工业控制系统信息安全管理自评估实施办法（试行）工业控制系统（以下.DOC

工业控制系统信息安全管理自评估实施办法（试行） 工业控制系统简称工控系统）信息安全管理构建系统设备树、安全管理综合自评估和特定（）控制系统技术安全自评估个方面。 主要过程为 列出工控系统设备资产清单，根据业务）系统树 开展信息安全管理综合评估 对工控系统（）中的每一个系统进行评估 根据自评估中发现管理系统安全隐患，及时进行安全整改。 、系统树的构建）资产清单。 系统实际情况，列出系统主要包括： 2．需要填写的主要信息包括：、名称、厂商名称、类型、设备型号、采购日期、固件版本 下表为一个清单。 系统（设备） 唯一性编号 名称 厂商名称 类型 设备型号 采购日期 固件版本 备注 1 xxxxxx 中心控制室工程师站OS113 Simens 主机/模块 xxxx xxxxxx V1.2 xxx中心控制室工程师站 2 xxxxxx 中心控制室B网交换机 思科 网络设备 xxxx xxxxxx V1.2 xxx中心控制室 3 xxxxxxx 操作站实时监控软件 xxx 应用软件 V3.0 xxx中心控制室 （二） 1．生产业务流程（工艺） （1）选出一个生产业务流程（工艺）； （2）判断该流程（工艺）的控制系统，比如DCS或PLC等； （3）判断该流程（工艺）的支持系统、服务、网络，比如备用控制系统、紧急停车系统，监控系统SCADA，所有控制系统用到的网络设备、服务器，所有计算机的操作系统等； （4）判断控制或操作该流程（工艺）的系统、服务或网络的系统或设备，比如调试工作站、上位机或工程师站等HMI的软件、硬件、操作系统等； （5）判断该流程（工艺）的访问控制系统，比如身份识别系统、授权系统、访问验证、审计系统等，防火墙、交换机VLAN设置等； （6）判断该流程（工艺）的工控系统的保护系统，比如防病毒软件、入侵检测、网络审计等； （7）如果以上都不是，则可将这个系统或设备排除在这个流程（工艺）之外。 分区方法 2．根据分区情况构建设备树生产业务流程（），，构建（设备，即(控制系统(子系统。 下图为一个示例 二、信息安全管理综合评估 根据信息安全管理体系建设和实施情况，对表中每一子项进行打分，打分的基础是能提供相应的体系文件以及实施记录，子项得分相加即可得出信息安全管理综合评估的总分。 管理综合评估 （Q） 打分标准 （P） （P×Q）体系主要负责人，P=1；，P=0。分管，P=1；，P=0。架构个人职责P=1； 信息安全工作人员数量满足需求P=0。 安全意识一定的信息的安全知识制度P=1；P=0.75；P=0.5；P=0。 制度发布 安全管理制度以正式文件等形式发布 6 符合，P=1； ，P=0。保密P=1； 次数=2，P=0.75； 次数=1，P=0.5； 次数=0，P=0。岗位，P=1；，P=0。技能培训，P=1；，P=0。审查，P=1；，P=0。管控，P=1；，P=0。管理清单资产清单）P=1；P=0.5； 无资产清单，P=0。 流程（分区流程，控制系统）树树状图）准确，P=1 系统（设备）划分过于简单，P=0.5 没有划分系统（=0。 管理职责 对每项资产明确管理责任人及其职责 5 符合，P=1；，P=0。，P=1；，P=0。，P=1；，P=0。有并执行P=1；P=0。巡检，P=1；，P=0。，P=1；，P=0。，P=1；，P=0。，P=1；，P=0。，P=1；，P=0。恢复恢复建立系统恢复机制，一旦恢复功能，P=1；，P=0。培训培训，P=1；，P=0。检查检查P=1； 不符合，P=0。 总分 三、特定流程（）工控系统 （一）设备树中每一个流程控制系统实施系统技术评估。表的填写： 1表中系统编号系统名称填写设备即流程（）系统编号名称 2．表中名称系统完成的某一生产业务 3．表中概述 4．表中填写控制、软硬件设备系统中的编号和名称。 系统的主机Windows、Android等通用操作系统）架构还是非通用操作系统架构（固件安装厂商运行环境，且无法单独得到该运行环境），再按所属的类型填表评估，不重复填写得分相加得出该流程（）系统技术评估的总分。（）系统评估 名称 流程（工艺）名称 控制系统 概述 控制系统组成 评估项 评估要素 评价标准 权重 （Q） （P） （P×Q）环境4 符合，P=1； 不符合，=0。 物理访问控制 对于物理区域的进入有访问控制规范，人员离职后有访问控制消除流程 2 符合，P=1； 不符合，=0。 具有身份识别技术，防止非法进入 2 符合，P=1； 不符合，=0。 机房安全 能防御灾害，比如防火、防水、防尘、防烟、防尘、防辐射和防冲击等 4 符合，P=1； 不符合，=0。 断电保护 至少有一套备用