工业控制安全：工业控制系统风险评估实施指南思维导图

关注公众号回复“220622” 可自取“工业控制系统风险评估实施指南思维导图清晰版”

---

工业控制系统和信息化技术的融合，对国计民生的影响至关重要，这个已经不言而喻了。工业控制系统有其特殊性，也有其普遍性。对于其特殊性需要专门针对其开展工作，对于普遍性则可以借鉴IT系统的风险评估知识。

那么，如何理解其特殊性和普遍性呢?在工业控制系统风险评估中，其实实施原则还是以GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南和GB∕T 20984-2007  信息安全技术 信息安全风险评估规范作为参考原则。在风险评估中有两类一是主动发现安全隐患提升自身安全防护能力的自评估；二是为了合规满足监管机关的检查评估。这两种评估均可委托第三方工业控制系统风险评估机构进行实施。

工业控制系统风险评估实施指南可以分为概述、实施方法、实施过程三部分内容。概述又可以细分工业控制系统层次结构模型、实施原则及工作方式、框架及流程三部分。当然，实施方法、实施过程也会进一步细分。这样就展开，既是评估指南的内容也是这个思维导图的形式。

对工业控制系统进行风险评估需要进行调查、取证、分析和测试。工业控制系统风险评估的方法主要有5种：文档查阅、现场访谈、现场核查、现场测试和模拟仿真环境测试。

其实，在《信息安全风险评估规范》的2018年的征求意见稿中，业务流程识别中已经加入了工业生产过程，对于工业控制系统，重点识别工业生产过程或可靠运行生产的业务流程，工业控制系统业务流程识别在业务逻辑识别、数据流识别、流程管理审批识别时，还应对所涉及的可编程逻辑控制器（PLC）、监视与数据采集（SCAD）系统、运动控制（MC）系统、过程控制系统（PCS）等进行相关监控控制流程识别。

这也充分说明，《信息安全风险评估规范》接下来的版本，会与这版的《工业控制系统风险评估实施指南》契合的更加完美，不过最终版本是否会保留工业生产过程相关内容，需要待正式版下发之后方能见分晓，至少我们可以明显看到标准编制者已经考虑到这一层面了。

参考文件

《信息安全技术 信息安全风险评估规范》

《信息安全技术 工业控制系统风险评估实施指南》

《信息安全技术 信息安全风险评估实施指南》

工业控制系统安全：安全检查指南思维导图（内附下载链接） 网络安全等级保护：测评师能力要求思维导图 最牛渗透测试工具开发公司Rapid7源代码遭到Codecov供应链攻击 微软2021年5月份于周二补丁日针对55个漏洞发布安全补丁 网络安全等级保护：怎能不了解测评过程指南（内附高清版思维导图下载链接） 工业控制系统安全：工业控制系统安全控制应用指南思维导图 工业控制系统安全：工业控制系统面临的安全风险思维导图（内附下载链接） 工控系统未来方向与克服IT与OT融合障碍的五种方法 员工：是企业信息安全的第一主体 小型企业网络安全指南之数据备份 小型企业网络安全指南之防恶意软件

原文始发于微信公众号（河南等级保护测评）：工业控制安全：工业控制系统风险评估实施指南思维导图