5.1 ICS安全管理基本框架

5.1　ICS安全管理基本框架

工業控制系統（ICS）與傳統的信息技術（IT）系統存在的諸多重要差異決定了應在規劃和管理ICS信息安全過程中考慮ICS自身的特點。參考傳統信息安全管理體系，結合ICS自身特點，將安全性需求整合到ICS中，形成了ICS安全管理基本框架（如圖1所示）。該框架在確定ICS安全管理具體意圖，理解需求期望并明確ICS體系范圍的基礎上，將ICS安全管理活動分為頂層承諾、規劃評估、資源支持、策略實施、績效評價、持續改進六個方面。其中，頂層承諾方面需要組織獲得管理層的承諾，確定ICS安全管理的方針，明確組織各相關成員在ICS管理活動中的角色和權責；規劃評估中組織應確定規劃總則，開展ICS安全風險評估和處置，明確目標和實現規劃；在資源支持部分組織應保障ICS安全所需的資源，提供能力和意識培訓，確定溝通機制并建立文檔化制度；策略實施方面組織應規劃、實現和控制滿足ICS安全管理活動要求的具體過程，定期開展ICS安全風險評估和處置工作；在績效評價階段，組織對ICS開展監視、測量、分析和評價，定期開展內部審核和管理評審；持續改進階段組織應對ICS的安全開展持續監控，在發生ICS安全異常等情況下，開展糾正措施并持續改進。

為具體實現ICS安全管理基本框架各階段的安全功能，本標準在第6章給出了ICS安全管理基本框架各階段所需的基本控制措施，并在附錄A中給出了針對不同級別的工業控制系統安全管理要求對應表，用以指導組織根據自身工業控制系統的不同安全級別選擇安全管理基本控制措施，并根據工業控制系統安全控制應用指南、安全分級等相關標準，對所選安全管理基本控制措施進行剪裁、選擇等操作。