5.2　文檔查閱

文檔查閱用于確認組織的政策及技術方面是否全面最新。被評估方應提供評估所需的文件，以確保評估方對其進行全面審查。評估方查閱組織的工業控制系統規劃設計方案、網絡拓撲圖、系統安全防護計劃、安全策略、架構、要求、標準作業程序、授權協議、系統互連備忘錄、事件響應計劃等文檔，評估其準確性和完整性。

文檔查閱有助于評估方了解工業控制系統的基本信息，包括網絡拓撲結構、主要軟硬件構成等。文檔查閱可以發現可能導致丟失、不足或不正確執行的安全策略。評估方需驗證組織的文檔是否符合標準和法規，查找組織政策的缺陷、過時內容或不合理。

實施指南如下：

a) 評估方在準備階段編制一份通用工業控制系統風險評估文檔查閱所需文件目錄；

b) 被評估方根據文件目錄提供相對應的文檔；

c) 評估方審查相關文檔內容是否完整合規；

d) 當所需文件不可調閱或不存在時，評估方對其進行標注，并就相關內容與被評估方溝通。