河南省工业控制系统信息安全测评工作指南.pdf

河南省工业控制系统信息安全 测评工作指南 2019 年6 月 目 次 1 测评目的 1 2 适用范围 1 3 测评机构和企业要求 2 3.1 测评机构 2 3.1.1 基本要求 2 3.1.2 人员要求 2 3.2 工业企业 3 4 测评工作流程 3 5 测评工作实施 5 5.1 受理测评申请 5 5.1.1 主管部门工作委托 5 5.1.2 企业测评申请受理 5 5.2 组建测评技术队伍 6 5.2.1 测评协议签订 6 5.2.2 测评技术队伍组建 6 5.3 制定测评工作计划 7 5.3.1 建立项目文档 7 5.3.2 梳理基本情况 7 5.3.3 确定测评范围 8 5.3.4 确定测评方案 8 5.3.5 确定日程安排 8 5.3.6 确定测评工具 9 5.3.7 确定应急预案 9 5.3.8 其它工作要求 9 5.4 开展现场测评工作 9 II 5.4.1 落实责任防护测评 9 5.4.2 安全软件选择与管理防护测评 11 5.4.3 配置和补丁管理防护测评 12 5.4.4 边界安全防护测评 15 5.4.5 物理和环境安全防护测评 17 5.4.6 身份认证防护测评 19 5.4.7 远程访问安全防护测评 22 5.4.8 安全监测和应急预案演练防护测评 24 5.4.9 资产安全防护测评 27 5.4.10 数据安全防护测评 29 5.4.11 供应链管理防护测评 31 5.5 现场测评情况反馈 33 5.6 企业自行整改 33 5.7 开展复测评工作 33 5.8 形成测评结论 33 5.8.1 测评项目组形成结论 33 5.8.2 定期测评要求 34 附录A 工业控制系统信息安全防护能力评分标准 35 附录B 防护测评工具要求 53 附录C 术语与定义 54 附录D 规范性文件 58 III 1 测评目的 通过开展工业控制系统信息安全测评，以测促建、以测促管、 以测促改、以测促防，增强工业控制系统信息安全意识，落实工 业控制系统信息安全责任，深入分析安全风险，系统评估安全状 况，全面排查安全隐患，进一步健全安全管理制度，完善安全防 护措施，提升自主可控水平和安全防护能力，预防和减少工业控 制系统信息安全事件的发生，切实保障全省重要工业控制系统的 安全稳定运行。 2 适用范围 本指南依据《工业控制系统信息安全防护指南》，规定了工 业控制系统信息安全防护能力的通用要求和测评方法。通用要求 从责任落实、安全软件选择与管理、配置和补丁管理、边界安全 防护、物理和环境安全防护、身份认证、远程访问安全、安全监 测和应急预案演练、资产安全和数据安全等方面，对工业控制系 统信息安全防护进行了详细阐述；测评方法包括实施流程、工作 形式和评分细则等。 本指南适用于工业企业针对工业控制系统开展信息安全防护 能力综合评价的工作需要，同时也可为主管部门、第三方测评机 构等开展信息安全管理、检查、自查、测评等工作提供可量化理 论依据，指导工业企业构建工业控制系统信息安全综合保障体系。