7.4 安全控制補充

7.4 安全控制補充

裁剪后的安全控制基線，僅確定一個工業控制系統所需要的安全控制集的基礎或起始點。只有在組織風險評估的指導下才能最后確定合適的安全控制集。在控制選擇過程中的風險評估，為確定裁剪后的基線安全控制的充分性，提供了重要的輸入。在許多情況中，為強調特定的威脅和脆弱性，為滿足法律、法規、方針、政策、標準和規章制度等要求，需要補充一些附加的安全控制和控制增強。組織應最大化地使用附錄B中所給出的安全控制，以支持補充和增強安全控制過程，向經裁剪的安全控制基線中增加安全控制和控制增強。
為了補充已裁剪的安全控制基線，組織可使用需求定義法或空隙分析法選擇安全控制和控制增強。在需求定義法中，組織獲得有關敵對方活動的特定、可靠的威脅信息（或做出一種有根據的假設），以及一定能力或攻擊的潛能（例如技能水平、經驗、可用的資源等）。為了有效地抵御具有所陳述能力和潛能敵對方的攻擊，組織應從附錄B選擇一些附加的安全控制和控制增強，以獲得這樣的安全能力。
相對于需求定義法，空隙分析法以組織當前安全能力的評估開始，基于初始的安全能力評估，組織確定可預見的威脅類型。如果組織當前的安全能力是不充分的，那么通過空隙分析就可確定所需要的安全能力。然后，組織從附錄B中選擇一些所需要的安全控制和控制增強，以達到期望的安全能力。
存在一些情況，為了充分保護組織使命和業務功能，組織使用了一些超出其能力的信息技術，即組織在工業控制系統中不能應用充分的安全控制來精確地減少或緩解風險。在這些情況中，就需要一種可選的安全戰略，來預防組織使命和業務功能遭受負面影響。當安全控制在技術、資源約束下不能實現時或當控制缺乏期望的有效性來抵御已標識的風險時，應限制技術應用或限制工業控制系統的使用，來減少或緩解風險。可使用的限制包括：
a) 限制工業控制系統可處理、存儲或轉送的信息；
b) 限制組織使命和業務功能的自動化方式；
c) 禁止移動工業控制系統或系統部件；
d) 禁止外部網絡訪問組織工業控制系統；
e) 禁止工業控制系統部件里中、高影響的訪問。