工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證自評估表

1、工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證自評估表（注明行業(yè)）填表說明：每個行業(yè)單獨填寫自評估表。組織名稱申報級別評估時間評估部門/人員自評估 結(jié)論序 號要點條款需提供證明材料符合不 符 合證明材料清單1.建立工業(yè)控制系統(tǒng)安全服務(wù)流程，并按 照流程實施。按照相關(guān)標(biāo)準(zhǔn)建立的工業(yè)控制系統(tǒng) 安全服務(wù)流程，流程圖中應(yīng)包括每個 階段對應(yīng)的職責(zé)、輸入輸出等。2.服務(wù)技術(shù) 要求制定工業(yè)控制系統(tǒng)安全服務(wù)規(guī)范標(biāo)準(zhǔn)， 并按照規(guī)范實施。已制定的工控控制系統(tǒng)安全服務(wù)規(guī) 范。3.H1.1.1 a）編制業(yè)務(wù)情況和工業(yè)控制系 統(tǒng)調(diào)研表，并按照調(diào)研表收集有效信 息。已完成業(yè)務(wù)情況調(diào)研表，收集有效信 息。4.服務(wù)規(guī)劃 階段-調(diào)研H1.1.1

2、 b）有效掌握工業(yè)企業(yè)的組織結(jié) 構(gòu)、了解對工業(yè)控制系統(tǒng)的管理機(jī)制。企業(yè)的組織結(jié)構(gòu)、對生產(chǎn)控制系統(tǒng)管 理的文字材料。5.H1.1.1 c）采集客戶對工業(yè)控制系統(tǒng)系 統(tǒng)安全管理和技術(shù)服務(wù)的目標(biāo)和需求?？蛻魧た叵到y(tǒng)安全管理和技術(shù)服 務(wù)的目標(biāo)和需求的文字材料。6.客戶需求H2.1.1 a）調(diào)研客戶工業(yè)控制系統(tǒng)的業(yè)已完成業(yè)務(wù)情況和生產(chǎn)控制系統(tǒng)調(diào)自評估 結(jié)論序 號要點條款需提供證明材料符合不 符 合證明材料清單務(wù)邏輯、工作流程，工業(yè)控制系統(tǒng)系統(tǒng) 的設(shè)備組成、網(wǎng)絡(luò)架構(gòu)等。研表，包括客戶控制系統(tǒng)的業(yè)務(wù)邏 輯、工作流程，控制系統(tǒng)的設(shè)備組成、 現(xiàn)場網(wǎng)絡(luò)等。7.編制完整的客戶調(diào)研報告，調(diào)研的內(nèi)容 包括組織架構(gòu)、制

3、度列表、業(yè)務(wù)流程、 工業(yè)控制系統(tǒng)資產(chǎn)信息、工業(yè)控制系統(tǒng) 相關(guān)的管理人員信息等。已完成客戶調(diào)研報告， 調(diào)研的內(nèi)容包 括組織架構(gòu)、制度列表、業(yè)務(wù)流程、 控制系統(tǒng)及設(shè)備、控制系統(tǒng)相關(guān)的管 理人員信息等。8.調(diào)研客戶企業(yè)愿景，對工業(yè)控制系統(tǒng)安 全業(yè)務(wù)的發(fā)展規(guī)劃和未來幾年業(yè)務(wù)發(fā) 展目標(biāo)。已完成客戶調(diào)研報告， 包括客戶企業(yè) 愿景，對工控安全業(yè)務(wù)的發(fā)展規(guī)劃和 未來幾年業(yè)務(wù)發(fā)展目標(biāo)。9.識別工業(yè)控制系統(tǒng)面臨的潛在威脅，分 析服務(wù)過程中可能生產(chǎn)的安全風(fēng)險；10.識別影響工業(yè)控制系統(tǒng)服務(wù)的法律、政 策、標(biāo)準(zhǔn)、外部影響和約束條件；11.分析客戶業(yè)務(wù)需求，明確客戶工業(yè)控制 系統(tǒng)安全服務(wù)的目標(biāo)與需求。已完成項曰的服務(wù)方

4、案中有安全風(fēng) 險分析、識別法律及標(biāo)準(zhǔn)規(guī)范、客戶 業(yè)務(wù)需求的證明材料。12.僅二級/一級要求：了解所屬行業(yè)主管 部門對工業(yè)控制系統(tǒng)安全要求。已完成項目的服務(wù)方案中有識別行 業(yè)主管部門的安全要求的證明材 料。13.服務(wù)規(guī)劃 階段-分析 服務(wù)業(yè)務(wù)僅一級要求：對客戶的安全生產(chǎn)和網(wǎng)絡(luò) 安全現(xiàn)狀進(jìn)行評估，調(diào)研行業(yè)安全防護(hù)已完成項目的服務(wù)方案中有調(diào)研行 業(yè)安全水平，分析薄弱環(huán)節(jié)的證明材自評估 結(jié)論序 號條款需提供證明材料符合不 符 合證明材料清單要點的水平，明確薄弱環(huán)節(jié)。料。14.結(jié)合調(diào)研的安全需求，與客戶、工業(yè)控 制系統(tǒng)系統(tǒng)開發(fā)單位及其他相關(guān)人員 充分溝通，編制安全服務(wù)技術(shù)方案和服 務(wù)預(yù)算。已完成項目的服

5、務(wù)方案， 包含安全需 求、工作內(nèi)容、服務(wù)方式、服務(wù)預(yù)算 等內(nèi)容證明材料。15.與客戶簽訂服務(wù)協(xié)議，編制實施方案， 明確服務(wù)范圍、目標(biāo)、進(jìn)度、內(nèi)容、金 額、交付質(zhì)量、溝通和風(fēng)險等方面的要 求。已完成項目的實施方案， 包含服務(wù)范 圍、目標(biāo)、進(jìn)度、內(nèi)容、金額、質(zhì)量 輸出、溝通和風(fēng)險等內(nèi)容的證明材 料。16.僅二級/一級要求：制定針對人員、設(shè)備、 文檔、系統(tǒng)的風(fēng)險監(jiān)控措施，有效保障 工業(yè)控制系統(tǒng)的安全、穩(wěn)定。已元成項目的頭施方案，包含人員、 設(shè)備、文檔、系統(tǒng)的風(fēng)險監(jiān)控措施等 內(nèi)容的證明材料。17.僅二級/一級要求：對于在運工業(yè)控制系 統(tǒng)，應(yīng)考慮使用搭建臨時模擬環(huán)境，模 擬真實系統(tǒng)的運行情況、配置、數(shù)據(jù)

6、、 業(yè)務(wù)流程，驗證方案的有效性。已完成項目的實施方案， 包含對運控 制系統(tǒng)搭建臨時模擬環(huán)境驗證方案 的證明材料。18.服務(wù)規(guī)劃 階段-編制 服務(wù)方案僅二級/一級要求：安全服務(wù)技術(shù)方案 和實施方案應(yīng)經(jīng)過評審，并與客戶達(dá)成 一致。已完成項目的實施方案經(jīng)過客戶評 審的證明材料自評估 結(jié)論序 號條款需提供證明材料符合不 符 合證明材料清單19.要點僅一級要求:確定實施過程的備份機(jī) 制和應(yīng)急處理方案，并與客戶充分溝 通，預(yù)測應(yīng)急處理方案可能造成的影 響。已完成項目有實施過程的備份機(jī)制 和應(yīng)急處理方案。20.應(yīng)考慮服務(wù)項目的目標(biāo)、內(nèi)容、范圍 等組建團(tuán)隊。已完成項曰的實施方案中對安全服21.選擇工業(yè)控制系統(tǒng)

7、安全服務(wù)項目負(fù)責(zé) 人應(yīng)滿足通用評價要求的人員能力要 求，熟悉工業(yè)控制系統(tǒng)業(yè)務(wù)流程，能 與工業(yè)控制系統(tǒng)運行人員進(jìn)行有效溝 通。已完成項曰的實施方案中對安全服 務(wù)實施團(tuán)隊成員及團(tuán)隊構(gòu)架的介紹。 隊成員應(yīng)由管理層、相關(guān)業(yè)務(wù)骨干、 IT技術(shù)人員、熟悉生產(chǎn)系統(tǒng)業(yè)務(wù)人員 等角色組成。22.服務(wù)規(guī)劃階段-組建服務(wù)團(tuán)隊僅二級/一級要求：團(tuán)隊成員必須包括 所服務(wù)業(yè)務(wù)領(lǐng)域工業(yè)控制系統(tǒng)專業(yè)知 識人員，熟悉工業(yè)控制系統(tǒng)工作原理 和業(yè)務(wù)流程。已完成項目的實施方案中對安全服 務(wù)實施團(tuán)隊人員中須包括所服務(wù)業(yè) 務(wù)領(lǐng)域控制系統(tǒng)專業(yè)知識人員。自評估 結(jié)論序 號要點條款需提供證明材料符合不 符 合證明材料清單23.僅一級要求：團(tuán)隊

8、成員必須配備能夠 對工業(yè)控制系統(tǒng)進(jìn)行應(yīng)急處理服務(wù)人 員。已完成項目的實施方案中對安全服 務(wù)實施團(tuán)隊人員中須包括對工業(yè)控 制系統(tǒng)進(jìn)行應(yīng)急處理服務(wù)人員。24.應(yīng)根據(jù)服務(wù)內(nèi)容的需求準(zhǔn)備必要的工 具。已完成項目的實施方案中對工具的 介紹，工具列表及主要功能描述。25.對服務(wù)過程中可能會采取的操作、處 理等行為，獲得用戶的書面授權(quán)。已完成的項目應(yīng)有客戶的書面服務(wù) 授權(quán)。26.對團(tuán)隊成員進(jìn)行安全教育、信息安全 服務(wù)技能和工業(yè)控制系統(tǒng)操作規(guī)程培 訓(xùn)。項目實施前的安全教育及技術(shù)培訓(xùn) 的證明材料，如啟動會的PPT, PPT中包含培訓(xùn)的內(nèi)容， 以及其他可證明 對其安全教育、技術(shù)方面培訓(xùn)的材 料。27.服務(wù)規(guī)劃階段

9、-實施準(zhǔn)備僅二級/一級要求：應(yīng)根據(jù)服務(wù)的需求 準(zhǔn)備必要的工具，具有工具定制研發(fā) 的能力。已實施項目中對工具選擇清單，有對工具軟件進(jìn)行適用性確認(rèn)的測試記 錄，有工具定制能力的證明材料。自評估 結(jié)論序 號條款需提供證明材料符合不 符 合證明材料清單28.僅二級/一級要求：結(jié)合項目需要，編 制安全服務(wù)項目施工手冊和作業(yè)指導(dǎo) 書。已實施項目中，有施工手冊和作業(yè)指 導(dǎo)書。29.僅二級/一級要求：對團(tuán)隊成員進(jìn)行安 全服務(wù)技能培訓(xùn)和工業(yè)控制系統(tǒng)業(yè)務(wù) 知識的培訓(xùn)。項目實施前的服務(wù)技能和工控系統(tǒng) 業(yè)務(wù)知識培訓(xùn)的證明材料。30.僅一級要求：具有根據(jù)工業(yè)控制系統(tǒng) 特點，自主開發(fā)專業(yè)檢測工具的能 力。有根據(jù)系統(tǒng)特點定

10、制專業(yè)檢測工具 的證明材料，如工具過檢測試報告、 軟件著作權(quán)。31.僅一級要求：配備有處理網(wǎng)絡(luò)或信息 安全事件的工具包，包括常用的系統(tǒng) 命令、工具軟件等。有處理安全事件的工具清單，工具、 軟件操作手冊等。32.要點僅一級要求：應(yīng)根據(jù)服務(wù)的需求配備 必要的服務(wù)質(zhì)量監(jiān)測手段，具備對服 務(wù)行為進(jìn)行審計的能力。對已實施項目中具備服務(wù)質(zhì)量監(jiān)測 的技術(shù)和管理措施，對服務(wù)行為的記 錄、分析的證明材料。自評估 結(jié)論序 號要點條款需提供證明材料符合不 符 合證明材料清單33.實施初始服務(wù)，米集工業(yè)控制系統(tǒng)重 要資產(chǎn)以及資產(chǎn)的安全配置；收集與 分析網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器、數(shù)據(jù) 庫、中間件、應(yīng)用系統(tǒng)的日志；收集 和

11、分析工業(yè)控制系統(tǒng)的硬件故障及安 全事件。工作內(nèi)容、流程、文檔模板，對已實 施項目的內(nèi)容應(yīng)覆蓋服務(wù)技術(shù)方案 和控制程序文件，包括工作內(nèi)容、過 程、方法、文檔模板，內(nèi)容應(yīng)覆蓋審 核條款的要求。提供服務(wù)實施的記錄 證明材料。34.依據(jù)已確認(rèn)的安全服務(wù)技術(shù)方案和實 施方案，按照時間和質(zhì)量要求進(jìn)行安全 集成服務(wù)、安全運維和風(fēng)險評估服務(wù)。35.對工業(yè)控制系統(tǒng)的應(yīng)用系統(tǒng)升級、補 丁升級和病毒庫升級應(yīng)在線下模擬環(huán) 境中進(jìn)行驗證，在不影響系統(tǒng)可用性、 實時性和穩(wěn)定性的前提下實施更新。36.服務(wù)實施 階段-項目 實施在實施過程中，必須遵守工業(yè)控制系 統(tǒng)的相關(guān)操作章程，以防止敏感信息 泄漏和確保及時處理意外事件。對

12、已實施項目中對控制系統(tǒng)操作章 程的規(guī)定、規(guī)避安全風(fēng)險、溝通匯報 等記錄。自評估 結(jié)論序 號要點條款需提供證明材料符合不 符 合證明材料清單37.對直接涉及在運工業(yè)控制系統(tǒng)的安全 服務(wù)，盡可能避開安全生產(chǎn)的敏感時 期和業(yè)務(wù)高峰期。38.針對工業(yè)控制系統(tǒng)業(yè)務(wù)特點和系統(tǒng)組 成，分析系統(tǒng)脆弱性形成原因，識別 跟蹤工業(yè)控制系統(tǒng)的漏洞，在服務(wù)過 程中采取有效措施避免安全風(fēng)險。項目實施的控制程序， 覆蓋審核條款 要求。提供溝通方案。39.項目實施人員按時提交服務(wù)記錄，及時向項目經(jīng)理匯報項目進(jìn)度。項目實施的控制程序， 覆蓋審核條款 要求。提供質(zhì)量檢查方案及記錄。40.建立安全服務(wù)項目協(xié)調(diào)機(jī)制，明確責(zé) 任人，暢

13、通信息溝通渠道，保障各相 關(guān)方在項目實施過程中能夠有效充分 的溝通。41.僅二級/一級要求：建立服務(wù)過程質(zhì)量 監(jiān)控機(jī)制，監(jiān)督工業(yè)控制系統(tǒng)系統(tǒng)安對已實施項目中安全措施列表。自評估 結(jié)論序 號要點條款需提供證明材料符合不 符 合證明材料清單全服務(wù)實施的過程，定期開展工業(yè)控 制系統(tǒng)安全服務(wù)質(zhì)量檢查。42.僅二級/一級要求：針對工業(yè)控制系統(tǒng) 業(yè)務(wù)特點和系統(tǒng)組成，分析系統(tǒng)脆弱 性形成原因，識別跟蹤和驗證工業(yè)控 制系統(tǒng)的漏洞，在服務(wù)過程中采取有 效措施避免安全風(fēng)險。對已實施項目中搭建仿真系統(tǒng)實施、 測試驗證方案及記錄43.僅二級/一級要求：應(yīng)編制服務(wù)過程中 發(fā)現(xiàn)的工業(yè)控制系統(tǒng)安全風(fēng)險列表。對已實施項目保證

14、質(zhì)量一致性的程 序文件及實施記錄。44.實施結(jié)束后，對工業(yè)控制系統(tǒng)進(jìn)行功 能和性能檢測，保障系統(tǒng)運行的可靠 性和穩(wěn)定性，并記錄系統(tǒng)運行狀況。45.服務(wù)實施階段-系統(tǒng)運行測試必要時，制定系統(tǒng)安全性測試方案， 對于系統(tǒng)改造或升級項目，還需進(jìn)行 兼容性測試，完整記錄測試過程相關(guān) 信息。服務(wù)實施程序文件，包括明確工作內(nèi) 容、過程、方法、文檔模板，內(nèi)容應(yīng) 覆蓋審核條款的要求。對已實施項目 提供安全檢查方案、計劃、記錄。自評估 結(jié)論序 號要點條款需提供證明材料符合不 符 合證明材料清單46.建立系統(tǒng)維保服務(wù)流程，制定維保方 案并形成維保記錄。如有合冋要求，提供方案及記錄47.僅二級/一級要求：制定系統(tǒng)安全

15、性測 試方案，在運行系統(tǒng)中或模擬環(huán)境中 進(jìn)行測試，完整記錄測試過程相關(guān)信 息，形成系統(tǒng)測試報告。對已實施項目提供安全測試方案、實施記錄。48.僅一級要求：制定系統(tǒng)安全性測試方 案，模擬攻擊場景，在模擬環(huán)境中進(jìn) 行安全性測試，形成測試報告。對已實施項目提供安全測試方案、模式攻擊方案、實施記錄。49.僅一級要求：綜合分析系統(tǒng)運行狀 況，制定安全運維、應(yīng)急響應(yīng)方案。對已實施項目提供安全運維、應(yīng)急響應(yīng)方案及實施記錄。50.服務(wù)實施 階段-風(fēng)險 評估僅二級/一級要求：識別工業(yè)控制系統(tǒng)的重要資產(chǎn)、安全威脅、脆弱性，驗 證已有的安全措施，構(gòu)建風(fēng)險分析模 型進(jìn)行風(fēng)險計算和評價，給出風(fēng)險評 估報告；已完成的所安

16、全服務(wù)項目提交風(fēng)險 評估報告，包括資產(chǎn)、威脅、脆弱性 的識別，安全措施、風(fēng)險計算和評價 等。自評估 結(jié)論序 號條款需提供證明材料符合不 符 合證明材料清單51.僅一級/一級要求：協(xié)助用戶確定風(fēng)險 處置原則，對組織不可接受的風(fēng)險提 出風(fēng)險處置措施。已完成項目的風(fēng)險評估報告或建議 報告中對組織不可接受的風(fēng)險提出 風(fēng)險處置措施或建議的證明材料。52.僅一級要求：能夠?qū)I(yè)控制系統(tǒng)發(fā) 生的網(wǎng)絡(luò)安全事件進(jìn)行原因分析，采 取措施抑制或根除潛在的安全風(fēng)險， 提交應(yīng)急處置方案。已元成項目的應(yīng)急處置方案。53.要點僅一級要求：網(wǎng)絡(luò)與信息安全事件處 理記錄應(yīng)具備可追溯性。已完成項目的安全事件處理記錄。54.根據(jù)合

17、同約定，向客戶提交完整的項目交付物，并提出終驗申請。55.根據(jù)合同約定，配合組織項目驗收， 出具項目驗收報告。服務(wù)總結(jié)階段的程序文件，內(nèi)容應(yīng)覆 蓋審核條款的要求。已完成服務(wù)項目的終驗申請、驗收報告。56.服務(wù)總結(jié)階段-服務(wù)驗收驗收報口中應(yīng)扌田述工業(yè)控制系統(tǒng)在驗 收時的運行狀況，以及客戶單位的反 饋意見。已完成項目的驗收報告中應(yīng)描述工 控系統(tǒng)在驗收時的運行情況，有用戶 反饋證明材料。序自評估 結(jié)論號要點條款需提供證明材料符合不 符 合證明材料清單57.僅一級/一級要求：應(yīng)建立程序，對服 務(wù)驗收中可能存在的重要分歧或者遺 漏及時更正，并將更正后的驗收報告提 交給用戶方。服務(wù)總結(jié)階段的程序文件對更正

18、的 要求。58.告知客戶工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀 和可能存在的安全風(fēng)險。59.提供針對安全風(fēng)險的應(yīng)對建議，必要時 指導(dǎo)和協(xié)助客戶實施。已完成項目的風(fēng)險和應(yīng)對措施列表。60.服務(wù)總結(jié)應(yīng)建立報告的批準(zhǔn)和交付程序，保留交 付記錄。服務(wù)總結(jié)階段的程序文件包含批準(zhǔn) 和交付程序。61.階段-服務(wù)交接僅二級/一級要求：對客戶提出完整的 風(fēng)險處置方案，協(xié)助客戶進(jìn)行風(fēng)險處 置，必要時，對殘余風(fēng)險進(jìn)行再評 估。已完成項目的殘余風(fēng)險處置方案，方案至少包含處置措施、工具、時間計 劃等內(nèi)容。對殘余風(fēng)險再評估的證明 材料。62.僅二級/一級要求：建立客戶滿意度調(diào) 查機(jī)制。客戶滿意度調(diào)查的方式、方法、分析 方法等；滿意度調(diào)查的實施情況與分 析情況。自評估 結(jié)論序 號要點條款需提供證明材料符合不 符 合證明材料清單63.僅一級要求：建立應(yīng)急保障團(tuán)隊，及 時響應(yīng)客戶需求。應(yīng)急保障團(tuán)隊的列表，人員能力的證 明以及團(tuán)隊職責(zé)、工作模式的說明。64.應(yīng)保存完整的安全服務(wù)工作記錄，并 對安全服務(wù)過程進(jìn)行總結(jié)和分析，提 交工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全服務(wù)的工作 報告，內(nèi)容應(yīng)包括項目概況、依據(jù)、 服務(wù)過程、結(jié)論、進(jìn)一步工作建議， 以及工業(yè)控制系統(tǒng)安全服務(wù)過程中發(fā) 現(xiàn)問題等。已完成項目提供服務(wù)記錄及安全服 務(wù)工作報告