評估和認證
評估和認證
日益普及的虛實整合系統對全世界工業具有重大影響。從製造和加工廠,到能源供應商和鐵路,各行各業都在實施虛實整合系統,以提高效率、獲得無與倫比的靈活性以及創新商業模式。然而,隨著網路攻擊的增加,新的互聯互通性同時也帶來了風險形勢的變化。在這樣的背景下,供應商和系統整合商必須通過改進他們的開發、集成和支援過程來優化其部件和系統的網路恢復力。
聯網的工業應用若是存在安全性漏洞,可能會給整個設施帶來風險——同時可能對運行、人員和設備造成毀滅性的後果。
漏洞可能出現在部件或系統生命週期中的任何節點;因此,必須從一開始就規劃並實施安全方案。從技術參數的確定,到設計、生產和支援,部件供應商都需考慮對互聯設備的網路恢復力進行全生命週期的優化。再進一步,系統整合商必須考慮自動化解決方案中可能存在的威脅。因此,即使當擬採用的配置和潛在的威脅仍無法確定時,供應商和整合商仍須考慮降低風險的措施。此外,他們還須保證透明性,這樣才能使潛在買家充分信任產品供應商和整合商的安全能力。
為降低工業通訊網路中存在的風險,國際標準IEC 62443對工業資訊安全提供了結構性方法。該標準原本是針對工業自動化及控制系統供應鏈開發的。如今,該標準已成為各個行業的各類工廠、設施和系統普遍採用的工業網路安全標準。該標準適用於部件供應商、系統整合商以及資產所有者。
通過一系列明確的過程要求,該標準目的在以一種結構化的方式,處理所有的相關資訊安全問題。包括涵蓋技術參數制定、整合、運行、維護和停運各個階段的系統化網路安全方法。此外,該標準預期建立相關過程以實現所有必要的技術資訊安全功能。IEC 62443可根據相關的專案範圍進行調整,從而為實現產品和系統全生命週期的資訊安全奠定了基礎。
執行IEC 62443也提升了供應商和系統整合商的競爭力:第三方認證可向資產所有者和營運者證明其採購的部件或系統是基於系統化的清晰的資訊安全方法構建的,符合行業最佳實踐的要求。
TÜV SÜD是最早提供lEC 62443標準測試與認證服務的供應商之一。我們與世界各地的供應商和系統整合商合作,確保其符合該標準規定的相關過程要求。
IEC 62443標準涉及整個供應鏈的安全過程。針對產品供應商,TÜV SÜD提供基於IEC 62443-4-1《安全產品開發生命週期》的認證服務。該標準適用於供應商的總體安全程式,也適用於與相關部件和控制系統的開發有關的安全過程。我們向系統整合商提供基於IEC 62443-2-4《服務提供者安全程式》的認證服務。在此過程中,我們的專家會驗證通用過程的符合性,以及安全過程與參考構架或藍圖的符合性。在認證過程中,審核人員將通過文件審核、面談和現場檢查進行符合性評估。在通過認證確認符合標準的要求後,我們將出具報告以及TÜV SÜD認證標誌。每年均須進行一次監督審核,以保持認證的有效性。
除了產品開發和系統整合過程中的通用過程環節,IEC 62443標準還對部件和系統規定了具體的技術安全要求。如欲詳解這些技術要求,請參閱IEC 62443-4-2和IEC 62443-3-3。對過程和技術要求進行的評估將分別作為部件和系統認證的依據。
我們在工業過程方面的豐富經驗,以及在工業資訊安全方面的深厚專業知識,為我們進行安全過程和解決方案的評估提供了獨特的優勢。我們的風險分析方法結合了資訊安全和安全兩方面要素,且已經過實踐檢驗。TÜV SÜD專家還積極參與國際標準化委員會,從而能夠對最新的監管動態提出寶貴的見解。由於我們的專家不斷致力於向各個行業灌輸安全運行理念,TÜV SÜD認證標誌已在全世界被視為安全、資訊安全和信任的象徵。
Manufacture explosion-proof equipment and systems to world-class safety requirements
Download
Select Your Location
Global
Americas
Asia
Europe
Middle East and Africa
