(2) 确定资产重要程度
通过对定级工业控制系统的资产价值、行业领域和业务使命三个要素判定资产重要程度,要求企业在定级前对自身生产业务中的工业控制系统业务重要程度进行合理划分,重要程度特征值应该是参考企业内所有系统资产的一个相对值,能够体现出各系统的重要程度差异,例如一个火力发电厂中DCS系统的资产价值和业务使命相比SIS系统高,那么在资产重要程度上DCS系统的特征值也要体现的较高。
(3) 确定受侵害后的潜在影响程度
分级规范对于定级工业控制系统受侵害的影响程度分析主要依据以下几个方面:
Ø 确认工业控制系统是否受到侵害:主要通过定级工业控制系统信息安全的可用性、完整性、保密性属性的部分或全部是否受到破坏判断。
Ø 确认受侵害后的方式表现,主要分为对系统服务的破坏和业务数据的破坏,两种侵害表现形式中的侵害对象和影响程度都有不同,对系统服务侵害更多影响的是系统可用性,对业务数据侵害更多影响的是系统业务运行完整性和保密性。
Ø 评价受侵害的对象,一般包括国家安全(特别是其中的国家经济安全),环境安全和人民生命安全、社会秩序稳定、公共利益、工业生产运行安全,以及公民、企业和其他组织的合法权益及重要财产安全,以及工业控制系统及相关生产装置,且分级规范中给出了各类对象的判定条件。
