現(xiàn)場審核表-中國信息安全認證中心

1、精選優(yōu)質文檔-傾情為你奉上工業(yè)控制系統(tǒng)安全服務資質認證自評估表(注明行業(yè))填表說明：每個行業(yè)單獨填寫自評估表。組織名稱申報級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結論證明材料清單符合不符合1.服務技術要求建立工業(yè)控制系統(tǒng)安全服務流程，并按照流程實施。按照相關標準建立的工業(yè)控制系統(tǒng)安全服務流程，流程圖中應包括每個階段對應的職責、輸入輸出等。2.制定工業(yè)控制系統(tǒng)安全服務規(guī)范標準，并按照規(guī)范實施。已制定的工控控制系統(tǒng)安全服務規(guī)范。3.服務規(guī)劃階段-調研客戶需求H1.1.1 a) 編制業(yè)務情況和工業(yè)控制系統(tǒng)調研表，并按照調研表收集有效信息。已完成業(yè)務情況調研表，收集有效信息。 4.H

2、1.1.1 b) 有效掌握工業(yè)企業(yè)的組織結構、了解對工業(yè)控制系統(tǒng)的管理機制。企業(yè)的組織結構、對生產(chǎn)控制系統(tǒng)管理的文字材料。5.H1.1.1 c) 采集客戶對工業(yè)控制系統(tǒng)系統(tǒng)安全管理和技術服務的目標和需求。客戶對工控系統(tǒng)安全管理和技術服務的目標和需求的文字材料。6.H2.1.1 a) 調研客戶工業(yè)控制系統(tǒng)的業(yè)務邏輯、工作流程，工業(yè)控制系統(tǒng)系統(tǒng)的設備組成、網(wǎng)絡架構等。已完成業(yè)務情況和生產(chǎn)控制系統(tǒng)調研表，包括客戶控制系統(tǒng)的業(yè)務邏輯、工作流程，控制系統(tǒng)的設備組成、現(xiàn)場網(wǎng)絡等。7.編制完整的客戶調研報告，調研的內(nèi)容包括組織架構、制度列表、業(yè)務流程、工業(yè)控制系統(tǒng)資產(chǎn)信息、工業(yè)控制系統(tǒng)相關的管理人員信息等。

3、已完成客戶調研報告，調研的內(nèi)容包括組織架構、制度列表、業(yè)務流程、控制系統(tǒng)及設備、控制系統(tǒng)相關的管理人員信息等。8.調研客戶企業(yè)愿景，對工業(yè)控制系統(tǒng)安全業(yè)務的發(fā)展規(guī)劃和未來幾年業(yè)務發(fā)展目標。 已完成客戶調研報告，包括客戶企業(yè)愿景，對工控安全業(yè)務的發(fā)展規(guī)劃和未來幾年業(yè)務發(fā)展目標。9.服務規(guī)劃階段-分析服務業(yè)務識別工業(yè)控制系統(tǒng)面臨的潛在威脅，分析服務過程中可能生產(chǎn)的安全風險； 已完成項目的服務方案中有安全風險分析、識別法律及標準規(guī)范、客戶業(yè)務需求的證明材料。10.識別影響工業(yè)控制系統(tǒng)服務的法律、政策、標準、外部影響和約束條件；11.分析客戶業(yè)務需求，明確客戶工業(yè)控制系統(tǒng)安全服務的目標與需求。12.僅

4、二級/一級要求：了解所屬行業(yè)主管部門對工業(yè)控制系統(tǒng)安全要求。已完成項目的服務方案中有識別行業(yè)主管部門的安全要求的證明材料。13.僅一級要求：對客戶的安全生產(chǎn)和網(wǎng)絡安全現(xiàn)狀進行評估，調研行業(yè)安全防護的水平，明確薄弱環(huán)節(jié)。已完成項目的服務方案中有調研行業(yè)安全水平，分析薄弱環(huán)節(jié)的證明材料。14.服務規(guī)劃階段-編制服務方案結合調研的安全需求，與客戶、工業(yè)控制系統(tǒng)系統(tǒng)開發(fā)單位及其他相關人員充分溝通，編制安全服務技術方案和服務預算。已完成項目的服務方案，包含安全需求、工作內(nèi)容、服務方式、服務預算等內(nèi)容證明材料。15.與客戶簽訂服務協(xié)議，編制實施方案，明確服務范圍、目標、進度、內(nèi)容、金額、交付質量、溝通和風

5、險等方面的要求。已完成項目的實施方案，包含服務范圍、目標、進度、內(nèi)容、金額、質量輸出、溝通和風險等內(nèi)容的證明材料。16.僅二級/一級要求：制定針對人員、設備、文檔、系統(tǒng)的風險監(jiān)控措施，有效保障工業(yè)控制系統(tǒng)的安全、穩(wěn)定。已完成項目的實施方案，包含人員、設備、文檔、系統(tǒng)的風險監(jiān)控措施等內(nèi)容的證明材料。17.僅二級/一級要求：對于在運工業(yè)控制系統(tǒng)，應考慮使用搭建臨時模擬環(huán)境，模擬真實系統(tǒng)的運行情況、配置、數(shù)據(jù)、業(yè)務流程，驗證方案的有效性。已完成項目的實施方案，包含對運控制系統(tǒng)搭建臨時模擬環(huán)境驗證方案的證明材料。18.僅二級/一級要求：安全服務技術方案和實施方案應經(jīng)過評審，并與客戶達成一致。已完成項目

6、的實施方案經(jīng)過客戶評審的證明材料19.僅一級要求：確定實施過程的備份機制和應急處理方案，并與客戶充分溝通，預測應急處理方案可能造成的影響。已完成項目有實施過程的備份機制和應急處理方案。20.服務規(guī)劃階段-組建服務團隊應考慮服務項目的目標、內(nèi)容、范圍等組建團隊。已完成項目的實施方案中對安全服務實施團隊成員及團隊構架的介紹。隊成員應由管理層、相關業(yè)務骨干、IT技術人員、熟悉生產(chǎn)系統(tǒng)業(yè)務人員等角色組成。21.選擇工業(yè)控制系統(tǒng)安全服務項目負責人應滿足通用評價要求的人員能力要求，熟悉工業(yè)控制系統(tǒng)業(yè)務流程，能與工業(yè)控制系統(tǒng)運行人員進行有效溝通。22.僅二級/一級要求：團隊成員必須包括所服務業(yè)務領域工業(yè)控制

7、系統(tǒng)專業(yè)知識人員，熟悉工業(yè)控制系統(tǒng)工作原理和業(yè)務流程。已完成項目的實施方案中對安全服務實施團隊人員中須包括所服務業(yè)務領域控制系統(tǒng)專業(yè)知識人員。23.僅一級要求：團隊成員必須配備能夠對工業(yè)控制系統(tǒng)進行應急處理服務人員。已完成項目的實施方案中對安全服務實施團隊人員中須包括對工業(yè)控制系統(tǒng)進行應急處理服務人員。24.服務規(guī)劃階段-實施準備應根據(jù)服務內(nèi)容的需求準備必要的工具。已完成項目的實施方案中對工具的介紹，工具列表及主要功能描述。25.對服務過程中可能會采取的操作、處理等行為，獲得用戶的書面授權。已完成的項目應有客戶的書面服務授權。26.對團隊成員進行安全教育、信息安全服務技能和工業(yè)控制系統(tǒng)操作規(guī)程

8、培訓。項目實施前的安全教育及技術培訓的證明材料，如啟動會的PPT，PPT中包含培訓的內(nèi)容，以及其他可證明對其安全教育、技術方面培訓的材料。27.僅二級/一級要求：應根據(jù)服務的需求準備必要的工具，具有工具定制研發(fā)的能力。已實施項目中對工具選擇清單，有對工具軟件進行適用性確認的測試記錄，有工具定制能力的證明材料。28.僅二級/一級要求：結合項目需要，編制安全服務項目施工手冊和作業(yè)指導書。已實施項目中，有施工手冊和作業(yè)指導書。29.僅二級/一級要求：對團隊成員進行安全服務技能培訓和工業(yè)控制系統(tǒng)業(yè)務知識的培訓。項目實施前的服務技能和工控系統(tǒng)業(yè)務知識培訓的證明材料。30.僅一級要求：具有根據(jù)工業(yè)控制系統(tǒng)

9、特點，自主開發(fā)專業(yè)檢測工具的能力。有根據(jù)系統(tǒng)特點定制專業(yè)檢測工具的證明材料，如工具過檢測試報告、軟件著作權。31.僅一級要求：配備有處理網(wǎng)絡或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。有處理安全事件的工具清單，工具、軟件操作手冊等。 32.僅一級要求：應根據(jù)服務的需求配備必要的服務質量監(jiān)測手段，具備對服務行為進行審計的能力。對已實施項目中具備服務質量監(jiān)測的技術和管理措施，對服務行為的記錄、分析的證明材料。 33.服務實施階段-項目實施實施初始服務，采集工業(yè)控制系統(tǒng)重要資產(chǎn)以及資產(chǎn)的安全配置；收集與分析網(wǎng)絡及安全設備、服務器、數(shù)據(jù)庫、中間件、應用系統(tǒng)的日志；收集和分析工業(yè)控制系統(tǒng)的硬

10、件故障及安全事件。工作內(nèi)容、流程、文檔模板，對已實施項目的內(nèi)容應覆蓋服務技術方案和控制程序文件，包括工作內(nèi)容、過程、方法、文檔模板，內(nèi)容應覆蓋審核條款的要求。提供服務實施的記錄證明材料。34.依據(jù)已確認的安全服務技術方案和實施方案，按照時間和質量要求進行安全集成服務、安全運維和風險評估服務。對已實施項目中對控制系統(tǒng)操作章程的規(guī)定、規(guī)避安全風險、溝通匯報等記錄。35.對工業(yè)控制系統(tǒng)的應用系統(tǒng)升級、補丁升級和病毒庫升級應在線下模擬環(huán)境中進行驗證,在不影響系統(tǒng)可用性、實時性和穩(wěn)定性的前提下實施更新。36.在實施過程中，必須遵守工業(yè)控制系統(tǒng)的相關操作章程，以防止敏感信息泄漏和確保及時處理意外事件。 3

11、7.對直接涉及在運工業(yè)控制系統(tǒng)的安全服務，盡可能避開安全生產(chǎn)的敏感時期和業(yè)務高峰期。38.針對工業(yè)控制系統(tǒng)業(yè)務特點和系統(tǒng)組成，分析系統(tǒng)脆弱性形成原因，識別跟蹤工業(yè)控制系統(tǒng)的漏洞，在服務過程中采取有效措施避免安全風險。項目實施的控制程序，覆蓋審核條款要求。提供溝通方案。39.項目實施人員按時提交服務記錄，及時向項目經(jīng)理匯報項目進度。項目實施的控制程序，覆蓋審核條款要求。提供質量檢查方案及記錄。40.建立安全服務項目協(xié)調機制，明確責任人，暢通信息溝通渠道，保障各相關方在項目實施過程中能夠有效充分的溝通。對已實施項目中安全措施列表。41.僅二級/一級要求：建立服務過程質量監(jiān)控機制，監(jiān)督工業(yè)控制系統(tǒng)系

12、統(tǒng)安全服務實施的過程，定期開展工業(yè)控制系統(tǒng)安全服務質量檢查。42.僅二級/一級要求: 針對工業(yè)控制系統(tǒng)業(yè)務特點和系統(tǒng)組成，分析系統(tǒng)脆弱性形成原因，識別跟蹤和驗證工業(yè)控制系統(tǒng)的漏洞，在服務過程中采取有效措施避免安全風險。對已實施項目中搭建仿真系統(tǒng)實施、測試驗證方案及記錄43.僅二級/一級要求：應編制服務過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)安全風險列表。 對已實施項目保證質量一致性的程序文件及實施記錄。44.服務實施階段-系統(tǒng)運行測試 實施結束后，對工業(yè)控制系統(tǒng)進行功能和性能檢測，保障系統(tǒng)運行的可靠性和穩(wěn)定性，并記錄系統(tǒng)運行狀況。服務實施程序文件，包括明確工作內(nèi)容、過程、方法、文檔模板，內(nèi)容應覆蓋審核條款的要

13、求。對已實施項目提供安全檢查方案、計劃、記錄。45.必要時，制定系統(tǒng)安全性測試方案，對于系統(tǒng)改造或升級項目，還需進行兼容性測試，完整記錄測試過程相關信息。46.建立系統(tǒng)維保服務流程，制定維保方案并形成維保記錄。如有合同要求，提供方案及記錄47.僅二級/一級要求: 制定系統(tǒng)安全性測試方案，在運行系統(tǒng)中或模擬環(huán)境中進行測試，完整記錄測試過程相關信息，形成系統(tǒng)測試報告。對已實施項目提供安全測試方案、實施記錄。48.僅一級要求：制定系統(tǒng)安全性測試方案，模擬攻擊場景，在模擬環(huán)境中進行安全性測試，形成測試報告。對已實施項目提供安全測試方案、模式攻擊方案、實施記錄。49.僅一級要求：綜合分析系統(tǒng)運行狀況，制

14、定安全運維、應急響應方案。對已實施項目提供安全運維、應急響應方案及實施記錄。50.服務實施階段-風險評估 僅二級/一級要求:識別工業(yè)控制系統(tǒng)的重要資產(chǎn)、安全威脅、脆弱性，驗證已有的安全措施，構建風險分析模型進行風險計算和評價，給出風險評估報告；已完成的所安全服務項目提交風險評估報告，包括資產(chǎn)、威脅、脆弱性的識別，安全措施、風險計算和評價等。51.僅二級/一級要求: 協(xié)助用戶確定風險處置原則，對組織不可接受的風險提出風險處置措施。已完成項目的風險評估報告或建議報告中對組織不可接受的風險提出風險處置措施或建議的證明材料。52.僅一級要求：能夠對工業(yè)控制系統(tǒng)發(fā)生的網(wǎng)絡安全事件進行原因分析，采取措施抑

15、制或根除潛在的安全風險，提交應急處置方案。已完成項目的應急處置方案。53.僅一級要求：網(wǎng)絡與信息安全事件處理記錄應具備可追溯性。已完成項目的安全事件處理記錄。54.服務總結階段-服務驗收根據(jù)合同約定，向客戶提交完整的項目交付物，并提出終驗申請。服務總結階段的程序文件，內(nèi)容應覆蓋審核條款的要求。已完成服務項目的終驗申請、驗收報告。55.根據(jù)合同約定，配合組織項目驗收，出具項目驗收報告。56.驗收報告中應描述工業(yè)控制系統(tǒng)在驗收時的運行狀況，以及客戶單位的反饋意見。已完成項目的驗收報告中應描述工控系統(tǒng)在驗收時的運行情況，有用戶反饋證明材料。57.僅二級/一級要求: 應建立程序，對服務驗收中可能存在的

16、重要分歧或者遺漏及時更正，并將更正后的驗收報告提交給用戶方。服務總結階段的程序文件對更正的要求。58.服務總結階段-服務交接告知客戶工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀和可能存在的安全風險。已完成項目的風險和應對措施列表。59.提供針對安全風險的應對建議，必要時指導和協(xié)助客戶實施。60.應建立報告的批準和交付程序，保留交付記錄。服務總結階段的程序文件包含批準和交付程序。61.僅二級/一級要求: 對客戶提出完整的風險處置方案，協(xié)助客戶進行風險處置，必要時，對殘余風險進行再評估。已完成項目的殘余風險處置方案，方案至少包含處置措施、工具、時間計劃等內(nèi)容。對殘余風險再評估的證明材料。62.僅二級/一級要求: 建立

17、客戶滿意度調查機制?？蛻魸M意度調查的方式、方法、分析方法等；滿意度調查的實施情況與分析情況。63.僅一級要求：建立應急保障團隊，及時響應客戶需求。應急保障團隊的列表，人員能力的證明以及團隊職責、工作模式的說明。64.服務總結階段-服務總結應保存完整的安全服務工作記錄，并對安全服務過程進行總結和分析，提交工業(yè)控制系統(tǒng)網(wǎng)絡安全服務的工作報告，內(nèi)容應包括項目概況、依據(jù)、服務過程、結論、進一步工作建議，以及工業(yè)控制系統(tǒng)安全服務過程中發(fā)現(xiàn)問題等。已完成項目提供服務記錄及安全服務工作報告65.應形成和保存工業(yè)控制系統(tǒng)的狀態(tài)和防護情況的記錄，包括工業(yè)控制系統(tǒng)的業(yè)務流程、系統(tǒng)組成、設備配置、存在漏洞，以及采取的安全措施。已完成項目提供控制系統(tǒng)狀態(tài)和防護情況的描述文件。66.應指派至少一人復核與評價相關的所有信息和結果，復核應由未參與評價過程且熟悉相應生產(chǎn)行業(yè)業(yè)務領域的人員進行。程序文件中有復核和評價的程序。67.僅二級/一級要求: 驗證在服務過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)的漏洞，建立管理機制跟蹤漏洞的消缺情況。已完成項目中有驗證發(fā)現(xiàn)安全漏洞的證明材。68.僅一級要求：建立服務項目知識庫，積累和匯總不同行業(yè)的業(yè)務知識和