2:常州市工控安全示范企业申报书项目类别:工业信息安全类申报单位:联系人及手机:填报日期:常州市工业和信息化局印制2020年5月常州市工控安全示范企业申请表单位基本情况单位全称联系人、联系方式企业荣誉省级工业互联网标杆工厂省级重点工业互联网平台企业省级工业互联网服务资源池平台服务商两化融合管理体系贯标达标企业其他注册资金经营范围及主导产品2019年销售收入企业盈利情况是否连续3年盈利:是否企业信息安全现状信息安全的资金投入情况2019年:_______占销售收入比例_______管理信息化、设备工控系统的组织机构情况机构名称:机构人数:是否愿意配合省工信厅参与部署互联网探针、工业控制系统蜜罐工作.
愿意部署探针愿意部署蜜罐不愿意在哪些方面应用了信息信息安全产品,分别用了什么产品(软硬件具体名称)(可多选)1.
IT信息安全工业控制系统信息安全工业互联网安全工业大数据安全工业云安全工业电子商务安全其他(请注明);2.
应用了哪些产品(软硬件具体名称):申报与审核企业申报意见:(盖章)年月日辖市(区)经信(经发)局推荐意见:(盖章)年月日申报书编写内容说明一、申报单位概况(资本性质、组织结构、财务状况、经营情况等)二、纳入试点工作后,在工控安全方面所作主要工作及特色亮点(可对照自评表相关内容)三、落实工业信息安全责任制企业主体责任情况是否明确企业法人代表、经营负责人为企业工业互联网安全防护能力建设和安全管理制度落实的第一责任人,设立网络安全专门机构和专职管理人员,建立企业内部网络安全责任制实施办法或细则,完善风险评估、安全审计、安全事件报告和问责机制.
四、下步工作计划为提高企业工控安全防护能力,企业的下一步工作计划.
五、报告(一)申报单位营业执照;(二)近三年获得的工业信息安全相关荣誉证明材料;(三)2019年企业财务审计报告正文(附注不需要提供);(四)其他相关证明文件.
六、工业控制系统信息安全防护建设自评表域子域满足要求打√安全技术物理与环境安全物理隔离保护企业应提供工业控制系统长期的备用电力供应系统,该系统是独立运行而不依赖外部电源的1.
企业应基于重要工程师站、数据库、服务器、工业控制设备等核心工业控制软硬件划分重点物理安全防护区域;2.
在指定出入口采用围墙、门禁、门卫等物理访问控制措施,具有物理访问授权不代表对该区域工业控制系统组件有逻辑访问权3.
在物理访问工业控制系统设施前对人员的访问权限进行验证.
1.
维护工业控制系统物理访问记录;2.
在需要对访客进行陪同和监视的环境下对访问者的行为进行陪同和监视;3.
企业应控制对工程师站、操作员站等工业主机的物理访问,这些控制应独立于对工业生产设备的物理访问控制.
1.
企业应对较容易进入且拥有可移动截止驱动器的工业现场设备采取物理加锁、驱动卸载或软件禁用等手段提高安全性;2.
应将服务器放置在带锁的区域并采用认证保护机制;3.
应将工业控制系统网络设备放置在只能由授权人员访问的符合环境要求的安全区域中.
企业使用自动化的物理隔离保护管理实时监控机制,自动保存物理隔离保护日志,并实现实时预警提示.
应急电源1.
企业应在放置工业控制系统的设施内设置避雷装置,工业主机集中部署区域,如主机房、通信设备机房等应满足机房相关安全建设标准;2.
工业控制系统应满足电磁防护要求,防止外界电磁干扰和设备寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰;3.
使用防火设备或系统,该设备或系统在火灾事故中会自动激活并通知组织和紧急事件处理人员;4.
使用灭火设备或系统该设备或系统,该设备或系统为企业和紧急事件处理人员提供任何激活操作的自动通知.
1.
为工业控制系统配备应急UPS电源,并计算其续航时间;2.
提供短期不间断电源,以便在主电源失效的情况下正常关闭工业控制系统.
1.
提供长期备份电源,以便主电源失效时在规定时间内保持工业控制系统功能;2.
企业应为工业控制系统提供备用电力供应系统,能够在主电源长期丧失的事故中有能力维持工业控制系统所必须的最小的运行能力.
企业应提供工业控制系统长期的备用电力供应系统,该系统是独立运行而不依赖外部电源的企业为工业控制系统提供长期高效的备用电力供应系统,能完全接替主电源的供电任务,使工业控制系统能够在主电源长期丧失的事故中,实现主备电源的实时切换,以维持事故前的工作运行能力物理防灾企业应确保开发测试环境与实际生产环境物理相分离.
1.
为工业控制系统部署火灾检测和消防系统或设备,并维护该设备;2.
应控制工业控制系统所在环境的温湿度,使其处于设备运行允许的范围;3.
企业应提供易用、工作正常的、关键人员知晓的总阀门或隔离阀门以保护工业控制系统免受漏水事故的损害1.
企业应在放置工业控制系统的设施内设置避雷装置,工业主机集中部署区域,如主机房、通信设备机房等应满足机房相关安全建设标准;2.
工业控制系统应满足电磁防护要求,防止外界电磁干扰和设备寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰;3.
使用防火设备或系统,该设备或系统在火灾事故中会自动激活并通知组织和紧急事件处理人员;4.
使用灭火设备或系统该设备或系统,该设备或系统为企业和紧急事件处理人员提供任何激活操作的自动通知.
1.
工业主机集中部署的区域,如主机房通信设备机房等应采用具有耐火等级的建筑材料,采取区域隔离防火措施,将重要设备与其他设备隔离;2.
工业主机集中部署区域,如主机房通信设备机房等应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内;3.
企业应使用自动化机制,在重大漏水事故时能保护工业控制系统免受水灾.
1.
组织应使用自动化的物理防灾管理实时监控机制,对工业控制系统所在区域的物理防灾情况实时探测并记录,能对有物理灾患的情况及时进行预警提示;2.
当有事故发生时,物理防灾系统能自动调配物理防灾装置,对事故所在区域实施正确应急处理手段,快速控制现场事故情况,使其负面后果最小化.
通信网络安全网络隔离企业应为开发和测试环境,维护一个基线配置企业应确保开发测试环境与实际生产环境物理相分离.
企业应根据区域重要性和业务需求对工业控制系统进行安全区域划分,以确保安全风险的区域隔离.
企业应针对工业控制系统分别提供独立的开发、测试和生产环境,避免开发、测试环境中的安全风险引入生产系统.
企业应搭建云端开发环境,测试环境与实际生产环境高度仿真,实现开发环境、测试环境、用户验收测试环境及生产环境的分离控制.
区域划分企业应建立安全区域划分策略企业应根据区域重要性和业务需求对工业控制系统进行安全区域划分,以确保安全风险的区域隔离.
企业可采用自动化机制,基于深度防御的思想,智能生成区域访问控制策略并自适应演进,以针对不同安全区域的边界实现不同程度的安全隔离强度.
企业应将具有相同功能和安全要求的控制设备划分到同一区域,区域之间执行管路通信,并对控制区域间管路中的通信内容进行统一管理.
企业可采用自动化机制,基于深度防御的思想,智能生成区域访问控制策略并自适应演进,以针对不同安全区域的边界实现不同程度的安全隔离强度.
边界防护企业应禁止未加防护的工业控制网络与互联网直接连接,确保互联网的安全风险不被引入工业控制网络.
1.
企业应在生产网和办公网边界部署安全防护设备,防止办公网的安全风险进入工业控制网络;2.
应能够对非授权设备私自联到内部网络的行为进行限制或检查;3.
应能够对内部用户非授权联到外部网络的行为进行限制或检查.
企业应监视并控制工业控制网络边界上的通信,以及网络内关键边界上的通信.
1.
企业应通过受控的接口连接外部网络或工业控制系统;2.
企业应限制无线网络的使用,保证无线网络通过受控的边界防护设备接入内部网络.
1.
企业应部署相应技术措施,以发现并阻断非授权内嵌和非法外联行为;2.
企业可采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信.
工业主机安全安全软件1.
应建立工业主机防病毒和恶意软件入侵管理制度,制定安全管理文档,确保该管理机制可有效规范防病毒和恶意软件入侵管理工作.
2.
应在工业主机中安装安全软件,有效防护病毒、木马等恶意程序,防止未授权应用程序和服务运行.
1.
安全软件应在离线环境中充分测试验证,确保其不会对工业控制系统的正常运行造成影响;2.
应依据采购合同、软件协议等规定的方式使用安全软件.
应定期对工业控制系统进行查杀,在临时接入设备使用前进行查杀,并做详细查杀记录.
1.
企业应安装工业控制系统安全软件统一管理系统,以实现网络内工业主机安全防护软件的统一管理;2.
工业主机上部署的安全软件,应能够即使是别网络侵入和恶意病毒,并告警.
工业控制系统安全软件统一管理系统应集成自适应分析学习功能,通过控制行为逻辑安全性判断、分布式逻辑行为的综合分析等,实现异常控制程序、指令等实时分析反馈.
补丁升级应建立工业信息安全漏洞和补丁管理制度,确保企业掌握重大工业信息安全漏洞信息,并及时采取措施.
出现重大工业信息安全漏洞后,应及时跟踪补丁发布,在适当时间(原则上不超过180天)进行补丁升级或开展消减措施.
1.
补丁安装前,应对补丁进行安全评估测试,验证其有效性并评估可能带来的后果,必要时进行离线评估,确保补丁安装后工业控制系统的正常运行;2.
应建立补丁升级标准化流程,对补丁升级进行集中统一管理,由专业人员进行补丁升级.
应制定详细的回退计划,确保工业控制系统能够回到稳定运行状态.
1.
应部署补丁审查系统,自动定期扫描检查工业主机补丁升级情况;2.
补丁安装前,应建立与实际生产环境高度一致的安全测试环境,并在测试环境中开展全面安全性测试,确保补丁的有效性及可靠性.
外设管理应建立工业主机外设接口管理制度,严格管控工业主机外设接口的使用.
应拆除或封闭工业主机上不必要的USB、光驱、无线等接口,防止病毒、木马、蠕虫等恶意代码入侵,并避免数据泄漏.
确需使用工业主机外设接口时,通过主机外设安全管理技术手段实施访问控制,以避免未授权的外设终端接入.
应采用统一审批的工业主机外接设备,工业主机拒绝访问未经审批的外接设备.
身份认证1.
应建立身份认证管理制度;2.
应建立密码口令管理制度;3.
应根据不同业务需求、岗位职责等,合理分类设置账户.
1.
应在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理技术(如口令密码、数字证书、生物指纹等);2.
应明确禁止账户借用;3.
应以满足工作要求的最小特权原则来进行系统账户授权分配;4.
应为工业控制设备、工业通信设备等的登录账户设置高强度登录密码,并定期更新.
1.
连续登录失败时,应限制账户的无效访问尝试;2.
应加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享.
企业应确保其身份认证证书传输、存储的安全可靠,避免证书的未授权使用.
1.
应根据实际情况,明确关键设备、系统和平台,并在访问过程中,采用两种或两种以上因素认证方式,以避免非法登录等安全隐患;2.
应明确授权和监督匿名账户的使用;3.
需定期自行审计分配的账户权限是否超出工作需要,确保超出工作需要的账户权限及时调整;4.
当未成功尝试超出最大次数时,应锁死账户,直至管理员予以释放.
企业通过自建电子认证体系,建立全组织范围内的身份认证系统,实现多级别多因素的认证方式,以此构建重要工业主机多层防御机制.
应用程序安全源代码审计企业制定相关制度,明确规定在部署运行应用程序前,应对其源代码进行安全性测试.
防止在工业控制系统相关应用程序中使用来自开源、受限制的或无认证源代码源的可执行代码对于定制软件和应用程序的脆弱性进行分析,开展源代码评审、分析、漏洞挖掘等工作,包括但不限于SQL注入、文件操作(上传、写入、读取、删除)、文件包含、命令执行、XSS、Cookie欺骗、逻辑漏洞等方面.
1.
企业应记录代码审计过程和结论,经过分析形成知识库,规范代码审计流程,指导产业链上下游依规开展源代码审计工作;2.
企业中安装运营的应用程序,均应具有应用程序的源代码安全检测审计报告.
1.
企业根据累积的经验和知识库,定制开发行业级的代码审计工具,并不断进行升级维护;2.
企业应进一步形成标准化的代码审计工具库及流程;3.
企业应对安装运营的应用程序,开展源代码安全检测工作升级安全保障企业应针对应用程序的升级过程建立完善的安全保障制度.
1.
企业在对应用程序升级实施前,对升级包的来源进行可靠性验证;2.
企业在升级包安装前应针对升级包进行安全评估测试,验证其有效性并评估可能带来的后果,以确保其安装后应用程序及工业控制系统仍能够正常运行.
企业应对应用程序升级后的运行情况进行持续跟踪,及时发现异常状况,确保系统稳定运行.
1.
企业应针对应用程序建立安全升级管理系统,统筹管理组织内部应用程序的升级计划及实施过程;2.
企业应制定详细的"回退"计划并具备实施能力,确保需要时应用程序及工业控制系统能够回退到升级之前的稳定运行状态.
数据安全防护数据分类分级管理定期对工业数据资产进行分类梳理,建立工业数据资产目录.
1.
应按照行业主管部门相关规定,开展工业数据分类分级工作;2.
应以书面形式,说明工业数据分类情况和定级情况,并组织技术专家对定级结果的合理性和正确性进行审核论证.
1.
应对工业数据的应用现状、防护措施、共享范围等,向数据所在地相应层级的有关部门上报备案;2.
应对数据备案情况每年至少开展一次复查,当相关情况发生变更上报有关部门.
原则上禁止核心工业数据共享,确需共享的,应按照相关法规政策要求,严格控制知悉范围,并将有关情况报数据所在地省级有关主管部门(省工业信息安全主管部门)备案.
1.
应对不同重要性或敏感程度的数据共享范围进行分类控制,确保数据安全使用、流动及共享;2.
针对企业生产经营有重要作用的数据,面向确需获取该级数据以及授权机构及相关单位,采取最小知悉原则确定开放范围,建立加密认证、权限管理和访问管理等安全保护机制.
差异化防护1.
应明确识别重要工业数据清单(如通过OPC采集的生产数据、历史站存储的数据等);2.
应采用校验技术,保证重要数据在动态传输的过程中的完整性.
1.
应对静态存储的重要工业数据设置访问控制功能;2.
应对动态传输的重要工业数据进行加密传输,或使用VPN等方式进行保护;3.
应对静态存储的重要工业数据进行加密存储或隔离保护,确保静态存储的工业数据不被非法访问、删除、修改.
1.
应根据行业主管部门相关政策,对数据进行分类梳理和标示;2.
应结合数据重要性、敏感度及风险评估结果,对工业数据实施分级防护,确保防护方式合理;3.
建立针对工业数据上云的授权认证机制,严格控制云服务商或第三方对生产数据的采集、管理和使用权限.
1.
应对进出工业控制系统的数据流实现基于应用协议和应用内容的访问控制;2.
应具备对连接设备(包括终端节点)产生、传输和存储的数据进行标识、鉴别和可信验证的能力.
应建立数据集中管控平台,具备对分散在各个工业控制系统及设备上的关键业务数据进行收集汇总、集中分析和合规审计.
数据备份1.
应建立关键数据清单(如生产工艺、生产计划、组态文件、调度管理等数据);2.
应对关键数据实施本地定期备份,提供数据恢复功能.
1.
应对关键数据进行异地备份,利用受保护的通信网络将重要数据定时批量传送至备份场地;2.
应视企业业务需要,明确关键数据的备份方式、备份周期等策略,具备合理性,确保数据备份策略执行到位.
1.
应定期对所备份的关键数据进行恢复测试,确保备份数据的可用性;2.
应建立备份数据存储安全防护机制,采用数据加密、访问控制等手段,确保备份数据安全.
应根据数据重要性和数据对系统运行的影响,分级制定数据备份策略和恢复策略,部署备份程序和恢复程序.
1.
应建立异地灾难备份中心,提供数据处理系统及业务应用的实时切换;2.
应提供具备实时性的关键业务数据处理系统的热冗余,确保数据和系统的高可用性.
测试数据保护应建立相应规章制度,对测试数据从产生到销毁的过程进行规范管理.
1.
应对测试过程中产生的数据采取适宜、有效的技术防护措施进行保护;2.
应避免使用实际生产数据等敏感数据进行测试.
1.
应制定测试数据留存周期,处理、销毁方式等策略;2.
在必要情况下,应提供去除所有敏感细节和内容的数据进行测试;3.
应定期对测试数据进行审计.
1.
在对测试数据进行处理之前,应进行数据清洗和敏感性验证;2.
对包含敏感信息的测试数据在销毁之前进行脱敏处理.
应采取充分手段,确保包含敏感性息的测试数据在销毁之后不能技术恢复,所在的存储空间在重新分配前得到完全清除.
监测预警资产感知建立企业工控系统及安全重要资产清单以自动化技术手段,实现工控资产设备感知,自动识别工业控制网络中工业资产,覆盖工业企业关键工业资产,采集工业控制系统安全运行状态,生成资产清单.
已自动化技术手段,识别工业控制网络中重要工业控制系统资产,覆盖工业主机、PLC、SCADA、DCS等主流工业设备以及工业信息系统、工业互联网平台的信息基础设施.
1.
以自动化技术手段,识别工业控制网络中全部工业控制系统资产,覆盖工业主机、PLC、SCADA、DCS、数控机床、轧机等主流工业设备以及工业信息系统、工业互联网平台的信息基础设施;2.
企业采用的资产感知技术,可识别企业中主流工业控制系统专用协议,能够绘制网络拓扑结构.
1.
企业采用的资产感知技术,可识别企业中全部工业控制系统专用协议,能够绘制网络拓扑结构;2.
资产感知数据与国家或省级安全态势感知平台实现数据对接.
风险监测应选择相关安全机构开展信息安全监测服务.
1.
在工业控制网络部署安全检测设备,及时发现网络攻击或异常行为;2.
在重要工业控制网络中部署具备工业协议深度包检测功能的监测设备、审计违法操作部署工业资源安全监测设备,及时发现工业控制系统及设备、工业信息系统、工业互联网平台、工业数据库、应用程序等工业资源漏洞情况.
1.
在工业主机安装主机安全监测工具,及时发现工业主机可能存在的安全漏洞及风险隐患;2.
建设企业级工业信息安全风险监测与台式感知平台,汇集工业资产、系统平台、企业网络相关安全信息,综合感知企业安全风险状况.
企业级工业信息安全风险监测与态势感知平台与国家级或省级平台进行数据对接.
威胁预警应建立威胁预警机制.
及时关注国家级与升级工业信息安全风险预警平台发布的安全风险信息,按照安全建议采取风险消减措施.
及时将国家级与省级工业信息安全风险预警平台发布的重大安全风险通知到具体业务负责人,在企业内部开展重大安全风险排查工作.
接入国家级或省级工业信息安全相关监测预警平台,建立安全威胁报送与预警处置工作流程.
企业按照相关工作流程,及时报送所受到的网络攻击、病毒感染、重大漏洞等安全风险,并上报风险处置结果.
安全管理安全规划与机构建设策略与规程企业针对工业控制系统的信息安全,制订基本的制度文件,并明确规定由工业控制系统运维部门负安全主体责任,牵头开展工业控制系统信息安全防护能力建设.
1.
企业应制定并发布安全规划的策略,内容至少包括:目的、范围、角色、责任、管理层承诺、相关部门间的协调和合规性;2.
制定并发布安全规划规程,以推动安全规划规程,以推动安全规划的策略及与相关安全控制的实施.
按组织定义的时间间隔,对安全规划的策略及规程进行评审和更新.
1.
基于纵深防御的思想制订工业控制系统的信息安全架构,描述信息安全保护的需求、方法及有关外部服务的安全假设或依赖关系;2.
按企业定义的时间间隔审核并更新信息安全架构.
机构设置企业应建立工业控制系统信息安全管理机制,确保工控安全管理工作有序开展.
企业应成立由企业负责人牵头,信息化、生产管理、设备管理等相关部门组成的信息安全协调组织,负责统筹协调工业控制系统信息安全相关工作.
各相关部门应在信息安全协调组织指导下,按照管理机制,明确工控安全管理责任人,落实工控安全责任制,明确工控安全管理责任人,部署工控安全防护措施.
1.
企业应建立跨部门、跨职能的工业控制系统信息安全联合管理团队;2.
制度执行应通过各相关部门协同落实.
企业联合产业链上下游,建立工业控制系统信息安全防护联合工作机制.
职责划分企业应设立信息安全管理工作的职能部门,专门负责工业控制系统信息安全相关的工作.
企业应设立安全主管、安全管理各方面的负责人岗位,并定义各负责人的职责.
企业应设立系统管理员、网络管理员、安全管理员等岗位,并定义部门及各个工作岗位职责.
1.
根据需要建立适当的职责分离来消除工作职责划分交叉重复造成的影响;2.
限制和控制特殊权限的分配和使用,根据用户的角色分配权限,实现用户的权限分离,如实现管理用户、操作系统特权用户的权限分离.
人员管理及培训人员安全管理1.
应建立专门针对工业控制系统信息安全的人员安全管理制度,内容需包含:目的、范围、角色、责任、管理承诺等;2.
应定期对人员安全管理制度进行评审和更新.
1.
应建立工业信息安全岗位分类机制;2.
应建立人员审查制度,尤其对控制和管理工业控制系统关键岗位的人员进行审查.
1.
在授权访问工业控制系统及相关信息前需进行人员审查;2.
在人员离职或岗位调整时对其进行审查.
1.
应终止离职人员对工业控制系统的访问权限;2.
删除与离职人员相关的任何身份认证信息;3.
与离职人员签订安全保密协议;4.
确保离职人员移交与工业控制系统相关资产和工具.
应保留所有工作人员(包括离职人员)的权限记录,发生重大安全事故时进行监视和审查.
教育培训1.
应建立工业信息安全教育培训制度,至少包含目的、范围、角色、责任、管理承诺、部门间的协调以及合规性;2.
制定教育培训课程,推动教育培训的实施;3.
应定期开展教育培训活动,并对教育培训制度和课程进行评审和调整.
1.
定期为工业控制系统管理员、高级管理层提供安全意识培训;2.
为工业控制系统管理员、高级管理层提供安全意识培训;3.
安全意识培训内容应包括:工业控制系统安全事件解析、工业控制系统安全解决方案、工业控制系统安全趋势和安全漏洞等.
1.
开展包括实际操作的安全培训,以增强安全培训的目标;2.
记录工业控制系统安全培训活动,包括基本的安全意识培训和具体的工业控制系统安全制度与技术培训.
1.
开展包括识别和报告内部潜在威胁的安全意识培训;2.
开展工业信息安全风险识别培训,使安全人员能够识别工业控制系统存在的异常行为;3.
应定期对主要培训人员进行技术技能考核.
1.
针对特定人员开展包括实际练习的安全意识培训和模拟攻击培训;2.
应定期对所有培训人员进行技术技能考核.
资产安全管理设备资产管理企业应制定设备资产管理制度企业应建立工业控制系统资产清单(包括软件资产、硬件资产、固件资产等),确保工业控制系统资产信息可核查、可追溯.
企业应明确资产责任人并建立资产使用处置规则,以在资产生命周期内对其进行适当管理.
应围绕企业工业控制系统承载的关键业务,制定涵盖关键主机设备、网络设备、控制组件等的重要资产清单.
1.
企业应将工业控制系统设备资产清单及相关信息上传至云端(可为私有云),对设备资产进行智能管控;2.
企业应采用自动化扫描等技术,自动实时发现新增、变更的网络设备、主机设备、控制设备等,并自动更新资产清单.
介质保护1.
企业应建立介质保护制度,包括介质登记、介质使用、介质销毁等,并定期对介质保护制度进行评审、更新;2.
企业应对介质进行分类保护,将介质分为数字介质和非数字介质.
其中,数字介质包括:硬盘、光盘、软盘、U盘等,非数字介质包括文档、缩微胶片等.
1.
受控区域内,应采取武力控制措施并安全存储各类介质,实行专人管理,并根据介质登记的清单定期盘点;2.
受控区域外传递各类介质时,应采取安全防护措施进行保护和控制;3.
在介质报废、回收前,应对介质进行销毁,采用销毁机制的强度、覆盖范围应与介质中存储信息的安全类别或等级相匹配.
1.
介质由企业集中管控,依据确定的范围登记介质名称、种类、序号、分发范围、访问要求、处理要求、销毁要求等;2.
企业应对介质传递相关活动进行记录,确保介质在受控区域外传递过程的可核查性;3.
介质销毁前,应进行审阅、批准、跟踪等步骤,经组织审查和批准后进行介质销毁,并确认该销毁过程的合规性.
1.
应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录;2.
采取物理安全保护等措施存放重要介质.
1.
采取自动化技术手段,识别并禁止未标识介质在工业控制系统中使用;2.
销毁前应采用技术手段,确认介质内的信息不能恢复或重建.
供应链安全产品选型企业应规定仅选取市场上具有安全能力的信息技术产品,在使用前应进行评估和确认.
企业应确保使用市场上具有基本的信息保障能力的信息技术产品.
在工业控制系统选型上,企业应基于利于维护等原则选择设备和供应商.
企业宜在条件允许的情况下,使用标准配置的不同品牌的工业控制系统、系统部件及信息技术产品,并对其安全性进行独立分析、兼容性测试.
1.
企业应选择依据自身特殊安全需求自研或定制开发的产品;2.
企业选择的自研或者定制开发的产品,应通过国家权威机构安全检测或认证.
供应商选择企业应制定供应商选择策略和制度,根据产品和服务重要程度对供应商开展相应的安全调查.
1.
企业在选择工业控制系统规划、设计、建设、运维或测评服务商时,应优先考虑具备工控安全防护经验的企、事业单位;2.
企业应建立合格供应商目录,并每年对供应商开展监督、评审、审核.
1.
企业在选择工业控制系统规划、设计、建设、运维或测评服务商时,应优先考虑具有国家部委认可的相关资质的企、事业单位;2.
企业应建立合格供应商目录,并每半年对供应商开展监督、评审、审核.
1.
对关键产品和服务供应商实行筛选,与产品和服务供应商进行合作时,企业应优先选择可提供及时响应、持续支持、安全高效的服务供应商;2.
企业应建立合格供应商目录,并每季度对供应商开展监督、评审、审核.
在签署合同前对供应商进行调查,根据实际情况,包括但不限于:分析供应商对信息系统、组件和服务的设计、开发、实施、验证、交付、支持过程;评价供应商在开发信息系统、组件或服务时接受的安全培训和积累的经验,以判断其安全能力.
采购交付企业应在采购前建立与供应链信息安全风险承受能力相适应的采购策略,制定供应商的信息安全基线要求.
企业应要求产品和服务供应商制定用户文档和使用指南,包括但不限于:产品和服务的安全配置、安装和运行说明、与管理功能有关的配置和使用方面的注意事项、对用户安全责任和注意事项的说明等.
1.
企业应要求供应商交付产品及服务,许提供组织认可的第三方安全测试报告,以确保其满足采购合同的功能要求;2.
交付时应对负责韵味的技术人员进行技能培训.
1.
企业应要求供应商对其交付的网络安全产品实行安全配置,并在安全子系统、安全组件、安全服务重启或重装后恢复安全默认配置;2.
企业应要求工业控制系统部件以安全和规定的配置方式予以交付,并且该安全配置对任何软件重新安装或调整军事默认的配置.
1.
保证交付的相关产品、服务,提供全部源代码及开发环境配置信息,并审查源代码中可能存在的后门及隐蔽信道;2.
建立产品全供应链跟踪机制,使用资产跟踪(如RFID或数字签名等)、GPS定位、APP签收等措施来保障在生产、运输、存储、交付中的系统和相关组件安全,以防止系统和组件被假冒、丢失、受损等导致供应链中断.
亚洲云Asiayun怎么样?亚洲云Asiayun好不好?亚洲云成立于2021年,隶属于上海玥悠悠云计算有限公司(Yyyisp),是一家新国人IDC商家,且正规持证IDC/ISP/CDN,商家主要提供数据中心基础服务、互联网业务解决方案,及专属服务器租用、云服务器、云虚拟主机、专属服务器托管、带宽租用等产品和服务。Asiayun提供源自大陆、香港、韩国和美国等地骨干级机房优质资源,包括B...
说明一下:gcorelabs的俄罗斯远东机房“伯力”既有“Virtual servers”也有“CLOUD SERVICES”,前者是VPS,后者是云服务器,不是一回事;由于平日大家习惯把VPS和云服务器当做一回事儿,所以这里要特别说明一下。本次测评的是gcorelabs的cloud,也就是云服务器。 官方网站:https://gcorelabs.com 支持:数字加密货币、信用卡、PayPal...
photonvps怎么样?photonvps现在针对旗下美国vps推出半价促销优惠活动,2.5美元/月起,免费10Gbps DDoS防御,Linux系统,机房可选美国洛杉矶、达拉斯、芝加哥、阿什本。以前觉得老牌商家PhotonVPS贵的朋友可以先入手一个月PhotonVPS美国Linux VPS试试了。PhotonVPS允许合法大人内容,支持支付宝、paypal和信用卡,30天退款保证。Photo...