6.5　保障能力評估

6.5.1　保障能力評估概述

保障能力是指組織在工業控制系統管理、運行、人員和技術等方面提供保障措施和對策的能力。工業控制系統的安全需求可以通過安全保障得以滿足。合適的安全保障能夠減少系統脆弱性、抵御工業控制系統所面臨的安全威脅，從而降低工業控制系統的安全風險；或在安全事件發生時，緩解對組織的影響。
保障能力評估包括但不限于對網絡安全管理、工控系統安全管理、密碼使用管理、宣傳教育培訓、應急響應、技術防護能力等六個方面進行充分性、合規性、有效性的評估。合規性是指與相關法律、規則、標準的一致性；充分性是指充分覆蓋組織的安全需求；有效性是指能保護資產、抵御威脅、減少脆弱性。

6.5.2　網絡安全管理

網絡安全管理包括對制度建立及落實、責任明確及落實、人員安全管理、資產安全管理、供應鏈安全管理、外包服務管理、業務連續性管理、宣傳教育培訓和安全經費保障等方面的要求。評估人員可以參考GB/T 32919-2016附錄中的B.1，B.4，B.5，B.6對網絡安全管理進行評估。

6.5.3　系統安全管理

工控安全管理通常包括對架構安全、連接安全、組網安全、配置安全、運維安全、數據安全、應急安全等方面的要求。評估人員可以參考GB/T 32919-2016附錄中的B.1, B.9，B.10對系統安全管理進行評估。

6.5.4　密碼使用管理

密碼使用管理可以參考GB/T 32919-2016附錄中的B.18進行評估。

6.5.5　宣傳教育培訓

宣傳教育培訓可以參考GB/T 32919-2016附錄中的B.14進行評估。

6.5.6　應急響應

應急響應可以參考GB/T 32919-2016附錄中的B.13進行評估。

6.5.7　技術防護能力

技術防護能力包括對物理環境安全防護、網絡安全防護、網絡設備安全防護、安全設備安全防護、服務器安全防護、終端計算機安全防護、存儲介質安全防護、應用系統安全防護、門戶網站安全防護、電子郵件系統安全防護、重要數據安全防護等方面的要求。評估人員可以參考GB/T 32919-2016附錄中的B.7,B.11,B.12,B.16,B.17, B.18進行評估。

6.5.8　保障能力分析

通過對上述保障能力的識別，綜合分析工業控制系統的保障能力水平。表14給出了一種保障能力的等級劃分方法。