淺談 ISA/IEC 62443 資安標準在A級關鍵基礎設施單位中的應用方式
#關鍵基礎設施 #OT #Cybersecurity #IEC62443 #資通安全責任等級為積極推動國家資通安全政策,加速建構國家資安環境,以保障國家安全,維護社會公共利益,數位發展部資通安全署與各界專家制定的資通安全管理法及子法,目的就是為了協助各個責任等級的機關建立一個完整的 cybersecurity 防護框架,降低遭受網路攻擊時的風險與損失。
在「資通安全責任等級分級辦法」中也明確定義了 A 級、B 級、C 級、D 級及 E 級 (資安責任等級由高至低)的機關,這次的建議則是會著重於 A、B、C 三個等級的機關單位,像是涉及國家機密、國防外交、區域醫院、關鍵基礎設施…等。
在「資通安全責任等級分級辦法」中同時由管理面、技術面、認知與訓練三個層面,提到了各級機關單位的應該要執行的事項,其中與敝公司這類型的公正第三方單位有關的事項包含了:
- 管理面:資訊安全管理系統之導入及通過公正第三方之驗證
- 認知與訓練:資通安全教育訓練
- 認知與訓練:資通安全專業證照及職能訓練證書
以資通安全責任等級 A 級的機關單位像是,台電、中油、台水、台鐵、高鐵、公立醫學中心、高科技園區、交通部民用航空局…等,在管理面就要求這些單位的核心資通系統導入 ISO 27001 或其他具有同等或以上效果之系統或標準,並於三年內完成公正第三方驗證,並持續維持其驗證有效性。以上述這些油、水、電、交通關鍵基礎設施 (critical infrastructure) 的場域來看,除了 ISO 27001,我最為推薦導入 ISA/IEC 62443 的資安標準,讓組織內同仁們可以全面建立一套適合 OT 場域的資安管理機制。甚至是在招標採購時,也可將 IEC 62443–3–3、IEC 62443–4–1、或 IEC 62443–4–2 的要求放在「招標規格」中,讓整體供應鍵/商在進入 A 級機關的核心OT系統時,就有一定的資安防護能力。
而在人員的認知與訓練層面,國際自動化協會 (ISA) 也早就規劃了五張 ISA/IEC 62443 資安專業證照課程,讓這些油、水、電、交通關鍵基礎設施的資通安全專職人員,可以系統性的學習相關知識。
目前 ISA (International Society of Automation) 國際自動化協會在官方網站,推出了 ISA/IEC 62443 國際個人證照訓練課程,『課程 + 考證』這樣一石二鳥的安排,非常適合有需要資通安全教育訓練與專業證照的單位同仁。而且在完成 ISA 提供的課程後,就可直接獲得 ISA/IEC 62443 正式考證資格,省時省心。
在這裡同步公商一下 ISA 臺灣分會也可以提供 ISA/IEC 62443 課程的相關資訊,歡迎和分會志工們洽詢:『ISA/IEC 62443 個人證照』為數位發展部資通安全署公告之資通安全證照清單 — 國際自動化協會臺灣分會
若 A、B、C 三個等級的機關單位未來有開設專班的需求,BV 必維國際檢驗集團也有相關方案可以洽詢。讓機關內的同仁們可以更有效地理解和應用 IEC 62443 標準中的資通安全措施。
參考資料:
- 資通安全管理法及子法:https://moda.gov.tw/ACS/laws/regulations/62
- 資通安全專業證照清單:https://moda.gov.tw/ACS/laws/certificates/676
- 油水電基礎設施場域資安關鍵:IEC 62443 你一定要知道:https://csl.iii.org.tw/iec62443-must-know/
