2020年9月4日,工業控制系統安全服務圍繞提升工業控制系統的高可用性和業務連續性,提升功能安全、物理安全和信息安全的保障能力為目標,涉及工業控制系統設計、建設、運維和技改各個階段,主要包括系統集成、系統運維、應急處理、風險評估等工業控制系統安全服務,形成系統的、獨立的、形成文件的過程。
工業控制系統安全服務資質認證是對工業控制系統安全服務方的基本資格、管理能力、技術能力和工業控制系統安全服務過程能力等方面進行評價。
工業控制系統安全服務資質專業評價要求針對安全服務規劃、服務實施、服務總結三個過程進行,項目實施過程應形成文件,三級要求如下:
申請三級資質認證的單位,至少有1個針對工業生產行業領域的系統集成和系統運維的服務項目;
在技術和管理方面具備安全服務的過程管理、風險管理,以及識別跟蹤信息安全漏洞的能力;
具備安全問題解決的驗證和證據分析、安全服務不斷提升改進的能力。
1 服務規劃階段
1.1 調研客戶需求
a) 編制業務情況和工業控制系統調研表,并按照調研表收集有效信息。
b) 有效掌握工業企業的組織結構、了解對工業控制系統的管理機制。
c) 采集客戶對工業控制系統安全管理和技術服務的目標和需求。
1.2 分析服務業務
a) 識別工業控制系統面臨的潛在威脅,分析服務過程中可能生產的安全風險;
b) 識別影響工業控制系統安全服務的法律、政策、標準、外部影響和約束條件;
c) 分析客戶業務需求,明確客戶工業控制系統安全服務的目標與需求。
1.3 編制服務方案
a) 結合調研的安全需求,與客戶、工業控制系統開發單位及其他相關人員充分溝通,編制安全服務技術方案和服務預算。
b) 與客戶簽訂服務協議,編制實施方案,明確服務范圍、目標、進度、內容、金額、交付質量、溝通和風險等方面的要求。
1.4 組建服務團隊
a) 應考慮服務項目的目標、內容、范圍等組建團隊。
b) 選擇工業控制系統安全服務項目負責人應滿足通用評價要求的人員能力要求,熟悉工業控 制系統業務流程,能與工業控制系統運行人員進行有效溝通。
1.5 實施準備
a) 應根據服務內容準備必要的工具。
b) 對服務過程中可能會采取的操作、處理等行為,獲得用戶的書面授權。
c) 對團隊成員進行安全教育、信息安全服務技能和工業控制系統操作規程培訓。
2 服務實施階段
2.1 項目實施
a) 實施初始服務,采集工業控制系統重要資產以及資產的安全配置;收集與分析網絡及安全設備、服務器、數據庫、中間件、應用系統的日志;收集和分析工業控制系統的硬件故障 及安全事件。
b) 依據已確認的安全服務技術方案和實施方案,按照時間和質量要求進行安全集成服務安全 運維和風險評估服務。
c) 對工業控制系統的應用系統升級、補丁升級和病毒庫升級應在線下模擬環境中進行驗證, 在不影響系統可用性、實時性和穩定性的前提下實施更新。
d) 在實施過程中,必須遵守工業控制系統的相關操作章程,以防止敏感信息泄漏和確保及時 處理意外事件。
e) 對直接涉及在運工業控制系統的安全服務,盡可能避開安全生產的敏感時期和業務高峰期。
f) 針對工業控制系統業務特點和系統組成,分析系統脆弱性形成原因,識別跟蹤工業控制系統的漏洞,在服務過程中采取有效措施避免安全風險。
g) 項目實施人員按時提交服務記錄,及時向項目經理匯報項目進度。
h) 建立安全服務項目協調機制,明確責任人,暢通信息溝通渠道,保障各相關方在項目實施過程中能夠有效充分的溝通。
2.2 系統運行測試
a) 實施結束后,對工業控制系統進行功能和性能檢測,保障系統運行的可靠性和穩定性,并記錄系統運行狀況。
b) 必要時,制定系統安全性測試方案,對于系統改造或升級項目,還需進行兼容性測試,完整記錄測試過程相關信息。
c) 建立系統維保服務流程,制定維保方案并形成維保記錄。
3 服務總結階段
3.1 服務驗收
a) 根據合同約定,向客戶提交完整的項目交付物,并提出終驗申請。
b) 根據合同約定,配合組織項目驗收,出具項目驗收報告。
c) 驗收報告中應描述工業控制系統在驗收時的運行狀況,以及客戶單位的反饋意見。
3.2 服務交接
a) 告知客戶工業控制系統網絡安全現狀和可能存在的安全風險。
b) 提供針對安全風險的應對建議,必要時指導和協助客戶實施。
c) 應建立報告的批準和交付程序,保留交付記錄。
3.3 服務總結
a) 應保存完整的安全服務工作記錄,并對安全服務過程進行總結和分析,提交工業控制系統網絡安全服務的工作報告,內容應包括項目概況、依據、服務過程、結論、進一步工作建議,以及工業控制系統安全服務過程中發現問題等。
b) 應形成和保存工業控制系統的狀態和防護情況的記錄,包括工業控制系統的業務流程、系統組成、設備配置、存在漏洞,以及采取的安全措施。
c) 應指派至少一人復核與評價相關的所有信息和結果,復核應由未參與評價過程且熟悉相應生產行業業務領域的人員進行。
辦理工業控制安全服務資質認證(三級),咨詢新世紀企業管理顧問有限公司鐘老師:13798577179。
上一篇:信息安全風險評估服務資質認證介紹
專業代辦ISO9001認證_ISO14001認證_ISO27001認證_知識產權管理體系認證證書_。
電話:13798577179業務QQ:506565856企業郵箱:506565856@qq.com地址:深圳光明區公明研創谷6棟
2022-2025 深圳搜證寶認證技術 版權所有 粵ICP備2022086716號-1
