工业控制系统安全服务资质认证自评估表(注明行业) 填表说明:每个行业单独填写自评估表。 组织名称 申报级别 评估时间 评估部门/人员
序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 1. 服务技术要求 建立工业控制系统安全服务流程,并按照流程实施。 按照相关标准建立的工业控制系统安全服务流程,流程图中应包括每个阶段对应的职责、输入输出等。 2. 制定工业控制系统安全服务规范标准,并按照规范实施。 已制定的工控控制系统安全服务规范。 3. 服务规划阶段-调研客户需求 H1.1.1 a) 编制业务情况和工业控制系统调研表,并按照调研表收集有效信息。 已完成业务情况调研表,收集有效信息。 4. H1.1.1 b) 有效掌握工业企业的组织结构、了解对工业控制系统的管理机制。 企业的组织结构、对生产控制系统管理的文字材料。 5. H1.1.1 c) 采集客户对工业控制系统系统安全管理和技术服务的目标和需求。 客户对工控系统安全管理和技术服务的目标和需求的文字材料。 6. H2.1.1 a) 调研客户工业控制系统的业务逻辑、工作流程,工业控制系统系统的设备组成、网络架构等。 已完成业务情况和生产控制系统调研表,包括客户控制系统的业务逻辑、工作流程,控制系统的设备组成、现场网络等。 7. 编制完整的客户调研报告,调研的内容包括组织架构、制度列表、业务流程、工业控制系统资产信息、工业控制系统相关的管理人员信息等。 已完成客户调研报告,调研的内容包括组织架构、制度列表、业务流程、控制系统及设备、控制系统相关的管理人员信息等。 8. 调研客户企业愿景,对工业控制系统安全业务的发展规划和未来几年业务发展目标。 已完成客户调研报告,包括客户企业愿景,对工控安全业务的发展规划和未来几年业务发展目标。 9. 服务规划阶段-分析服务业务 识别工业控制系统面临的潜在威胁,分析服务过程中可能生产的安全风险; 已完成项目的服务方案中有安全风险分析、识别法律及标准规范、客户业务需求的证明材料。 10. 识别影响工业控制系统服务的法律、政策、标准、外部影响和约束条件; 11. 分析客户业务需求,明确客户工业控制系统安全服务的目标与需求。 12. 仅二级/一级要求:了解所属行业主管部门对工业控制系统安全要求。 已完成项目的服务方案中有识别行业主管部门的安全要求的证明材料。 13. 仅一级要求:对客户的安全生产和网络安全现状进行评估,调研行业安全防护的水平,明确薄弱环节。 已完成项目的服务方案中有调研行业安全水平,分析薄弱环节的证明材料。 14. 服务规划阶段-编制服务方案 结合调研的安全需求,与客户、工业控制系统系统开发单位及其他相关人员充分沟通,编制安全服务技术方案和服务预算。 已完成项目的服务方案,包含安全需求、工作内容、服务方式、服务预算等内容证明材料。 15. 与客户签订服务协议,编制实施方案,明确服务范围、目标、进度、内容、金额、交付质量、沟通和风险等方面的要求。 已完成项目的实施方案,包含服务范围、目标、进度、内容、金额、质量输出、沟通和风险等内容的证明材料。 16. 仅二级/一级要求:制定针对人员、设备、文档、系统的风险监控措施,有效保障工业控制系统的安全、稳定。 已完成项目的实施方案,包含人员、设备、文档、系统的风险监控措施等内容的证明材料。 17. 仅二级/一级要求:对于在运工业控制系统,应考虑使用搭建临时模拟环境,模拟真实系统的运行情况、配置、数据、业务流程,验证方案的有效性。 已完成项目的实施方案,包含对运控制系统搭建临时模拟环境验证方案的证明材料。 18. 仅二级/一级要求:安全服务技术方案和实施方案应经过评审,并与客户达成一致。 已完成项目的实施方案经过客户评审的证明材料 19. 仅一级要求:确定实施过程的备份机制和应急处理方案,并与客户充分沟通,预测应急处理方案可能造成的影响。 已完成项目有实施过程的备份机制和应急处理方案。 20. 服务规划阶段-组建服务团队 应考虑服务项目的目标、内容、范围等组建团队。 已完成项目的实施方案中对安全服务实施团队成员及团队构架的介绍。 队成员应由管理层、相关业务骨干、IT技术人员、熟悉生产系统业务人员等角色组成。 21. 选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求,熟悉工业控制系统业务流程,能与工业控制系统运行人员进行有效沟通。 22. 仅二级/一级要求:团队成员必须包括所服务业务领域工业控制系统专业知识人员,熟悉工业控制系统工作原理和业务流程。 已完成项目的实施方案中对安全服务实施团队人员中须包括所服务业务领域控制系统专业知识人员。 23. 仅一级要求:团队成员必须配备能够对工业控制系统进行应急处理服务人员。 已完成项目的实施方案中对安全服务实施团队人员中须包括对工业控制系统进行应急处理服务人员。 24. 服务规划阶段-实施准备 应根据服务内容的需求准备必要的工具。 已完成项目的实施方案中对工具的介绍,工具列表及主要功能描述。 25. 对服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。 已完成的项目应有客户的书面服务授权。 26. 对团队成员进行安全教育、信息安全服务技能和工业控制系统操作规程培训。 项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。 27. 仅二级/一级要求:应根据服务的需求准备必要的工具,具有工具定制研发的能力。 已实施项目中对工具选择清单,有对工具软件进行适用性确认的测试记录,有工具定制能力的证明材料。。 28. 仅二级/一级要求:结合项目需要,编制安全服务项目施工手册和作业指导书。 已实施项目中,有施工手册和作业指导书。 29. 仅二级/一级要求:对团队成员进行安全服务技能培训和工业控制系统业务知识的培训。 项目实施前的服务技能和工控系统业务知识培训的证明材料。 30. 仅一级要求:具有根据工业控制系统特点,自主开发专业检测工具的能力。 有根据系统特点定制专业检测工具的证明材料,如工具过检测试报告、软件著作权。 31. 仅一级要求:配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。 有处理安全事件的工具清单,工具、软件操作手册等。 32. 仅一级要求:应根据服务的需求配备必要的服务质量监测手段,具备对服务行为进行审计的能力。 对已实施项目中具备服务质量监测的技术和管理措施,对服务行为的记录、分析的证明材料。 33. 服务实施阶段-项目实施 实施初始服务,采集工业控制系统重要资产以及资产的安全配置;收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志;收集和分析工业控制系统的硬件故障及安全事件。 工作内容、流程、文档模板,对已实施项目的内容应覆盖服务技术方案和控制程序文件,包括工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。提供服务实施的记录证明材料。 34. 依据已确认的安全服务技术方案和实施方案,按照时间和质量要求进行安全集成服务、安全运维和风险评估服务。 对已实施项目中对控制系统操作章程的规定、规避安全风险、沟通汇报等记录。 35. 对工业控制系统的应用系统升级、补丁升级和病毒库升级应在线下模拟环境中进行验证,在不影响系统可用性、实时性和稳定性的前提下实施更新。 36. 在实施过程中,必须遵守工业控制系统的相关操作章程,以防止敏感信息泄漏和确保及时处理意外事件。 37. 对直接涉及在运工业控制系统的安全服务,尽可能避开安全生产的敏感时期和业务高峰期。 38. 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。 项目实施的控制程序,覆盖审核条款要求。提供沟通方案。 39. 项目实施人员按时提交服务记录,及时向项目经理汇报项目进度。 项目实施的控制程序,覆盖审核条款要求。提供质量检查方案及记录。 40. 建立安全服务项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施过程中能够有效充分的沟通。 对已实施项目中安全措施列表。 41. 仅二级/一级要求:建立服务过程质量监控机制,监督工业控制系统系统安全服务实施的过程,定期开展工业控制系统安全服务质量检查。 42. 仅二级/一级要求: 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪和验证工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。 对已实施项目中搭建仿真系统实施、测试验证方案及记录 43. 仅二级/一级要求:应编制服务过程中发现的工业控制系统安全风险列表。 对已实施项目保证质量一致性的程序文件及实施记录。 44. 服务实施阶段-系统运行测试 实施结束后,对工业控制系统进行功能和性能检测,保障系统运行的可靠性和稳定性,并记录系统运行状况。 服务实施程序文件,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。对已实施项目提供安全检查方案、计划、记录。 45. 必要时,制定系统安全性测试方案,对于系统改造或升级项目,还需进行兼容性测试,完整记录测试过程相关信息。 46. 建立系统维保服务流程,制定维保方案并形成维保记录。 如有合同要求,提供方案及记录 47. 仅二级/一级要求: 制定系统安全性测试方案,在运行系统中或模拟环境中进行测试,完整记录测试过程相关信息,形成系统测试报告。 对已实施项目提供安全测试方案、实施记录。 48. 仅一级要求:制定系统安全性测试方案,模拟攻击场景,在模拟环境中进行安全性测试,形成测试报告。 对已实施项目提供安全测试方案、模式攻击方案、实施记录。 49. 仅一级要求:综合分析系统运行状况,制定安全运维、应急响应方案。 对已实施项目提供安全运维、应急响应方案及实施记录。 50. 服务实施阶段-风险评估 仅二级/一级要求:识别工业控制系统的重要资产、安全威胁、脆弱性,验证已有的安全措施,构建风险分析模型进行风险计算和评价,给出风险评估报告; 已完成的所安全服务项目提交风险评估报告,包括资产、威胁、脆弱性的识别,安全措施、风险计算和评价等。 51. 仅二级/一级要求: 协助用户确定风险处置原则,对组织不可接受的风险提出风险处置措施。 已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。 52. 仅一级要求:能够对工业控制系统发生的网络安全事件进行原因分析,采取措施抑制或根除潜在的安全风险,提交应急处置方案。 已完成项目的应急处置方案。 53. 仅一级要求:网络与信息安全事件处理记录应具备可追溯性。 已完成项目的安全事件处理记录。 54. 服务总结阶段-服务验收 根据合同约定,向客户提交完整的项目交付物,并提出终验申请。 服务总结阶段的程序文件,内容应覆盖审核条款的要求。 已完成服务项目的终验申请、验收报告。 55. 根据合同约定,配合组织项目验收,出具项目验收报告。 56. 验收报告中应描述工业控制系统在验收时的运行状况,以及客户单位的反馈意见。 已完成项目的验收报告中应描述工控系统在验收时的运行情况,有用户反馈证明材料。 57. 仅二级/一级要求: 应建立程序,对服务验收中可能存在的重要分歧或者遗漏及时更正,并将更正后的验收报告提交给用户方。 服务总结阶段的程序文件对更正的要求。 58. 服务总结阶段-服务交接 告知客户工业控制系统网络安全现状和可能存在的安全风险。 已完成项目的风险和应对措施列表。 59. 提供针对安全风险的应对建议,必要时指导和协助客户实施。 60. 应建立报告的批准和交付程序,保留交付记录。 服务总结阶段的程序文件包含批准和交付程序。 61. 仅二级/一级要求: 对客户提出完整的风险处置方案,协助客户进行风险处置,必要时,对残余风险进行再评估。 已完成项目的残余风险处置方案,方案至少包含处置措施、工具、时间计划等内容。对残余风险再评估的证明材料。 62. 仅二级/一级要求: 建立客户满意度调查机制。 客户满意度调查的方式、方法、分析方法等;满意度调查的实施情况与分析情况。 63. 仅一级要求:建立应急保障团队,及时响应客户需求。 应急保障团队的列表,人员能力的证明以及团队职责、工作模式的说明。 64. 服务总结阶段-服务总结 应保存完整的安全服务工作记录,并对安全服务过程进行总结和分析,提交工业控制系统网络安全服务的工作报告,内容应包括项目概况、依据、服务过程、结论、进一步工作建议,以及工业控制系统安全服务过程中发现问题等。 已完成项目提供服务记录及安全服务工作报告 65. 应形成和保存工业控制系统的状态和防护情况的记录,包括工业控制系统的业务流程、系统组成、设备配置、存在漏洞,以及采取的安全措施。 已完成项目提供控制系统状态和防护情况的描述文件。 66. 应指派至少一人复核与评价相关的所有信息和结果,复核应由未参与评价过程且熟悉相应生产行业业务领域的人员进行。 程序文件中有复核和评价的程序。 67. 仅二级/一级要求: 验证在服务过程中发现的工业控制系统的漏洞,建立管理机制跟踪漏洞的消缺情况。 已完成项目中有验证发现安全漏洞的证明材。 68. 仅一级要求:建立服务项目知识库,积累和汇总不同行业的业务知识和系统特点。 建立服务知识库,包括不同行业业务知识和系统特点的证明材料 69. 仅一级要求:提供详实的网络与信息安全事件处理报告,完整展现应急处理服务的整个过程。 已完成项目中提供安全事件处理报告,要求完整展现应急处理的过程。 70. 上一年度提出的观察项整改情况(如有) 71. 72. 73. 上一年度提出的不符合项整改情况(如有) 74. 75. 自评估结论: 经自主评估,本单位的信息安全风险评估服务满足《信息安全服务 规范》 级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★
|