附录 A
（资料性附录）
工业互联网平台安全能力评估方法概述
A.1 评估原则
第三方评估机构在评估时应遵循客观公正、可重用、可重复和可再现、最小影响及保密的原则。

客观公正是指第三方评估机构在评估活动中应充分收集证据，对工业互联网平台的安全性做出客观公正的判断。

可重用是指在适用的情况下，第三方评估机构对工业互联网平台中使用的系统、组件或服务等采用或参考其已有的评估结果。

可重复和可再现是指在相同的环境下，不同的评估人员依照同样的要求，使用同样的方法，对每个评估实施过程的重复执行都应得到同样的评估结果。

最小影响是指第三方评估机构在评估时尽量小地影响工业互联网平台服务提供商现有业务和系统的正常运行，最大程度降低对工业互联网平台服务提供商的风险。

保密原则是指第三方评估机构应对涉及工业互联网平台服务提供商利益的商业信息以及工业互联网平台服务客户信息等严格保密。

A.2 评估内容
第三方评估机构依据国家相关规定以及本标准中提出的安全要求，主要从边缘层安全、工业IaaS层安全、工业PaaS层安全、工业SaaS层安全和管理安全等方面对工业互联网平台安全措施实施情况进行评估。

第三方评估机构在开展安全评估工作中宜综合采用访谈、检查和测试等基本评估方法，以核实工业互联网平台服务提供商的工业互联网平台安全能力是否具备了本标准安全要求细则中提出的安全能力。

访谈是指评估人员对工业互联网平台服务提供商等相关人员进行谈话的过程，对工业互联网平台安全措施实施情况进行了解、分析和取得证据。

访谈的对象为个人或团体，例如：信息安全的第一负责人、平台运维人员、人事管理相关人员、系统安全负责人、网络管理员、系统管理员、账号管理员、安全管理员、安全审计员、维护人员、系统开发人员、物理安全负责人和用户等。

检查是指评估人员通过对管理制度、安全策略和机制、安全配置和设计文档、运行记录等进行观察、查验、分析以帮助评估人员理解、分析和取得证据的过程。

检查的对象为规范、机制和活动，例如：评审信息安全策略规划和程序；审查远程维护和诊断连接的策略与规程；查看风险评估的方针策略与风险评估计划；分析系统的设计文档和接口规范；观测系统的备份操作；审查应急响应演练结果；观察事件处理活动；研究设计说明书等技术手册和用户/管理员文档；查看、研究或观察信息系统的硬件/软件中信息技术机制的运行；查看、研究或观察信息系统运行相关的物理安全措施等。

测试是指评估人员进行技术测试（包括渗透测试），通过人工或自动化安全测试工具获得相关信息，并进行分析以帮助评估人员获取证据的过程。

测试的对象为机制和活动，例如：访问控制、身份鉴别和验证、审计机制；测试平台安全功能模块；测试安全配置设置，测试物理访问控制设备；进行信息系统的关键组成部分的渗透测试，测试信息系统的备份操作；测试事件处理能力、应急响应演练能力等。

A.3 评估证据
评估证据是指对评估结果起到佐证作用的任何实体，包括但不限于各种文档、图片、录音、录像、实物等，其载体可以是任何能够保存的形式，包括但不限于纸质的、电子的等。

证据是在评估活动的过程中筛选或生成而来。

所有评估活动产生的结果都应有相应的证据支持。

证据应得到妥善保管，以防止篡改、泄密、损坏、丢失等有损证据的行为。

A.4 评估流程
工业互联网平台安全防护能力评估工作程序如图A.1所示。

主要包括受理评估申请、组建评估队伍、制定评估计划、现场实施评估、形成评估反馈报告、开展复评估工作和形成评估结论七个部分。

图A.1 工业互联网平台安全防护能力评估工作程序
A.4.1 受理评估申请
工业互联网平台运营商评估委托：企业可自行委托评估机构开展工业互联网平台安全防护能力评估工作，申请企业需向评估机构提交评估申请材料，各评估机构对申请企业提交的材料进行审理，并根据申请企业申请的评估范围、完成评估所需时间及其他影响评估活动的因素，综合确定是否受理评估申请。

A.4.2 组建评估队伍
评估机构应根据工业互联网平台安全防护能力评估范围所覆盖的专业领域选择具备相关能力的评估人员和技术专家，组建评估项目组。

评估项目组原则上应具备不少于5名专职评估人员，其中包括1名评估项目组组长。

评估项目组组长由评估机构指定经验丰富的骨干评估人员担任，负责统筹安排评估工作分工，推进评估工作开展，组织完成评估结论、编写评估报告。

评估项目组成员由评估机构根据该项评估的工作量及涉及的工业行业特征、专业需求等综合因素，确定成员数量和成员搭配。

A.4.3 制定评估工作计划
评估项目组应与被评估企业的管理人员和技术人员充分沟通，明确被评估范围和评估对象，制定评估工作计划。

被评估企业和评估项目组共同确认上述工作计划后，再开展实施具体评估工作。

A.4.3.1 建立评估项目文档
在评估工作开展过程中，评估机构应对评估工作相关文件进行统一编号，并规范管理。

A.4.3.2 梳理基本情况
在被评估企业的配合下，评估项目组对企业工业互联网平台系统及相关信息进行梳理，以便针对性地开展评估工作：
a)梳理企业基本信息。

了解被评估企业的发展历程、主要业务范围、业务规模，分析
企业对于国家、社会、人民生命财产的重要性；
b)梳理企业生产资产基本信息。

了解企业被评估工业互联网平台所涉及的资产类型、
规模、位置、重要程度、产品、数量、厂商、投产时间、责任人、网络拓扑及其运
营维护等情况；
c)梳理企业工业互联网平台防护基本情况。

了解被评估企业的工业互联网平台安全管
理机制建设情况，初步掌握企业已部署的工业互联网平台安全防护措施。

A.4.3.3 确定评估方案
评估机构在前期梳理工业互联网平台基本情况、确定评估范围的基础上，结合评估工作实际，制定该企业评估方案。

评估方案涉及的评估方式至少包括：
a)人员访谈。

评估项目组对相关人员进行访谈，核实已落实防护措施情况；
b)文档查阅。

评估项目组查阅已落实防护措施形成的相关文档等证明材料；
c)人工核查。

评估项目组通过手动方式核查部分已落实防护措施情况；
d)工具检测。

评估项目组通过专用工具检测防护措施实际落实情况及其有效性。

A.4.3.4 确定评估工作日程安排
评估项目组与被评估企业充分沟通，梳理评估工作重要时间节点，合理设置评估时间，确定评估工作日程安排。

A.4.4 现场实施评估
为确保工业互联网平台安全防护能力评估工作规范全面开展，依据工业互联网平台安全评价方法主要内容，对工业互联网平台安全能力开展评估工作。

A.4.5 形成评估反馈报告
现场评估工作结束后，评估项目组应在1个工作日内对评估过程及评估记录进行梳理、汇总，针对现场评估工作形成书面现场评估情况反馈表，描述存在的安全问题及整改建议。

企业在收到反馈表后30日内，可根据自身实际情况，按照反馈表内容开展整改工作，并根据整改情况向评估机构或评估项目组申请复评估。

A.4.6 开展复评估工作
评估机构在收到企业复评估的请求后，根据需要对现场评估反馈表中的问题进行确认。

必要时，采取现场复评估方式对整改企业所采取的整改措施进行有效性验证。

A.4.7 形成评估结论
根据现场评估和复评估工作情况，评估项目组形成工业互联网平台安全防护能力评估结论，并编制《工业互联网平台安全防护能力评估报告》。

评估报告由评估机构盖章出具并由评估项目组组长、责任审核人等签字。

评估报告应准确、清晰地描述评估活动的主要内容，并附必要的证明相关事实的证据或记录。

附录 B
（规范性附录）
工业互联网平台安全能力计算方法
B.1 概述
本部分依据正文内容，明确了具体的评分方式，评价工业互联网平台服务提供商的安全防护措施是否得到落实，并给出量化的评分标准。

本评分标准设置4个大项，18个小项，242个评分细项。

B.2 评分及原方法则
B.2.1 评估标准总分
在现场评估中，无论被评估工业互联网平台是否适用所有项目，评分标准总分为100分。

B.2.2 评分方法
评分采用百分比制，评分细项的分值均为1分。

若不满足或部分满足本项要求，该项得分均为0分。

允许出现不适用项，不适用项不计入总项目数。

所有细项得分总和除以所有适用项分值总和得到该工业互联网平台安全能力评估结果得分百分比，再乘以100分，最终得到该工业互联网平台安全能力评估结果得分。

B.2.3 基于证据的方法
为了保证评估结果的公正和客观，评分的判断须有充分的证据，证据包括负责人的谈话、制度文件、运行的记录、核查的结果和测试报告等。