工業控制系統安全檢查一般分為監督檢查、自檢查、委託檢查三種類型。
監督檢查是指上級管理部門組織的或國家有關職能部門依法開展的檢查 。 監督檢查可依據本標準的要求,實施完整的資訊保安檢查過程 。監督檢查也可在自檢查的基礎上,對關鍵環節或重點內容實施檢查 。
自檢查是指資訊系統所有者 、運營或使用單位發起的對本單位工業控制系統安全狀況進行的檢查。 自檢查在本標準的指導下,結合系統特定的安全要求進行實施 。
委託檢查是指受檢單位或監督檢查的組織部門不具備檢查能力的,可委託經相關主管部門認可的機構開展檢查 。
檢查又分為準備、實施、分析三個階段。
其中檢查準備是開展檢查工作的前提和基礎,是整個檢查過程有效性的保證。 檢查準備工作是否充分直接關係到後續工作能否順利開展 。 主要內容是明確檢查工作的方式、依據 、範圍和內容,調研被檢查單位和被檢查系統的情況,確定被檢查單位的聯絡人和聯絡方式,確定檢查組成員和檢查工 具,制定檢查方案和計劃並通知被檢查單位。
檢查實施是檢查工作的核心,主要依據檢查方案的總體要求將本檢查規範的要求落實到實際檢查 工作中 ,透過對被檢查單位的人員訪談 、文件審查、配置核查和安全測試,並調閱自查或上次檢查報告(如果有)。對被檢查單位工業控制系統的安全保護現狀進行取證,取得分析與總結活動所需的、足夠的 證據和資料。
檢查結果分析是總結被檢查系統整體安全保護能力的綜合評價活動,根據現場檢查結果和本標準的相關要求,定位系統的安全保護現狀與本標準安全要求之間的差距,並分析這些差距導致被檢查系統面臨的風險,從而給出檢查結論 , 形成檢查報告和整改通知書 。
現場檢查工作完成後 ,由檢查組對檢查結果進行整理,採用定性或定量的風險分析方法編制
“工業控制系統安全檢查報告”
。
參考檔案:
《資訊保安技術 工業控制系統安全檢查指南》
《資訊保安技術 網路安全等級保護定級指南》
《資訊保安技術 工業控制系統安全控制應用指南》
工業控制系統安全:工業控制系統面臨的安全風險思維導圖
工業控制系統安全:工業控制系統安全控制應用指南思維導圖
美國喜歡賊喊捉賊,釋出工業控制安全警告
工業控制系統安全:DCS評估指南思維導圖
工業控制系統安全:DCS管理要求思維導圖
工業控制系統安全:DCS防護要求思維導圖
工業控制系統安全:DCS風險與脆弱性檢測要求思維導圖
工業系統EtherNet / IP堆疊中報告嚴重漏洞
