GB/T37980-2019 信息安全技術 工業控制系統安全檢查指南10.7 工業控制系統建設安全管理
10.7.1 上線安全測評
本檢查項包括:
a) 檢查企業工業控制信息系統在上線前是否通過信息安全測評。
檢查要素:
a) 上線前通過安全測評的系統清單、信息系統清單。
檢查方法:
a) 文檔審查,查閱全部信息系統列表,查閱并統計已通過信息安全測評的系統測評報告。
10.7.2 產品采購和使用
本檢查項包括:
a) 檢查企業安全產品和密碼產品的采購及使用是否符合國家有關規定。
檢查要素:
a) 安全產品和密碼產品。
檢查方法:
a) 人員訪談,訪談相關人員是否了解相關制度,是否存在不執行相關制度的特殊情況;
b) 文檔審查,查閱企業相關管理制度和資產清單等,檢查其采購及使用是否符合國家有關規定。
c) 配置核查,核查已被通報存在隱患的在線運行的系統和設備是否已經整改及相關運行管理和安全防護措施。
10.7.3 核心產品采購測試
本檢查項包括:
a) 企業應用的信息安全產品、系統基礎軟硬件、系統應用軟件、工業控制裝置等在采購前是否通過了安全性測試。
檢查要素:
a) 安全性測試報告。
檢查方法:
a) 文檔審查,查閱企業應用的信息安全產品、系統基礎軟硬件、系統應用軟件、工業控制裝置等的安全性測試報告。
推薦文章: