风险分析对于信息安全来说是不可避免的。不同的企业有不同的业务逻辑,这
也决定了其工业控制系统需要应对不同的风险。
一个好的工控系统信息安全管理体系需要建立相应的流程和策略,以提高管理范围、
人员管理、安全责任、业务保障等方面的要求。过程和策略是定义需求和实现需求
的管理要求,必须采取相应的对策来有效降低系统风险。这些措施可以是技术手段,
也可以是管理手段。它们是根据企业的业务需求选择的降低特
定风险的措施和手段。它也是安全管理体系的关键部分。
工控信息安全管理系统需要基于有效的风险分析和业务合理性分析,
而根据业务关系确定企业需要面对和承担的风险。