為企業提供工業網絡安全認證和評估服務
為企業提供工業網絡安全認證和評估服務
日益普及的網絡——網絡物理系統對全世界工業具有重大影響。從制造和加工廠,到能源供應商和鐵路,各行各業都在實施網絡——網絡物理系統,以提高效率、獲得無與倫比的靈活性以及創新商業模式。然而,隨著網絡攻擊的增加,新的互聯互通性同時也帶來了風險形勢的變化。在這樣的背景下,供應商和系統集成商必須通過改進他們的開發、集成和支持過程來優化其部件和系統的網絡恢復力。
工業網絡安全是涉及工業信息系統的重要領域。它涉及研究對工業信息的潛在攻擊和威脅,確定差距,制定和落實工業網絡安全解決方案,并大大降低風險。
工業網絡攻擊可能對公司數據、基礎設施、連接設備造成損害,整個生態系統都可能受到損害。因此,工業網絡安全成為任何網絡物理操作的不可或缺的一部分。
工業網絡安全解決方案是預防和打擊工業網絡攻擊的一種途徑。然而,在網絡攻擊不斷演變的性質和動態的網絡安全地平線中,這些解決方案必須可持續和足夠堅實,這樣才能識別網絡攻擊和加強積極的預防措施。
聯網的工業應用若是存在安全漏洞,可能會給整個設施帶來風險——同時可能對運行、人員和設備造成毀滅性的后果。
漏洞可能出現在部件或系統生命周期中的任何節點;因此,必須從一開始就規劃并實施安全方案。從技術參數的確定,到設計、生產和支持,部件供應商都需考慮對互聯設備的網絡恢復力進行全生命周期的優化。再進一步,系統集成商必須考慮自動化解決方案中可能存在的威脅。因此,即使當擬采用的配置和潛在的威脅仍無法確定時,供應商和集成商仍須考慮降低風險的措施。此外,他們還須保證透明性,這樣才能使潛在買家充分信任產品供應商和集成商的安全能力。
為降低工業通訊網絡中存在的風險,國際標準IEC 62443對工業信息安全提供了結構性方法。該標準原本是針對工業自動化及控制系統供應鏈開發的。如今,該標準已成為各個行業的各類工廠、設施和系統普遍采用的工業網絡安全標準。該標準適用于部件供應商、系統集成商以及資產所有者。
通過一系列明確的過程要求,該標準旨在以一種結構化的方式,處理所有的相關信息安全問題。包括涵蓋技術參數制定、集成、運行、維護和停運各個階段的系統化網絡安全方法。此外,該標準預期建立相關過程以實現所有必要的技術信息安全功能。IEC 62443可根據相關的項目范圍進行調整,從而為實現產品和系統全生命周期的信息安全奠定了基礎。
執行IEC 62443也提升了供應商和系統集成商的競爭力:第三方認證可向資產所有者和運營者證明其采購的部件或系統是基于系統化的清晰的信息安全方法構建的,符合行業最佳實踐的要求。
TÜV南德意志集團根據IEC 62443標準進行測試和評估,并根據以下認證計劃對流程、產品和體系進行認證:
- TÜV南德意志集團工業網絡安全的產品服務認證標志
- IECEE-CB網絡安全計劃(CYBR)
- ISASecure IEC 62443一致性認證
我們與全球供應商、開發團隊和系統集成商合作,確保其符合標準規定的流程/產品/系統適用要求。
IEC 62443標準涉及整個供應鏈的安全過程。TÜV南德標志基于IEC 62443安全文件提供證書。對證書持有者進行監督,檢查其在證書有效期內是否保持合規。
針對產品供應商,TÜV南德意志集團提供基于IEC 62443-4-1的工業網絡安全認證服務。該標準適用于供應商的總體安全程序,也適用于與相關部件和控制系統的開發有關的安全過程。
根據IEC 62443-2-4,系統集成商可獲得相應的認證。我們的專家將驗證參考架構或藍圖通用流程和安全流程的合規性。可通過文件審查、訪談和現場見證測試進行合規性評估。若符合標準要求,將出具報告并獲得TÜV南德意志集團產品服務認證。需對認證的有效性進行年度監督審核。
除產品開發和系統集成的通用過程,IEC 62443標準還對部件和系統作出了具體的技術安全要求規定。如欲詳解這些技術要求,請參閱IEC 62443-4-2和IEC 62443-3-3。開發團隊必須根據IEC 62433-4-1向我們呈現一個成熟、安全的產品開發生命周期流程,以參與合作。上述標準是TÜV南德意志集團產品服務對部件和系統進行認證的基礎。"
根據IECEE-CB計劃中的規定,對流程/產品/系統進行一次性評估后頒發IECEE合格證書。認證產品上不得有TÜV南德意志集團的標記或標志。
ISASecure認證計劃以IEC 62443 標準中定義的工業自動化和控制安全生命周期為基礎,并在 ISASecure 認證規范中發布了其他要求。根據認證的類型,在獲得認證之前可能需要進行脆弱性評估。
TÜV南德意志集團是ISASecure特許實驗室(許可證號:ISCI-CL0006),是由ISA國際自動化協會安全合規學會(ISCI)授權的非營利性自動化控制行業聯盟,負責管理ISASecure一致性認證計劃。"
我們依據IEC 62443標準,提供3種類型的認證和4個安全保障級別(SAL)。
根據最新版ISASecure的規定,如公司的開發流程、部件或系統通過評估,則將由TÜV南德意志集團授予ISASecure認證。通過認證的產品和系統可貼上ISASecure標志。"
TÜV南德是最早提供lEC 62443標準測試與認證服務的供應商之一。我們與世界各地的供應商和系統集成商合作,確保其符合該標準規定的相關過程要求。
IEC 62443標準涉及整個供應鏈的安全過程。針對產品供應商,TÜV南德提供基于IEC 62443-4-1《安全產品開發生命周期》的認證服務。該標準適用于供應商的總體安全程序,也適用于與相關部件和控制系統的開發有關的安全過程。我們向系統集成商提供基于IEC 62443-2-4《服務提供商安全程序》的認證服務。在此過程中,我們的專家會驗證通用過程的符合性,以及安全過程與參考構架或藍圖的符合性。在認證過程中,審核人員將通過文件審核、面談和現場檢查進行符合性評估。在通過認證確認符合標準的要求后,我們將出具報告以及TÜV南德認證標志。每年均須進行一次監督審核,以保持認證的有效性。
除了產品開發和系統集成過程中的通用過程環節,IEC 62443標準還對部件和系統規定了具體的技術安全要求。如遇詳解這些技術要求,請參閱IEC 62443-4-2和IEC 62443-3-3。對過程和技術要求進行的評估將分別作為部件和系統認證的依據。
我們在工業過程方面的豐富經驗,以及在工業信息安全方面的深厚專業知識,為我們開展安全過程和解決方案的評估提供了獨特的優勢。我們的風險分析方法結合了信息安全和安全兩方面要素,且已經過實踐檢驗。TÜV南德專家還積極參與國際標準化委員會,從而能夠對最新的監管動態提出寶貴的見解。由于我們的專家不斷致力于向各個行業灌輸安全運行理念,TÜV南德認證標志已在全世界被視為安全、信息安全和信任的象征。
如有任何疑問,可聯系我們。馬上開始您的IEC 62443認證之旅吧!
Manufacture explosion-proof equipment and systems to world-class safety requirements
Download
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa
