工业控制系统安全检查一般分为监督检查、自检查、委托检查三种类型。
监督检查是指上级管理部门组织的或国家有关职能部门依法开展的检查 。 监督检查可依据本标准的要求,实施完整的信息安全检查过程 。监督检查也可在自检查的基础上,对关键环节或重点内容实施检查 。
自检查是指信息系统所有者 、运营或使用单位发起的对本单位工业控制系统安全状况进行的检查。 自检查在本标准的指导下,结合系统特定的安全要求进行实施 。
委托检查是指受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构开展检查 。
检查又分为准备、实施、分析三个阶段。
其中检查准备是开展检查工作的前提和基础,是整个检查过程有效性的保证。 检查准备工作是否充分直接关系到后续工作能否顺利开展 。 主要内容是明确检查工作的方式、依据 、范围和内容,调研被检查单位和被检查系统的情况,确定被检查单位的联系人和联络方式,确定检查组成员和检查工 具,制定检查方案和计划并通知被检查单位。
检查实施是检查工作的核心,主要依据检查方案的总体要求将本检查规范的要求落实到实际检查 工作中 ,通过对被检查单位的人员访谈 、文档审查、配置核查和安全测试,并调阅自查或上次检查报告(如果有)。对被检查单位工业控制系统的安全保护现状进行取证,取得分析与总结活动所需的、足够的 证据和资料。
检查结果分析是总结被检查系统整体安全保护能力的综合评价活动,根据现场检查结果和本标准的相关要求,定位系统的安全保护现状与本标准安全要求之间的差距,并分析这些差距导致被检查系统面临的风险,从而给出检查结论 , 形成检查报告和整改通知书 。
现场检查工作完成后 ,由检查组对检查结果进行整理,采用定性或定量的风险分析方法编制“工业控制系统安全检查报告”。
参考文件:
- 《信息安全技术 工业控制系统安全检查指南》
- 《信息安全技术 网络安全等级保护定级指南》
- 《信息安全技术 工业控制系统安全控制应用指南》
工业控制系统安全:工业控制系统安全控制应用指南思维导图
美国喜欢贼喊捉贼,发布工业控制安全警告
工业控制系统安全:DCS评估指南思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS风险与脆弱性检测要求思维导图
工业系统EtherNet / IP堆栈中报告严重漏洞
