評估對象

本標準適用于采用信息技術的工業控制系統產品，產品類型包括但不限于：

a）ICS控制類產品：可編程控制器（PLC）、分布式控制系統（DCS）、遠程終端單元（RTU）、人機交互應用軟件（HMI）等；

b）ICS網絡安全類產品：工控防火墻、網閘、主機防護設備、監測審計設備等；

評估對象（TOE）被定義為一組可能包含指南的軟件、固件和/或硬件的集合。TOE的定義較靈活，未局限于公共理解的工業控制系統產品，TOE可以是一個產品、一個產品的一部分、一種不可能形成產品的獨特技術等。因此對于TOE的范圍確定尤為重要，對TOE只包含產品某部分的評估不應該與整個產品的評估相混淆。對于產品不涉及信息技術的部分可以不納入評估范圍，如對于未采用通信及信息處理等信息技術的工業控制系統執行機構等產品是不適合作為評估對象的。

對于存在多種方法配置的產品，如以不同的方法安裝、使用不同的啟用或禁用選項等，應明確TOE的安全配置，其中每種配置必須滿足TOE的指定要求，并寫入TOE指南性文檔，TOE指南（僅允許一種配置或者在安全相關方面沒有不同的配置）通常與產品指南（允許多種配置）有所不同。