7.1 選擇與規約概述

7.1 選擇與規約概述

工業控制系統安全是一項系統工程，單一的產品和技術不能有效地保護工業控制系統安全，組織應在充分挖掘工業控制系統安全需求的基礎上，制定滿足組織使命和業務功能需求的工業控制系統安全戰略。有效的工業控制系統安全戰略，應采用深度防御及層次化的安全機制，使任一安全機制失效的影響最小化。工業控制系統安全應在組織工業控制系統安全戰略指導下，通過適當組合配置的安全控制予以實現。

組織在充分考慮工業控制系統的特殊性、安全需求和工業控制系統與傳統信息系統間的差異性（參考本標準附錄A，或參閱其它相關文獻資料）的基礎上，通過風險評估梳理工業控制系統及相關資產，針對工業控制系統存在的脆弱性，分析工業控制系統面臨的威脅和風險，評估風險發生的可能性以及風險發生可能造成的影響和危害，制定風險處置原則和處置計劃，將工業控制系統安全風險控制在可接受的水平。

本標準附錄C中給出的安全控制基線，僅是為了工業控制系統的安全需求規約，作為進行安全控制選擇與規約的起始點。因此，為了使組織的工業控制系統是安全的，就必須實施選擇并規約安全控制和控制增強的過程，該過程包括以下三個子過程：

a) 選擇初始安全控制基線；

b) 裁剪所選擇的初始安全控制基線；

c) 補充經裁剪的安全控制基線。

安全控制選擇與規約過程可概括為下圖所示：