工業(yè)控制安全服務(wù)資質(zhì)認證要求
文章來源:http://www.tex365.com.cn
發(fā)布時間:2020-09-04
瀏覽次數(shù):84
2020年9月4日,工業(yè)控制系統(tǒng)安全服務(wù)圍繞提升工業(yè)控制系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性����,提升功能安全����、物理安全和信息安全的保障能力為目標�����,涉及工業(yè)控制系統(tǒng)設(shè)計���、建設(shè)�����、運維和技改各個階段����,主要包括系統(tǒng)集成��、系統(tǒng)運維�、應急處理�����、風險評估等工業(yè)控制系統(tǒng)安全服務(wù)����,形成系統(tǒng)的�、獨立的����、形成文件的過程。
工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認證是對工業(yè)控制系統(tǒng)安全服務(wù)方的基本資格、管理能力、技術(shù)能力和工業(yè)控制系統(tǒng)安全服務(wù)過程能力等方面進行評價。
工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)專業(yè)評價要求針對安全服務(wù)規(guī)劃��、服務(wù)實施�、服務(wù)總結(jié)三個過程進行,項目實施過程應形成文件,三級要求如下:
申請三級資質(zhì)認證的單位����,至少有1個針對工業(yè)生產(chǎn)行業(yè)領(lǐng)域的系統(tǒng)集成和系統(tǒng)運維的服務(wù)項目�;
在技術(shù)和管理方面具備安全服務(wù)的過程管理��、風險管理���,以及識別跟蹤信息安全漏洞的能力�����;
具備安全問題解決的驗證和證據(jù)分析、安全服務(wù)不斷提升改進的能力。
1 服務(wù)規(guī)劃階段
1.1 調(diào)研客戶需求
a) 編制業(yè)務(wù)情況和工業(yè)控制系統(tǒng)調(diào)研表�����,并按照調(diào)研表收集有效信息�。
b) 有效掌握工業(yè)企業(yè)的組織結(jié)構(gòu)、了解對工業(yè)控制系統(tǒng)的管理機制。
c) 采集客戶對工業(yè)控制系統(tǒng)安全管理和技術(shù)服務(wù)的目標和需求��。
1.2 分析服務(wù)業(yè)務(wù)
a) 識別工業(yè)控制系統(tǒng)面臨的潛在威脅���,分析服務(wù)過程中可能生產(chǎn)的安全風險��;
b) 識別影響工業(yè)控制系統(tǒng)安全服務(wù)的法律����、政策��、標準、外部影響和約束條件�;
c) 分析客戶業(yè)務(wù)需求�,明確客戶工業(yè)控制系統(tǒng)安全服務(wù)的目標與需求�����。
1.3 編制服務(wù)方案
a) 結(jié)合調(diào)研的安全需求����,與客戶�、工業(yè)控制系統(tǒng)開發(fā)單位及其他相關(guān)人員充分溝通,編制安全服務(wù)技術(shù)方案和服務(wù)預算���。
b) 與客戶簽訂服務(wù)協(xié)議,編制實施方案����,明確服務(wù)范圍��、目標�、進度����、內(nèi)容、金額�����、交付質(zhì)量���、溝通和風險等方面的要求��。
1.4 組建服務(wù)團隊
a) 應考慮服務(wù)項目的目標����、內(nèi)容�、范圍等組建團隊��。
b) 選擇工業(yè)控制系統(tǒng)安全服務(wù)項目負責人應滿足通用評價要求的人員能力要求�,熟悉工業(yè)控 制系統(tǒng)業(yè)務(wù)流程,能與工業(yè)控制系統(tǒng)運行人員進行有效溝通�����。
1.5 實施準備
a) 應根據(jù)服務(wù)內(nèi)容準備必要的工具��。
b) 對服務(wù)過程中可能會采取的操作、處理等行為�,獲得用戶的書面授權(quán)��。
c) 對團隊成員進行安全教育、信息安全服務(wù)技能和工業(yè)控制系統(tǒng)操作規(guī)程培訓�����。
2 服務(wù)實施階段
2.1 項目實施
a) 實施初始服務(wù)�,采集工業(yè)控制系統(tǒng)重要資產(chǎn)以及資產(chǎn)的安全配置;收集與分析網(wǎng)絡(luò)及安全設(shè)備�����、服務(wù)器�����、數(shù)據(jù)庫���、中間件��、應用系統(tǒng)的日志;收集和分析工業(yè)控制系統(tǒng)的硬件故障 及安全事件����。
b) 依據(jù)已確認的安全服務(wù)技術(shù)方案和實施方案,按照時間和質(zhì)量要求進行安全集成服務(wù)安全 運維和風險評估服務(wù)。
c) 對工業(yè)控制系統(tǒng)的應用系統(tǒng)升級、補丁升級和病毒庫升級應在線下模擬環(huán)境中進行驗證, 在不影響系統(tǒng)可用性�、實時性和穩(wěn)定性的前提下實施更新���。
d) 在實施過程中��,必須遵守工業(yè)控制系統(tǒng)的相關(guān)操作章程,以防止敏感信息泄漏和確保及時 處理意外事件。
e) 對直接涉及在運工業(yè)控制系統(tǒng)的安全服務(wù),盡可能避開安全生產(chǎn)的敏感時期和業(yè)務(wù)高峰期。
f) 針對工業(yè)控制系統(tǒng)業(yè)務(wù)特點和系統(tǒng)組成�,分析系統(tǒng)脆弱性形成原因����,識別跟蹤工業(yè)控制系統(tǒng)的漏洞��,在服務(wù)過程中采取有效措施避免安全風險����。
g) 項目實施人員按時提交服務(wù)記錄���,及時向項目經(jīng)理匯報項目進度����。
h) 建立安全服務(wù)項目協(xié)調(diào)機制,明確責任人,暢通信息溝通渠道��,保障各相關(guān)方在項目實施過程中能夠有效充分的溝通�。
2.2 系統(tǒng)運行測試
a) 實施結(jié)束后����,對工業(yè)控制系統(tǒng)進行功能和性能檢測���,保障系統(tǒng)運行的可靠性和穩(wěn)定性�����,并記錄系統(tǒng)運行狀況。
b) 必要時,制定系統(tǒng)安全性測試方案,對于系統(tǒng)改造或升級項目��,還需進行兼容性測試�,完整記錄測試過程相關(guān)信息。
c) 建立系統(tǒng)維保服務(wù)流程,制定維保方案并形成維保記錄�。
3 服務(wù)總結(jié)階段
3.1 服務(wù)驗收
a) 根據(jù)合同約定�����,向客戶提交完整的項目交付物,并提出終驗申請。
b) 根據(jù)合同約定����,配合組織項目驗收��,出具項目驗收報告。
c) 驗收報告中應描述工業(yè)控制系統(tǒng)在驗收時的運行狀況�����,以及客戶單位的反饋意見��。
3.2 服務(wù)交接
a) 告知客戶工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀和可能存在的安全風險��。
b) 提供針對安全風險的應對建議,必要時指導和協(xié)助客戶實施。
c) 應建立報告的批準和交付程序�����,保留交付記錄���。
3.3 服務(wù)總結(jié)
a) 應保存完整的安全服務(wù)工作記錄�����,并對安全服務(wù)過程進行總結(jié)和分析,提交工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全服務(wù)的工作報告��,內(nèi)容應包括項目概況���、依據(jù)����、服務(wù)過程、結(jié)論����、進一步工作建議��,以及工業(yè)控制系統(tǒng)安全服務(wù)過程中發(fā)現(xiàn)問題等。
b) 應形成和保存工業(yè)控制系統(tǒng)的狀態(tài)和防護情況的記錄�,包括工業(yè)控制系統(tǒng)的業(yè)務(wù)流程��、系統(tǒng)組成、設(shè)備配置�����、存在漏洞��,以及采取的安全措施���。
c) 應指派至少一人復核與評價相關(guān)的所有信息和結(jié)果���,復核應由未參與評價過程且熟悉相應生產(chǎn)行業(yè)業(yè)務(wù)領(lǐng)域的人員進行�。
辦理工業(yè)控制安全服務(wù)資質(zhì)認證(三級)����,咨詢新世紀企業(yè)管理顧問有限公司鐘老師:13798577179。
