6.2 確定工業控制系統定級對象

6.2.1　定級對象的確認條件

確認一個工業控制系統作為定級對象，該工業控制系統應具備如下基本條件：

一個具體的完整的工業控制系統

承載“單一”的工業控制業務應用，屬于企業的一個自動化生產過程或一個生產裝置（如聚苯乙烯生產裝置）的工業控制系統；

與其他業務應用的控制過程沒有交叉或嵌套以及控制信息的交換，且獨享所有信息處理設備、控制設備和受控設備；

以DCS或SCADA為主構成生產過程控制的自動化系統，可由若干服務器、工程師工作站、操作員工作站、數據采集接口或控制接口，以及相關網絡等其他設施組成；

工業控制系統中相對獨立的一部分

承載“相對獨立”的工業控制過程中一部分業務應用或控制過程獨立，處于一個工業生產裝置中一個相對獨立的區域，與其他業務應用的控制過程有上位或下位關系或少量控制信息交換，可能會與其他業務應用共享一些設備，如網絡傳輸設備；

這個相對獨立的區域一般屬于比較大的或復雜的工業控制系統的一個或幾個相鄰的層、安全區域、通信網絡，可按地理位置或管理責任劃分，但應具有共同的安全需求；

必要時，起傳輸作用的工業控制基礎網絡系統可作為單獨的定級對象；

具有工業控制系統的基本要素

作為定級對象的工業控制系統應該是由相關的自動化控制組件以及對實時數據進行采集、監測的過程控制組件按照一定的工業控制目標、控制流程和控制規則組合而成的有形實體，保留完整的控制過程；

一個工業控制系統可由多個廠家的設備與系統組成，所有功能協調一起為工業生產裝置提供整合自動化功能；

避免將某個單一的系統組件，如服務器、控制終端、網絡設備、通信路徑以及控制部件等作為定級對象；

具有唯一確定的安全責任單位

作為定級對象的工業控制系統應能夠唯一地確定其安全責任單位，即定級對象的責任單位應對所定級的工業控制系統具有安全管理責任；

如果一個單位的某個下級單位負責工業控制系統安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為工業控制系統的安全責任單位；

如果一個單位中的不同下級單位分別承擔工業控制系統不同方面的安全責任，則該工業控制系統的安全責任單位應是這些下級單位共同所屬的單位。

6.2.2　定級對象的系統描述

對定級對象進行系統描述的目的是識別該工業控制系統的任務和使命，即該工業控制系統的任務要求和它所要達到的能力，包括工業控制系統執行的功能、所需的接口及這些接口相關的能力、所要處理的信息、所支持的運行結構以及需要抵御的威脅等。

對作為定級對象的工業控制系統描述應包括：

a) 工業控制系統的基本信息：

1) 工業控制系統及其歸屬的工業生產裝置的目的、任務和使命；

2) 工業控制系統的控制過程、控制范圍、邊界、信息流；

3) 工業控制系統的業務體系、技術體系和管理體系等；

4) 形成資產列表、與資產相關的業務過程及其相關性的列表；

b) 工業控制系統的網絡及設備部署：包括工業控制系統的物理環境、工業控制系統網絡拓撲結構、工業控制系統及受控設備的部署情況，并明確工業控制系統的邊界；

c) 工業控制系統的業務種類和特性：包括工業控制系統涉及的業務種類和受控設備數量，以及工業控制系統對可用性、實時性、可操作性、完整性、保密性需求及業務特性，如是否形成閉合控制回路、是否為連續控制系統等；

d) 工業控制系統的系統服務：包括為完成預定的業務目標和任務，提供的操作、控制過程和其他業務功能，以及這些服務在可用性（如及時有效）、完整性和保密性等方面的重要性；

e) 工業控制系統的業務數據：包括工業控制系統涉及的主要數據及相關協議，以及這些數據在保密性、完整性和可用性等方面的重要性；

f) 工業控制系統與企業相關信息系統的連接：包括連接方式、接口控制、傳輸內容，及相關用戶范圍和用戶類型等；

g) 工業控制系統的管理框架：包括工業控制系統的組織管理結構、管理策略、相關部門設置和部門在業務運行中的作用、崗位職責；

h) 比較大的或復雜的工業控制系統的安全區域和通訊網絡作為定級對象，應描述與相關安全區域和通訊網絡的相互依賴關系。