工业控制系统安全服务资质认证自表注明行业.docxVIP

CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 工业控制系统安全服务资质认证自评估表(注明行业) 填表说明：每个行业单独填写自评估表。 组织名称 申报级别 评估时间 评估部门/人员 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 序 号 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单 1. 服务技术 要求 建立工业控制系统安全服务流程，并 按照流程实施。 按照相关标准建立的工业控制系统 安全服务流程，流程图中应包括每 个阶段对应的职责、输入输出等。 2. 服务技术 要求 制定工业控制系统安全服务规范标准， 并按照规范实施。 已制定的工控控制系统安全服务规 范。 3. 服务规划 阶段-调研 客户需求 H1.1.1 a) 编制业务情况和工业控制系 统调研表，并按照调研表收集有效信 息。 已完成业务情况调研表，收集有效 信息。 4. 服务规划 阶段-调研 客户需求 H1.1.1 b) 有效掌握工业企业的组织结 构、了解对工业控制系统的管理机制。 企业的组织结构、对生产控制系统 管理的文字材料。 5. 服务规划 阶段-调研 客户需求 H1.1.1 c) 采集客户对工业控制系统系 统安全管理和技术服务的目标和需求。 客户对工控系统安全管理和技术服 务的目标和需求的文字材料。 中国网络安全审查技术与认证中心  第 1 页 共 15 页 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 序 号 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单 6. H2.1.1 a) 调研客户工业控制系统的业 务逻辑、工作流程，工业控制系统系 统的设备组成、网络架构等。 已完成业务情况和生产控制系统调 研表，包括客户控制系统的业务逻 辑、工作流程，控制系统的设备组 成、现场网络等。 7. 编制完整的客户调研报告，调研的内 容包括组织架构、制度列表、业务流 程、工业控制系统资产信息、工业控 制系统相关的管理人员信息等。 已完成客户调研报告，调研的内容 包括组织架构、制度列表、业务流 程、控制系统及设备、控制系统相 关的管理人员信息等。 8. 调研客户企业愿景，对工业控制系统 安全业务的发展规划和未来几年业务 发展目标。 已完成客户调研报告，包括客户企 业愿景，对工控安全业务的发展规 划和未来几年业务发展目标。 9. 服务规划 阶段-分析 服务业务 识别工业控制系统面临的潜在威胁， 分析服务过程中可能生产的安全风险； 已完成项目的服务方案中有安全风 险分析、识别法律及标准规范、客 户业务需求的证明材料。 10. 服务规划 阶段-分析 服务业务 识别影响工业控制系统服务的法律、 政策、标准、外部影响和约束条件； 已完成项目的服务方案中有安全风 险分析、识别法律及标准规范、客 户业务需求的证明材料。 11. 服务规划 阶段-分析 服务业务 分析客户业务需求，明确客户工业控 制系统安全服务的目标与需求。 已完成项目的服务方案中有安全风 险分析、识别法律及标准规范、客 户业务需求的证明材料。 12. 服务规划 阶段-分析 服务业务 仅二级/一级要求：了解所属行业主管 部门对工业控制系统安全要求。 已完成项目的服务方案中有识别行 业主管部门的安全要求的证明材料。 中国网络安全审查技术与认证中心  第 2 页 共 15 页 CCRC-QOT-0436-B/0 工业控制系统安全服务资质认证自评估表 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 序 号 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单 13. 仅一级要求：对客户的安全生产和网 络安全现状进行评估，调研行业安全 防护的水平，明确薄弱环节。 已完成项目的服务方案中有调研行 业安全水平，分析薄弱环节的证明 材料。 14. 服务规划 阶段-编制 服务方案 结合调研的安全需求，与客户、工业 控制系统系统开发单位及其他相关人 员充分沟通，编制安全服务技术方案 和服务预算。 已完成项目的服务方案，包含安全 需求、工作内容、服务方式、服务 预算等内容证明材料。 15. 服务规划 阶段-编制 服务方案 与客户签订服务协议，编制实施方案， 明确服务范围、目标、进度、内容、 金额、交付质量、沟通和风险等方面 的要求。 已完成项目的实施方案，包含服务 范围、目标、进度、内容、金额、 质量输出、沟通和风险等内容的证 明材料。 16. 服务规划 阶段-编制 服务方案 仅二级/一级要求：制定针对人员、设 备、文档、系统的风险监控措施，有 效保障工业控制系统的安全、稳定。 已完成项目的实施方案，包含人员、 设备、文档、系统的风险监控措施 等内容的