ISA-TR62443-2-3は、産業用オートメーションおよび制御システム（IACS）パッチ管理プログラムを確立し、現在維持している資産所有者およびIACS製品サプライヤ向けの要件を規定した技術レポートです。パッチ管理とは、IACSコンポーネントの脆弱性、バグ、またはパフォーマンスの問題を修正するためにソフトウェアアップデートを適用するプロセスです。パッチ管理は、IACS環境のセキュリティと信頼性を維持するために不可欠な要素です。この技術レポートでは、パッチ管理ポリシーの策定方法、パッチの影響とリスクの評価方法、パッチのテストと展開方法、パッチ管理プロセスの監視と監査方法に関するガイダンスを提供しています。参考文献：1、2、3

ISA/IEC 62443-3-2規格では、リスク評価プロセスの主要な成果として、各セキュリティゾーンまたはコンジットにおけるターゲットセキュリティレベル（SL-T）の確立が規定されています。これらのターゲットレベルは、特定されたリスクを許容レベルまで軽減するために必要な最低限のサイバーセキュリティ要件を定義します。一般的に、リスクを完全に排除することは不可能ですが、SL-Tを設定することで、リスクに基づいた構造化されたセキュリティ対策の実装が可能になります。
参考: ISA/IEC 62443-3-2:2020、セクション 5.4.4 (「ターゲット セキュリティ レベルの割り当て」)。

プロセスハザード分析（PHA）は、産業プロセスに関連する潜在的なハザードを特定し、評価するための体系的な手法です。PHAは、サイバー脅威の発生源、サイバーインシデントの影響、そして既存の安全対策と緩和策を特定するのに役立ちます。PHAは、プロセスとそのリスクに関する包括的かつ構造化された概要を提供し、産業オートメーションおよび制御システム（IACS）のセキュリティレベル目標とセキュリティ対策を決定する際に活用できるため、セキュリティリスク評価への入力として最も頻繁に使用されます。また、PHAは、セキュリティ目標とプロセスの安全目標を整合させ、セキュリティ対策がプロセスの安全性や運用性を損なわないことを保証するのにも役立ちます。参考文献：
ISA/IEC 62443規格による産業用制御システムのセキュリティ確保、10ページ ISA/IEC 62443規格による制御システムのセキュリティ確保、17ページ

ISA/IEC 62443-1-3は、IACSセキュリティプログラムの有効性を評価するための定量的な指標の開発に関するガイダンスを具体的に提供しています。このパートでは、意味のあるセキュリティプログラム評価を作成するためのモデルと手法を紹介し、組織がセキュリティ成熟度とセキュリティ対策の有効性を経時的に定量的に測定できるようにします。
参考: ISA/IEC 62443-1-3:2017、概要と範囲。