GB/T37980-2019 信息安全技術 工業控制系統安全檢查指南10.2 規章制度
10.2.1 整體策略及總體方案制定
本檢查項包括:
a) 檢查企業是否制定符合國家及行業政策要求的工業控制系統信息安全工作整體策略和總體方案,是否說明了信息安全工作總體目標、范圍、防護框架和防護措施。
a) 信息安全工作整體策略、總體方案、信息安全工作總體目標、范圍、防護框架和防護措施。
a) 文檔審查,查閱信息安全整體策略和總體方案文檔。
10.2.2 制度制定及體系完整性
本檢查項包括:
a) 檢查企業是否針對工業控制系統的信息安全工作制定基本安全管理制度,并以此為基礎形成涵蓋人員管理、資產管理、介質管理、建設安全管理、運行維護管理、外包服務管理、培訓教育等方面的制度體系。
a) 基本安全管理制度。
檢查方法:
a) 文檔審查,查閱組織是否制訂了基本管理制度,內容是否涵蓋人員管理、資產管理、介質管理、建設安全管理、運行維護管理、外包服務管理、培訓教育等方面。
10.2.3 操作規程制定
本檢查項包括:
a) 檢查企業是否對信息安全運行維護人員執行的日常操作制定運維流程和操作規程。
a) 運維流程、操作規程。
檢查方法:
a) 文檔審查,查閱組織制訂的運維流程和操作規程文檔。
10.2.4 制度發布
本檢查項包括:
a) 檢查企業是否通過正式、有效的方式發布工業控制系統信息安全管理制度。
檢查要素:
a) 制度發布方式。
檢查方法:
a) 文檔審查,查閱安。全管理制度發布方式和相關記錄。
推薦文章: