工业控制系统安全服务资质三级评价要求针对安全服务规划、服务实施、服务总结三个过程进行,项目实施过程应形成文件,具体分级要求如下:
工业控制系统安全服务资质三级评价要求
申请三级资质认证的单位,至少有1个针对工业生产行业领域的系统集成和系统运维的服务项目; 在技术和管理方面具备安全服务的过程管理、风险管理,以及识别跟踪信息安全漏洞的能力;具备安全问题解决的验证和证据分析、安全服务不断提升改进的能力。
1 服务规划阶段
1.1 调研客户需求
a) 编制业务情况和工业控制系统调研表,并按照调研表收集有效信息。
b) 有效掌握工业企业的组织结构、了解对工业控制系统的管理机制。
c) 采集客户对工业控制系统安全管理和技术服务的目标和需求。
1.2 分析服务业务
a) 识别工业控制系统面临的潜在威胁,分析服务过程中可能生产的安全风险;
b) 识别影响工业控制系统安全服务的法律、政策、标准、外部影响和约束条件;
c) 分析客户业务需求,明确客户工业控制系统安全服务的目标与需求。
1.3 编制服务方案
a) 结合调研的安全需求,与客户、工业控制系统开发单位及其他相关人员充分沟通,编制安全服务技术方案和服务预算。
b) 与客户签订服务协议,编制实施方案,明确服务范围、目标、进度、内容、金额、交付质量、沟通和风险等方面的要求。
1.4 组建服务团队
a) 应考虑服务项目的目标、内容、范围等组建团队。
b) 选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求,熟悉工业控制系统业务流程,能与工业控制系统运行人员进行有效沟通