NERC CIP 合规性

1.2.1 网络安全事件的通知/确认

供应商需要能够识别事件发生的时间，以确保在发生此类事件时能够及时通知相关实体。

1.2.2 协调网络安全事件的应对措施

供应商应与该实体协调，共同应对因向该实体提供的产品或服务而引发、且对该实体构成网络安全风险的事件。

1.2.3 在不再需要或不应再向供应商代表提供远程或现场访问时发出通知

供应商应针对人员变动作出相应响应。当发生可能影响供应商代表远程访问权限的人员变动时，供应商应及时告知相关实体。

1.2.4 漏洞识别供应商在发现与产品或服务相关的漏洞时，应通知相关实体。

为履行此项义务，供应商需要及时了解其环境中存在的安全漏洞。

1.2.6 与供应商协调对供应商发起的交互式远程访问和系统对系统远程访问的控制措施

供应商必须与相关实体协调，以控制供应商发起的交互式远程访问，并确保与供应商之间的系统间远程访问得到妥善管理。

资产、变更与配置管理授权与未授权设备清单

• 清点组织内的物理设备和系统
• 清点组织内的软件平台和应用程序
• 绘制组织通信和数据流图
• 外部信息系统编目

变更控制与配置管理注意事项

• 使用公认的信息技术流程框架（如 ITIL）
• 将安全纳入系统开发生命周期
• 拥有成熟的变更控制流程
• 维护独立的开发和生产环境
• 为不同客户维护不同的环境
• 具有软件完整性机制（例如，具有加密和数字签名功能的 PKI）
• 产品可进行加固，以尽量减少攻击面
• 识别、发现、清点、分类和管理信息资产（硬件和软件）的流程
• 检测未经授权更改软件和配置参数的程序
• 能够识别硬件、软件或组件是否来自美国和/或国际来源

建立并实施安全意识计划

• 记录并实施安全政策和程序
• 所有用户都了解网络安全政策和程序并接受相关培训
• 第三方利益相关者了解角色和责任，并对相同的要求负责
• 高级管理人员了解角色和责任
• 物理和信息安全人员了解自己的角色和责任
• 为软件和硬件提供持续支持的能力
• 人员背景调查
• 在诉讼搁置、网络安全事件等情况下保留数据的能力
• 具备训练有素、知识渊博且充足的网络安全资源
• 供应商持有制造过程的认证（例如ISO认证）。

日志记录与监控注意事项

• 维护一项对其系统进行持续记录、监控和分析的计划，以确定重要事件
• 有足够的职责分工，以确保日志记录和监控能有效发现异常情况

信息保护注意事项

• 使用适当的控制措施管理静态数据（供应商或实体数据）
• 提供额外硬件以应对故障的能力 • 对传输中的凭证进行加密，包括内部和外部传输
• 静态加密证书
• 使用最强大的标准加密算法（如 AES 或 SHA-2）
• 供应商对硬件、软件和制造中心的物理访问控制
• 清点组织内的物理设备和系统
• 数据中心的供应商所在地（美国/加拿大与国际）