2020年9月4日,工業(yè)控制系統(tǒng)安全服務(wù)圍繞提升工業(yè)控制系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性,提升功能安全、物理安全和信息安全的保障能力為目標(biāo),涉及工業(yè)控制系統(tǒng)設(shè)計(jì)、建設(shè)、運(yùn)維和技改各個(gè)階段,主要包括系統(tǒng)集成、系統(tǒng)運(yùn)維、應(yīng)急處理、風(fēng)險(xiǎn)評(píng)估等工業(yè)控制系統(tǒng)安全服務(wù),形成系統(tǒng)的、獨(dú)立的、形成文件的過(guò)程。
工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證是對(duì)工業(yè)控制系統(tǒng)安全服務(wù)方的基本資格、管理能力、技術(shù)能力和工業(yè)控制系統(tǒng)安全服務(wù)過(guò)程能力等方面進(jìn)行評(píng)價(jià)。
工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)專業(yè)評(píng)價(jià)要求針對(duì)安全服務(wù)規(guī)劃、服務(wù)實(shí)施、服務(wù)總結(jié)三個(gè)過(guò)程進(jìn)行,項(xiàng)目實(shí)施過(guò)程應(yīng)形成文件,三級(jí)要求如下:
申請(qǐng)三級(jí)資質(zhì)認(rèn)證的單位,至少有1個(gè)針對(duì)工業(yè)生產(chǎn)行業(yè)領(lǐng)域的系統(tǒng)集成和系統(tǒng)運(yùn)維的服務(wù)項(xiàng)目;
在技術(shù)和管理方面具備安全服務(wù)的過(guò)程管理、風(fēng)險(xiǎn)管理,以及識(shí)別跟蹤信息安全漏洞的能力;
具備安全問(wèn)題解決的驗(yàn)證和證據(jù)分析、安全服務(wù)不斷提升改進(jìn)的能力。
1 服務(wù)規(guī)劃階段
1.1 調(diào)研客戶需求
a) 編制業(yè)務(wù)情況和工業(yè)控制系統(tǒng)調(diào)研表,并按照調(diào)研表收集有效信息。
b) 有效掌握工業(yè)企業(yè)的組織結(jié)構(gòu)、了解對(duì)工業(yè)控制系統(tǒng)的管理機(jī)制。
c) 采集客戶對(duì)工業(yè)控制系統(tǒng)安全管理和技術(shù)服務(wù)的目標(biāo)和需求。
1.2 分析服務(wù)業(yè)務(wù)
a) 識(shí)別工業(yè)控制系統(tǒng)面臨的潛在威脅,分析服務(wù)過(guò)程中可能生產(chǎn)的安全風(fēng)險(xiǎn);
b) 識(shí)別影響工業(yè)控制系統(tǒng)安全服務(wù)的法律、政策、標(biāo)準(zhǔn)、外部影響和約束條件;
c) 分析客戶業(yè)務(wù)需求,明確客戶工業(yè)控制系統(tǒng)安全服務(wù)的目標(biāo)與需求。
1.3 編制服務(wù)方案
a) 結(jié)合調(diào)研的安全需求,與客戶、工業(yè)控制系統(tǒng)開(kāi)發(fā)單位及其他相關(guān)人員充分溝通,編制安全服務(wù)技術(shù)方案和服務(wù)預(yù)算。
b) 與客戶簽訂服務(wù)協(xié)議,編制實(shí)施方案,明確服務(wù)范圍、目標(biāo)、進(jìn)度、內(nèi)容、金額、交付質(zhì)量、溝通和風(fēng)險(xiǎn)等方面的要求。
1.4 組建服務(wù)團(tuán)隊(duì)
a) 應(yīng)考慮服務(wù)項(xiàng)目的目標(biāo)、內(nèi)容、范圍等組建團(tuán)隊(duì)。
b) 選擇工業(yè)控制系統(tǒng)安全服務(wù)項(xiàng)目負(fù)責(zé)人應(yīng)滿足通用評(píng)價(jià)要求的人員能力要求,熟悉工業(yè)控 制系統(tǒng)業(yè)務(wù)流程,能與工業(yè)控制系統(tǒng)運(yùn)行人員進(jìn)行有效溝通。
1.5 實(shí)施準(zhǔn)備
a) 應(yīng)根據(jù)服務(wù)內(nèi)容準(zhǔn)備必要的工具。
b) 對(duì)服務(wù)過(guò)程中可能會(huì)采取的操作、處理等行為,獲得用戶的書(shū)面授權(quán)。
c) 對(duì)團(tuán)隊(duì)成員進(jìn)行安全教育、信息安全服務(wù)技能和工業(yè)控制系統(tǒng)操作規(guī)程培訓(xùn)。
2 服務(wù)實(shí)施階段
2.1 項(xiàng)目實(shí)施
a) 實(shí)施初始服務(wù),采集工業(yè)控制系統(tǒng)重要資產(chǎn)以及資產(chǎn)的安全配置;收集與分析網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)的日志;收集和分析工業(yè)控制系統(tǒng)的硬件故障 及安全事件。
b) 依據(jù)已確認(rèn)的安全服務(wù)技術(shù)方案和實(shí)施方案,按照時(shí)間和質(zhì)量要求進(jìn)行安全集成服務(wù)安全 運(yùn)維和風(fēng)險(xiǎn)評(píng)估服務(wù)。
c) 對(duì)工業(yè)控制系統(tǒng)的應(yīng)用系統(tǒng)升級(jí)、補(bǔ)丁升級(jí)和病毒庫(kù)升級(jí)應(yīng)在線下模擬環(huán)境中進(jìn)行驗(yàn)證, 在不影響系統(tǒng)可用性、實(shí)時(shí)性和穩(wěn)定性的前提下實(shí)施更新。
d) 在實(shí)施過(guò)程中,必須遵守工業(yè)控制系統(tǒng)的相關(guān)操作章程,以防止敏感信息泄漏和確保及時(shí) 處理意外事件。
e) 對(duì)直接涉及在運(yùn)工業(yè)控制系統(tǒng)的安全服務(wù),盡可能避開(kāi)安全生產(chǎn)的敏感時(shí)期和業(yè)務(wù)高峰期。
f) 針對(duì)工業(yè)控制系統(tǒng)業(yè)務(wù)特點(diǎn)和系統(tǒng)組成,分析系統(tǒng)脆弱性形成原因,識(shí)別跟蹤工業(yè)控制系統(tǒng)的漏洞,在服務(wù)過(guò)程中采取有效措施避免安全風(fēng)險(xiǎn)。
g) 項(xiàng)目實(shí)施人員按時(shí)提交服務(wù)記錄,及時(shí)向項(xiàng)目經(jīng)理匯報(bào)項(xiàng)目進(jìn)度。
h) 建立安全服務(wù)項(xiàng)目協(xié)調(diào)機(jī)制,明確責(zé)任人,暢通信息溝通渠道,保障各相關(guān)方在項(xiàng)目實(shí)施過(guò)程中能夠有效充分的溝通。
2.2 系統(tǒng)運(yùn)行測(cè)試
a) 實(shí)施結(jié)束后,對(duì)工業(yè)控制系統(tǒng)進(jìn)行功能和性能檢測(cè),保障系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性,并記錄系統(tǒng)運(yùn)行狀況。
b) 必要時(shí),制定系統(tǒng)安全性測(cè)試方案,對(duì)于系統(tǒng)改造或升級(jí)項(xiàng)目,還需進(jìn)行兼容性測(cè)試,完整記錄測(cè)試過(guò)程相關(guān)信息。
c) 建立系統(tǒng)維保服務(wù)流程,制定維保方案并形成維保記錄。
3 服務(wù)總結(jié)階段
3.1 服務(wù)驗(yàn)收
a) 根據(jù)合同約定,向客戶提交完整的項(xiàng)目交付物,并提出終驗(yàn)申請(qǐng)。
b) 根據(jù)合同約定,配合組織項(xiàng)目驗(yàn)收,出具項(xiàng)目驗(yàn)收?qǐng)?bào)告。
c) 驗(yàn)收?qǐng)?bào)告中應(yīng)描述工業(yè)控制系統(tǒng)在驗(yàn)收時(shí)的運(yùn)行狀況,以及客戶單位的反饋意見(jiàn)。
3.2 服務(wù)交接
a) 告知客戶工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀和可能存在的安全風(fēng)險(xiǎn)。
b) 提供針對(duì)安全風(fēng)險(xiǎn)的應(yīng)對(duì)建議,必要時(shí)指導(dǎo)和協(xié)助客戶實(shí)施。
c) 應(yīng)建立報(bào)告的批準(zhǔn)和交付程序,保留交付記錄。
3.3 服務(wù)總結(jié)
a) 應(yīng)保存完整的安全服務(wù)工作記錄,并對(duì)安全服務(wù)過(guò)程進(jìn)行總結(jié)和分析,提交工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全服務(wù)的工作報(bào)告,內(nèi)容應(yīng)包括項(xiàng)目概況、依據(jù)、服務(wù)過(guò)程、結(jié)論、進(jìn)一步工作建議,以及工業(yè)控制系統(tǒng)安全服務(wù)過(guò)程中發(fā)現(xiàn)問(wèn)題等。
b) 應(yīng)形成和保存工業(yè)控制系統(tǒng)的狀態(tài)和防護(hù)情況的記錄,包括工業(yè)控制系統(tǒng)的業(yè)務(wù)流程、系統(tǒng)組成、設(shè)備配置、存在漏洞,以及采取的安全措施。
c) 應(yīng)指派至少一人復(fù)核與評(píng)價(jià)相關(guān)的所有信息和結(jié)果,復(fù)核應(yīng)由未參與評(píng)價(jià)過(guò)程且熟悉相應(yīng)生產(chǎn)行業(yè)業(yè)務(wù)領(lǐng)域的人員進(jìn)行。
辦理工業(yè)控制安全服務(wù)資質(zhì)認(rèn)證(三級(jí)),咨詢新世紀(jì)企業(yè)管理顧問(wèn)有限公司鐘老師:13798577179。