工業(yè)控制系統(tǒng)安全服務資質三級評價要求針對安全服務規(guī)劃、服務實施、服務總結三個過程進
行，項目實施過程應形成文件，具體分級要求如下：
H1 工業(yè)控制系統(tǒng)安全服務資質三級評價要求
申請三級資質認證的單位，至少有1個針對工業(yè)生產行業(yè)領域的系統(tǒng)集成和系統(tǒng)運維的服務項目；
在技術和管理方面具備安全服務的過程管理、風險管理，以及識別跟蹤信息安全漏洞的能力；具備
安全問題解決的驗證和證據分析、安全服務不斷提升改進的能力。
H1.1 服務規(guī)劃階段
H1.1.1 調研客戶需求
a) 編制業(yè)務情況和工業(yè)控制系統(tǒng)調研表，并按照調研表收集有效信息。
b) 有效掌握工業(yè)企業(yè)的組織結構、了解對工業(yè)控制系統(tǒng)的管理機制。
c) 采集客戶對工業(yè)控制系統(tǒng)安全管理和技術服務的目標和需求。
H1.1.2 分析服務業(yè)務
a) 識別工業(yè)控制系統(tǒng)面臨的潛在威脅，分析服務過程中可能生產的安全風險；
b) 識別影響工業(yè)控制系統(tǒng)安全服務的法律、政策、標準、外部影響和約束條件；
c) 分析客戶業(yè)務需求，明確客戶工業(yè)控制系統(tǒng)安全服務的目標與需求。
H1.1.3 編制服務方案
a) 結合調研的安全需求，與客戶、工業(yè)控制系統(tǒng)開發(fā)單位及其他相關人員充分溝通，編制安
全服務技術方案和服務預算。
b) 與客戶簽訂服務協議，編制實施方案，明確服務范圍、目標、進度、內容、金額、交付質
量、溝通和風險等方面的要求。
H1.1.4 組建服務團隊
a) 應考慮服務項目的目標、內容、范圍等組建團隊。
b) 選擇工業(yè)控制系統(tǒng)安全服務項目負責人應滿足通用評價要求的人員能力要求，熟悉工業(yè)控
制系統(tǒng)業(yè)務流程,能與工業(yè)控制系統(tǒng)運行人員進行有效溝通。
H1.1.5 實施準備
a) 應根據服務內容準備必要的工具。
b) 對服務過程中可能會采取的操作、處理等行為，獲得用戶的書面授權。
c) 對團隊成員進行安全教育、信息安全服務技能和工業(yè)控制系統(tǒng)操作規(guī)程培訓。
H1.2 服務實施階段
H1.2.1 項目實施
a) 實施初始服務，采集工業(yè)控制系統(tǒng)重要資產以及資產的安全配置；收集與分析網絡及安全
設備、服務器、數據庫、中間件、應用系統(tǒng)的日志；收集和分析工業(yè)控制系統(tǒng)的硬件故障
及安全事件。
b) 依據已確認的安全服務技術方案和實施方案，按照時間和質量要求進行安全集成服務\安全
運維和風險評估服務。
c) 對工業(yè)控制系統(tǒng)的應用系統(tǒng)升級、補丁升級和病毒庫升級應在線下模擬環(huán)境中進行驗證,
在不影響系統(tǒng)可用性、實時性和穩(wěn)定性的前提下實施更新。
d) 在實施過程中，必須遵守工業(yè)控制系統(tǒng)的相關操作章程，以防止敏感信息泄漏和確保及時
處理意外事件。
e) 對直接涉及在運工業(yè)控制系統(tǒng)的安全服務，盡可能避開安全生產的敏感時期和業(yè)務高峰期。
f) 針對工業(yè)控制系統(tǒng)業(yè)務特點和系統(tǒng)組成，分析系統(tǒng)脆弱性形成原因，識別跟蹤工業(yè)控制系
統(tǒng)的漏洞，在服務過程中采取有效措施避免安全風險。
g) 項目實施人員按時提交服務記錄，及時向項目經理匯報項目進度。
h) 建立安全服務項目協調機制，明確責任人，暢通信息溝通渠道，保障各相關方在項目實施
過程中能夠有效充分的溝通。
H1.2.2 系統(tǒng)運行測試
a) 實施結束后，對工業(yè)控制系統(tǒng)進行功能和性能檢測，保障系統(tǒng)運行的可靠性和穩(wěn)定性，并
記錄系統(tǒng)運行狀況。
b) 必要時，制定系統(tǒng)安全性測試方案，對于系統(tǒng)改造或升級項目，還需進行兼容性測試，完
整記錄測試過程相關信息。
c) 建立系統(tǒng)維保服務流程，制定維保方案并形成維保記錄。
H1.3 服務總結階段
H1.3.1 服務驗收
a) 根據合同約定，向客戶提交完整的項目交付物，并提出終驗申請。
b) 根據合同約定，配合組織項目驗收，出具項目驗收報告。
c) 驗收報告中應描述工業(yè)控制系統(tǒng)在驗收時的運行狀況，以及客戶單位的反饋意見。
H1.3.2 服務交接
a) 告知客戶工業(yè)控制系統(tǒng)網絡安全現狀和可能存在的安全風險。
b) 提供針對安全風險的應對建議，必要時指導和協助客戶實施。
c) 應建立報告的批準和交付程序，保留交付記錄。
H1.3.3 服務總結
a) 應保存完整的安全服務工作記錄，并對安全服務過程進行總結和分析，提交工業(yè)控制系統(tǒng)
網絡安全服務的工作報告，內容應包括項目概況、依據、服務過程、結論、進一步工作建
議，以及工業(yè)控制系統(tǒng)安全服務過程中發(fā)現問題等。
b) 應形成和保存工業(yè)控制系統(tǒng)的狀態(tài)和防護情況的記錄，包括工業(yè)控制系統(tǒng)的業(yè)務流程、系
統(tǒng)組成、設備配置、存在漏洞，以及采取的安全措施。
c) 應指派至少一人復核與評價相關的所有信息和結果，復核應由未參與評價過程且熟悉相應
生產行業(yè)業(yè)務領域的人員進行。

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質、CCRC資質、工業(yè)控制系統(tǒng)安全服務資質三級申請咨詢與代辦服務，歡迎與我們聯系。134-1861-1761 孫經理。

相關文章：

信息系統(tǒng)安全集成服務資質三級評價要求 工業(yè)控制系統(tǒng)安全服務資質二級評價要求 工業(yè)控制系統(tǒng)安全服務資質一級評價要求 信息安全軟件安全開發(fā)服務資質三級評價要求