工控系统危机四伏，掌握工控风险管理要点

▲ 计划(Plan)：工控场域风险管控的架构设计。

▲ 执行(Do)：依据设计好的架构，实施工控场域风险管控。

▲ 检视(Check)：工控场域风险管控的监测与审查。

▲ 改善(Action)：持续改进工控场域风险管控的架构设计。

▲ 风险来源方式：进行工控弱点检测分析，以衡量工控场域之弱点。

▲ 问题分析方式：进行工控风险预测评估，以衡量工控场域内外部威胁。

◥ 工控弱点检测分析

可透过盘点来了解工控场域内，有哪些资产需要检测，分区逻辑图与网路拓朴图，是必要的产出；风险来源即是这些资产上的弱点，通过充份、必要的分析与测试，有助于威胁发生前，早日发现弱点，进行相关补偿措施，以达成风险控制。

△借此建立风险矩阵呈现之风险图表，列出处于风险中的资产、对这些资产的威胁、修改可能增加或减少的风险、确认可容忍的风险与希望避免的后果之因素。某些风险计算模型的公式，甚至会列入风险相关损失成本与风险相关处理时间。

▲使用安全管理系统(Safety and Security Information Management System, S&SIMS)，并导入风险管控标准，例如通用的 ISO 31000、工控安全的 IEC 62443系列、资讯管理系统的ISO 27000系列等标准，与各工业领域其各自的制程安全标准，比如制造医疗器材的企业，就需要导入ISO 13485。

▲制程的设计，具有足够内部风险控制与风险遏止措施，例如采购合规的工控设备。

▲为制程追踪风险，定期重新评估风险，辨识正常特征、可接受的风险，并更新与改善风险缓解措施。

▲落实“对员工的了解”(Know Your Employee, KYE)，并以强化危害与风险沟通的方针，落实员工教育训练。

▲定期为“风险缓解措施”进行风险发生的应变演练，例如消防、工安事故等灾害演练、资安红蓝队演练。

▲将部分风险分散到外部机构，例如保险公司、供应链企业等。

▲完全避免风险，例如在工控系统使用逻辑与物理上完全独立，且对物隔离网路与电力系统，并启用孤岛模式。

▲风险规避：汰除与不启用无法修补弱点、且高可及性的机具设备。

▲降低风险：提高自动化程度，降低人员伤亡的可能性，像是CNC机具就需要提高自动化程度。

▲对于包含弱点的机具设备，使用防火墙、实体上锁、或孤立等保护措施，降低其可及性。

▲风险分散：供应链安全管理、人员健康团保、厂区灾难险(水、火、地震等)、场域设备资安险。

▲风险保留：经过风险评估后，由公司自身进行风险承担。对于可能性与冲击性相对较小的风险，是可行的应对策略。