6.2 安全評估和授權（CA）

6.2.1　安全評估和授權方針策略及規程（CA-1）

本項要求包括：

a) 應制定并發布安全評估和授權策略及規程方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門間的協調和合規性；

b) 應制定并發布安全評估和授權方針策略及規程，以推動安全評估和授權策略及與相關安全控制的實施；

c) 應定期對安全評估與授權策略和規程進行評審和更新。

6.2.2　安全評估（CA-2）

本項要求包括：

a) 應制定安全評估計劃。該評估計劃應包括：應評估的安全控制措施；判定安全措施有效性的評估流程；評估環境、隊伍、角色及責任；

b) 應定期對ICS采取的安全措施實施的正確性、有效性進行評估，并判斷是否滿足相關安全需求；

c) 應根據評估結果生成評估報告，并向相關人員報告評估結果；

d) 應授權獨立且具有評審資質的機構進行評估，并確保評估不干擾ICS運行和功能；

e) 應確保評估人員充分了解信息安全相關方針策略和規程，ICS的安全方針策略和規程，以及特定的設備和/或工藝相關的具體的安全、環境風險；

f) 對于不能直接采取在線評估的ICS，應采取離線評估或在復制系統中進行。

6.2.3　ICS連接管理（CA-3）

本項要求包括：

a) 應制定ICS互聯安全規定，授權ICS與外部其他信息系統進行連接；

b) 應對ICS與外部其他工業控制系統連接的接口特征、安全要求、通信信息特性等內容進行記錄；

c) 應定期評審ICS與外部的連接情況，以驗證ICS連接是否符合規定要求；

d) 應阻止把未分保密等級的國家安全系統直接連接到外部網絡；

e) 應阻止把具有保密等級的國家安全系統直接連接到外部網絡。

6.2.4　行動計劃與時間節點（CA-4）

本項要求包括：

a) 制定行動計劃和時間節點，在其中記錄下擬采取的整改行動，以改正在安全控制措施評估中發現的弱點和不足，減少或消除系統中的已知漏洞；

b) 根據安全評估、后果分析和持續監控的情況，每季度至少更新1次現有的行動計劃和時間節點；

c) 組織應使用有助于實施計劃準確、適時和到時可用的自動化機制。

6.2.5　安全授權（CA-5）

本項要求包括：

a)應指定一位高層管理人員作為ICS的授權責任人；

b)ICS未經授權責任人正式授權，不得投入運行；

c)應對ICS定期或發生重大變更時，重新進行安全授權；

d)應識別并定期評審反應組織機構信息保護需要的保密性或不泄露協議的要求；

e)開發、測試和運行設施應分離，以減少未授權訪問或改變運行系統的風險。

6.2.6　持續監控（CA-6）

本項要求包括：

a) 應制定持續的監控策略，并實施持續的監控計劃，計劃內容包括：被監控的目標、監控的頻率、以及對監控進行評估的頻率；

b) 應使用獨立評估人員或評估組織，在持續的基礎上來監視工業控制系統的安全控制；

c) 組織應定期規劃、安排并進行評估，公開或不公開該評估信息，以便確保符合所有脆弱性緩解過程；

c) 應根據組織的連續監控策略，實施安全控制評估；

d) 應根據組織的連續監控戰略，對組織已確定的度量指標，進行安全狀態監控；

e) 應對評估和監控產生的安全相關信息進行關聯和分析，并根據分析結果，采取相應的響應措施；

f) 應定期向相關人員報告信息系統安全狀態。

6.2.7　滲透測試（CA-7）

本項要求包括：

a) 應定期對ICS進行滲透測試，要明確滲透測試的頻率與目標；

b) 組織應聘請專業的第三方滲透組織或團隊對ICS開展滲透測試；

c) 對ICS系統滲透測試，應在ICS系統非在線狀態或在復制系統中進行。

6.2.8 內部系統的連接（CA-8）

本項要求包括：

a) 應授權組織定義的ICS系統或組件連接到內部信息系統；

b) 應為每個內部連接建立文件，包括連接的接口特性，安全性要求，和傳輸信息的性質；

c) 在建立內部連接前，在ICS系統或組件上執行安全合規性檢查。