工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證自評價表注明行業(yè)

1、工業(yè)限制系統(tǒng)平安效勞資質(zhì)認(rèn)證自評估表注明行業(yè)填表說明：每個行業(yè)單獨填寫自評估表.組織名稱申報級別評估時間評估部1'T/人員序號要點條款需提供證實材料自評估 結(jié)論證實材料清單符合不 符 合1.效勞技術(shù) 要求建立工業(yè)限制系統(tǒng)平安效勞流程,并按 照流程實施.根據(jù)相關(guān)標(biāo)準(zhǔn)建立的工業(yè)限制系統(tǒng) 平安效勞流程,流程圖中應(yīng)包括每個 階段對應(yīng)的責(zé)任、輸入輸出等.2.制定工業(yè)限制系統(tǒng)平安效勞標(biāo)準(zhǔn)標(biāo)準(zhǔn), 并根據(jù)標(biāo)準(zhǔn)實施.已制定的工控限制系統(tǒng)平安效勞規(guī) 范.3.效勞規(guī)劃 階段-調(diào)研H1.1.1 a編制業(yè)務(wù)情況和工業(yè)限制系 統(tǒng)調(diào)研表,并根據(jù)調(diào)研表收集有效信 息.已完成業(yè)務(wù)情況倜研表,收集有效信 息.4.H1.1

2、.1 b有效掌握工業(yè)企業(yè)的組織結(jié) 構(gòu)、了解對工業(yè)限制系統(tǒng)的治理機制.企業(yè)的組織結(jié)構(gòu)、對生產(chǎn)限制系統(tǒng)管 理的文字材料.5.客戶需求H1.1.1 c采集客戶對工業(yè)限制系統(tǒng)系 統(tǒng)平安治理和技術(shù)效勞的目標(biāo)和需求.客戶對工控系統(tǒng)平安治理和技術(shù)服 務(wù)的目標(biāo)和需求的文字材料.6.H2.1.1 a調(diào)研客戶工業(yè)限制系統(tǒng)的業(yè)已完成業(yè)務(wù)情況和生產(chǎn)限制系統(tǒng)調(diào)序號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合務(wù)邏輯、工作流程,工業(yè)限制系統(tǒng)系統(tǒng) 的設(shè)備組成、網(wǎng)絡(luò)架構(gòu)等.研表,包括客戶限制系統(tǒng)的業(yè)務(wù)邏 輯、工作流程,限制系統(tǒng)的設(shè)備組成、 現(xiàn)場網(wǎng)絡(luò)等.7.編制完整的客戶調(diào)研報告,調(diào)研的內(nèi)容 包括組織架構(gòu)、制度

3、列表、業(yè)務(wù)流程、 工業(yè)限制系統(tǒng)資產(chǎn)信息、工業(yè)限制系統(tǒng) 相關(guān)的治理人員信息等.已完成客戶調(diào)研報告, 調(diào)研的內(nèi)容包 括組織架構(gòu)、制度列表、業(yè)務(wù)流程、 限制系統(tǒng)及設(shè)備、限制系統(tǒng)相關(guān)的管 理人員信息等.8.調(diào)研客戶企業(yè)愿景,對工業(yè)限制系統(tǒng)安 全業(yè)務(wù)的開展規(guī)劃和未來幾年業(yè)務(wù)發(fā) 展目標(biāo).已完成客戶調(diào)研報告, 包括客戶企業(yè) 愿景,對工控平安業(yè)務(wù)的開展規(guī)劃和 未來幾年業(yè)務(wù)開展目標(biāo).9.10.效勞規(guī)劃 階段-分析 效勞業(yè)務(wù)識別工業(yè)限制系統(tǒng)面臨的潛在威脅,分 析效勞過程中可能生產(chǎn)的平安風(fēng)險； 識別影響工業(yè)限制系統(tǒng)效勞的法律、政 策、標(biāo)準(zhǔn)、外部影響和約束條件；已完成工程的效勞方案中有平安風(fēng) 險分析、識別法律及標(biāo)準(zhǔn)標(biāo)

4、準(zhǔn)、客戶 業(yè)務(wù)需求的證實材料.11.分析客戶業(yè)務(wù)需求,明確客戶工業(yè)限制 系統(tǒng)平安效勞的目標(biāo)與需求.12.僅二級/一級要求：了解所屬行業(yè)主管 部門對工業(yè)限制系統(tǒng)平安要求.已完成工程的效勞方案中有識別行 業(yè)主管部門的平安要求的證實材料.13.僅一級要求：對客戶的平安生產(chǎn)和網(wǎng)絡(luò) 平安現(xiàn)狀進行評估,調(diào)研行業(yè)平安防護 的水平,明確薄弱壞吊.已完成工程的效勞方案中有調(diào)研行 業(yè)平安水平,分析薄弱壞節(jié)的證實材 料.序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合14.效勞規(guī)劃 階段-編制 效勞方案結(jié)合調(diào)研的平安需求,與客戶、工業(yè)控 制系統(tǒng)系統(tǒng)開發(fā)單位及其他相關(guān)人員 充分溝通,編制平安效勞技

5、術(shù)方案和服 務(wù)預(yù)算.已完成工程的效勞方案, 包含平安需 求、工作內(nèi)容、效勞方式、效勞預(yù)算 等內(nèi)容證實材料.15.與客戶簽訂效勞協(xié)議,編制實施方案, 明確效勞范圍、目標(biāo)、進度、內(nèi)容、金 額、交付質(zhì)量、溝通和風(fēng)險等方面的要 求.已完成工程的實施方案, 包含效勞范 圍、目標(biāo)、進度、內(nèi)谷、金額、質(zhì)量 輸出、溝通和風(fēng)險等內(nèi)容的證實材 料.16.僅二級/一級要求：制定針對人員、設(shè)備、 文檔、系統(tǒng)的風(fēng)險監(jiān)控舉措,有效保證 工業(yè)限制系統(tǒng)的平安、穩(wěn)定.已元成工程的頭施方案,包含人貝、 設(shè)備、文檔、系統(tǒng)的風(fēng)險監(jiān)控舉措等 內(nèi)容的證實材料.17.僅二級/一級要求：對于在運工業(yè)限制系 統(tǒng),應(yīng)考慮使用搭建臨時模擬環(huán)境,模

6、 擬真實系統(tǒng)的運行情況、配置、數(shù)據(jù)、 業(yè)務(wù)流程,驗證方案的有效性.已完成工程的實施方案, 包含對運控 制系統(tǒng)搭建臨時模擬環(huán)境驗證方案 的證實材料.18.僅二級/一級要求：平安效勞技術(shù)方案 和實施方案應(yīng)經(jīng)過評審,并與客戶達成 一致.已完成工程的實施方案經(jīng)過客戶評 審的證實材料19.僅一級要求：確定實施過程的備份機制 和應(yīng)急處理方案,并與客戶充分溝通,已完成工程有實施過程的備份機制 和應(yīng)急處理方案.序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合預(yù)測應(yīng)急處理方柔可能造成的影響.20.效勞規(guī)劃階段-組建效勞團隊?wèi)?yīng)考慮效勞工程的目標(biāo)、內(nèi)容、范圍等組建團隊.已完成工程的實施方案中對平

7、安服 務(wù)實施團隊成員及團隊構(gòu)架的介紹. 隊成員應(yīng)由治理層、相關(guān)業(yè)務(wù)骨干、 IT技術(shù)人員、熟悉生產(chǎn)系統(tǒng)業(yè)務(wù)人員 等角色組成.21.選擇工業(yè)限制系統(tǒng)平安效勞工程負(fù)責(zé) 人應(yīng)滿足通用評價要求的人員水平要 求,熟悉工業(yè)限制系統(tǒng)業(yè)務(wù)流程,能與 工業(yè)限制系統(tǒng)運行人員進行有效溝通.22.僅二級/一級要求：團隊成員必須包括所 效勞業(yè)務(wù)領(lǐng)域工業(yè)限制系統(tǒng)專業(yè)知識 人員,熟悉工業(yè)限制系統(tǒng)工作原理和業(yè) 務(wù)流程.已完成工程的實施方案中對平安服 務(wù)實施團隊人員中須包括所效勞業(yè) 務(wù)領(lǐng)域限制系統(tǒng)專業(yè)知識人員.23.僅一級要求：團隊成員必須配備能夠?qū)?工業(yè)限制系統(tǒng)進行應(yīng)急處理效勞人員.已完成工程的實施方案中對平安服 務(wù)實施團隊人

8、員中須包括對工業(yè)控 制系統(tǒng)進行應(yīng)急處理效勞人員.24.效勞規(guī)劃階段-實施應(yīng)根據(jù)效勞內(nèi)容的需求準(zhǔn)備必要的工 具.已完成工程的實施方案中對工具的 介紹,工具列表及主要功能描述.25.對效勞過程中可能會采取的操作、處理已完成的工程應(yīng)有客戶的書面效勞序 號要點準(zhǔn)備條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合等行為,獲得用戶的書面授權(quán).授權(quán).26.對團隊成員進行平安教育、信息平安服 務(wù)技能和工業(yè)限制系統(tǒng)操作規(guī)程培訓(xùn).工程實施前的平安教育及技術(shù)培訓(xùn)的證實材料,如啟動會的 PPT, PPT 中包含培訓(xùn)的內(nèi)容, 以及其他可證實 對其平安教育、技術(shù)方面培訓(xùn)的材 料.27.僅二級/一級要求：應(yīng)根據(jù)效

9、勞的需求準(zhǔn) 備必要的工具,具有工具定制研發(fā)的能 力.已實施工程中對工具選擇清單,有對工具軟件進行適用性確認(rèn)的測試記 錄,有工具定制水平的證實材料.28.僅二級/一級要求：結(jié)合工程需要,編制 平安效勞工程施工手冊和作業(yè)指導(dǎo)書.已實施工程中,有施工手冊和作業(yè)指 導(dǎo)書.29.僅二級/一級要求：對團隊成員進行平安 效勞技能培訓(xùn)和工業(yè)限制系統(tǒng)業(yè)務(wù)知 識的培訓(xùn).工程實施前的效勞技能和工控系統(tǒng) 業(yè)務(wù)知識培訓(xùn)的證實材料.30.僅一級要求：具有根據(jù)工業(yè)限制系統(tǒng)特 點,自主開發(fā)專業(yè)檢測工具的水平.有根據(jù)系統(tǒng)特點定制專業(yè)檢測工具 的證實材料,如工具過檢測試報告、 軟件著作權(quán).31.僅一級要求：配備有處理網(wǎng)絡(luò)或信息安

10、有處理平安事件的工具清單,工具、 軟件操作手冊等.序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合全事件的工具包,包括常用的系統(tǒng)命 令、工具軟件等.32.僅一級要求：應(yīng)根據(jù)效勞的需求配備必 要的效勞質(zhì)量監(jiān)測手段,具備對效勞行 為進行審計的水平.對已實施工程中具備效勞質(zhì)量監(jiān)測 的技術(shù)和治理舉措,對效勞行為的記 錄、分析的證實材料.33.效勞實施 階段-工程 實施實施初始效勞,米集工業(yè)限制系統(tǒng)重要 資產(chǎn)以及資產(chǎn)的平安配置；收集與分析 網(wǎng)絡(luò)及平安設(shè)備、效勞器、數(shù)據(jù)庫、中 間件、應(yīng)用系統(tǒng)的日志；收集和分析工 業(yè)限制系統(tǒng)的硬件故障及平安事件.工作內(nèi)容、流程、文檔模板,對已實 施工程的

11、內(nèi)容應(yīng)覆蓋效勞技術(shù)方案 和限制程序文件,包括工作內(nèi)容、過 程、方法、文檔模板,內(nèi)容應(yīng)覆蓋審 核條款的要求.提供效勞實施的記錄 證實材料.34.依據(jù)已確認(rèn)的平安效勞技術(shù)方案和實施方案,根據(jù)時間和質(zhì)量要求進行平安集成效勞、平安運維和風(fēng)險評估效勞.對已實施工程中對限制系統(tǒng)操作章 程的規(guī)定、躲避平安風(fēng)險、溝通匯報 等記錄.35.對工業(yè)限制系統(tǒng)的應(yīng)用系統(tǒng)升級、補丁升級和病毒庫升級應(yīng)在線下模擬環(huán)境中進行驗證,在不影響系統(tǒng)可用性、實時序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合性和穩(wěn)定性的前提下實施更新.36.在實施過程中,必須遵守工業(yè)限制系統(tǒng) 的相關(guān)操作章程,以預(yù)防敏感信息泄漏 和

12、保證及時處理意外事件.37.對直接涉及在運工業(yè)限制系統(tǒng)的平安 效勞,盡可能避開平安生產(chǎn)的敏感時期 和業(yè)務(wù)頂峰期.38.針對工業(yè)限制系統(tǒng)業(yè)務(wù)特點和系統(tǒng)組 成,分析系統(tǒng)脆弱性形成原因,識別跟 蹤工業(yè)限制系統(tǒng)的漏洞,在效勞過程中 采取有效舉措預(yù)防平安風(fēng)險.工程實施的限制程序, 覆蓋審核條款 要求.提供溝通方案.39.工程實施人員按時提交效勞記錄,及時 向工程經(jīng)理匯報工程進度.工程實施的限制程序, 覆蓋審核條款 要求.提供質(zhì)量檢查方案及記錄.40.建立平安效勞工程協(xié)調(diào)機制,明確責(zé)任 人,暢通信息溝通渠道,保證各相關(guān)方 在工程實施過程中能夠有效充分的溝對已實施工程中平安舉措列表.序號要點條款需提供證實材

13、料自評估 結(jié)論證實材料清單符 合不 符 合通.41.僅二級/一級要求：建立效勞過程質(zhì)量 監(jiān)控機制,監(jiān)督工業(yè)限制系統(tǒng)系統(tǒng)平安 效勞實施的過程,定期開展工業(yè)限制系 統(tǒng)平安效勞質(zhì)量檢查.42.僅二級/一級要求：針對工業(yè)限制系統(tǒng) 業(yè)務(wù)特點和系統(tǒng)組成,分析系統(tǒng)脆弱性 形成原因,識別跟蹤和驗證工業(yè)限制系 統(tǒng)的漏洞,在效勞過程中采取有效舉措 預(yù)防平安風(fēng)險.對已實施工程中搭建仿真系統(tǒng)實施、 測試驗證方案及記錄43.僅二級/一級要求：應(yīng)編制效勞過程中 發(fā)現(xiàn)的工業(yè)限制系統(tǒng)平安風(fēng)險列表.對已實施工程保證質(zhì)量一致性的程 序文件及實施記錄.44.效勞實施階段-系統(tǒng)運行測試實施結(jié)束后,對工業(yè)限制系統(tǒng)進行功能 和性能檢測,

14、保證系統(tǒng)運行的可靠性和 穩(wěn)定性,并記錄系統(tǒng)運行狀況.效勞實施程序文件,包括明確工作內(nèi) 容、過程、方法、文檔模板,內(nèi)容應(yīng) 覆蓋審核條款的要求.對已實施工程 提供平安檢查方案、方案、記錄.45.必要時,制定系統(tǒng)平安性測試方案,對序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合于系統(tǒng)改造或升級工程,還需進行兼容 性測試,完整記錄測試過程相關(guān)信息.46.建立系統(tǒng)維保效勞流程,制定維保方案 并形成維保記錄.如有合"求,提供方案及記錄47.僅二級/一級要求：制定系統(tǒng)平安性測 試方案,在運行系統(tǒng)中或模擬環(huán)境中進 行測試,完整記錄測試過程相關(guān)信息, 形成系統(tǒng)測試報告.對已實施工程

15、提供平安測試方案、實施記錄.48.僅一級要求：制定系統(tǒng)平安性測試方 案,模擬攻擊場景,在模擬環(huán)境中進行 平安性測試,形成測試報告.對已實施工程提供平安測試方案、模式攻擊方案、頭施記錄.49.僅一級要求：綜合分析系統(tǒng)運行狀況, 制定平安運維、應(yīng)急響應(yīng)方案.對已實施工程提供平安運維、應(yīng)急響應(yīng)方案及頭施記錄.50.效勞實施階段-風(fēng)險僅二級/一級要求：識別工業(yè)限制系統(tǒng) 的重要資產(chǎn)、平安威脅、脆弱性,驗證 已有的平安舉措,構(gòu)建風(fēng)險分析模型進已完成的所平安效勞工程提交風(fēng)險 評估報告,包括資產(chǎn)、威脅、脆弱性 的識別,平安舉措、風(fēng)險計算和評價 等.序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不

16、符 合評估行風(fēng)險計算和評價,給出風(fēng)險評估報告；51.僅二級/一級要求：協(xié)助用戶確定風(fēng)險 處置原那么,對組織/、可接受的風(fēng)險提出 風(fēng)險處置舉措.已完成工程的風(fēng)險評估報告或建議 報告中對組織/、PJ接受的風(fēng)險提出 風(fēng)險處置舉措或建議的證實材料.52.僅一級要求：能夠?qū)I(yè)限制系統(tǒng)發(fā)生 的網(wǎng)絡(luò)平安事件進行原因分析,采取措 施抑制或鏟除潛在的平安風(fēng)險,提交應(yīng) 急處置方案.已元成工程的應(yīng)急處置方案.53.僅一級要求：網(wǎng)絡(luò)與信息平安事件處理 記錄應(yīng)具備可追溯性.已完成工程的平安事件處理記錄.54.效勞總結(jié)階段-效勞驗收根據(jù)合同約定,向客戶提交完整的工程 交付物,并提出終驗申請.效勞總結(jié)階段的程序文件,內(nèi)容

17、應(yīng)覆 蓋審核條款的要求.已兀成效勞工程的終驗申請、 驗收報 告.55.根據(jù)合同約定,配合組織工程驗收,出 具工程驗收報告.56.驗收報口中應(yīng)描述工業(yè)限制系統(tǒng)在驗已完成工程的驗收報告中應(yīng)描述工 控系g驗收時的運行情況,有用戶序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合收時的運行狀況,以及客戶單位的反響 意見.反響證實材料.57.僅二級/一級要求：應(yīng)建立程序,對服 務(wù)驗收中可能存在的重要分歧或者遺 漏及時更正,并將更正后的驗收報告提 交給用戶方.效勞總結(jié)階段的程序文件對更正的 要求.58.效勞總結(jié)階段-效勞交接告知客戶工業(yè)限制系統(tǒng)網(wǎng)絡(luò)平安現(xiàn)狀 和可能存在的平安風(fēng)險.已完成工

18、程的風(fēng)險和應(yīng)對舉措列表.59.提供針對平安風(fēng)險的應(yīng)對建議,必要時 指導(dǎo)和協(xié)助客戶實施.60.應(yīng)建立報告的批準(zhǔn)和交付程序,保存交 付記錄.效勞總結(jié)階段的程序文件包含批準(zhǔn) 和交付程序.61.僅一級/一級要求：對客戶提出完整的 風(fēng)險處置方案,協(xié)助客戶進行風(fēng)險處 置,必要時,對剩余風(fēng)險進行再評估.已完成工程的剩余風(fēng)險處置方案,方案至少包含處置舉措、工具、時間計 劃等內(nèi)容.對剩余風(fēng)險再評估的證實 材料.62.僅二級/一級要求：建立客戶滿意度調(diào)客戶滿意度調(diào)查的方式、方法、分析 方法等；滿意度調(diào)查的實施情況與分序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合查機制.析情況.63.僅一級要求：建立應(yīng)急保證團隊, 及時 響應(yīng)客戶需求.應(yīng)急保證團隊的列表,人員水平的證 明以及團隊責(zé)任、工作模式的說明.64.效勞總結(jié)階段-效勞總結(jié)應(yīng)保存完整的平安效勞工作記錄,并對 平安效勞過程進行總結(jié)和分析,提交工 業(yè)限制系統(tǒng)網(wǎng)絡(luò)平安效勞的工作報告, 內(nèi)容應(yīng)包括工程概況、 依據(jù)、效勞過程、 結(jié)論、進一步工作建議,以及工業(yè)限制 系統(tǒng)平安效勞過程中發(fā)現(xiàn)問題等.已完成工程提供效勞記錄及平