T-SIA 022.2-2021 工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析頂級(jí)節(jié)點(diǎn)服務(wù)能力成熟度 第2部分：評(píng)估方法

T/SIA

—

T/SIA

—_____________________________________________________________________________________________

Service

Top-Level

node

of

and

system

—

Assessment

2021-5-11

T/SIA

022.2—2021前言.................................................................................................................................................................. II1

范圍 12

規(guī)范性引用文件 13

術(shù)語和定義 14

縮略語 25

能力成熟度等級(jí) 25.1

體系管理能力 25.2

資源管理能力 26

能力成熟度等級(jí)評(píng)價(jià) 37

評(píng)估過程 37.1

評(píng)估流程 37.2

預(yù)評(píng)估 37.3

正式評(píng)估 47.4

發(fā)布評(píng)估結(jié)果 57.5

改進(jìn)提升 5附錄

A

（規(guī)范性附錄）

能力成熟度評(píng)測(cè)表............................................................................................... 6表

A.1 能力成熟度第一級(jí)（穩(wěn)健級(jí)）...................................................................................................6表

A.2 能力成熟度第二級(jí)（量化管理級(jí)）.........................................................................................18表

A.3 能力成熟度第三級(jí)（優(yōu)化級(jí)）.................................................................................................36附錄

B

（資料性附錄）

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析服務(wù)能力評(píng)估申請(qǐng)表..................................................... 55參考文獻(xiàn) 56T/SIA

022.2—2021 本文件按照

GB/T

1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第

1

部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由中國軟件行業(yè)協(xié)會(huì)提出并歸口。所、北京軟件產(chǎn)品質(zhì)量檢測(cè)檢驗(yàn)中心、上海帆一尚行科技有限公司。原、芮建武、于紅云、王威、孔昊、錢照峰、孫連玨。IIT/SIA022.2—2021工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析頂級(jí)節(jié)點(diǎn)服務(wù)能力成熟度第2部分：評(píng)估方法1

范圍了詳細(xì)的評(píng)測(cè)表，并給出評(píng)級(jí)標(biāo)準(zhǔn)。范進(jìn)行能力成熟度等級(jí)評(píng)定申請(qǐng)，確保節(jié)點(diǎn)高效可靠運(yùn)行。2

規(guī)范性引用文件有的修改單）適用于本文件。GB/T

信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求AII/003-2018

工業(yè)互聯(lián)網(wǎng)

安全總體要求T/SIA

022.1-2021

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析頂級(jí)節(jié)點(diǎn)服務(wù)能力成熟度

第1部分：模型3

術(shù)語和定義下列術(shù)語和定義適用本文件。3.1業(yè)務(wù)能力 business

capability流量監(jiān)測(cè)、數(shù)據(jù)資源管理等。3.2數(shù)據(jù)應(yīng)用能力 data

capability引、清洗、合并及質(zhì)量評(píng)估等能力。3.3運(yùn)營(yíng)能力 operational

capability頂級(jí)節(jié)點(diǎn)維護(hù)系統(tǒng)正常運(yùn)行的能力,

包括節(jié)點(diǎn)的經(jīng)營(yíng)機(jī)構(gòu)是否具備充足的研發(fā)和維護(hù)人員及軟硬件基礎(chǔ)設(shè)施運(yùn)營(yíng)能力。3.4T/SIA

022.2—2021安全能力 safety

深而導(dǎo)致的信息安全能力。3.5服務(wù)提供能力 service

delivery

據(jù)連通等能力。3.6標(biāo)識(shí)解析頂級(jí)節(jié)點(diǎn)

node

resolution共節(jié)點(diǎn)。[來源：AII/001-2021]4

縮略語下列縮略語適用于本文件。DDoS：分布式拒絕服務(wù)攻擊(Distributed

Denial

Service)DoS：拒絕服務(wù)（Denial

Service）Ecode：物聯(lián)網(wǎng)標(biāo)識(shí)體系物品編碼（Entity

Code

IOT）GS1:全球統(tǒng)一標(biāo)識(shí)系統(tǒng)（Globe

standard

1）Handle：全球標(biāo)識(shí)解析系統(tǒng)（Handle

System）IDS：入侵檢測(cè)系統(tǒng)（Intrusion

Detection

System）IPS：入侵防御系統(tǒng)(

Intrusion

Prevention

NIOT：國家物聯(lián)網(wǎng)標(biāo)識(shí)管理公共服務(wù)平臺(tái)（China

Internet

of

Things

Names

ServicePlatform）OID:

對(duì)象標(biāo)識(shí)符(Object

Identifier)5

能力成熟度等級(jí)5.1

體系管理能力組織應(yīng)具有建設(shè)和持續(xù)改進(jìn)組織項(xiàng)目管理體系的能力，包括但不限于以下內(nèi)容：a) 有明確的項(xiàng)目管理機(jī)構(gòu)（例如：項(xiàng)目管理辦公室）和項(xiàng)目管理職責(zé)分工；b) 有與組織發(fā)展戰(zhàn)略一致的項(xiàng)目管理戰(zhàn)略目標(biāo)；c) 有項(xiàng)目管理體系標(biāo)準(zhǔn)文件，包括標(biāo)準(zhǔn)的項(xiàng)目管理過程；d) 有項(xiàng)目管理信息系統(tǒng)，能夠有效支撐軟件企業(yè)的日常項(xiàng)目管理工作；e) 有明確的信息安全管理職能。5.2

資源管理能力符合T/SIA

022.1—20216章描述的內(nèi)容。T/SIA022.2—20216

能力成熟度等級(jí)評(píng)價(jià)頂級(jí)節(jié)點(diǎn)能力成熟度每一級(jí)別評(píng)定，需同時(shí)滿足以下條件：a) 一票否決項(xiàng)通過率；b) 1項(xiàng)（不包含一票否決項(xiàng)）。能力成熟度等級(jí)評(píng)價(jià)表參見附錄A。7

評(píng)估過程7.1

評(píng)估流程7.1.1

流程圖圖

1 工業(yè)互聯(lián)網(wǎng)頂級(jí)節(jié)點(diǎn)標(biāo)識(shí)解析能力成熟度評(píng)估流程7.2

預(yù)評(píng)估7.2.1

受理評(píng)估申請(qǐng)格評(píng)估組織及評(píng)估人員，以及具備規(guī)范的評(píng)估流程和評(píng)估所需要的硬件和軟件能力。受評(píng)估方應(yīng)向評(píng)估方提交評(píng)估申請(qǐng)表(格式參見附錄B)，并選擇與自身業(yè)務(wù)相匹配的評(píng)估內(nèi)容。注：7.2.2

組建評(píng)估組定一名組長(zhǎng)及數(shù)名組員，評(píng)估組人數(shù)確定為奇數(shù)。T/SIA

022.2—20217.2.2.1

評(píng)估組員職責(zé)a)遵守相應(yīng)的評(píng)估要求準(zhǔn)則；b) 掌握運(yùn)用評(píng)估原則和方法；c) 在計(jì)劃的時(shí)間內(nèi)完成評(píng)估；d)優(yōu)先關(guān)注重要問題；e) 通過訪談、觀察、文件、記錄評(píng)審、數(shù)據(jù)采集等獲取評(píng)估數(shù)據(jù)；f) 確認(rèn)評(píng)估證據(jù)的充分性與適宜性，用以支持評(píng)估結(jié)論；g) 將評(píng)估發(fā)現(xiàn)形成文件，編寫相應(yīng)的評(píng)估報(bào)告；h)維護(hù)相關(guān)文件、數(shù)據(jù)、記錄等的安全性與保密性；i) 識(shí)別與評(píng)估有關(guān)的各類風(fēng)險(xiǎn)。7.2.2.2

評(píng)估組長(zhǎng)的職責(zé)a) 制定評(píng)估計(jì)劃；b) 負(fù)責(zé)整個(gè)評(píng)估計(jì)劃的實(shí)施；c)對(duì)組員進(jìn)行客觀評(píng)價(jià)；d) 決定最終的評(píng)估結(jié)果；e) 向受評(píng)估方提供評(píng)估發(fā)現(xiàn)；f) 評(píng)估活動(dòng)結(jié)束時(shí)發(fā)布現(xiàn)場(chǎng)評(píng)估結(jié)論。7.2.3

編制評(píng)估計(jì)劃目、評(píng)估時(shí)間、評(píng)估人員等。7.2.4

預(yù)評(píng)估評(píng)估組應(yīng)圍繞受評(píng)估方的需求：a) 了解受評(píng)估方有關(guān)頂級(jí)節(jié)點(diǎn)的基本情況；b) 了解受評(píng)估方可提供的證明；c) 確定評(píng)估項(xiàng)目的評(píng)估域與權(quán)重；d) 確定評(píng)估計(jì)劃實(shí)施的可行性。7.3

正式評(píng)估7.3.1

首次會(huì)議首次會(huì)議的目的：a) 對(duì)評(píng)估計(jì)劃達(dá)成一致；b) 介紹評(píng)估人員；c) 項(xiàng)。7.3.2

評(píng)估證據(jù)采集T/SIA022.2—2021在評(píng)估過程中采用適當(dāng)?shù)姆椒ㄊ占Ⅱ?yàn)證評(píng)估相關(guān)的證據(jù)，并將采集的證據(jù)予以記錄。7.3.3

形成評(píng)估發(fā)現(xiàn)強(qiáng)項(xiàng)、弱項(xiàng)及改進(jìn)方案。評(píng)估組需在組內(nèi)達(dá)成一致，必要時(shí)進(jìn)行組內(nèi)評(píng)審。7.3.4

成熟度級(jí)別判定依據(jù)成熟度評(píng)判標(biāo)準(zhǔn)，對(duì)受測(cè)企業(yè)進(jìn)行評(píng)估，最終判定成熟度等級(jí)。7.3.5

形成評(píng)估報(bào)告7.4

發(fā)布評(píng)估結(jié)果7.4.1

溝通評(píng)估結(jié)果的機(jī)會(huì)，并由評(píng)估組確定最終評(píng)估結(jié)果。7.4.2

末次會(huì)議會(huì)議目的：a) 總結(jié)評(píng)估過程；b) 發(fā)布評(píng)估發(fā)現(xiàn)與結(jié)論。7.5

改進(jìn)提升受評(píng)估方應(yīng)基于現(xiàn)場(chǎng)評(píng)估結(jié)果提出相應(yīng)的改進(jìn)方向，制定相應(yīng)改進(jìn)措施并予以實(shí)施。

Handle

編碼協(xié)議符合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)編碼規(guī)范系列標(biāo)準(zhǔn)。

70%)T/SIA

022.2—2021附錄

A（規(guī)范性附錄）能力成熟度評(píng)測(cè)表表A.1規(guī)定了標(biāo)準(zhǔn)中穩(wěn)健級(jí)的具體指標(biāo)。表

表

A.1 能力成熟度第一級(jí)（穩(wěn)健級(jí)）安全物理安全通信T/SIA022.2—2021表

表

A.1(續(xù))安全區(qū)域應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意碼進(jìn)行檢測(cè)和清除，并維護(hù)意代碼防護(hù)機(jī)制的升級(jí)和更安全計(jì)算T/SIA

022.2—2021表

表

A.1(續(xù))安全計(jì)算應(yīng)安裝防惡意代碼軟件或配具有相應(yīng)功能的軟件，并定進(jìn)行升級(jí)和更新防惡意代碼T/SIA022.2—2021表

表

A.1(續(xù))安全管理安全管理安全管理T/SIA

022.2—2021表

表

A.1(續(xù))安全管理安全管理安全建設(shè)T/SIA022.2—2021表

表

A.1(續(xù))安全建設(shè)安全運(yùn)維T/SIA

022.2—2021表

表

A.1(續(xù))安全運(yùn)維T/SIA022.2—2021表

表

A.1(續(xù))安全運(yùn)維應(yīng)明確變更需求變更前根據(jù)變更需求制定變更方案變更方案經(jīng)過評(píng)審、審批后方可實(shí)工業(yè)控制系統(tǒng)安全擴(kuò)展工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)特點(diǎn)劃分為不同的安全域，全域之間應(yīng)采用技術(shù)隔離手T/SIA

022.2—2021表

表

A.1(續(xù))工業(yè)控制系統(tǒng)安全擴(kuò)展在工業(yè)控制系統(tǒng)內(nèi)使用廣域進(jìn)行控制指令或相關(guān)數(shù)據(jù)交的應(yīng)采用加密認(rèn)證技術(shù)手段

E-Mail

Telnet

Rlogin

應(yīng)在經(jīng)過充分測(cè)試評(píng)估后，不影響系統(tǒng)安全穩(wěn)定運(yùn)行的況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更T/SIA022.2—2021表

表

A.1(續(xù))防御和防范：在系統(tǒng)邊界處部署安全設(shè)備（如流量清洗設(shè)備、DoS/DDoS

IP

50

30

24

T/SIA

022.2—2021表

表

A.1(續(xù))

99.9%

99.9%

99.99%T/SIA022.2—2021表

表

A.1(續(xù))

Handle

編碼協(xié)議符合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)編碼規(guī)范系列標(biāo)準(zhǔn)。

有完善的管理規(guī)范與制度，有部分操作記錄。

80%)T/SIA

022.2—2021表A.2規(guī)定了標(biāo)準(zhǔn)中量化管理級(jí)的具體指標(biāo)。表

表

A.2 能力成熟度第二級(jí)（量化管理級(jí)）安全物理T/SIA022.2—2021表

表

A.2（續(xù)）安全通信在邊他網(wǎng)系統(tǒng)要配序的信驗(yàn)安全區(qū)域據(jù)訪規(guī)則制規(guī)并保端口檢查T/SIA

022.2—2021表

表

A.2（續(xù)）安全區(qū)域

IP代碼惡意郵件垃圾點(diǎn)進(jìn)每個(gè)和時(shí)件是系統(tǒng)要配用程態(tài)可安全計(jì)算識(shí)和性，應(yīng)配非法物技的鑒T/SIA022.2—2021表

表

A.2（續(xù)）安全計(jì)算覆蓋戶行和時(shí)件是，保過通置具期進(jìn)T/SIA

022.2—2021表

表

A.2（續(xù)）安全計(jì)算應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行系統(tǒng)要配關(guān)鍵證，據(jù)在括但保證完整保證保密據(jù)在括但安全管理資源管理T/SIA022.2—2021表

表

A.2（續(xù)）安全管理錄進(jìn)進(jìn)行的安全參

計(jì)數(shù)析，安全管理方針全工理性，對(duì)T/SIA

022.2—2021表

表

A.2（續(xù)）安全管理工作最高理員定義、物建立內(nèi)部之間檢查施的全檢形成安全管理全背行審T/SIA022.2—2021表

表

A.2（續(xù)）安全管理訪問、鑰區(qū)域后由訪問批準(zhǔn)員應(yīng)非授安全建設(shè)等級(jí)關(guān)系專家文件T/SIA

022.2—2021表

表

A.2（續(xù)）安全建設(shè)，并測(cè)試T/SIA022.2—2021表

表

A.2（續(xù)）安全建設(shè)相關(guān)鏈各安全運(yùn)維責(zé)機(jī)管理對(duì)有和環(huán)關(guān)的部門中，護(hù)，的人況進(jìn)護(hù)方進(jìn)行能帶存儲(chǔ)T/SIA

022.2—2021表

表

A.2（續(xù)）安全運(yùn)維或重被安漏洞洞和制度、配包括記錄日志分析過審系統(tǒng)，經(jīng)作，，經(jīng)維接得到違反碼意設(shè)備T/SIA022.2—2021表

表

A.2（續(xù)）安全運(yùn)維，包備安變更變的應(yīng)明確變更需求變更前根據(jù)變更需求制定變更方案變更方案經(jīng)過評(píng)審、審批后方可實(shí)更中制方對(duì)系的備管理的報(bào)理過生的，包組織T/SIA

022.2—2021表

表

A.2（續(xù)）安全運(yùn)維商在按照的協(xié)要求

IT

工業(yè)控制系統(tǒng)安全擴(kuò)展鐵板體或電磁無法務(wù)特安全工業(yè)網(wǎng)絡(luò)網(wǎng)進(jìn)換的他系，配

E-Mail

Rlogin

T/SIA022.2—2021表

表

A.2（續(xù)）工業(yè)控制系統(tǒng)安全擴(kuò)展訪問訪問用經(jīng)采取戶（）進(jìn)制的其物別安別、設(shè)備其上在不情況

對(duì)開款，T/SIA

022.2—2021表

表

A.2（續(xù)）防御和防范：在系統(tǒng)邊界處部署安全設(shè)備（如流量清洗設(shè)備、DoS/DDoS

IP

T/SIA022.2—2021表

表

A.2（續(xù)）

50

24

Handle

99.99%

99.99%

99.99%

99.99%T/SIA

022.2—2021表

表

A.2（續(xù)）

99.999%T/SIA022.2—2021表

表

A.2（續(xù)）

Handle

編碼協(xié)議符合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)編碼規(guī)范系列標(biāo)準(zhǔn)。

T/SIA

022.2—2021表A.3規(guī)定了標(biāo)準(zhǔn)中優(yōu)化級(jí)具體指標(biāo)。表

表

A.3 能力成熟度第三級(jí)（優(yōu)化級(jí)）建立有完備的服務(wù)過程追溯機(jī)制，有完整的紙質(zhì)電子記錄，實(shí)施人員清楚相關(guān)服務(wù)內(nèi)容，且可

安全物理T/SIA022.2—2021表

表

A.3（續(xù)）安全物理安全通信T/SIA

022.2—2021表

表

A.3（續(xù)）安全區(qū)域應(yīng)能夠在發(fā)現(xiàn)非授權(quán)設(shè)備私聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為或內(nèi)部戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行應(yīng)采用可信驗(yàn)證機(jī)制對(duì)接入網(wǎng)絡(luò)中的設(shè)備進(jìn)行可信驗(yàn)證保證接入網(wǎng)絡(luò)的設(shè)備真實(shí)可當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源

IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意碼進(jìn)行檢測(cè)和清除，并維護(hù)意代碼防護(hù)機(jī)制的升級(jí)和更應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾件進(jìn)行檢測(cè)和防護(hù)，并維護(hù)圾郵件防護(hù)機(jī)制的升級(jí)和更T/SIA022.2—2021表

表

A.3（續(xù)）安全區(qū)域安全計(jì)算T/SIA

022.2—2021表

表

A.3（續(xù)）安全計(jì)算T/SIA022.2—2021表

表

A.3（續(xù)）安全計(jì)算安全管理T/SIA

022.2—2021表

表

A.3（續(xù)）安全管理安全管理安全管理T/SIA022.2—2021表

表

A.3（續(xù)）安全管理安全管理T/SIA

022.2—2021表

表

A.3（續(xù)）安全管理安全建設(shè)應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)級(jí)及與其他級(jí)別保護(hù)對(duì)象的系進(jìn)行安全整體規(guī)劃和安全應(yīng)組織相關(guān)部門和有關(guān)安全家對(duì)安全整體規(guī)劃及其配套件的合理性和正確性進(jìn)行論T/SIA022.2—2021表

表

A.3（續(xù)）安全建設(shè)T/SIA

022.2—2021表

表

A.3（續(xù)）安全運(yùn)維T/SIA022.2—2021表

表

A.3（續(xù)）安全運(yùn)維T/SIA

022.2—2021表

表

A.3（續(xù)）安全運(yùn)維應(yīng)明確變更需求變更前根據(jù)變更需求制定變更方案變更方案經(jīng)過評(píng)審、審批后方可實(shí)T/SIA022.2—2021表

表

A.3（續(xù)）安全運(yùn)維應(yīng)保證選擇的外包運(yùn)維服務(wù)在技術(shù)和管理方面均應(yīng)具有照等級(jí)保護(hù)要求開展安全運(yùn)

IT

工業(yè)控制系統(tǒng)安全擴(kuò)展工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)特點(diǎn)劃分為不同的安全域，全域之間應(yīng)采用技術(shù)隔離手在工業(yè)控制系統(tǒng)內(nèi)使用廣域進(jìn)行控制指令或相關(guān)數(shù)據(jù)交的應(yīng)采用加密認(rèn)證技術(shù)手段

E-Mail

Telnet

Rlogin

T/SIA

022.2—2021表

表

A.3（續(xù)）工業(yè)控制系統(tǒng)安全擴(kuò)展應(yīng)在經(jīng)過充分測(cè)試評(píng)估后，不影響系統(tǒng)安全穩(wěn)定運(yùn)行的況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更

T/SIA022.2—2021表

表

A.3（續(xù)）防御和防范：在系統(tǒng)邊界處部署安全設(shè)備（如流量清洗設(shè)備、DoS/DDoS

I