關鍵基礎設施的資通安全責任等級與建議的個人資安證照 — ISA/ IEC 62443

老喬筆記
Mar 2, 2023
淺談 ISA/IEC 62443 資安標準在A級關鍵基礎設施單位中的應用方式

#關鍵基礎設施 #OT #Cybersecurity #IEC62443 #資通安全責任等級

為積極推動國家資通安全政策,加速建構國家資安環境,以保障國家安全,維護社會公共利益,數位發展部資通安全署與各界專家制定的資通安全管理法及子法,目的就是為了協助各個責任等級的機關建立一個完整的 cybersecurity 防護框架,降低遭受網路攻擊時的風險與損失。

在「資通安全責任等級分級辦法」中也明確定義了 A 級、B 級、C 級、D 級及 E 級 (資安責任等級由高至低)的機關,這次的建議則是會著重於 A、B、C 三個等級的機關單位,像是涉及國家機密、國防外交、區域醫院、關鍵基礎設施…等。

數位發展部資通安全署公告之資通安全責任等級分級辦法

在「資通安全責任等級分級辦法」中同時由管理面、技術面、認知與訓練三個層面,提到了各級機關單位的應該要執行的事項,其中與敝公司這類型的公正第三方單位有關的事項包含了:

  • 管理面:資訊安全管理系統之導入及通過公正第三方之驗證
  • 認知與訓練:資通安全教育訓練
  • 認知與訓練:資通安全專業證照及職能訓練證書

以資通安全責任等級 A 級的機關單位像是,台電、中油、台水、台鐵、高鐵、公立醫學中心、高科技園區、交通部民用航空局…等,在管理面就要求這些單位的核心資通系統導入 ISO 27001 或其他具有同等或以上效果之系統或標準,並於三年內完成公正第三方驗證,並持續維持其驗證有效性。以上述這些油、水、電、交通關鍵基礎設施 (critical infrastructure) 的場域來看,除了 ISO 27001,我最為推薦導入 ISA/IEC 62443 的資安標準,讓組織內同仁們可以全面建立一套適合 OT 場域的資安管理機制。甚至是在招標採購時,也可將 IEC 62443–3–3、IEC 62443–4–1、或 IEC 62443–4–2 的要求放在「招標規格」中,讓整體供應鍵/商在進入 A 級機關的核心OT系統時,就有一定的資安防護能力。

而在人員的認知與訓練層面,國際自動化協會 (ISA) 也早就規劃了五張 ISA/IEC 62443 資安專業證照課程,讓這些油、水、電、交通關鍵基礎設施的資通安全專職人員,可以系統性的學習相關知識。

目前第三方驗證公司 Bureau Veritas 獲得 ISA (International Society of Automation) 官方授權,推出以中文進行授課的 ISA/IEC 62443 國際個人證照訓練課程,『課程 + 考證』這樣一石二鳥的安排,非常適合有需要資通安全教育訓練與專業證照的單位同仁。而且在完成 Bureau Veritas 提供的課程後,就可直接獲得 ISA/IEC 62443 正式考證資格,省時省心。

在這裡同步公商一下 2023 年 3 月份,也有 BV 公告的 ISA/IEC 62443 課程資訊:

  • 『課程名稱』:Using the ISA/IEC 62443 Standards to Secure Your Control Systems (IC32)
  • 『證書分類』:Certificate 1: ISA/IEC 62443 Cybersecurity Fundamentals Specialist
  • 『課程時間』:2023 年 3 月 30 ~ 31日 (週四 & 週五)兩天
  • 『課程型態』:實體課程,中文授課。
  • 『上課地點』:台北市中正區忠孝西路一段38號;台北凱薩大飯店北京廳(近 MRT 台北車站)
  • 『課程報名連結』https://www.bureauveritas.com.tw/ISAIEC62443CybersecurityFundamentalsSpecialist 『課程費用課程費用包含教材、證照一 (Certificate 1) 考試報名費、學員餐點費用』

若 A、B、C 三個等級的機關單位未來有開設專班的需求,BV 必維國際檢驗集團也有相關方案可以洽詢。讓機關內的同仁們可以更有效地理解和應用 IEC 62443 標準中的資通安全措施。

ISA/IEC 62443 個人證照訓練課程簡介

參考資料:

--

--

老喬筆記

Joseph from TPE. 兩個孩子的爸,正在資安認驗證公司擔任市場開發,並略帶搞笑的反派角色。工作足跡曾分佈在台灣、香港、日本、印尼、馬來西亞、泰國、越南、英國。Use our creativity & imagination to achieve the goal!