工业控制系统安全扩展要求-(五)安全建设管理
安全建设管理
控制点
1.
产品采购和使用工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用,以保证工业控制系统重要设备的安全性。
a)
安全要求:工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。
要求解读:工业企业在采购重要及关键控制系统或网络安全专用产品时,应了解该产品是否符合国家相关认证标准及是否已通过相关专业机构的安全性检测;在采购重要设备时,可参考国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可的监督管理委员会等部门制订的《网络关键设备和网络安全专用产品目录》。
检查方法
1.访谈安全管理员,了解所使用的工业控制系统重要设备及网络安全专用产品是否已通过专业机构的安全性检测。
2.核查工业控制系统是否有由专业机构出具的安全性检测报告。
期望结果
工业控制系统重要设备及网络安全专用产品有由专业机构出具的安全性检测报告。
控制点
2.
外包软件开发为防止外包软件泄密和关键技术扩散,需在外包开发合同中对开发单位和供应商的保密、技术扩散等设置约束条款,保证外包软件开发过程的安全。
a)
安全要求:应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。
要求解读:工业企业在实施外包项目时,应与外包公司及控制设备提供商签署保密协议或合同,使其不会将本项目重要建设过程和内容进行宣传及案例复用,从而保障工业企业的敏感信息、重要信息等不被泄露。
检查方法
核查外包开发合同中是否有对开发单位、供应商的约束条款(包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容)。
期望结果
外包软件开发合同中有对开发单位、供应商的约束条款,包括设备及系统在生命周期内保密、禁止关键技术扩散和设备行业专用等方面的内容。