工业控制系统安全服务资质认证自评估表（注明行业）

工业控制系统安全服务资质认证自评估表（注明行业）

埴去阐明：好个行业单独地H白评估表。

组织名称申报级别

评估时间评估部门/人员

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合

合

按照有关原则建立时工业控制系统

建立工业控制系统安全服务流程，并按

1.安全眼务流程，流程图中应包括年个

服务技术照流程实行.

阶段对应职责、帙入输出等.

规定

制定工业控制系统安全服务规范原则，已制定的工控控制系统安全服务战

2.

并按照规范实行。范。

Hl.1.1a）编制业务状况和工业控刈系

已完毕业务状况询研表，搜焚有效信

3.统调研表，并按照调研表搜集仃效信

息。

服务规划息。

阶段-调研Hl.1.1b）有效掌樨工业企业的组织构企业的组织构造、对生产控制系统管

4.

客户需求造、理解时工业控制系统的管理机制.理的文字材料，

Hl.1.1c）采集客户对工业控制系统系客户对工控系统安仝管理和技术服

5.

统安全管理和技术限务的目向和需求.务的目啊和需求的文字材料。

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

已完毕业务状况和生产控制系统调

H2.1.1a）调研客户工业控制系统的业

研发，包括客户控制系统的业务逻

6.务逻辑、工作流程，工业控制系统系统

辑、工作流程,控制系统附设的构成、

『•Ji殳备构成、网络架构等.

现场网络等。

编制完整的客户调研汇报,调研啊内容己完毕客户调研汇报,调研的内容包

包括组织架构、制度列表、业务流程、括组织架构、制废列表、业务流程、

7.

工业控制系统资产信总、工业控制系统控制系统及设法、控制系统有关附管

有关的管理人员信息等.理人员信息等.

圜研客户企业熄景，时工业控制系统安已完毕客户调研汇报,包括客户企业

8.个业务的发展规划和未来几年业务发愿景,对工控安仝业务的发展规划和

展目的.未来几年业务发展目的.

识别工业控制系统面临的潜在威胁，分

9.

折服务过程中也许生产的安全风险；

己完毕项目的服务方案中有安全风

识别影响工业控制系统服务的法律、政

10.险分析、识别法律及原则规范、客户

策、原则、外部影响和约束条件：

业务需求啊证明材料。

驰务规划分析客户业务芾求，明确客户工业控制

II.

阶段-分析系统安全服务的目的与需求.

服务业务仅二级/一级规定：理解所属行业主管己完毕项目的服务方案中有识别行

12.

部门对工业控制系统安全规定.业主管部门的安全规定的证明材料.

仅一级规定：对客户的安全生产和网格已完毕项目的服务方案中有调研行

13.

安仝现实状况进行评估,调研行业安仝业安全水平，分析微弱环节的证明材

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

防护向水平，明确微弱环节.料.

结合网研的安全福求，与客户、工业控

己完毕项目的服务方案，包括安全需

制系统系统开发单位及其他有关人员

14.求、工作内容、服务方式、服务预停

充足沟通，编制安全服务技术方案和服

等内容证明材料.

务预弘

与客户签订服务协议•编制实行方案，己完毕项目向实行方案,包括服务范

明确服务范困、目的、进度、内容、金围、目的、进度、内容、金额、质量

15.

额、交付质量、沟通和风险等方面的观怆出.沟通和风险等内容的证明材

定。料。

仅二级/一级规定：恻定针对人贝、或任、己完半项HIN实仃万窠，包括入贝、

服务现划

16.文档、系统向风险监控措施.有效保障设备、文档、系统的风险监控措临等

阶段-编制

工业控制系统的安全、桧定。内容的证明材料.

限务方案

仅二级/一级规定：对T•在运工业控制系

己完毕项目向实行方案，包括对运控

统，应考虑使用搭建临时模拟环境，模

17.制系统搭建临时模拟环境验证方案

拟真实系统的运行状况、配置'数据、

的证明材料。

业务流程，验证方案的有效性.

仅二级/一级规定：安全服务技术方案

己完毕项目的实行方案通过客户评

18.和实行方案应通过评审.并与客户达到

审的证明材料

一致.

已完毕项目有实行过程的备份机制

19.仅一级规定：确定实行过程的备份机制

和应急处理方案.

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

和应急处理方案，并与客户充足沟通，

预测应急处理方案也许导致啊影响.

应考虑服务项目的目的、内容、能围等

20.

组建团体.已完毕项目的实行方案中对安全服

选择工业捽制系统安全服务项目负责务实行团体组员及团体构架的简介，

队组员应由管理层、有关业芬骨干、

人应满足通用评价规定啊人员能力规

IT技术人员、熟悉生产系统业务人员

21.

定，熟悉工业控制系统业务流程.能与

服务处划等角色构成.

工业控制系统运行人员进行有效沟通.

阶段-红建

仅二级/一级规定：本组员必家包括所

服务团体

服务业务领域工业控制系统专业知识己完毕顶F!的实行方案中对安全服

22.务实行团体人员中须包括所服务业

人员，物悉工业控制系统工作原理和业

务领域控制系统专业知识人员°

务流程.

仅一级规定：团体殂员必须配批可以对已完毕项II的实行方案中对安全服

23.务实行团体人员中须包括对工业控

工业控制系统进行应急处理服务人员，制系统进行应急处理服务人员.

应根据服务内容的需求准备必要的工

已完毕项目的实行方案中对工具r-j

24.服务现划

JL同介，工具列表及重要功能描述。

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

对服务过程中也许会采用的操作、处理

阶段-实行已完毕H-J项目应有客户的书面服务

25.

等行为,获得顾客的书面授权，授权。

准备

项目实行前的安全教育及技术培训

对团体组员进行安全教育、信息安全服

的证明材料,如启动会的PPT,PPT

26.务技能和工业控制系统操作规程培训。中包括培调的内容,以及其他可证明

对其安全教育、技术方面培训的材

料.

仅二级/一级规定：应根据服务的需求准

己实行项目中对工具选择清单，有对

27.除必要的TH.H■有TH定制研蛇的能工具软件进行合用仕确认的测试记

力.录，有工具定制能力的证明材料。。

仅二级/一级规定：结合项目茂要,编制

己实行项目中，有施工手册和作业指

28.

安全服务项目施工手册和作业指导书.导书.

仅二级/一级规定：对团体组员进行安全

项目实行前的服务技能和工控系统

29.吸务技能培训和工业控制系统业务知

业务知识培训的证明材料。

识内培训.

仅一级规定：具仃根据工业控制系统特有根据系统特点定制专业检测工具

30.的证明材料.如工具过检测试汇报、

点，自主开发专业检测工具内能力.

软件著作权。

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

仅一级规定：配置有处理网络或信总安

有处理安全事件的工具清单，工具、

31.全5件的工具包，包括常用IfJ系统命

软件操作手册等.

令、工具软件等.

仅一级规定「应根据服务的需求配置必

对已实行项目中具有股务质量监测

32.要时用务质量监测手段.具有对膘务行的技术和管理指地.对服务行为的记

为进行审计的能力。录、分析啊证明材料.

实行初始服务，柔梁工业控制系统重要

工作内容、流程、文档模板，对已实

选产以及资产的安全死汽：搜集与分析任项目的内容成陨彘服务技术h案

网络及安全设备、服务器、数据库、中和控制程序文就，包括工作内容、过

33.

程、措施、文档模板,内容应控盖审

间件、应用系统的日志；搜集和分析工

核条款的规定,提供限务实行的记录

服务实行业控制系统的硬件故障及安全事件.证明材料.

阶段-项目

根据已蹴认我安全服务技术方案和实

实行

34.行方案，按照时间和政仪规定进行安全对己实行项目中时控制系统操作章

程的现定、规避安全风隆、沟通汇报

集成服务、安全运维和风险评估服务.

等记录。

对J1业控制系统的应用系统升级、补丁

35.

升级和病毒库升级应在线下模拟环境

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

中进行验证,在不膨响系统可用性、实时

性和稳定性的前提卜实行更新，

在实行过程中，必须遵守工业控制系统

36.啊有关操作章程，以防止敷感信息泄而

和保证及时处理意外事件.

对直接波及在运.工业控制系统的安全

37.服务,尽量泗开安全生产的敏感时期和

业务麴峰期.

针对工业控制系统业务特点和系统构

成，分析系统脆弱性形成原因，识别跟

项目实行的控制程序，覆盅审核条款

38.

踪工业控制系统的漏洞,在服务过程中规定。提供沟通方案.

采用有效措旅防止安全风险，

项目实行人员准时提交服务记录，及时

项目实行啊控制程序，区盖审核条款

39.

向项目经理汇报项目进度.规定,提供质量检查方案及记录，

建立安全服务项目协调机制，明确负击

40.环己实行项目中安全措施列表。

人,杨通信息沟通染道.保障各有关方

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

在:项目实行过程中可以有效充足的沟

通。

仅二级/一级规定：建立服务过程质量

监控机制，监督工业控制系统系统安全

41.

取务实行的过程,定期开展工业控制系

统安全服务质沛检克。

仅二级/一级规定：针时工业控制系统

业务构点和系统构成,分析系统能弱性

对已实行项目中格建仿其系统实行、

42.形成原因,识别跟踪和验证工业控制系

测试验证方案及记录

统啊洞洞，在版务过程中采用有效措施

防止安全风险，

仅二级/一级规定：应编制服务过程中

对已实行项目保证质质一致性的程

43.

发现啊工业控制系统安全风险列衣..序文献及实行记录.

实行结束后，对工业控制系统进行功能

服务实行蛆务实行程序文献,包括明确工作内

44.和性能检测,保障系统运行的可靠性和容、过程、措施、文档模板，内容应

阶段-系统

份定性，并记录系统运行状况.出盅审核条款的规定.对已实行项目

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

必要时,制定系统安全性测试方案,对

运行s1试提供安全检查方案、计划、记录.

45.于系统改造或升级项目,还需进行兼容

性测试，完整记录刷试过程有关信息。

建立系统维保服务流程，制定维保方案

46.如有协议规定，提供方窠及记录

并形成维保记录.

仅二级/一级规定：制定系统安全性测

试方案，在运行系统中或模拟环境中进

对已实行项目提供安全测试方案、实

47.

行测状，完整记尿;则试过程有关信息，行记乐.

形成系统溯试汇报.

仅一纵规定：制定系统安全性测试方

对己实行项目提供安全测试方案、模

48.案,模拟袭击场景，在模拟环境中进行

式袭击方案、实行记录.

安全性测试，形成测试汇报。

仅一级规定：综合分析系统运行状况.

对已实行顶日提供安全运维、应急响

49.

制定安全运维、应急响应方案，应方案及实行记录.

服务实行仅二级/一级规定:识别工业控制系统己完毕啊所安全服务项目提交风险

50.评估汇报,包括资产、威胁、桅弱性

时重要资产、安全威胁、脆弱性.验证

阶段-风险的识别，安全措施、风险计算和评价

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

评估已经有的安全措施.构建风龄分析模型等.

进行风险计算和评价，给出风险评估汇

报；

仅二级/一级规定：协助底客确定风险

己完毕项目的风险评估汇报或提议

51.处置原则,对组织不可接受的风险提出汇报中对组织不"J接受的风险提出

风险处置措施.风险处置措施或提议的证明材料，

仅一级规定：可以对工业控洌系统发生

叫网络安全事件进行原因分析，采用措

52.己完半项目的应急处设方案，

施克制或根除潜在的安全风险，提交应

急处置方案，

仅一级规定：网络与信息安全事件处理

53.己完毕项目时安全事件处理记录。

记录应具有可追溯性。

根据协议约定，向,客户提交完售的项目

54.服务总结眼务总结阶段的程序文献，内容应置

交付物,并提出终验申请。

盖审核条款时规定，

阶段-服务

根据协议约定，配合组织项目验收，出已完毕服务项目的终验申请、验收汇

55.验收具项目验收汇报.报.

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

脸收汇报中应描述工业控制系统在验

已完毕项目的验收汇报中应描述工

56.收时时运行状况，以及客户单位叫反饿控系统在验收时的运行状况，布顾客

意见.反馈证明材料。

仅二级/一级规定：应蜕立程序,对服

务验收中也许存在的重要分歧或者遗

.11艮务总结阶段的程序文献时改正的

57.

漏及时改正，并将改正后的粉收汇报提规定.

交给顾客方.

告知,客户工业拄制系统网络安全现实

58.

状况和也许存在的安全风险.

己完毕项目时风险和应对措施列表，

提供11对安全风险的应对提议，必要时

59.

服务总结指导和协助客户实行。

应建立汇报的同意和交付程序,保留交

阶段-服务服务总结阶段的程序文献包括同&

60.

付记录和交付程序。

仅二级/一级规定：时客户提出完整啊己完毕项目时残存风险处置方案，方

案至少包括处置措施、工具、时间计

61.风险处置方案，协助客户进行风险处

划等内容。对残存风险再评估的证明

设.必要时，对残存风隆进行再评估.

材料。

自评估

结论

序

要点条款需提供证明材料不证明材料清单

号符

符

合合

仅二级/一级规定：建立客户满意度谓客户满意度网查的方式、措施、分析

62.措施等：满意度调杳的实行状况与分

查机制.

析状况.

仅一级规定：建立应急保障团体，及时

应急保障团体的列表,人员能力的证

63.

响应客户需求，明以及团体职责、工作模式的阐明.

应保留完整的安全服务工作记录,并对

安全服务过程进行总结和分析，提交工

业控制系统网络安全服芬时工作汇报，

已完毕项目提供服芬记录及安全服

64.

内容应包括项目概况、根据、服务过程、务工作汇报

结论、深入工作提议，以及工业控制系

服务总结

统安全服务过程中发现问题等.

阶段-服务

应形成和保留工业控制系统的状态和

总结防护状况的记录,包括工业控制系统啊