6.1　工業控制系統風險評估準備

GB/T 36466—2018信息安全技術工業控制系統風險評估實施指南 /

6.1.1　風險評估準備概述

風險評估的準備是整個風險評估過程有效性的保證。評估方與被評估方都應充分做好風險評估實施前的各項準備工作。為保障風險評估工作的順利開展，應召開風險評估工作啟動會議，GB/T 31509-2015規定了啟動會議的內容及意義。圖4是工業控制系統風險評估準備工作流程。

風險評估應貫穿于工業控制系統生命周期的各階段中，由于工業控制系統生命周期各階段中風險評估實施的內容、對象、安全需求均不同，因此評估方應首先根據當前工業控制系統的實際情況來確定在工業控制系統生命周期中所處的階段，并以此來明確風險評估目標，如圖5所示。具體實施過程可參考GB/T 20984-2007以及GB/T 31509-2015。

實施指南如下：

a) 評估方應根據輸入的文檔材料及對相關人員的訪談，分析研判出工業控制系統現在所處的生命周期；

b) 根據生命周期不同階段的要求確定評估目標。

6.1.3　確定范圍

風險評估實施范圍是評估方工作的范圍。評估范圍可以是包括生產管理層和企業資源層在內的整個工業控制系統，也可以是工業控制系統中特有部分或關鍵業務處理系統等。在確定評估范圍時，應結合評估目標以及工業控制系統的實際建設運行情況合理的確定評估范圍邊界。確定評估范圍如圖6所示。

a）評估方應了解工業控制系統所處的工業控制安全基線級別，參見GB/T32919-2016《信息安全技術工業控制系統安全控制應用指南》；

b）評估方應了解組織要求評估的范圍和組織的實際工業控制系統建設情況；

c）風險評估實施范圍應包括組織工業控制系統相關的資產、管理機構，關鍵業務流程等；

d）評估方應結合已確定的評估目標、組織要求評估的范圍和組織的實際工業控制系統建設情況，合理定義評估對象和評估范圍邊界。

6.1.4 組建團隊

風險評估實施團隊可由評估方與被評估方的風險評估實施組、專家組共同組成。評估方應由工業控制系統專業人員、信息技術評估人員等組成。一個運行的工業控制系統會涉及到多個利益相關方，包括提供工控產品的廠商、實際銷售工控產品的分銷商、集成并開發應用系統的集成商、為系統提供運行維護的廠商以及工控系統的所有者等。在進行工業控制系統的風險評估之前，需要清晰界定評估所針對的是工控系統生態的哪一部分，涉及到哪些利益相關方，從而確定風險評估過程中被評估方應當邀請的參與人員。

評估實施團隊應進行風險評估技術培訓和保密教育，制定風險評估過程管理相關規定。評估方與被評估方應簽署保密協議。

每個團隊成員應具有明確的角色和責任。為確保風險評估實施工作的順利有效進行，應采用合理的項目管理機制，主要相關成員角色與職責說明如表1、表2所示。