隨著工控場域資安問題浮上檯面,各產業紛紛尋求標準化制度來解決資安困境,專門為解決工業自動化和控制系統(IACS)和營運科技(OT)安全問題的IEC 62443標準受到極大關注,已成為許多垂直領域制定規範的基礎。
為全球提供測試、檢驗與驗證的必維集團(Bureau Veritas,簡稱BV),深耕台灣已超過30年,Bureau Veritas新事業發展處資訊安全部技術經理林宗慶指出,全球IEC 62443的發證量中BV佔有48.6%,擁有足夠的經驗協助垂直產業控管資安風險和提升安全性。
資安風險的本質可由三個要素組成:威脅、脆弱和結果。將這三者相乘,便可得到特定環境下的風險值,從而針對應用場域進行風險評估,並且擬定緩解策略。林宗慶建議,可制定「三箭」策略,也就是人員、流程、技術,逐步落實資安防護。IEC 62443標準便是基於這三個面向,提供縱深防禦的建議作法。它要求從人員、流程、技術三個方面評估風險,再從風險因子中識別脆弱性,進而強化標準的應用。
Bureau Veritas新事業發展處資訊安全部技術經理林宗慶建議,中文授課的IEC 62443訓練提升競爭力
IEC 62443標準由四大結構組成,涵蓋從一般概念、政策程序、系統整合到產品供應等各個層面。這些結構不僅定義了控制系統的安全性技術和流程標準,還為各種安全生命週期階段提供了指導和規範。無論是服務提供商還是產品供應商,都能依據這些標準來提升其產品和服務的安全水準。