如果說導入國際標準是自主性的良善管理追求過程，而政府法律或行政規定則可說是推動其加速的協助者，並且直接影響整體之資訊／資安生態；當然政府政策、立法或修法亦是源於審度國家社會安全需求之風險評估結果，企盼能展現良善有效之資安治理，滾動式之修法過程是正常且有其必要性，因此隨時關注政府政策、立法或修法，亦是產業或機關重要之議題。

在今年國內重要法規「資通安全管理法」修訂各議案中，已有針對工業自動化和控制系統安全進行修法提案，針對第三條「資通系統」重新定義，增加了「資訊科技系統、操作技術系統，例如自動化控制系統、可程式邏輯控制器、監督和數據擷取系統或分配式控制系統等及融合與介接前二者的技術。」明確可見已將 OT 領域納法管控，此修法若通過，亦可能為下一波國內資安治理之熱門項目。

目前來說，已普遍公認 IEC 62443 是利於 OT 場域工控產業、關鍵基礎設施等可遵循的資安標準，以下介紹此系列標準之架構概念及最新資訊。

IEC 62443 融入供應鏈概念 各角色遵循導入

IEC 62443 角色定義目的

下圖簡明表達了工控領域整個供應鏈角色相關可適用之 IEC 62443 標準，大致上標準提供了產品製造商、系統整合及維護提供商及工控系統擁有者（業主），當然其中角色可能是兼備的或可在細分，而標準的適用亦可依角色需求進行系列標準之採用，例如 IEC 62443-2-4、IEC 62443-3-3 亦可能適用於各個角色。

▲ IEC 62443 角色定義目的。

上圖即為提供工控系統解決方案的各廠商，包括最上游元件、組件、軟體、主機等產品製造商 → 將產品提供給工控系統的供應商、整合商／維護商 → 再由工控系統主角即管理者／資產擁有者主導負責 → 輸出以提供一個安全可用的工控系統。

因此資產擁有者必須了解：如何要求工控系統業者以符合未來的目標。簡言之，工控系統終極目標首要能安全，不會產生災難，以及可用，以確保服務品質。IEC 62443 建立標準，對流程提出要求：第一部分就是基礎部分，是給所有標準都可以使用的「一般要求 62443-1」。再分別對於三大角色提出要求：1. 工控系統管理者（資產擁有者）有「安全管理要求 - 政策與程序（62443-2）」、2. 系統供應商部分有「系統安全要求 62443-3」、3. 產品供應商部分有「產品安全要求 62443-4」。

IEC 62443 角色相關應用切入

首先介紹負責主導工控系統的管理者，也就是資產擁有者（Asset Owner）根據安全計畫要求（IEC 62443-2-1），運作工控環境中的各系統；當需要導入其他工控系統時，透過安全風險評估與系統設計（IEC 62443-3-2）定義安全等級，並要求服務提供商、系統整合商。整個主導權在資產擁有者，以提供服務符合利害關係者的需求與期望。

服務提供商（Service Provider – Maintenance Service）：根據維護與更新程序（IEC 62443-2-4），提供工控現場中各系統的維護與更新服務。基本上包括工控系統的的提供者、整合商（System Integrator），提供自動化的解決方案。也就是提供基礎控制處理、安全系統以及硬體軟體的部分。

系統整合商（System Integrator／Service Provider – Integrator Service）：根據工控環境現場進行評估與設計（評估可以根據 IEC 62443-3-2 的風險評鑑方法），透過標準安裝與設定程序（IEC 62443-2-4），將產品供應商所開發的系統、子系統、組件，進行安裝、佈署與設定，並確認其安裝與設定的解決方案滿足資產擁有者所定義的安全等級需求（IEC 62443-3-3）。

產品供應商（Product Supplier）：在開發端（非現場）依據標準開發程序（IEC 62443-4-1），並各別依據系統（IEC 62443-3-3）與組件（IEC 62443-4-2）的安全等級需求開發系統、子系統與組件。

▲ 實體場域上區分兩大部份，上方是所謂工控系統所在的場域、環境（情境）（IACS Environment／Project Specific），工控系統資產擁有者、系統服務商是在同場域活動及認證；下方（Independent of IACS Environment）則是產品供應商，獨立在系統外的環境進行生產、製造流程，不同的領域、不同的場景。

IEC 62443 常見認證標準內容簡介

IEC 62443-2-1 啟動網路安全管理系統（CSMS）所需的元素

工控系統資產擁有者本身應該遵循哪些國際標準？IEC 62443-2-1 於 2010 年 11 月發布，是關於建立工業自動化和控制系統安全計劃，該計劃描述了為 IACS 環境啟動網路安全管理系統（Cyber Security Management System, CSMS）所需的元素，同時就如何開發這些元素提供建議。

資產擁有者應建立網路安全管理系統 CSMS，並提供各元素的要求與指導。CSMS 的重要元素（Element），主要包含以下 3 項要求：風險分析（Risk analysis）、根據 CSMS 風險處理、監控並持續改善 CSMS。針對安全等級的指定，依據風險考量，訂定組織內各區域和管道（Zones and Conduits）所需要的目標安全等級（Targeted Security Level, SL-T）。這個要求是要提供給服務商。將 SL-T 之要求，交付系統整合商與服務提供者，並驗證、確認、持續管控其符合性。安全等級要做到什麼樣的程度？依風險分析完之後訂定、或分析工控系統是屬於哪一個等級來去做相關判定及未來改善、或者是導入。

IEC 62442-2-4  IACS 服務提供商的安全計畫要求

不同工業產業業者，資產擁有者應該要選用適合其自動化解決方案（Automation solution）的要求方案，因此資產擁有者和服務供應商要合作自行訂定所需求的 Profiles 預先分析需要什麼樣的工控系統，再由供應商建置工控系統，此即所謂的計畫要求。將需求提供給供應商的同時，也要提出明確的要求。可以透過訪談由專業的供應商協助定義需求，提供你做選擇，但資產擁有者仍要掌握主導權。在 IEC 62443-2-4 裡包含有很多運作的條文要求。其中包括：分析判斷目前 e 公共系統的成熟度等集。可分 4 級：初始的、受管理的、已定義過的（曾實踐過的）、持續改善的。

第一級初始的（Initial），基本上是沒有管控系統，隨機性的處理模式。第二級受管理的（Managed），已經有具有相關的工控系統、資安的政策、相關的程序要求、文件化的資訊，已具有程序書、表單紀錄去做控管，人員經過訓練，清楚如何維持工控資安流程，如何導入、監測、作業。第三級已定義、已導入並實踐過的（Defined／Practiced），完成第二級要求並且至少有一次實際運作績效。第四級為具備持續改善功能的（Improving），基於所訂定適切量測指標（訂有績效目標）、一直不斷的尋找缺失持續改善，是屬於最成熟的。

（成熟度判斷通常會列入情境題練習題型，例如「針對我公司現狀如此，請問其成熟度是在第幾期」，作為測試自我檢視要求的作業。）

▲ IEC 62442-2-4 需判斷分析判斷目前工控系統的成熟度。

IEC 62443-2-4也提到服務供應商因應計劃要求來發展符合資產擁有者或系統整合商在安全計劃（Security Program，SP）所指定要求的產品。服務提供商的安全計劃（SP）會牽涉到工控系統的實現。IEC 62443-2-4 安全計劃（SP）功能要求，基本上有 12 項，包括解決方案人員、保證、架構、無線通訊、安全儀表系統、組態管理、遠端存取、事件管理、帳戶管理、惡意軟體防護、修補／補丁管理、及備份／還原等。

IEC 62443-3-3 系統要求與安全等級

IEC 62443-3-3，用於規範系統安全要求與分級，所謂的系統不是軟體程式，而是整個工控系統，也就是 62443-2-4 所產出來的東西；或者是說 62443-2-4 要設計出你所需要的工控系統的時候也可能會借助 62443-3-3 的要求標準級別，引導去產出所需要系統級別，再提供給 IEC 62443-2-4 的供應商去產出工控系統。定義了一組最低要求，以便逐步並通過持續改進實現可靠的安全級別。控管項目相當多，而保護等級則分為 SL1 ~ 4。

▲ IEC 62443-3-3 依照對抗威脅的強度高低分為 SL1 ~ 4 四種保護等級。

IEC 62443-4-1 控制系統的組件安全要求

標準目的：為用於工業自動化和控制系統環境的產品定義了與網路安全相關的安全開發生命週期（SDLC）要求，並就如何滿足每個元素所描述的要求提供了指導。因此產品部分，針對 4 項（Supporting Applications、Embeded Devices、Network Components、Host Devices）做發展時，應該注意到哪些。

開發 4 大項產品，必須有所依據「我到底要達到什麼樣的一個水準跟要求？」當然首先要達到 IEC 或者是國際電工公會的認證；其次研發過程要符合 IEC 62443-4-1 的要求，取得國際標準。除此之外，當然要符合上面這一塊環境裡面的系統服務商、系統供應商、系統整合者的要求，因為上述供應商會向下方產品製造供應商購買、進料，因此在發展時就要預先考量要符合什麼樣的要求。客製化開發也是如此，要按照標準的生命週期開發的過程流程去訂定相關的遵循制度，而且可受查驗，意即可通過 IEC 62443-4-1。IEC 62443-4-1 是開發過程的要求。IEC 62443-4-2 則是產品開發完成之後，規格應該要符合哪些情況，或技術標準。送驗的產品送驗通過後，產品規格符合這些要求，即通過 IEC 62443-4-2 的要求。

IEC 62443-4-2 針對產品的成品標準要求

部分描述了預先設定要求，即控制系統的組件需實施以達到一定的安全級別。

● 製造商：可以在此標準中認證他們的產品，以證明組件在每個安全級別都具有所有必要的措施。（解決）

● 資產擁有者：設定安裝在系統上的設備應具有一些最低限度的安全功能。

● 產品供應商：可以參考標準來了解他們必須添加哪些安全措施以適應任何定義的安全級別。

● 系統整合商：他們可以找出資產的能力，根據資產管理者定義的安全級別進行配置。

● 監管單位（或安全機構）：可參照此標準進行符合性查驗。

所以說整個供應鏈都有相關的規格可以去遵循，可以去要求可以去購買，可以去安裝，這個就是所謂的 IEC 62443-4-2 的標準目的。當然監管機關，可能會派技術小組視察工控系統裡的設備，如 PLC、HMI、Device、Host 或者網通線、電力線，是不是有按照規格來做相關配置，或無線、網路的進出狀況、通聯狀況、開啟的 port 狀況等等這些，監管機關會從管理面、策略面、技術面去做查驗。IEC 62443-4-2 也包括其它相關組件要求或特定組件要求。

▲ IEC 62443-4-2 針對供應鏈相關產品或特定組件之資安要求。

工控系統安全管理標準的選擇考量

除了 IEC 62443 系列，工控系統防護管理仍有許多選擇性，例如 NIST SP800-82。其它如北美電力可靠度協會（North American Electric Reliability Corporation, NERC）提出之 CIP V5、美國核子管理委員會（Nuclear Regulatory Commission, NRC）提出之口 RG5／71、及中國大陸「工業控制系統信息安全防護指南」與 GB／T 33009.1「工業自動化和控制系統信息安全集散控制系統（DOS）第 1 部分：防護要求」等，則屬多專注某個面向而已。事實上我國公部門曾做過分析，建議以上述兩項 NIST SP800-82、IEC 62443 為優先選擇。從策略上來講，應先通盤了解本身工控系統角色（擁有者或其它）、系統規模及特性、所處環境及因應資安管理面之需求，考量整個國際標準通用性「整合性系統導入」，建議以下思維做為參考：

ISO 27001 定義的是資訊安全管理系統框架，在「管理面」上廣度應用及相容性高，可說是依資訊科技（IT）所制定的，要適用於營運科技（OT）的環境，則需與 IEC 62443 互補，因此系統安全整合可採用 IT + OT 考量：

1. 瞭解國際標準的特色進行整合與運用， 當然可擴充其它標準系統。

2. ISO 27001 在管理面上其應用廣度及相容性高，可與 IEC 62443 互補。

3. IEC 62443 系列為完整供應鏈之國際標準，技術面深入至產品本質，角色能協同一致，對資安管理及溝通容易，標準之附件已明列與 ISO 27001 相對應條文可資運用。

4. 考量其它系統擴充性。

結論：全面的工控生態資安管理

整個工控領域不僅是線性化供應鏈，實可視為一生態系統，在此生態裡面有許多的角色。除了供應鏈裡的資產擁有者、服務供應商、系統整合商和產品供應商角色外，還有政府方面各產業事業主管機關（上級指導／監管機構）：其監督力度、法規法律進展（例如最新的個資保護法修訂、個資保護委員會的成立、資通安全管理法的修訂如納入 OT 部分），也會是管理工控執行標準的重要環節。

此外還有資訊安全技術諮商部門／支援業者、國際標準認、驗證機構等，每個角色都很重要，均賴大家攜手共進，共同達成鞏固整體資訊安全、服務品質提升的目標。

延伸閱讀：

>> 工業自動化和控制系統安全國際標準探討（上）