工业控制系统安全服务资质专业评价要求针对安全服务规划、服务实施、服务总结三个过程进行,项目实施过程应形成文件,具体分级要求如下:
三级要求
申请三级资质认证的单位,至少有1个针对工业生产行业领域的系统集成和系统运维的服务项目;在技术和管理方面具备安全服务的过程管理、风险管理,以及识别跟踪信息安全漏洞的能力;具备安全问题解决的验证和证据分析、安全服务不断提升改进的能力。
1 服务规划阶段
1.1 调研客户需求
a) 编制业务情况和工业控制系统调研表,并按照调研表收集有效信息。
b) 有效掌握工业企业的组织结构、了解对工业控制系统的管理机制。
c) 采集客户对工业控制系统安全管理和技术服务的目标和需求。
1.2 分析服务业务
a) 识别工业控制系统面临的潜在威胁,分析服务过程中可能生产的安全风险;
b) 识别影响工业控制系统安全服务的法律、政策、标准、外部影响和约束条件;
c) 分析客户业务需求,明确客户工业控制系统安全服务的目标与需求。
1.3 编制服务方案
a) 结合调研的安全需求,与客户、工业控制系统开发单位及其他相关人员充分沟通,编制安全服务技术方案和服务预算。
b) 与客户签订服务协议,编制实施方案,明确服务范围、目标、进度、内容、金额、交付质量、沟通和风险等方面的要求。
1.4 组建服务团队
a) 应考虑服务项目的目标、内容、范围等组建团队。
b) 选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求,熟悉工业控 制系统业务流程,能与工业控制系统运行人员进行有效沟通。
1.5 实施准备
a) 应根据服务内容准备必要的工具。
b) 对服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。
c) 对团队成员进行安全教育、信息安全服务技能和工业控制系统操作规程培训。
2 服务实施阶段
2.1 项目实施
a) 实施初始服务,采集工业控制系统重要资产以及资产的安全配置;收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志;收集和分析工业控制系统的硬件故障 及安全事件。
b) 依据已确认的安全服务技术方案和实施方案,按照时间和质量要求进行安全集成服务\安全 运维和风险评估服务。
c) 对工业控制系统的应用系统升级、补丁升级和病毒库升级应在线下模拟环境中进行验证, 在不影响系统可用性、实时性和稳定性的前提下实施更新。
d) 在实施过程中,必须遵守工业控制系统的相关操作章程,以防止敏感信息泄漏和确保及时 处理意外事件。
e) 对直接涉及在运工业控制系统的安全服务,尽可能避开安全生产的敏感时期和业务高峰期。
f) 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。
g) 项目实施人员按时提交服务记录,及时向项目经理汇报项目进度。
h) 建立安全服务项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施过程中能够有效充分的沟通。
2.2 系统运行测试
a) 实施结束后,对工业控制系统进行功能和性能检测,保障系统运行的可靠性和稳定性,并记录系统运行状况。
b) 必要时,制定系统安全性测试方案,对于系统改造或升级项目,还需进行兼容性测试,完整记录测试过程相关信息。
c) 建立系统维保服务流程,制定维保方案并形成维保记录。
3 服务总结阶段
3.1 服务验收
a) 根据合同约定,向客户提交完整的项目交付物,并提出终验申请。
b) 根据合同约定,配合组织项目验收,出具项目验收报告。
c) 验收报告中应描述工业控制系统在验收时的运行状况,以及客户单位的反馈意见。
3.2 服务交接
a) 告知客户工业控制系统网络安全现状和可能存在的安全风险。
b) 提供针对安全风险的应对建议,必要时指导和协助客户实施。
c) 应建立报告的批准和交付程序,保留交付记录。
3.3 服务总结
a) 应保存完整的安全服务工作记录,并对安全服务过程进行总结和分析,提交工业控制系统网络安全服务的工作报告,内容应包括项目概况、依据、服务过程、结论、进一步工作建议,以及工业控制系统安全服务过程中发现问题等。
b) 应形成和保存工业控制系统的状态和防护情况的记录,包括工业控制系统的业务流程、系统组成、设备配置、存在漏洞,以及采取的安全措施。
c) 应指派至少一人复核与评价相关的所有信息和结果,复核应由未参与评价过程且熟悉相应生产行业业务领域的人员进行。
二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
申请二级资质认证的单位,至少完成6个与申请工业控制领域一致的完整的安全集成和安全运维服务项目;在技术和管理方面具备安全服务的过程管理、风险管理能力;具备针对工业控制系统开 展风险评估服务的能力;具备安全问题解决的验证和证据分析、安全服务不断提升改进的能力。
1 服务规划阶段
1.1 调研客户需求
a) 调研客户工业控制系统的业务逻辑、工作流程,工业控制系统的设备组成、网络架构等。
b) 编制完整的客户调研报告,调研的内容包括组织架构、制度列表、业务流程、工业控制系统资产信息、工业控制系统相关的管理人员信息等。
1.2 分析服务业务
a) 了解所属行业主管部门对工业控制系统安全要求。
1.3 编制服务方案
a) 制定针对人员、设备、文档、系统的风险监控措施,有效保障工业控制系统的安全、稳定。
b) 对于在运工业控制系统,应搭建控制系统的模拟环境,模拟真实系统的运行情况、配置、
数据、业务流程,验证方案的有效性。
c) 安全服务技术方案和实施方案应经过评审,并与客户达成一致。
1.4 组建服务团队
a) 团队成员必须包括所服务业务领域的工业控制系统专业人员,熟悉工业控制系统工作原理、 业务流程和操作规程。
1.5 实施准备
a) 应根据服务的需求准备必要的工具,具有工具定制研发的能力。
b) 结合项目需要,编制安全服务项目施工手册和作业指导书。
c) 对团队成员进行安全服务技能培训和工业控制系统原理、组成和操作的培训。
2 服务实施阶段
2.1 项目实施
a) 建立服务过程质量监控机制, 监督工业控制系统安全服务实施的过程,定期开展工业控制系统安全服务质量检查。
b) 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪和验证工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。
c) 如有远程服务的需求,应建立远程访问审批流程,经批准后方能实施,实施过程应采取必要的访问控制策略并对操作过程进行安全审计。
d) 应编制服务过程中发现的工业控制系统安全风险的风险列表。
2.2 风险评估
a) 识别工业控制系统的重要资产、安全威胁、脆弱性,验证已有的安全措施,构建风险分析模型进行风险计算和评价,给出风险评估报告;
b) 协助用户确定风险处置原则,对组织不可接受的风险提出风险处置措施。
c) 对客户提出完整的风险处置方案,协助客户进行风险处置,必要时,对残余风险进行再评估。
2.3 系统运行测试
a) 制定系统安全性测试方案,在运行系统中或模拟环境中进行测试,完整记录测试过程相关信息,形成系统测试报告。
3 服务总结阶段
3.1 服务验收
a) 应建立程序,对服务验收中可能存在的重要分歧或者遗漏及时更正,并将更正后的验收报告提交给用户方。
3.2 服务交接
a) 建立客户满意度调查机制。
3.3 服务总结
a) 验证在服务过程中发现的工业控制系统的漏洞,建立管理机制跟踪漏洞的消缺情况。
一级要求
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
申请一级资质认证的单位,至少完成10个与申请工业控制领域一致的完整的安全集成和安全运 维服务项目;在技术和管理方面具备安全服务的过程管理、风险管理能力;具备针对工业控制系统 开展风险评估服务、应急处理服务的能力;具备安全问题解决的验证和证据分析、安全服务不断提 升改进的能力。
1 服务规划阶段
1.1 调研客户需求
a) 调研客户企业愿景,对工业控制系统安全业务的发展规划和未来几年业务发展目标。
1.2 分析服务业务
a) 对客户的安全生产和网络安全现状进行评估,调研行业安全防护的水平,明确薄弱环节。
1.3 编制服务方案
a) 确定实施过程的备份机制和应急处理方案,并与客户充分沟通,预测应急处理方案可能造成的影响。
1.4 组建服务团队
a) 团队成员必须配备能够对工业控制系统进行应急处理的服务人员。
1.5 实施准备
a) 具有根据工业控制系统特点,自主开发专业检测工具的能力。
b) 配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。
c) 应根据服务的需求配备必要的服务质量监测手段,具备对服务行为进行审计的能力。
2 服务实施阶段
2.1 项目实施
a) 有能力利用客户的备用设备或仿真环境搭建控制系统的模拟环境,模拟真实系统的结果、 配置、数据、业务流程,在仿真系统中验证服务内容和测试,以保障在运系统的安全、稳定运行。
b) 建立服务过程质量监控机制,定期开展服务质量评价工作,能够对多个团队的服务质量的一致性进行把控。
2.2 风险评估及应急处置
a) 能够对工业控制系统发生的网络安全事件进行原因分析,采取措施抑制或根除潜在的安全 风险,提交应急处置方案。
b) 网络与信息安全事件处理记录应具备可追溯性。
2.3 系统运行测试
a) 制定系统安全性测试方案,模拟攻击场景,在模拟环境中进行安全性测试,形成测试报告。
b) 综合分析控制系统运行状况,制定安全运维、应急响应方案。
3 服务总结阶段
3.1 服务验收
无
3.2 服务交接
a) 建立应急保障团队,及时响应客户需求。
3.3 服务总结
a) 建立服务项目知识库,积累和汇总不同行业的业务知识和系统特点。
b) 提供详实的网络与信息安全事件处理报告,完整展现应急处理服务的整个过程。
