6.6 風險評估（RA）

6.6.1　風險評估方針策略與規程（RA-1）

本項要求包括：

a) 應制定并發布風險評估的方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布風險評估規程，以推動風險評估的方針策略及與相關安全控制的實施；

c) 應定期對風險評估的方針策略及規程進行評審和更新。

6.6.2　安全分類（RA-2）

本項要求包括：

a) 應依據適用的法律、法規、規章及相關標準，對ICS進行安全分類；

b) 應在ICS安全規劃文件中包含ICS的安全分類及分類依據；

c) 安全分類應通過主管部門的審查和批準。

6.6.3　安全風險評估（RA-3）

本項要求包括：

a) 應制訂ICS及相關信息系統的安全風險評估計劃，明確風險評估的對象、內容及評估流程；

b) 應按安全風險評估計劃在系統上線前或系統維修期間對指定系統實施風險評估，并形成風險評估報告；

c) 應將風險評估結果向相關人員通報，并定期對風險評估的結果進行評審；

d) 當系統或其運行環境發生重大變更（包括發現新的威脅和漏洞），或出現其他可能影響系統安全狀態的條件時，應重新進行風險評估。

6.6.4　漏洞掃描（RA-4）

本項要求包括：

a) 應在ICS系統上線前、系統維修期間或非業務高峰期對指定系統及相關應用程序進行脆弱性掃描分析，標識并報告可影響該系統或應用的新漏洞；

b) 推薦在規定的響應時間內對漏洞進行修復，修復用的補丁必須經過充分的驗證，修復后需重新對ICS系統進行風險評估；

c) 應在指定的人員及受限范圍內共享脆弱性掃描及安全評估過程中發現的漏洞信息, 以便消除其他ICS系統中的類似漏洞；

d) 組織使用的掃描工具，應具有容易調整掃描配置能力，并通過實際驗證；

e) 組織定期或當標識和報告新的漏洞或者脆弱性時，調整已掃描的ICS掃描計劃；

f) 組織應明確ICS中的何種信息需要保密；

g）為支持更全面的掃描活動，對組織標識的ICS組件，應被賦予特定的訪問授權；

h）組織評審歷史審計日志，確定所標識的脆弱性是否以前得以利用；

i）組織應進行ICS的脆弱性分析，基于脆弱性分析，執行ICS上的滲透測試，以便確定所標識的脆弱性的可利用性；

j) 應規定漏洞掃描工具更新的頻率，并在漏洞掃描之前驗證工具的有效性；

k) 應專門針對老舊設備制定漏洞掃描策略，明確規定漏洞掃描工具的版本、適用設備型號等內容；

l) 應根據ICS系統脆弱性掃描結果及報告，度量漏洞的影響并進行安全風險評估；

m) 應根據漏洞的影響程度對漏洞進行分級，在漏洞掃描時應按照漏洞等級進行掃描；

n) 應規定對ICS進行漏洞掃描的時間頻率，并明確進行漏洞掃描的責任人。