河南省工业控制系统信息安全测评工作指南.PDF

河南省工业控制系统信息安全 测评工作指南 河南省信息化和信息安全工作领导小组办公室 2019 年6 月 前 言 为持续提升我省企事业单位的工业控制系统信息安全防护水 平，贯彻落实《河南省 “十三五”信息化发展规划》和《河南省建 设网络强省实施方案》，依据《中华人民共和国网络安全法》和 《工业控制系统信息安全防护指南》，我办组织编写了本指南， 并经相关专家进行了评审。 本指南围绕工业控制系统信息安全测评工作，明确了工业控 制系统信息安全测评工作是什么、怎么做的问题。从测评工作流 程、测评队伍组建、制定测评工作计划、防护能力评价指标、现 场报告形成、整改复评、形成结论等方面，对工业控制系统信息 安全测评工作进行了详细阐述。结合近年来我办开展工业控制系 统信息安全测评工作经验，重点细化并补充完善了《工业控制系 统信息安全防护指南》中明确的 11 项重点防护内容，以标准化 的评分量化现场测评内容，力图标准化测评流程，以具体客观方 式规范测评工作。 本指南在编制过程中还参考了《国家网络空间安全战略》 《国务院关于印发〈中国制造2025 〉的通知》（国发〔2015 〕28 号）等文件，是 2018 年印发的《河南省工业控制系统信息安全 管理工作指南》在工业控制系统信息安全测评工作方面的深化和 发展。本指南既有助于工业控制系统信息安全主管部门、第三方 测评机构开展工业控制系统信息安全测评工作，又适用于企事业 单位开展工业控制系统信息安全自评工作。 2019 年6 月 I 目 次 1 测评目的 1 2 适用范围 1 3 测评机构和企业要求 2 3.1 测评机构 2 3.1.1 基本要求 2 3.1.2 人员要求 2 3.2 工业企业 3 4 测评工作流程 3 5 测评工作实施 5 5.1 受理测评申请 5 5.1.1 主管部门工作委托 5 5.1.2 企业测评申请受理 5 5.2 组建测评技术队伍 6 5.2.1 测评协议签订 6 5.2.2 测评技术队伍组建 6 5.3 制定测评工作计划 7 5.3.1 建立项目文档 7 5.3.2 梳理基本情况 7 5.3.3 确定测评范围 8 5.3.4 确定测评方案 8 5.3.5 确定日程安排 8 5.3.6 确定测评工具 9 5.3.7 确定应急预案 9 5.3.8 其它工作要求 9 5.4 开展现场测评工作 9 II 5.4.1 落实责任防护测评 9 5.4.2 安全软件选择与管理防护测评 11 5.4.3 配置和补丁管理防护测评 12 5.4.4 边界安全防护测评 15 5.4.5 物理和环境安全防护测评 17 5.4.6 身份认证防护测评 19 5.4.7 远程访问安全防护测评 22 5.4.8 安全监测和应急预案演练防护测评 24 5.4.9 资产安全防护测评 27 5.4.10 数据安全防护测评 29 5.4.11 供应链管理防护测评 31 5.5 现场测评情况反馈 33 5.6 企业自行整改