6.1 工業控制系統信息安全定級流程

本標準基于風險評估過程規定工業控制系統信息安全定級流程。

依據GB/T 31722-2015，風險管理應先建立語境，再進入風險評估、風險處置等過程。風險評估過程由風險分析和風險評價活動組成，其中風險分析包括風險識別及風險估算活動。這與本標準中工業控制系統信息安全定級流程是一致的。定級流程中的確定工業控制系統定級對象，是在建立風險評估的語境；定級流程中的確定工業控制系統資產重要程度、確定受侵害后的潛在影響程度、確定需抵御的信息安全威脅程度，屬于風險分析的風險識別及風險估算活動；定級流程中的確定工業控制系統信息安全等級，屬于風險評價活動。

確定作為定級對象的工業控制系統信息安全等級的一般流程如圖1所示：