6.5 規劃(PL)

6.5.1　安全規劃策略及規程(PL-1)

本項要求包括：

a) 應制定并發布安全規劃的策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布安全規劃規程，以推動安全規劃的策略及與相關安全控制的實施；

c) 應定期對安全規劃的策略及規程進行評審和更新。

6.5.2　系統安全規劃(PL-2)

本項要求包括：

a) 應結合當前信息系統安全的實踐經驗，并考慮信息系統與工業控制系統間的關鍵差異，制訂系統的安全規劃，并獲得管理者的審核批準；

b) 在安全規劃中應明確定義ICS系統的授權邊界、描述系統使命與業務流程的相關性、提供系統的安全分類、描述系統的運營環境及與其他系統的關聯關系、提供系統安全需求的概要描述及針對這些安全需求的安全控制等；

c) 應定期對ICS系統安全規劃進行評審和更新；

d) 當ICS系統或運行環境發生變化，或者在系統安全規劃實施或評估過程中發現問題時，應及時更新系統安全規劃；

e) 向指定的角色或個人分發系統安全規劃，并針對安全規劃的后續變化進行溝通；

f) 應對ICS系統安全規劃的內容進行保護，以防止泄露或未授權更改；

g) 對影響ICS系統安全的活動，在其實施前應進行規劃及人員協調，以減少對其他系統的影響。

6.5.3　行為規則(PL-3)

本項要求包括：

a) 應建立用戶對ICS進行訪問的行為規則，明確其職責及其對信息系統的預期使用方式；

b) 應簽訂用戶協議，確保用戶在授權訪問信息及ICS之前，已清晰理解并同意遵守行為規則的約束；

c) 在行為規則中，組織應顯式限制對社會網站的使用，限制在商業網站上郵送信息，限制共享系統的帳戶信息；

d) 應定期對用戶信息系統的訪問行為規則進行更新與評審。

6.5.4　信息安全架構(PL-4)

本項要求包括：

a) 應基于縱深防御的思想制訂ICS的信息安全架構，描述信息安全保護的需求、方法及有關外部服務的安全假設或依賴關系；

b) 應考慮ICS信息安全體系的變更對安全規劃、系統采購過程的影響；

c) 應定期審核并更新ICS信息安全架構；

d) 應在預定義的位置和架構層部署特定的安全防護以獲得全面的安全保障。

6.5.5　安全活動規劃(PL-5)

本項要求包括：

a) 對于可影響ICS的安全活動，在進行前，組織應規劃并協調，以便減少對組織運行、組織資產和個體的影響。