在工业控制领域，威胁可以是情况、能力、行为或事件，而由威胁导致的后果，不仅仅是信息安全资产的破坏，更有可能是生产事故等伤害。所以，根据《信息安全风险评估》中对于风险的分类，结合工业控制系统的自身特点，工业控制系统安全威胁可能有以下表现形式：

　　(1) 心怀不满的在职员工的恶意行为，这些人了解工艺，能够接触到各种设备，但是计算机能力一般。恶意操作也许就是激情而为，事后希望能够掩饰破坏行为。

　　(2) 无特殊需求的黑客，这些人计算机能力较强，但是难以直接接触到各种设备，对工厂情况了解不多，很多可能只是因为好奇、偶然性的行为对工控系统进行破坏，对破坏行为和过程不一定要掩饰。

　　(3) 心怀不满的离职员工恶意行为，这些人了解工艺，不一定能够接触到各种设备，但可能利用制度漏洞在离职后仍然保有网络接入或直接接触设备的可能，计算机能力一般，对破坏行为希望能够掩饰。2000年，澳大利亚水处理厂事故。

　　(4) 经济罪犯的恶意行为，目标明确，希望劫持控制系统后换取经济利益。2008年，黑客入侵南美洲电力勒索政府事故。

　　(5) 恐怖分子的恶意行为，目标明确，希望劫持控制系统后造成重大社会影响。2019年，委内瑞拉电网断电事故。

　　(6) 敌对势力或敌对国家的恶意行为，目标明确，资源丰富，可以执行各种攻击。乌克兰停电事故，伊朗震网事故等。

　　(7) 在职员工误操作，在设备接线、开关电源和功能操作上可能会出现错误的操作。这类事故，多归结为安全生产事故。

　　(8) 硬件缺陷，硬件自身信息安全能力较弱，或被敌对势力预先植入后门。西门子，施耐德PLC漏洞。

　　(9) 软件开发缺陷，开发人员的编程能力，对功能的理解能力或其他原因，导致软件开发的不严谨造成的问题。常见的有操作系统漏洞，应用软件漏洞等。知名的勒索病毒事件。

　　(10) 自然灾害，信息系统遭到雷击、电击、震动等原因导致接线变动。此类灾害随机性大，目标不明确，后果难以预料。