5.5 策略實施

5.5.1 運行規劃和控制

組織應依據GB/T 22080-2016中8.1節中的條款開展針對ICS信息安全的運行規劃和控制工作，同時還應：

a) 在針對ICS實施安全控制措施前，詳細評估該安全控制對ICS可能造成的危害；

b) 在具體實施安全控制措施前，應獲得安全控制措施授權。

5.5.2 ICS信息安全風險評估

組織應依據GB/T 22080-2016中8.1節中的條款開展針對ICS信息安全的風險評估工作。在風險評估過程中，依據GB/T 32919-2016附錄A中的內容，充分考慮ICS與傳統信息系統的差異性。

5.5.3 ICS信息安全風險處置

GB/T 22080-2016中8.3節中的條款適用于本小節，并依據ICS特點開展風險處置。