2)操作控制

操作控制是用于主要由人而非系統執行和操控的ICS的安全措施。NISTSP 800-53在操作控制類下定義了以下九個控制族。

人員安全：有關人員職位分類、篩選、調動、處罰和解雇的策略和規程，同時還涉及第三方人員安全。

物理和環境保護：有關物理、傳輸和顯示器訪問控制以及調節（如溫度、濕度等）和應急供應（如關機、電源、照明、防火等）的策略。

意外防范計劃：涉及保持或恢復業務運行的策略，其中，包括發生緊急情況、系統故障或災害時計算機在可能的備用場地的運行。

配置管理：有關控制硬件、固件、軟件和文檔被人改動的策略和規程，以確保信息系統在運行之前、期間和之后受到保護，不被不當改動。

維護：管理信息系統的所有方面維護工作的策略和規程。

系統和信息完整性：有關通過功能驗證、數據完整性檢查、入侵檢測、惡意代碼檢測、 安全預警和咨詢控制來保護信息系統及其數據免受設計缺陷和數據篡改困擾的策略和規程。

媒體保護：確保安全處理媒體的策略和規程，控制涉及訪問、標簽、保存、傳送、清潔、處置和銷毀等多項內容。

事件響應：有關事件響應培訓、檢驗、處理、監測、報告和支持服務的策略和規程。

意識和培訓：確保所有信息系統用戶都受過與其系統使用相關的適當安全培訓，以及妥善保存準確培訓記錄的策略和規程。