6.15 維護（MA）

6.15.1　系統維護方針策略與規程（MA-1）

本項要求包括：

a) 應制定并發布ICS系統維護方針策略，應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布ICS系統維護規程，以推動ICS系統維護方針策略及與相關安全控制的實施；

c) 應定期對ICS系統維護方針策略及規程進行評審和更新。

6.15.2　受控維護（MA-2）

本項要求包括：

a) 應根據廠商或供應商的規格說明以及組織的要求，對ICS組件的維護和修理進行規劃、實施、記錄，并對維護和修理記錄進行評審；

b) 應審批和監視所有維護行為，不論是現場維護還是遠程維護，不論被維護對象是在現場還是被轉移到其他位置；

c) 應在將ICS或者組件轉移到組織外進行非現場的維護或修理前，獲得明確批準；

d) 應在將ICS或者組件轉移到組織設外進行非現場的維護或修理前，對設備進行凈化，清除有關信息；

e) 應在對系統或組件進行維護或修理后，檢查所有可能受影響的安全控制措施以確認其仍正常發揮功能；

f) 應對系統或組件的維護予以記錄；

g) 產品供應方或維護方應承諾未經用戶同意不得采集用戶相關信息、不得遠程控制用戶產品；

h) 如果采用遠程維護的方式，組織應根據產品的運維需求，為遠程控制端口設置控制權限和控制時間窗；

i) 采用自動化的機制定期來組織、規劃、實施和記錄維護或維修；

j) 準確、完整地記錄所有的維護或維修的行動計劃、要求、過程和完成；

k) 在遠程維護完成后，組織應安排專人立即關閉為遠程維護需求開放的權限設置。

6.15.3　維護工具（MA-3）

本項要求包括：

a) 應批準、控制并監視ICS維護工具的使用；

b) 組織應檢查、監督維護人員可能的對ICS設備維護工具的不當使用或擅自修改；

c) 組織應檢查用于ICS設備維護的工具、診斷測試程序是否包含惡意代碼；

d) 組織應防止含組織信息的ICS設備或組件在維護或維修時的擅自拆除，確保替換下的設備或組件包含的信息被消除，從ICS拆除設備或組件應獲得相應的授權；

e) 維護工具應限制在授權人員內部使用；

f) ICS維護工具不能收集用戶信息。

6.15.4　非本地維護（MA-4）

本項要求包括：

a) 應批準、監視非本地維護和診斷活動；

b) 應僅允許使用符合組織策略，并在ICS安全計劃中所列出的非本地維護和診斷工具；

c) 應在建立非本地維護和診斷會話時采取強鑒別技術；

d) 應建立和保存非本地維護和診斷活動的記錄。必要時，對記錄進行審計和評估；

e) 應在非本地維護完成后中止會話和網絡連接。必要時，對非本地維護連接中止進行驗證；

f) 組織應根據已制定的審計策略對遠程維護診斷行為進行審計，并審查遠程維護診斷期間所有的行為；

g) 組織應在安全策略或安全計劃等文件中規范遠程維護診斷行為；

h) 組織應僅在遠程維護診斷期間開放ICS或設備的遠程維護服務功能；產品或系統供應商應在交付時告知組織如何關閉/開放遠程維護服務功能；

i) 組織應采用強認證機制保護遠程維護會話，并將該類會話與系統其它會話通過物理或邏輯的方式進行隔離；

j) 組織應根據角色對每個遠程維護會話進行授權和確認；

k) 組織應采用一定的安全機制實現遠程維護會話的機密性和完整性保護；

l) 在遠程維護會話終止時，ICS應進行終止確認。

6.16.5　維護人員（MA-5）

本項要求包括：

a) 應建立維護人員的授權流程，并建立已授權的維護組織或人員的列表；

b) 應確保維護人員只有在獲得訪問授權的情況下，才可在沒有人員陪同的情況下進行系統維護；

c) 應在組織內指定獲得授權且技術可勝任的人員，負責對未獲得訪問授權的維護人員的維護活動進行監督；

d) 對缺乏合適的安全審查的維護人員實施必要的管理，包括組織內部人員的全程陪同；

e) 開發并實施必要的安全防護措施，確保對ICS的維護不會造成信息刪除、斷網、中斷服務等影響；

f) 確保維護人員進行維護診斷活動對ICS處理、存儲和傳輸的信息不造成破壞性影響；

g) 確保維護人員進行維護診斷活動不會對ICS處理、存儲和傳輸的機密信息造成泄露。

6.15.6　及時維護（MA-6）

本項要求包括：

a) 應在故障發生后的規定時間內，進行ICS組件的維護或以備品備件更換；

b) 組織應按定義的時間間隔對ICS及組件進行預防性的維護診斷；

c) 組織應啟用一定的機制將預防性維護診斷數據導入管理系統。