別跟蹤工業(yè)控制系統(tǒng)的漏洞,在服務(wù)過程中采取有效措施避免安全風(fēng)險。
g) 項目實施人員按時提交服務(wù)記錄,及時向項目經(jīng)理匯報項目進(jìn)度。
h) 建立安全服務(wù)項目協(xié)調(diào)機(jī)制,明確責(zé)任人,暢通信息溝通渠道,保障各相關(guān)方在項目實施過程中能夠有效充分的溝通。
2.2 系統(tǒng)運(yùn)行測試
a) 實施結(jié)束后,對工業(yè)控制系統(tǒng)進(jìn)行功能和性能檢測,保障系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性,并記錄系統(tǒng)運(yùn)行狀況。
b) 必要時,制定系統(tǒng)安全性測試方案,對于系統(tǒng)改造或升級項目,還需進(jìn)行兼容性測試,完整記錄測試過程相關(guān)信息。
c) 建立系統(tǒng)維保服務(wù)流程,制定維保方案并形成維保記錄。
3 服務(wù)總結(jié)階段
3.1 服務(wù)驗收
a) 根據(jù)合同約定,向客戶提交完整的項目交付物,并提出終驗申請。
b) 根據(jù)合同約定,配合組織項目驗收,出具項目驗收報告。
c) 驗收報告中應(yīng)描述工業(yè)控制系統(tǒng)在驗收時的運(yùn)行狀況,以及客戶單位的反饋意見。
3.2 服務(wù)交接
a) 告知客戶工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀和可能存在的安全風(fēng)險。
b) 提供針對安全風(fēng)險的應(yīng)對建議,必要時指導(dǎo)和協(xié)助客戶實施。
c) 應(yīng)建立報告的批準(zhǔn)和交付程序,保留交付記錄。
3.3 服務(wù)總結(jié)
a) 應(yīng)保存完整的安全服務(wù)工作記錄,并對安全服務(wù)過程進(jìn)行總結(jié)和分析,提交工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全服務(wù)的工作報告,內(nèi)容應(yīng)包括項目概況、依據(jù)、服務(wù)過程、結(jié)論、進(jìn)一步工作建議,以及工業(yè)控制系統(tǒng)安全服務(wù)過程中發(fā)現(xiàn)問題等。
b) 應(yīng)形成和保存工業(yè)控制系統(tǒng)的狀態(tài)和防護(hù)情況的記錄,包括工業(yè)控制系統(tǒng)的業(yè)務(wù)流程、系統(tǒng)組成、設(shè)備配置、存在漏洞,以及采取的安全措施。
c) 應(yīng)指派至少一人復(fù)核與評價相關(guān)的所有信息和結(jié)果,復(fù)核應(yīng)由未參與評價過程且熟悉相應(yīng)生產(chǎn)行業(yè)業(yè)務(wù)領(lǐng)域的人員進(jìn)行。
辦理工業(yè)控制安全服務(wù)資質(zhì)認(rèn)證(三級),咨詢新世紀(jì)企業(yè)管理顧問有限公司鐘老師:13798577179。
專業(yè)代辦ISO9001認(rèn)證_ISO14001認(rèn)證_ISO27001認(rèn)證_知識產(chǎn)權(quán)管理體系認(rèn)證證書_。
電話:13798577179業(yè)務(wù)QQ:506565856企業(yè)郵箱:506565856@qq.com地址:深圳光明區(qū)公明研創(chuàng)谷6棟
2022-2025 深圳搜證寶認(rèn)證技術(shù) 版權(quán)所有 粵ICP備2022086716號-1
