国家标准计划《信息安全技术 工业控制系统风险评估实施指南》由TC260（全国网络安全标准化技术委员会）归口上报及执行，主管部门为国家标准委。

主要起草单位 国家信息技术安全研究中心 、中国电力科学研究院 、中国电子技术标准化研究所 、无锡市同威科技有限公司 。

1 范围 2 规范性引用文件 3 术语和定义 4 目标和原则 5 风险评估框架流程 5.1风险要素关系 5.2风险分析原理 5.3风险评估流程 5.4工作形式 5.5遵循的原则 6 风险评估实施流程 6.1风险评估的准备 6.2资产识别 6.3威胁识别 6.4脆弱性识别 6.5威胁利用脆弱性的关联关系 6.6已有安全措施的确认 6.7风险分析 6.8分析评估文件 7风险评估在工业控制系统及相关系统生命周期中的不同要求 7.1工业控制系统生命周期概述 7.2规划阶段的风险评估 7.3设计阶段的风险评估 7.4实施阶段的风险评估 7.5废弃阶段的风险评估 8风险评估方法 8.1 实验室测试评估 8.2 生产系统测试评估 8.3 渗透测试 8.4 组件测试评估 8.5 文档审查 8.6 功能和配置审查 8.6 员工访谈 附录A（规范性附录）资产价值的计算方法 A.1 使用矩阵法计算风险 A.2 使用相乘法计算风险 附录B（规范性附录）风险值的计算方法 附录C 工业控制系统概述 C.1 工业控制系统架构 C.2 工业控制系统主要资产及功能 C.3 工业控制系统与传统信息系统的主要差异 C.4 工业控制系统与控制系统 附录D 工业控制系统面临的信息安全风险 D.1 工业控制系统面临的威胁 D.2 工业控制系统主要脆弱性分析 D.3 传统信息系统安全威胁与防护措施对工业控制系统的影响 附录E 参考文献