1、ICS 25.040L 70備案號(hào)：46298-2015DB32江蘇省地方標(biāo)準(zhǔn)DB32/T 2765-2015工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作規(guī)范Supervision and inspection specification for information security management of industrial control systems2015-06-15 發(fā)布2015-08-15 實(shí)施江蘇省質(zhì)量技術(shù)監(jiān)督局 發(fā)布DB32/T 2765-2015I目次 HYPERLINK l _bookmark0 前言II HYPERLINK l _bookmark1 引言III HYP

2、ERLINK l _bookmark2 范圍1 HYPERLINK l _bookmark3 規(guī)范性引用文件1 HYPERLINK l _bookmark4 術(shù)語和定義1 HYPERLINK l _bookmark5 符號(hào)和縮略語1 HYPERLINK l _bookmark6 總則2 HYPERLINK l _bookmark7 監(jiān)督檢查對(duì)象2 HYPERLINK l _bookmark8 監(jiān)督檢查目的2 HYPERLINK l _bookmark9 監(jiān)督檢查形式2 HYPERLINK l _bookmark10 監(jiān)督檢查方法2 HYPERLINK l _bookmark11 監(jiān)督檢查原則3

3、 HYPERLINK l _bookmark12 監(jiān)督檢查流程3 HYPERLINK l _bookmark13 前期準(zhǔn)備4 HYPERLINK l _bookmark14 現(xiàn)場檢查5 HYPERLINK l _bookmark15 后期分析6 HYPERLINK l _bookmark16 報(bào)告編制7 HYPERLINK l _bookmark17 安全整改7 HYPERLINK l _bookmark18 結(jié)束7 HYPERLINK l _bookmark19 監(jiān)督檢查內(nèi)容7 HYPERLINK l _bookmark20 組織制度管理7 HYPERLINK l _bookmark21 連

4、接管理10 HYPERLINK l _bookmark22 組網(wǎng)管理12 HYPERLINK l _bookmark23 配置管理13 HYPERLINK l _bookmark24 設(shè)備選擇與運(yùn)維管理15 HYPERLINK l _bookmark25 數(shù)據(jù)管理16 HYPERLINK l _bookmark26 物理環(huán)境管理17 HYPERLINK l _bookmark27 附 錄 A （規(guī)范性附錄） 工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查表及結(jié)果分析方法22 HYPERLINK l _bookmark28 監(jiān)督檢查表22 HYPERLINK l _bookmark29 結(jié)果分析方法27DB3

5、2/T 2765-2015前言本規(guī)范依據(jù) GB/T 1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則 第 1 部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫編寫。本標(biāo)準(zhǔn)附錄 A 是規(guī)范性附錄。本規(guī)范由江蘇省經(jīng)濟(jì)和信息化委員會(huì)提出并歸口。本規(guī)范起草單位：江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院（江蘇省信息安全測評(píng)中心）。本規(guī)范起草人：黃申、吳蘭、張騰標(biāo)、李國琴、程愷、王坤、趙川、趙兆。IIDB32/T 2765-2015III引言工業(yè)控制系統(tǒng)廣泛應(yīng)用于工業(yè)生產(chǎn)、電力設(shè)施、水利油氣、交通運(yùn)輸和市政等領(lǐng)域，用以控制生產(chǎn)設(shè)備的運(yùn)行。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是我國信息化與工業(yè)化深度融合工作的不斷推進(jìn)，以及物聯(lián)網(wǎng)等新一代信息技術(shù)的快速發(fā)展，工

6、業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題隨之日益突出，如何保障工業(yè)控制系統(tǒng)信息安全已經(jīng)成為國家戰(zhàn)略問題。工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查是幫助各重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)運(yùn)營、管理、維護(hù)和使用等部門充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全重要性和緊迫性的重要手段，是切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理保障工作的基礎(chǔ)和重要環(huán)節(jié)。DB32/T 2765-20151工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作的術(shù)語和定義、檢查對(duì)象、檢查目的、檢查形式、檢查方法

7、、檢查原則、檢查流程和檢查內(nèi)容。本標(biāo)準(zhǔn)適用于規(guī)范工業(yè)控制系統(tǒng)的運(yùn)營、使用、維護(hù)、管理等部門開展的工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的，凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 26333 工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 26802.1 工業(yè)控制計(jì)算機(jī)系統(tǒng) 通用規(guī)范 第 1 部分：通用要求GB/T 30976.1 工業(yè)控制系統(tǒng)信息安全 第 1 部分：評(píng)估規(guī)范GB/T 30976.2 工業(yè)控制系統(tǒng)信息安全 第 2 部分：驗(yàn)收規(guī)范DB32/T 2289 重點(diǎn)

8、領(lǐng)域工業(yè)控制系統(tǒng)信息安全保護(hù)基本要求術(shù)語和定義GB/T 26333 和 DB32/T 2289 界定的及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1工業(yè)控制系統(tǒng) industrial control systems在工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，采用數(shù)據(jù)采集監(jiān)控、分布式控制、過程控制、可編程邏輯控制等技術(shù)監(jiān)測和控制生產(chǎn)設(shè)備運(yùn)行的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）等。3.2工 業(yè) 控制 系 統(tǒng)信 息 安全 管 理監(jiān) 督 檢查information security management supervision and inspection in

9、industrial control systems工業(yè)控制系統(tǒng)的運(yùn)營、使用、維護(hù)、管理等部門依據(jù)國家相關(guān)政策法規(guī)、信息安全技術(shù)和管理標(biāo)準(zhǔn)，依法對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的信息安全管理進(jìn)行監(jiān)督檢查，并對(duì)其監(jiān)督檢查結(jié)果依法進(jìn)行處理的活動(dòng)。3.3強(qiáng)反饋 strong feedback電子信息系統(tǒng)自身不具備直接操控工業(yè)控制系統(tǒng)的能力，但其傳遞的數(shù)據(jù)會(huì)導(dǎo)致工業(yè)控制系統(tǒng)發(fā)生重大調(diào)整和變化，從而可能間接控制工業(yè)控制系統(tǒng)的能力。符號(hào)和縮略語DB32/T 2765-20152SCADA監(jiān)控和數(shù)據(jù)采集（Supervisory Control and Data Acquisition ）DCS分布式控制系統(tǒng)（Dist

10、ributed Control System）PLC可編程邏輯控制器（Programmable Logic Controller） IT信息技術(shù)（Information Technology）SNMP簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol） VPN虛擬專用網(wǎng)（Virtual Private Network）總則監(jiān)督檢查對(duì)象江蘇省行政區(qū)域內(nèi)各重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)，主要包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)，但不包括涉及

11、國家秘密的工業(yè)控制系統(tǒng)。監(jiān)督檢查目的工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查的目的通常包括以下幾個(gè)方面：規(guī)范重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理的監(jiān)督檢查工作，保障工業(yè)控制系統(tǒng)的安全、穩(wěn)定運(yùn)行；指導(dǎo)監(jiān)督檢查方和被檢查方開展工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作，提升監(jiān)督檢查的質(zhì)量和效率；幫助重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的運(yùn)營、使用、維護(hù)、管理等相關(guān)部門充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性，增強(qiáng)風(fēng)險(xiǎn)意識(shí)和責(zé)任意識(shí)；準(zhǔn)確了解重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的信息安全管理現(xiàn)狀和可能存在的安全威脅；明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的信息安全管理需求，制定安全策略和安全解決方案；通過監(jiān)督檢查工作的實(shí)施，著力培養(yǎng)專業(yè)的工業(yè)控制系統(tǒng)安全

12、隊(duì)伍和專業(yè)人才。監(jiān)督檢查形式自查各重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)主管單位依據(jù)工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作規(guī)范及其他信息安全技術(shù)和管理規(guī)范，對(duì)運(yùn)維或使用工業(yè)控制系統(tǒng)的下屬單位、內(nèi)設(shè)機(jī)構(gòu)自行組織實(shí)施的監(jiān)督檢查活動(dòng)。自查是保障工業(yè)控制系統(tǒng)信息安全的基礎(chǔ)。通過對(duì)本單位工業(yè)控制系統(tǒng)信息安全管理情況開展自查，了解和掌握工業(yè)控制系統(tǒng)的信息安全管理現(xiàn)狀及存在的安全隱患，督促被檢查方落實(shí)安全整改和加固措施，切實(shí)加強(qiáng)和保障工業(yè)控制系統(tǒng)的信息安全管理工作。抽查省、市信息化主管部門聯(lián)合行業(yè)主管部門或監(jiān)管部門、國有資產(chǎn)監(jiān)督管理部門等單位， 依據(jù)工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作規(guī)范及其他信息安全技術(shù)和管理規(guī)范，對(duì)各自行

13、政區(qū)域內(nèi)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的主管、運(yùn)維或使用單位共同組織實(shí)施的監(jiān)督檢查活動(dòng)， 旨在監(jiān)督檢查各重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)主管、運(yùn)維或使用單位是否已開展自查，工業(yè)控制系統(tǒng)信息安全管理基本措施落實(shí)情況，工業(yè)控制系統(tǒng)關(guān)鍵領(lǐng)域或關(guān)鍵點(diǎn)是否存在重大安全隱 患，以及其信息安全風(fēng)險(xiǎn)是否在可接受的范圍內(nèi)。監(jiān)督檢查方法DB32/T 2765-20153監(jiān)督檢查方法是監(jiān)督檢查人員在工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作過程中以獲取檢查證據(jù)或檢查結(jié)果所使用的方法，主要包括人員訪談、人工查驗(yàn)和技術(shù)測試等方法。人員訪談是監(jiān)督檢查人員通過引導(dǎo)工業(yè)控制系統(tǒng)相關(guān)人員進(jìn)行有目的和有針對(duì)性的交流以幫助其理解、分析和獲取檢查證據(jù)或結(jié)果的過

14、程。人工查驗(yàn)是監(jiān)督檢查人員在監(jiān)督檢查過程中采取文檔查閱、現(xiàn)場觀察、實(shí)地查驗(yàn)、設(shè)備配置核查等方式分析、評(píng)估和掌握工業(yè)控制系統(tǒng)安全屬性的過程。技術(shù)測試是監(jiān)督檢查人員使用專業(yè)成熟的測試工具、技術(shù)手段和操作方法，對(duì)工業(yè)控制系統(tǒng)進(jìn)行掃描、測試以驗(yàn)證其安全狀況的過程。監(jiān)督檢查原則為保證監(jiān)督檢查的質(zhì)量和檢查結(jié)果的客觀性、準(zhǔn)確性，工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查工作遵循以下原則：可控性原則在監(jiān)督檢查的實(shí)施過程中，主要從人員可控性、工具可控性和過程可控性三個(gè)方面對(duì)監(jiān)督檢查工作進(jìn)行監(jiān)管，以確保整個(gè)監(jiān)督檢查工作過程的可控性。監(jiān)督檢查的所有實(shí)施人員應(yīng)經(jīng)過嚴(yán)格的身份背景、專業(yè)資格和資質(zhì)審查，具備相關(guān)領(lǐng)域的學(xué)習(xí)或工作經(jīng)歷

15、、專業(yè)知識(shí)和技能，簽署保密協(xié)議，確保人員可控。監(jiān)督檢查實(shí)施過程中使用的專業(yè)工具應(yīng)經(jīng)過相關(guān)部門的認(rèn)證和認(rèn)可，確保工具可控。監(jiān)督檢查的實(shí)施應(yīng)具有相應(yīng)的過程控制規(guī)程和質(zhì)量保證要求，確保過程可控。保密性原則監(jiān)督檢查實(shí)施人員均應(yīng)簽署保密協(xié)議，對(duì)監(jiān)督檢查工作中產(chǎn)生的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露和利用。整體性原則在監(jiān)督檢查的實(shí)施過程中，嚴(yán)格按照與被檢查方約定的監(jiān)督檢查范圍和檢查內(nèi)容進(jìn)行全面檢查，避免由于遺漏或越界檢查造成潛在的安全隱患。最小影響原則從管理層面和技術(shù)工具層面，將監(jiān)督檢查工作對(duì)被檢查方的工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行可能造成的影響或干擾，降至最低。監(jiān)督檢查流程工業(yè)控制系統(tǒng)信息安全管

16、理監(jiān)督檢查的實(shí)施流程如圖1所示。DB32/T 2765-20154圖 1 工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查流程前期準(zhǔn)備前期準(zhǔn)備是整個(gè)工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查過程有效性的前提和保證。因此， 在監(jiān)督檢查活動(dòng)正式實(shí)施前，應(yīng)：a） 確定監(jiān)督檢查的目標(biāo)； b） 確定監(jiān)督檢查的范圍；c） 組建監(jiān)督檢查管理與實(shí)施團(tuán)隊(duì)； d） 開展前期系統(tǒng)調(diào)研；e） 明確監(jiān)督檢查依據(jù)； f） 制定監(jiān)督檢查方案；g） 獲得最高管理者對(duì)監(jiān)督檢查工作的支持。確定目標(biāo)在滿足和保障組織業(yè)務(wù)穩(wěn)定持續(xù)發(fā)展的前提下，明確其在工業(yè)控制系統(tǒng)信息安全管理方面的需求、法律法規(guī)的符合性等內(nèi)容，識(shí)別現(xiàn)有工業(yè)控制系統(tǒng)信息安全管理上的不足或存在的安

17、全威脅，以及可能造成的影響或危害。確定范圍工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查范圍可以是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可以是某個(gè)獨(dú)立的工業(yè)控制系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與工業(yè)控制系統(tǒng)相關(guān)的系統(tǒng)或部門等。組建團(tuán)隊(duì)監(jiān)督檢查實(shí)施團(tuán)隊(duì)，由管理層、相關(guān)業(yè)務(wù)骨干、IT 技術(shù)工程師等人員組成監(jiān)督檢查實(shí)施小組，設(shè)立項(xiàng)目負(fù)責(zé)人一名。必要時(shí)，可組建由監(jiān)督檢查方、被檢查方領(lǐng)導(dǎo)和相關(guān)部門負(fù)DB32/T 2765-20155責(zé)人參加的監(jiān)督檢查領(lǐng)導(dǎo)小組，或聘請(qǐng)相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家小組。監(jiān)督檢查實(shí)施團(tuán)隊(duì)?wèi)?yīng)做好評(píng)估前的表格、文檔、檢測工具等各項(xiàng)準(zhǔn)備工作，開展工業(yè)控制系統(tǒng)檢查實(shí)施工作的技術(shù)培訓(xùn)和保

18、密教育，制定監(jiān)督檢查實(shí)施過程管理的相關(guān)規(guī)定?？筛鶕?jù)被檢查方要求，雙方簽署保密合同，或適情簽署個(gè)人保密協(xié)議。系統(tǒng)調(diào)研系統(tǒng)調(diào)研是確定具體被檢查對(duì)象的過程。監(jiān)督檢查小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為監(jiān)督檢查依據(jù)和方法的選擇、檢查內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括：主要業(yè)務(wù)功能、業(yè)務(wù)范圍和業(yè)務(wù)流程；網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)區(qū)域劃分，包括內(nèi)部連接和外部連接； c） 系統(tǒng)邊界，與其他系統(tǒng)的連接情況；d） 主要的軟、硬件資產(chǎn)； e） 系統(tǒng)和數(shù)據(jù)的敏感性； f） 維護(hù)和使用系統(tǒng)的人員；g） 管理制度、操作規(guī)程等文檔。系統(tǒng)調(diào)研采取問卷調(diào)查為主、現(xiàn)場訪談為輔的方式進(jìn)行，在問卷調(diào)查不能完全達(dá)到系統(tǒng)調(diào)研目的的情況下，可結(jié)合現(xiàn)場訪

19、談的方式進(jìn)行。調(diào)查問卷是提供一套關(guān)于系統(tǒng)資產(chǎn)或管理相關(guān)的表格，供被檢查方的系統(tǒng)技術(shù)或管理人員填寫；現(xiàn)場訪談則是由監(jiān)督檢查人員到現(xiàn)場觀察、了解并收集系統(tǒng)在物理、環(huán)境和操作等方面的相關(guān)信息。確定依據(jù)根據(jù)前期的系統(tǒng)調(diào)研結(jié)果，并依據(jù)業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求，確定監(jiān)督檢查的依據(jù)和方法，使之能夠與組織的環(huán)境和安全要求相適應(yīng)。監(jiān)督檢查依據(jù)包括（但不僅限于）：國家法律、法規(guī)及有關(guān)規(guī)定；現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)和按規(guī)定程序備案的企業(yè)標(biāo)準(zhǔn)等；行業(yè)主管部門針對(duì)業(yè)務(wù)系統(tǒng)制定的要求和規(guī)定；系統(tǒng)的安全保護(hù)等級(jí)要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實(shí)時(shí)性或性能要求等。制定方案制定監(jiān)督檢查方案的目的是

20、為后期的監(jiān)督檢查實(shí)施活動(dòng)提供一個(gè)總體計(jì)劃，用于指導(dǎo)監(jiān)督檢查實(shí)施小組開展后續(xù)的檢查工作。監(jiān)督檢查方案的內(nèi)容一般包括（但不僅限于）：安全檢查計(jì)劃：監(jiān)督檢查各階段的具體檢查計(jì)劃，包括檢查目標(biāo)、檢查內(nèi)容、檢查范圍、檢查形式、檢查交付成果等內(nèi)容；實(shí)施團(tuán)隊(duì)組織：包括監(jiān)督檢查團(tuán)隊(duì)成員組成、成員角色與定義、成員職責(zé)等內(nèi)容； c） 時(shí)間進(jìn)度安排：監(jiān)督檢查工作實(shí)施的時(shí)間進(jìn)度安排。獲得支持在確定上述內(nèi)容的基礎(chǔ)上，應(yīng)形成科學(xué)合理和較為完整的監(jiān)督檢查實(shí)施方案，并得到組織最高管理者的支持和批準(zhǔn)；及時(shí)向監(jiān)督檢查實(shí)施小組內(nèi)的所有人員進(jìn)行傳達(dá)，明確相關(guān)人員在監(jiān)督檢查實(shí)施過程中的任務(wù)和責(zé)任，并就監(jiān)督檢查的相關(guān)內(nèi)容開展培訓(xùn)和保密教

21、育?，F(xiàn)場檢查首次會(huì)議DB32/T 2765-20156在現(xiàn)場檢查正式實(shí)施前，檢查實(shí)施方與被檢查方應(yīng)共同召開本次監(jiān)督檢查工作的首次會(huì)議，參會(huì)人員應(yīng)包括：a） 被檢查方的管理層領(lǐng)導(dǎo)或負(fù)責(zé)人； b） 雙方的項(xiàng)目負(fù)責(zé)人；監(jiān)督檢查實(shí)施小組的所有成員；被檢查方相關(guān)部門的中層領(lǐng)導(dǎo)或負(fù)責(zé)人； e） 系統(tǒng)使用和維護(hù)人員等。在首次會(huì)議上，被檢查方的管理層領(lǐng)導(dǎo)或負(fù)責(zé)人應(yīng)明確表示對(duì)本次監(jiān)督檢查工作的大力支持，以確保監(jiān)督檢查工作的參與人員在檢查實(shí)施過程中全力配合，從而保證監(jiān)督檢查實(shí)施的質(zhì)量和效果，確保監(jiān)督檢查工作的順利開展。在首次會(huì)議上，監(jiān)督檢查方的項(xiàng)目負(fù)責(zé)人根據(jù)前期所確定的檢查實(shí)施方案，介紹監(jiān)督檢查工作的大體流程、檢

22、查的目的與范圍、檢查工作的實(shí)施方法、工作交付成果等信息，與被檢查方確認(rèn)檢查實(shí)施時(shí)間和檢查計(jì)劃、人員配合與溝通渠道，并向被檢查方提供詢問的機(jī)會(huì)， 使與會(huì)人員能夠?qū)磳㈤_始的監(jiān)督檢查工作有一個(gè)清晰、全面的認(rèn)識(shí)。首次會(huì)議結(jié)束后，被檢查方的與會(huì)相關(guān)領(lǐng)導(dǎo)或負(fù)責(zé)人應(yīng)及時(shí)將首次會(huì)議的主要內(nèi)容有效傳達(dá)給相關(guān)部門和人員。檢查實(shí)施在現(xiàn)場檢查的實(shí)施過程中，結(jié)合人員訪談、現(xiàn)場觀察、實(shí)地查驗(yàn)、配置核查、文檔審查、工具掃描等方式，監(jiān)督檢查人員應(yīng)按照附錄 A 的檢查內(nèi)容和檢查條款進(jìn)行逐項(xiàng)檢查，對(duì)照被檢查工業(yè)控制系統(tǒng)的實(shí)際安全狀況如實(shí)、準(zhǔn)確填寫檢查結(jié)果，形成檢查結(jié)果原始記錄，為后續(xù)的結(jié)果分析做準(zhǔn)備。監(jiān)督檢查實(shí)施的具體內(nèi)容和實(shí)

23、施要求詳見本標(biāo)準(zhǔn)第 6 部分。過程控制監(jiān)督檢查實(shí)施小組成員應(yīng)嚴(yán)格按照監(jiān)督檢查方案和實(shí)施計(jì)劃開展現(xiàn)場檢查工作。必要時(shí)，為了更好地達(dá)到檢查目的或適應(yīng)實(shí)際環(huán)境變化的需求，可適當(dāng)調(diào)整檢查計(jì)劃，及時(shí)告知并與雙方相關(guān)人員進(jìn)行商榷，直到得到相關(guān)人員的認(rèn)同。監(jiān)督檢查項(xiàng)目負(fù)責(zé)人應(yīng)及時(shí)與被檢查方的相關(guān)人員交換意見，對(duì)已收集獲取的檢查證據(jù)進(jìn)行確認(rèn)。對(duì)于被檢查方存有異議的檢查結(jié)果，應(yīng)采取檢查核對(duì)的方法進(jìn)行再次確認(rèn)。當(dāng)收集到的檢查證據(jù)不能達(dá)到檢查目的時(shí)，應(yīng)及時(shí)向被檢查方報(bào)告理由，并商定相應(yīng)的解決措施， 包括調(diào)整檢查計(jì)劃，以及改變檢查目的、檢查范圍等。末次會(huì)議在完成現(xiàn)場檢查實(shí)施后，檢查方與被檢查方應(yīng)共同召開本次監(jiān)督檢查工

24、作的末次會(huì)議， 除參與首次會(huì)議的各方人員外，與會(huì)人員還包括監(jiān)督檢查實(shí)施過程中被訪談對(duì)象、被調(diào)查對(duì)象以及其他相關(guān)參與人員。在末次會(huì)議上，監(jiān)督檢查方的項(xiàng)目負(fù)責(zé)人根據(jù)現(xiàn)場檢查的實(shí)施情況，向被檢查方報(bào)告監(jiān)督檢查中發(fā)現(xiàn)的具體問題和整體檢查結(jié)果。后期分析檢查方應(yīng)根據(jù)現(xiàn)場收集獲取的信息和檢查結(jié)果原始記錄，對(duì)被檢查工業(yè)控制系統(tǒng)的實(shí)際安全管理情況進(jìn)行梳理和匯總，分析被檢查工業(yè)控制系統(tǒng)面臨的安全威脅和安全風(fēng)險(xiǎn)情況， 評(píng)估其是否存在嚴(yán)重安全隱患，根據(jù)檢查分析評(píng)估結(jié)果形成檢查結(jié)論。在對(duì)工業(yè)控制系統(tǒng)的檢查證據(jù)和結(jié)果進(jìn)行分析評(píng)估時(shí)，應(yīng)按照附錄 A 的結(jié)果分析方法對(duì)被檢查工業(yè)控制系統(tǒng)的風(fēng)DB32/T 2765-20157險(xiǎn)

25、情況進(jìn)行分析與評(píng)估。報(bào)告編制檢查方應(yīng)在規(guī)定時(shí)間內(nèi)編制完成監(jiān)督檢查報(bào)告，反饋給被檢查方。對(duì)監(jiān)督檢查過程中發(fā)現(xiàn)的共性問題，監(jiān)督檢查機(jī)構(gòu)應(yīng)及時(shí)通報(bào)行業(yè)主管部門，并協(xié)助其開展信息安全管理咨詢、業(yè)務(wù)培訓(xùn)及安全整改工作。工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查報(bào)告應(yīng)清晰、準(zhǔn)確、客觀地給出監(jiān)督檢查的實(shí)施情況、檢查結(jié)果和相關(guān)內(nèi)容，說明被檢查工業(yè)控制系統(tǒng)存在的安全隱患和缺陷，并給出改進(jìn)建議。工業(yè)控制系統(tǒng)信息安全管理監(jiān)督檢查報(bào)告至少應(yīng)包含以下內(nèi)容：檢查系統(tǒng)名稱；系統(tǒng)主管部門；檢查時(shí)間和地點(diǎn)；監(jiān)督檢查依據(jù)；監(jiān)督檢查結(jié)論；報(bào)告編制人；報(bào)告審核人；報(bào)告批準(zhǔn)人；檢查結(jié)果匯總表；安全整改建議；檢查實(shí)施機(jī)構(gòu)的公章。工業(yè)控制系統(tǒng)信息安

26、全管理監(jiān)督檢查報(bào)告應(yīng)附封面，封面注明報(bào)告標(biāo)題、統(tǒng)一的報(bào)告編號(hào)、檢查系統(tǒng)名稱、系統(tǒng)主管部門和檢查實(shí)施機(jī)構(gòu)。安全整改工業(yè)控制系統(tǒng)經(jīng)檢查發(fā)現(xiàn)存在安全隱患的，其主管、運(yùn)維或使用單位應(yīng)盡快組織實(shí)施安全整改工作，并及時(shí)向所在地信息化主管部門及行業(yè)主管部門報(bào)告整改情況。對(duì)存在重大安全隱患的重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)，通知被檢查單位立即采取防護(hù)措施實(shí)施安全整改。監(jiān)督檢查方應(yīng)及時(shí)對(duì)其安全整改情況進(jìn)行復(fù)查，對(duì)已采取的安全整改措施應(yīng)進(jìn)一步考慮是否引入新的安全問題并進(jìn)行檢查和分析，督促其改進(jìn)和完善信息安全管理技術(shù)措施。對(duì)于安全整改實(shí)施不到位的工業(yè)控制系統(tǒng)，要求被檢查方繼續(xù)進(jìn)行安全整改。結(jié)束檢查方通過現(xiàn)場檢查和后期分析后確認(rèn)

27、被檢查方工業(yè)控制系統(tǒng)不存在安全隱患的，或經(jīng)安全整改后確認(rèn)被檢查方工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)在可控范圍內(nèi)的，結(jié)束監(jiān)督檢查工作。監(jiān)督檢查內(nèi)容組織制度管理組織管理檢查內(nèi)容應(yīng)設(shè)立工業(yè)控制系統(tǒng)信息安全管理工作的職能部門，設(shè)置信息安全管理崗位，配備相應(yīng)的安全管理人員，并指定安全管理負(fù)責(zé)人，明確部門、崗位和人員的職責(zé)分工。檢查實(shí)施DB32/T 2765-20158本項(xiàng)檢查要求包括：應(yīng)訪談業(yè)務(wù)主管或系統(tǒng)負(fù)責(zé)人，詢問是否設(shè)立工業(yè)控制系統(tǒng)信息安全管理工作的職能部門，組織內(nèi)的部門設(shè)置情況，是否明確各部門的職責(zé)分工；應(yīng)訪談業(yè)務(wù)主管或系統(tǒng)負(fù)責(zé)人，詢問是否設(shè)置信息安全管理崗位，設(shè)置了哪些信息安全管理崗位，各個(gè)信息安全管理崗位

28、的職責(zé)分工是否明確；應(yīng)訪談業(yè)務(wù)主管或系統(tǒng)負(fù)責(zé)人，詢問是否指定信息安全管理各個(gè)方面的負(fù)責(zé)人，是否明確各個(gè)負(fù)責(zé)人的工作職責(zé)；應(yīng)訪談業(yè)務(wù)主管或系統(tǒng)負(fù)責(zé)人、各個(gè)信息安全管理人員、信息安全管理各個(gè)方面的負(fù)責(zé)人，詢問其崗位、人員職責(zé)包括哪些內(nèi)容；應(yīng)查閱部門、崗位、人員的職責(zé)分工文件，查看文件內(nèi)容是否明確安全管理職能部門的職責(zé)；是否設(shè)置信息安全管理崗位、信息安全管理各個(gè)方面的負(fù)責(zé)人，明確定義崗位和人員的職責(zé)分工；應(yīng)訪談業(yè)務(wù)主管或系統(tǒng)負(fù)責(zé)人，詢問是否將部門、崗位、人員的職責(zé)分工文件有效傳達(dá)給了所有相關(guān)人員，通過何種方式進(jìn)行有效傳達(dá)；應(yīng)詢問和檢查信息安全管理部門和信息安全管理人員及負(fù)責(zé)人是否具有執(zhí)行日常管理活動(dòng)

29、的相關(guān)文件或工作記錄。人員管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：a） 應(yīng)建立包括人員錄用流程、標(biāo)準(zhǔn)、要求、方式和保密協(xié)議等在內(nèi)的人員錄用制度； b） 應(yīng)建立包括人員離崗剩余信息保護(hù)、資產(chǎn)歸還、保密承諾等在內(nèi)的人員離崗制度； c） 應(yīng)建立包括人員考核指標(biāo)、考核方式、考核對(duì)象、考核內(nèi)容等在內(nèi)的人員考核制度； d） 應(yīng)建立包括人員培訓(xùn)計(jì)劃、培訓(xùn)周期、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容等在內(nèi)的人員培訓(xùn)制度； e） 應(yīng)指定專職信息安全員，建立信息安全員的培訓(xùn)與交流計(jì)劃；f） 應(yīng)建立包括外部人員訪問條件、訪問范圍、訪問控制措施、保密要求等在內(nèi)的外部人員管理制度。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談安全主管或人事負(fù)責(zé)人，詢問是否制定包

30、括人員錄用流程、標(biāo)準(zhǔn)、要求、方式等在內(nèi)的人員錄用制度，人員錄用流程和方式如何，人員錄用包括哪些標(biāo)準(zhǔn)和要求；人員錄用后是否與其簽署保密協(xié)議，是否對(duì)其說明保密職責(zé)；應(yīng)查閱人員錄用制度文件，查看是否包含人員錄用流程、標(biāo)準(zhǔn)、要求、方式等內(nèi)容； 檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容；應(yīng)訪談安全主管或人事負(fù)責(zé)人，詢問是否制定包括人員離崗剩余信息保護(hù)、資產(chǎn)歸還、保密承諾等在內(nèi)的人員離崗制度，是否及時(shí)終止離崗人員的所有訪問權(quán)限，是否及時(shí)取回各種身份證件、鑰匙等物件，以及機(jī)構(gòu)提供的軟硬件設(shè)備等；應(yīng)查閱人員離崗制度文件，查看是否包含人員離崗剩余信息保護(hù)、資產(chǎn)歸還

31、等內(nèi)容； 查看是否具有相關(guān)資產(chǎn)歸還的記錄等證明文件；應(yīng)訪談安全主管或人事負(fù)責(zé)人，詢問人員離崗手續(xù)包括哪些，是否要求關(guān)鍵崗位人員承諾相關(guān)保密義務(wù)后方可調(diào)離；DB32/T 2765-20159應(yīng)查看是否具有按照人員離崗程序辦理的離崗手續(xù)文件；查閱保密承諾文檔，查看是否有調(diào)離人員的簽字；應(yīng)訪談安全主管或人事負(fù)責(zé)人，詢問是否制定包括人員考核指標(biāo)、考核方式、考核對(duì)象、考核內(nèi)容等在內(nèi)的人員考核制度，是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核，如何考核，考核周期多長，考核對(duì)象和內(nèi)容包括哪些；應(yīng)檢查考核記錄，查看記錄的考核人員是否包括各個(gè)崗位的人員，考核內(nèi)容是否包含安全知識(shí)、安全技能等；查看考

32、核記錄日期與考核周期是否一致；應(yīng)訪談安全主管或人事負(fù)責(zé)人，詢問是否制定包括人員培訓(xùn)計(jì)劃、培訓(xùn)周期、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容等在內(nèi)的人員培訓(xùn)制度，以什么形式進(jìn)行，效果如何；是否對(duì)考核結(jié)果進(jìn)行記錄并歸檔保存；應(yīng)檢查人員培訓(xùn)記錄，查看是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等方面的描述； 查看培訓(xùn)記錄與培訓(xùn)計(jì)劃是否一致；應(yīng)訪談安全主管或人事負(fù)責(zé)人，詢問是否指定至少一名專職信息安全員，制定信息安全員培訓(xùn)、交流計(jì)劃；應(yīng)檢查信息安全員職責(zé)文件和信息安全員培訓(xùn)計(jì)劃，查看是否與上述情況相符； m） 應(yīng)訪談安全主管或人事負(fù)責(zé)人，詢問是否建立了外部人員訪問管理文檔，針對(duì)外部人員的訪問采取了哪些安全措施，外部人員的訪問是否需要

33、經(jīng)過有關(guān)部門或負(fù)責(zé)人的正式批準(zhǔn)，是否由專人全程陪同或監(jiān)督，是否進(jìn)行記錄并存檔管理；n） 應(yīng)檢查外部人員訪問管理文檔，查看是否明確規(guī)定了外部人員的訪問條件、訪問范圍、訪問控制措施、保密等相關(guān)管理要求；檢查外部人員訪問登記記錄，查看是否記錄了外部人員訪問重要區(qū)域的訪問者個(gè)人信息（至少包括姓名、工作單位、聯(lián)系方式）、進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問及操作內(nèi)容、陪同人等。資產(chǎn)管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)建立包括工業(yè)控制系統(tǒng)軟硬件、文檔、資料、工具等在內(nèi)的資產(chǎn)安全管理規(guī)定和資產(chǎn)清單，資產(chǎn)清單中應(yīng)包括資產(chǎn)責(zé)任部門、保管人員、所處位置、重要程度、資產(chǎn)編號(hào)、采購日期、型號(hào)版本等信息；應(yīng)明確工業(yè)控制系統(tǒng)資

34、產(chǎn)管理的責(zé)任部門，指定專人負(fù)責(zé)工業(yè)控制系統(tǒng)資產(chǎn)管理， 詳實(shí)記錄資產(chǎn)管理相關(guān)情況。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談資產(chǎn)管理員，詢問是否建立包括工業(yè)控制系統(tǒng)軟硬件、文檔、資料、工具等在內(nèi)的資產(chǎn)安全管理規(guī)定；應(yīng)檢查資產(chǎn)安全管理規(guī)定文檔，查看其是否包括工業(yè)控制系統(tǒng)軟硬件、文檔、資料、工具等資產(chǎn)，是否覆蓋資產(chǎn)使用、借用、維護(hù)等方面的規(guī)定內(nèi)容；應(yīng)訪談資產(chǎn)管理員，詢問是否編制工業(yè)控制系統(tǒng)相關(guān)資產(chǎn)的資產(chǎn)清單，資產(chǎn)清單是否覆蓋資產(chǎn)責(zé)任部門、保管人員、所處位置、重要程度、資產(chǎn)編號(hào)、采購日期、型號(hào)版本等方面內(nèi)容；應(yīng)檢查資產(chǎn)清單，查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任部門、保管人員、所處位置、重要程度、資產(chǎn)編號(hào)、采購日期、型號(hào)版

35、本等方面內(nèi)容；DB32/T 2765-201510應(yīng)訪談資產(chǎn)管理員，詢問是否指定資產(chǎn)管理的責(zé)任部門，是否指定專人負(fù)責(zé)工業(yè)控制系統(tǒng)資產(chǎn)的管理，具體由何部門/何人負(fù)責(zé)；應(yīng)檢查資產(chǎn)清單中的設(shè)備，查看其是否具有相應(yīng)的資產(chǎn)編號(hào)與標(biāo)識(shí)，標(biāo)識(shí)是否清晰可見，且不易去除。應(yīng)急管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)制定工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案，明確應(yīng)急組織領(lǐng)導(dǎo)、應(yīng)急處置流程、應(yīng)急支撐隊(duì)伍、應(yīng)急資源保障、事后總結(jié)教育等內(nèi)容；應(yīng)對(duì)工業(yè)控制系統(tǒng)中的關(guān)鍵設(shè)備保有備機(jī)備件；應(yīng)進(jìn)行應(yīng)急預(yù)案培訓(xùn)，定期開展應(yīng)急演練，對(duì)應(yīng)急演練過程進(jìn)行記錄和總結(jié)。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談業(yè)務(wù)主管或系統(tǒng)負(fù)責(zé)人，詢問是否制定工業(yè)控制系統(tǒng)信息

36、安全事件應(yīng)急預(yù)案，是否明確應(yīng)急組織領(lǐng)導(dǎo)、應(yīng)急處置流程、應(yīng)急支撐隊(duì)伍、應(yīng)急資源保障、事后總結(jié)教育等內(nèi)容；應(yīng)查閱工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案文檔，查看其內(nèi)容是否覆蓋應(yīng)急組織領(lǐng)導(dǎo)、應(yīng)急處置流程、應(yīng)急支撐隊(duì)伍、應(yīng)急資源保障、事后總結(jié)教育等方面，且操作可行；應(yīng)訪談業(yè)務(wù)主管或系統(tǒng)負(fù)責(zé)人，詢問是否對(duì)工業(yè)控制系統(tǒng)的關(guān)鍵設(shè)備保有備機(jī)備件，如何保證備機(jī)備件在應(yīng)急時(shí)能夠正常工作；應(yīng)訪談業(yè)務(wù)主管或系統(tǒng)負(fù)責(zé)人，詢問是否開展應(yīng)急預(yù)案培訓(xùn)，培訓(xùn)人員包括哪些； 是否定期開展應(yīng)急演練，演練周期有多長，是否對(duì)應(yīng)急演練過程進(jìn)行記錄并存檔， 是否對(duì)應(yīng)急演練進(jìn)行總結(jié)并改進(jìn)應(yīng)急預(yù)案；應(yīng)檢查是否具有應(yīng)急預(yù)案培訓(xùn)記錄、應(yīng)急預(yù)案演練記錄和

37、應(yīng)急處置記錄。連接管理網(wǎng)絡(luò)與系統(tǒng)接入管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：工業(yè)控制系統(tǒng)應(yīng)具有網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D，并與實(shí)際部署情況一致；工業(yè)控制系統(tǒng)網(wǎng)絡(luò)邊界清晰；應(yīng)詳細(xì)登記工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)之間的所有連接，斷開所有不必要連接；工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)之間應(yīng)部署強(qiáng)隔離設(shè)備（如硬件防火墻等）； 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)邊界隔離設(shè)備的安全控制策略應(yīng)符合實(shí)際安全要求；工業(yè)控制系統(tǒng)及設(shè)備應(yīng)未非法連接其他網(wǎng)絡(luò)；工業(yè)控制系統(tǒng)與電子信息系統(tǒng)之間應(yīng)不存在無必要的關(guān)聯(lián)，必要關(guān)聯(lián)的電子信息系統(tǒng)應(yīng)運(yùn)行良好、安全可控，對(duì)特別重要的關(guān)聯(lián)電子信息系統(tǒng)進(jìn)行封閉式風(fēng)險(xiǎn)評(píng)估， 其安全風(fēng)險(xiǎn)在可接受范圍內(nèi)；電子信息系統(tǒng)應(yīng)由明確的工業(yè)

38、控制系統(tǒng)安全管理部門進(jìn)行管理和控制；DB32/T 2765-201511電子信息系統(tǒng)對(duì)工業(yè)控制系統(tǒng)應(yīng)不具備直接控制、強(qiáng)反饋等操控能力；電子信息系統(tǒng)與工業(yè)控制系統(tǒng)之間應(yīng)有嚴(yán)格的互相識(shí)別、認(rèn)證機(jī)制，如設(shè)備標(biāo)識(shí)、身份鑒別、訪問控制、地址隱藏、資源限制等。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)檢查工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D，查驗(yàn)是否與網(wǎng)絡(luò)拓?fù)涞膶?shí)際部署情況一致；工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)邊界是否清晰；應(yīng)訪談網(wǎng)絡(luò)管理員，詢問是否詳細(xì)登記工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)之間的所有連接，是否已斷開所有不必要連接；應(yīng)檢查網(wǎng)絡(luò)連接登記信息，對(duì)涉及連接公共網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)的事項(xiàng)進(jìn)行必要性評(píng)估； d） 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問工業(yè)控制

39、系統(tǒng)是否與公共網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)之間部署強(qiáng)隔離設(shè)備，部署的安全設(shè)備包括哪些；應(yīng)檢查工業(yè)控制系統(tǒng)網(wǎng)絡(luò)邊界隔離設(shè)備的安全控制策略配置情況，是否滿足實(shí)際安全要求；應(yīng)查驗(yàn)現(xiàn)場無線信號(hào)覆蓋情況；查驗(yàn)工業(yè)控制系統(tǒng)主要設(shè)備的網(wǎng)絡(luò)連接痕跡，是否存在違規(guī)外聯(lián)的情況；應(yīng)訪談業(yè)務(wù)主管、網(wǎng)絡(luò)管理員，詢問電子信息系統(tǒng)是否由工業(yè)控制系統(tǒng)安全管理部門負(fù)責(zé)管理和控制，具體由何部門負(fù)責(zé)管理；應(yīng)訪談業(yè)務(wù)主管、網(wǎng)絡(luò)管理員，查閱業(yè)務(wù)流程圖，了解和查驗(yàn)電子信息系統(tǒng)功能、對(duì)工業(yè)控制系統(tǒng)的實(shí)際操控能力情況；應(yīng)訪談業(yè)務(wù)主管、信息管理員，詢問電子信息系統(tǒng)的信息安全測評(píng)工作開展情況， 做過哪些安全測評(píng)，測評(píng)周期為多長，是否完成安全整改工作；應(yīng)查閱電

40、子信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估、等級(jí)測評(píng)以及安全整改報(bào)告等文檔，評(píng)估其安全風(fēng)險(xiǎn)是否在可接受范圍內(nèi)；應(yīng)訪談業(yè)務(wù)主管、信息管理員，詢問電子信息系統(tǒng)與工業(yè)控制系統(tǒng)之間是否具有嚴(yán)格的互相識(shí)別、認(rèn)證的安全機(jī)制，采取的安全機(jī)制有哪些，安全效果如何；應(yīng)查閱系統(tǒng)設(shè)計(jì)文檔，查驗(yàn)相互識(shí)別與認(rèn)證的安全措施。移動(dòng)存儲(chǔ)介質(zhì)管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)建立工業(yè)控制系統(tǒng)移動(dòng)存儲(chǔ)介質(zhì)管理制度，對(duì)可接入移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行登記管理，規(guī)范移動(dòng)存儲(chǔ)介質(zhì)的使用、維護(hù)和銷毀過程；工業(yè)控制系統(tǒng)主要設(shè)備應(yīng)采取技術(shù)措施，限制或封堵所有不必要接口，使得未登記移動(dòng)存儲(chǔ)介質(zhì)無法在工業(yè)控制系統(tǒng)中直接插拔或讀取數(shù)據(jù)；工業(yè)控制系統(tǒng)的主要設(shè)備應(yīng)設(shè)置禁止移動(dòng)存儲(chǔ)介質(zhì)

41、自動(dòng)播放策略，明確專人對(duì)設(shè)備清單中的移動(dòng)存儲(chǔ)介質(zhì)定期進(jìn)行病毒木馬查殺。檢查實(shí)施本項(xiàng)檢查要求包括：a） 應(yīng)訪談資產(chǎn)管理員，詢問是否對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用和管理要求制度化和文檔化； b） 應(yīng)查閱介質(zhì)安全管理制度、移動(dòng)存儲(chǔ)介質(zhì)設(shè)備清單、移動(dòng)存儲(chǔ)介質(zhì)使用記錄等文檔，檢查是否對(duì)移動(dòng)存儲(chǔ)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定，是否進(jìn)DB32/T 2765-201512行登記管理，是否禁止移動(dòng)存儲(chǔ)介質(zhì)在不同網(wǎng)絡(luò)之間交叉使用；詢問移動(dòng)存儲(chǔ)介質(zhì)是否有專人管理，其存放環(huán)境是否安全可靠；應(yīng)訪談業(yè)務(wù)操作員，詢問是否采取技術(shù)措施限制或封堵工業(yè)控制系統(tǒng)主要設(shè)備的所有不必要接口，采取的技術(shù)措施包括哪些；應(yīng)查驗(yàn)未登記移

42、動(dòng)存儲(chǔ)介質(zhì)是否在工業(yè)控制系統(tǒng)中無法直接插拔或讀取數(shù)據(jù)； e） 應(yīng)訪談業(yè)務(wù)操作員，詢問工業(yè)控制系統(tǒng)的主要設(shè)備是否已設(shè)置禁止移動(dòng)存儲(chǔ)介質(zhì)自動(dòng)播放策略，是否明確專人對(duì)設(shè)備清單中的移動(dòng)存儲(chǔ)介質(zhì)定期進(jìn)行病毒木馬查殺， 周期有多長；f） 應(yīng)登錄工業(yè)控制系統(tǒng)的主要設(shè)備，查驗(yàn)是否已設(shè)置禁止移動(dòng)存儲(chǔ)介質(zhì)自動(dòng)播放策略；查閱病毒木馬查殺記錄等文檔，抽查部分移動(dòng)存儲(chǔ)介質(zhì)的安全狀況。計(jì)算機(jī)接入方式管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)建立工業(yè)控制系統(tǒng)終端計(jì)算機(jī)接入管理制度，對(duì)可接入工業(yè)控制系統(tǒng)的終端計(jì)算機(jī)進(jìn)行登記管理；工業(yè)控制系統(tǒng)對(duì)終端計(jì)算機(jī)應(yīng)具有準(zhǔn)入控制措施，未登記的終端計(jì)算機(jī)無法直接接入工業(yè)控制系統(tǒng)網(wǎng)絡(luò)。檢查實(shí)施本項(xiàng)檢查

43、要求包括：應(yīng)訪談資產(chǎn)管理員，詢問是否建立工業(yè)控制系統(tǒng)終端計(jì)算機(jī)接入管理制度；訪談網(wǎng)絡(luò)管理員，是否對(duì)可接入工業(yè)控制系統(tǒng)的終端計(jì)算機(jī)進(jìn)行登記管理，是否有工業(yè)控制系統(tǒng)IP地址配置管理；應(yīng)查閱終端計(jì)算機(jī)接入管理制度、可接入終端計(jì)算機(jī)清單等文檔，查驗(yàn)工業(yè)控制系統(tǒng)終端計(jì)算機(jī)的接入管理情況和接入登記情況；查驗(yàn)工業(yè)控制系統(tǒng)IP地址配置管理情況；應(yīng)檢查工業(yè)控制系統(tǒng)接入環(huán)境，必要時(shí)選擇安全計(jì)算機(jī)做接入嘗試，查驗(yàn)終端計(jì)算機(jī)準(zhǔn)入控制措施的有效性。組網(wǎng)管理遠(yuǎn)程通信管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D應(yīng)與實(shí)際情況一致；工業(yè)控制系統(tǒng)中不存在遠(yuǎn)程通信，或所有遠(yuǎn)程通信均具有必要性；遠(yuǎn)程通信中網(wǎng)絡(luò)架設(shè)、運(yùn)維使

44、用模式科學(xué)合理、安全可控；涉及遠(yuǎn)程通信的主管方、運(yùn)維方安全、可靠；遠(yuǎn)程通信應(yīng)采取一定的安全防護(hù)措施（如認(rèn)證、VPN、冗余線路、數(shù)據(jù)加密等）， 涉及重要敏感數(shù)據(jù)的工業(yè)控制系統(tǒng)，其遠(yuǎn)程通信應(yīng)具有足夠安全的防護(hù)措施。檢查實(shí)施本項(xiàng)檢查要求包括：DB32/T 2765-201513應(yīng)檢查工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D，查驗(yàn)是否與網(wǎng)絡(luò)拓?fù)涞膶?shí)際情況一致；應(yīng)訪談業(yè)務(wù)主管、網(wǎng)絡(luò)管理員，詢問工業(yè)控制系統(tǒng)中是否存在遠(yuǎn)程通信，存在的遠(yuǎn)程通信是否具有必要性；應(yīng)訪談業(yè)務(wù)主管、網(wǎng)絡(luò)管理員，詢問遠(yuǎn)程通信的建設(shè)和運(yùn)維管理模式，是否科學(xué)合理、安全可控；涉及遠(yuǎn)程通信的主管方、運(yùn)維方分別包括哪些，是否安全、可靠；遠(yuǎn)程通信是否采取了足

45、夠安全的防護(hù)措施，安全措施有哪些；涉及重要敏感數(shù)據(jù)的工業(yè)控制系統(tǒng)，對(duì)其遠(yuǎn)程通信安全防護(hù)措施進(jìn)行驗(yàn)證和風(fēng)險(xiǎn)評(píng)估。無線組網(wǎng)管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D應(yīng)與實(shí)際情況一致；工業(yè)控制系統(tǒng)不存在無線組網(wǎng)， 或所有無線組網(wǎng)具有必要性；涉及重要敏感數(shù)據(jù)信息或帶有關(guān)鍵控制功能的工業(yè)控制系統(tǒng)不應(yīng)采用無線組網(wǎng)方式；必要的無線組網(wǎng)應(yīng)采取一定的安全防護(hù)措施（如認(rèn)證、準(zhǔn)入、數(shù)據(jù)加密等）確?？煽匦?，并定期檢查安全防護(hù)措施的有效性。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)檢查工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D，查驗(yàn)是否與網(wǎng)絡(luò)拓?fù)涞膶?shí)際情況一致；訪談業(yè)務(wù)主管、網(wǎng)絡(luò)管理員，詢問工業(yè)控制系統(tǒng)中是否存在無線組網(wǎng)，了解無線組

46、網(wǎng)基本情況，存在的無線組網(wǎng)是否具有必要性；應(yīng)對(duì)工業(yè)控制系統(tǒng)中所有無線組網(wǎng)的覆蓋區(qū)域進(jìn)行實(shí)地查驗(yàn)；對(duì)所有無線組網(wǎng)的必要性進(jìn)行評(píng)估；涉及無線組網(wǎng)的工業(yè)控制系統(tǒng)，對(duì)其數(shù)據(jù)重要敏感性、強(qiáng)反饋程度、操控能力等進(jìn)行重點(diǎn)評(píng)估。應(yīng)訪談業(yè)務(wù)主管、網(wǎng)絡(luò)管理員，詢問無線組網(wǎng)是否采取足夠安全的防護(hù)措施確?？煽匦?，安全措施有哪些，必要時(shí)對(duì)措施有效性進(jìn)行查驗(yàn)。配置管理配置與檢查檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)建立配置管理規(guī)范，對(duì)關(guān)鍵設(shè)備的配置變更進(jìn)行日志記錄，定期對(duì)關(guān)鍵設(shè)備配置信息進(jìn)行核查和審計(jì)；應(yīng)對(duì)工業(yè)控制系統(tǒng)服務(wù)器、關(guān)鍵PLC控制器、交換機(jī)、路由器、防火墻等關(guān)鍵資產(chǎn)的運(yùn)行、啟動(dòng)文件和程序文件等進(jìn)行定期備份，在發(fā)生配置變更

47、時(shí)及時(shí)進(jìn)行保存。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談系統(tǒng)管理員、資產(chǎn)管理員，詢問是否建立配置管理規(guī)范，是否對(duì)關(guān)鍵設(shè)備的配置變更進(jìn)行日志記錄，是否定期對(duì)關(guān)鍵設(shè)備配置信息進(jìn)行核查和審計(jì)，周期有多長；應(yīng)查閱配置管理制度、關(guān)鍵設(shè)備配置變更日志記錄、檢查和審計(jì)等過程文檔，周期是否與訪談結(jié)果一致；DB32/T 2765-201514應(yīng)訪談系統(tǒng)管理員，詢問定期備份的關(guān)鍵資產(chǎn)和文件包括哪些，備份周期多長，發(fā)生配置變更時(shí)是否及時(shí)進(jìn)行保存；應(yīng)檢查關(guān)鍵設(shè)備的配置文件與備份文件的一致性。用戶權(quán)限管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)合理設(shè)置工業(yè)控制系統(tǒng)組態(tài)軟件、PLC控制器（SNMP）、應(yīng)用程序等關(guān)鍵資產(chǎn)的管理角色；應(yīng)合理配置

48、角色/用戶權(quán)限，管理員、操作員應(yīng)權(quán)責(zé)清晰，杜絕超級(jí)權(quán)限用戶。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談系統(tǒng)管理員，詢問工業(yè)控制系統(tǒng)組態(tài)軟件、PLC控制器（SNMP）、應(yīng)用程序等關(guān)鍵資產(chǎn)的管理角色的設(shè)置情況；應(yīng)訪談系統(tǒng)管理員，詢問如何配置角色/用戶權(quán)限，管理員、操作員的權(quán)責(zé)分配情況；應(yīng)檢查角色、帳戶及權(quán)限的設(shè)置情況，是否與訪談結(jié)果一致，查驗(yàn)是否存在超級(jí)權(quán)限用戶。系統(tǒng)口令管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：工業(yè)控制系統(tǒng)組態(tài)軟件、PLC控制器（SNMP）、應(yīng)用程序等帳號(hào)、協(xié)議鑒別等口令應(yīng)至少由8位數(shù)字、大小寫字母、特殊字符組成，并定期更換。嚴(yán)禁弱口令、默認(rèn)口令；禁止多人共享同一口令、公開張貼系統(tǒng)口令字條等行為。檢查

49、實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談系統(tǒng)管理員、業(yè)務(wù)操作員，詢問是否對(duì)工業(yè)控制系統(tǒng)組態(tài)軟件、PLC控制器（SNMP）、應(yīng)用程序等帳號(hào)、協(xié)議鑒別等口令具有安全要求和措施，是否對(duì)口令的組成和長度具有相應(yīng)的要求或規(guī)定，是否有禁止使用弱口令、默認(rèn)口令的規(guī)定；應(yīng)在系統(tǒng)管理員、業(yè)務(wù)操作員的配合下，抽取檢查對(duì)象查驗(yàn)是否存在弱口令、默認(rèn)口令，口令的組成和長度是否滿足實(shí)際安全需求；應(yīng)訪談系統(tǒng)管理員、業(yè)務(wù)操作員，詢問是否存在多人共享同一口令的情況；并現(xiàn)場觀察操作員站等重要辦公場地，檢查是否存在張貼系統(tǒng)口令字條等情況。系統(tǒng)配置管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)關(guān)閉工業(yè)控制系統(tǒng)主要設(shè)備的無關(guān)端口、服務(wù)、操作界面；應(yīng)禁止在主要設(shè)

50、備上安裝即時(shí)通訊、視頻播放、游戲等與生產(chǎn)控制活動(dòng)無關(guān)的軟件。檢查實(shí)施DB32/T 2765-201515本項(xiàng)檢查要求包括：應(yīng)在網(wǎng)絡(luò)管理員、系統(tǒng)管理員的配合下，檢查工業(yè)控制系統(tǒng)主要設(shè)備端口、服務(wù)、操作界面開放情況，是否已關(guān)閉無關(guān)端口、服務(wù)和操作界面；應(yīng)在網(wǎng)絡(luò)管理員、系統(tǒng)管理員的配合下，檢查工業(yè)控制系統(tǒng)主要設(shè)備的軟件安裝情況，是否在主要設(shè)備上安裝了即時(shí)通訊、視頻播放、游戲等與生產(chǎn)控制活動(dòng)無關(guān)的軟件。設(shè)備選擇與運(yùn)維管理安全責(zé)任管理檢查內(nèi)容應(yīng)在設(shè)備采購、集成等合同中明確工控設(shè)備供應(yīng)商、集成商所承擔(dān)的信息安全責(zé)任與義務(wù)，具有工業(yè)控制系統(tǒng)信息安全保障方面的條款。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談系統(tǒng)負(fù)責(zé)人、

51、信息安全員，詢問是否對(duì)工控設(shè)備供應(yīng)商、集成商的信息安全責(zé)任進(jìn)行明確并落實(shí)，如何明確，落實(shí)效果如何；應(yīng)查閱設(shè)備采購、集成合同等文檔，檢查其是否明確供應(yīng)商、集成商所承擔(dān)的信息安全責(zé)任與義務(wù)，是否具有工業(yè)控制系統(tǒng)信息安全保障方面的條款。在線服務(wù)管理檢查內(nèi)容一般情況下應(yīng)禁止工業(yè)控制系統(tǒng)的遠(yuǎn)程在線服務(wù)；工業(yè)控制系統(tǒng)在特殊情況下需要遠(yuǎn)程在線服務(wù)的，應(yīng)具備強(qiáng)認(rèn)證、強(qiáng)加密等工作方式（如動(dòng)態(tài)口令、VPN、數(shù)據(jù)加密等），確保工業(yè)控制系統(tǒng)使用單位對(duì)遠(yuǎn)程在線服務(wù)行為的自主安全可控。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談系統(tǒng)負(fù)責(zé)人、信息安全員，詢問工業(yè)控制系統(tǒng)中是否存在遠(yuǎn)程在線服務(wù)，遠(yuǎn)程在線服務(wù)的方式有哪些，是否采取相應(yīng)的安

52、全措施，現(xiàn)有安全控制措施包括哪些；應(yīng)在系統(tǒng)負(fù)責(zé)人、信息安全員的配合下，查閱相關(guān)文檔，查驗(yàn)遠(yuǎn)程在線服務(wù)方式及安全可控措施，并檢查運(yùn)維記錄。軟硬件升級(jí)管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)主動(dòng)跟蹤工業(yè)控制系統(tǒng)主要軟硬件設(shè)備的安全漏洞情況，及時(shí)尋求設(shè)備供應(yīng)商、集成商的服務(wù)支持；對(duì)工業(yè)控制系統(tǒng)關(guān)鍵軟硬件設(shè)備進(jìn)行升級(jí)、變更、補(bǔ)丁安裝時(shí)，應(yīng)事先進(jìn)行安全評(píng)估與驗(yàn)證，分析安全風(fēng)險(xiǎn)并明確管控措施。檢查實(shí)施本項(xiàng)檢查要求包括：DB32/T 2765-201516應(yīng)訪談信息安全員，詢問是否指定人員主動(dòng)跟蹤工業(yè)控制系統(tǒng)軟硬件設(shè)備安全漏洞情況，在發(fā)現(xiàn)安全漏洞時(shí)是否能夠及時(shí)尋求設(shè)備供應(yīng)商、集成商提供有效的服務(wù)支持，漏洞跟蹤的方式

53、和渠道有哪些，設(shè)備供應(yīng)商、集成商如何提供服務(wù)支持，服務(wù)支持的內(nèi)容和方式有哪些；應(yīng)訪談系統(tǒng)管理員、信息安全員，詢問是否及時(shí)對(duì)工業(yè)控制系統(tǒng)關(guān)鍵軟硬件設(shè)備進(jìn)行升級(jí)、變更、補(bǔ)丁安裝，是否在執(zhí)行上述操作前首先進(jìn)行必要的安全評(píng)估與驗(yàn)證， 分析安全風(fēng)險(xiǎn)并采取管控措施；應(yīng)訪談系統(tǒng)管理員、信息安全員，詢問是否具有升級(jí)/變更管理規(guī)范等文檔，并查閱相關(guān)文檔，查驗(yàn)是否屬實(shí)。設(shè)備運(yùn)維管理檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：應(yīng)對(duì)工業(yè)控制系統(tǒng)涉及的筆記本、臺(tái)式電腦、打印機(jī)等終端設(shè)備以及服務(wù)器、交換機(jī)、防火墻等網(wǎng)絡(luò)與安全設(shè)備設(shè)置安全基線（統(tǒng)一安全策略）；應(yīng)根據(jù)安全基線，定期檢查終端設(shè)備、服務(wù)器、網(wǎng)絡(luò)與安全設(shè)備是否滿足安全基線要求，包括

54、終端計(jì)算機(jī)病毒、木馬查殺等情況。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談安全管理員，詢問是否對(duì)工業(yè)控制系統(tǒng)涉及的筆記本、臺(tái)式電腦、打印機(jī)等終端設(shè)備以及服務(wù)器、交換機(jī)、防火墻等網(wǎng)絡(luò)與安全設(shè)備設(shè)置安全基線（統(tǒng)一安全策略），查閱安全基線等相關(guān)文檔，對(duì)基線內(nèi)容進(jìn)行評(píng)估；應(yīng)訪談安全管理員，詢問是否根據(jù)安全基線定期檢查終端設(shè)備、服務(wù)器、網(wǎng)絡(luò)與安全設(shè)備對(duì)安全基線要求的滿足情況，是否包括終端計(jì)算機(jī)病毒、木馬查殺等情況； 查閱安全檢查自查等相關(guān)文檔，對(duì)終端設(shè)備、服務(wù)器、網(wǎng)絡(luò)和安全設(shè)備符合安全基線的情況進(jìn)行檢查。數(shù)據(jù)管理數(shù)據(jù)重要性識(shí)別檢查內(nèi)容對(duì)工業(yè)控制系統(tǒng)采集、傳輸、處理數(shù)據(jù)的重要敏感程度應(yīng)進(jìn)行識(shí)別和分類管理；對(duì)涉及地理

55、、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的工業(yè)控制系統(tǒng)，應(yīng)建立專門制度確保其數(shù)據(jù)安全，并明確專人負(fù)責(zé)。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談系統(tǒng)負(fù)責(zé)人、業(yè)務(wù)主管，詢問是否對(duì)工業(yè)控制系統(tǒng)采集、傳輸、處理數(shù)據(jù)的重要敏感程度應(yīng)進(jìn)行識(shí)別和分類管理,如何進(jìn)行識(shí)別和分類管理；是否存在涉及地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)，是否建立專門制度確保其數(shù)據(jù)安全，是否明確專人負(fù)責(zé)；應(yīng)查閱其相關(guān)管理制度等文檔，檢查工業(yè)控制系統(tǒng)數(shù)據(jù)的重要敏感程度的識(shí)別和分類管理方法。采集管理DB32/T 2765-201517檢查內(nèi)容涉及采集重要數(shù)據(jù)的工業(yè)控制系統(tǒng)，其采集方式應(yīng)符合安全、保密、可控等要求，具有相應(yīng)的

56、安全防護(hù)技術(shù)（如數(shù)據(jù)單向采集、加密、身份鑒別等）和安全管理制度。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談信息安全員、系統(tǒng)管理員，詢問工業(yè)控制系統(tǒng)數(shù)據(jù)的采集方式有哪些，是否采取相應(yīng)的安全防護(hù)技術(shù)，安全防護(hù)技術(shù)包括哪些，是否具有相應(yīng)的安全管理制度等管理措施；應(yīng)查閱其相關(guān)管理制度等文檔，查驗(yàn)采取的管理措施及其實(shí)施情況。存儲(chǔ)與備份管理檢查內(nèi)容涉及存儲(chǔ)和備份重要數(shù)據(jù)的工業(yè)控制系統(tǒng)，應(yīng)滿足數(shù)據(jù)的保密性、可用性要求。定期備份數(shù)據(jù)并確保備份數(shù)據(jù)的可用性，備份過程中應(yīng)采取加密、訪問限制等措施。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談信息安全員、系統(tǒng)管理員，詢問工業(yè)控制系統(tǒng)數(shù)據(jù)的備份方式有哪些，是否定期備份，周期有多長，如何確保

57、備份數(shù)據(jù)的可用性，備份過程中是否采取相應(yīng)的安全保護(hù)措施，安全保護(hù)措施有哪些，如何滿足數(shù)據(jù)的保密性要求；應(yīng)查驗(yàn)和評(píng)估以上安全措施的有效性；檢查備份可用性的測試記錄。審計(jì)管理檢查內(nèi)容應(yīng)對(duì)重要數(shù)據(jù)進(jìn)行審計(jì)，對(duì)數(shù)據(jù)庫、數(shù)據(jù)文檔的修改、讀取、調(diào)用等操作進(jìn)行日志記錄與審計(jì)。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談數(shù)據(jù)管理員，詢問是否指定人員對(duì)重要數(shù)據(jù)進(jìn)行日志記錄與審計(jì)，日志記錄與審計(jì)的內(nèi)容包括哪些，是否定期進(jìn)行審計(jì)，周期有多長；應(yīng)檢查日志記錄和審計(jì)的管理情況，檢查日志記錄與審計(jì)中是否包括對(duì)數(shù)據(jù)庫、數(shù)據(jù)文檔的修改、讀取、調(diào)用等操作內(nèi)容。物理環(huán)境管理供配電檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：a） 工業(yè)控制系統(tǒng)應(yīng)至少配有兩路供電

58、，提供可靠的工業(yè)控制系統(tǒng)環(huán)境電力供應(yīng)； b） 應(yīng)在工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備供電線路中串接不間斷電源（UPS），其續(xù)航時(shí)間至少滿足1小時(shí)工作用電需求；DB32/T 2765-201518c） 應(yīng)在供電線路中部署穩(wěn)壓器與過電壓防護(hù)設(shè)備，或者工控設(shè)備自帶穩(wěn)壓和過電防護(hù)功能，防止因電壓過大或者浪涌電流造成的危害。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談機(jī)房管理員、物理安全負(fù)責(zé)人，詢問工業(yè)控制系統(tǒng)是否部署了冗余或并行的供電線路，是否能夠?qū)崿F(xiàn)雙路供電切換；應(yīng)訪談機(jī)房管理員、物理安全負(fù)責(zé)人，詢問是否在工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備供電線路中串接不間斷電源（UPS），其續(xù)航時(shí)間能否滿足一小時(shí)工作用電需求；應(yīng)檢查機(jī)房，查看工業(yè)控制系

59、統(tǒng)關(guān)鍵設(shè)備供電線路中的不間斷電源（UPS）設(shè)備是否正常運(yùn)行，查看不間斷電源（UPS）設(shè)備說明，確認(rèn)其續(xù)航時(shí)間和功率，必要時(shí)查閱不間斷電源的續(xù)電測試記錄；應(yīng)訪談機(jī)房管理員、物理安全負(fù)責(zé)人，詢問是否在供電線路中部署穩(wěn)壓器與過電壓防護(hù)設(shè)備；應(yīng)檢查機(jī)房，查看工業(yè)控制系統(tǒng)供電線路上的穩(wěn)壓器、過電壓防護(hù)設(shè)備是否正常運(yùn)行，查看供電電壓是否正常。防靜電檢查內(nèi)容本項(xiàng)檢查內(nèi)容包括：a） 應(yīng)在車間、機(jī)房等關(guān)鍵區(qū)域采用防靜電地板，關(guān)鍵設(shè)備、機(jī)柜安全接地； b） 在車間、機(jī)房等關(guān)鍵區(qū)域?qū)嵤┻\(yùn)維操作時(shí)應(yīng)使用防靜電手環(huán)等防靜電措施。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談機(jī)房管理員、物理安全負(fù)責(zé)人，詢問是否在車間、機(jī)房等關(guān)鍵區(qū)域采

60、用防靜電地板，關(guān)鍵設(shè)備、機(jī)柜是否安全接地，是否存在靜電問題或由此引發(fā)的安全事件；應(yīng)檢查機(jī)房是否采用了防靜電地板，是否不存在明顯的靜電影響；檢查關(guān)鍵設(shè)備、機(jī)柜是否安全接地；應(yīng)訪談機(jī)房管理員、物理安全負(fù)責(zé)人，詢問是否在車間、機(jī)房等關(guān)鍵區(qū)域?qū)嵤┻\(yùn)維操作時(shí)使用防靜電手環(huán)等防靜電措施；應(yīng)查閱機(jī)房、車間操作規(guī)范等文檔，現(xiàn)場檢查車間、機(jī)房等關(guān)鍵區(qū)域，查驗(yàn)是否具有防靜電手環(huán)等防靜電措施。接地與防雷檢查內(nèi)容應(yīng)對(duì)關(guān)鍵區(qū)域采取接地與防雷措施，采取交流接地措施，或安裝電源防雷保安器和信號(hào)傳輸線防雷保安器等設(shè)備。檢查實(shí)施本項(xiàng)檢查要求包括：應(yīng)訪談機(jī)房管理員、物理安全負(fù)責(zé)人，詢問是否對(duì)關(guān)鍵區(qū)域采取接地與防雷措施， 是否部署