为企业提供工业网络安全认证和评估服务
为企业提供工业网络安全认证和评估服务
日益普及的网络——网络物理系统对全世界工业具有重大影响。从制造和加工厂,到能源供应商和铁路,各行各业都在实施网络——网络物理系统,以提高效率、获得无与伦比的灵活性以及创新商业模式。然而,随着网络攻击的增加,新的互联互通性同时也带来了风险形势的变化。在这样的背景下,供应商和系统集成商必须通过改进他们的开发、集成和支持过程来优化其部件和系统的网络恢复力。
工业网络安全是涉及工业信息系统的重要领域。它涉及研究对工业信息的潜在攻击和威胁,确定差距,制定和落实工业网络安全解决方案,并大大降低风险。
工业网络攻击可能对公司数据、基础设施、连接设备造成损害,整个生态系统都可能受到损害。因此,工业网络安全成为任何网络物理操作的不可或缺的一部分。
工业网络安全解决方案是预防和打击工业网络攻击的一种途径。然而,在网络攻击不断演变的性质和动态的网络安全地平线中,这些解决方案必须可持续和足够坚实,这样才能识别网络攻击和加强积极的预防措施。
联网的工业应用若是存在安全漏洞,可能会给整个设施带来风险——同时可能对运行、人员和设备造成毁灭性的后果。
漏洞可能出现在部件或系统生命周期中的任何节点;因此,必须从一开始就规划并实施安全方案。从技术参数的确定,到设计、生产和支持,部件供应商都需考虑对互联设备的网络恢复力进行全生命周期的优化。再进一步,系统集成商必须考虑自动化解决方案中可能存在的威胁。因此,即使当拟采用的配置和潜在的威胁仍无法确定时,供应商和集成商仍须考虑降低风险的措施。此外,他们还须保证透明性,这样才能使潜在买家充分信任产品供应商和集成商的安全能力。
为降低工业通讯网络中存在的风险,国际标准IEC 62443对工业信息安全提供了结构性方法。该标准原本是针对工业自动化及控制系统供应链开发的。如今,该标准已成为各个行业的各类工厂、设施和系统普遍采用的工业网络安全标准。该标准适用于部件供应商、系统集成商以及资产所有者。
通过一系列明确的过程要求,该标准旨在以一种结构化的方式,处理所有的相关信息安全问题。包括涵盖技术参数制定、集成、运行、维护和停运各个阶段的系统化网络安全方法。此外,该标准预期建立相关过程以实现所有必要的技术信息安全功能。IEC 62443可根据相关的项目范围进行调整,从而为实现产品和系统全生命周期的信息安全奠定了基础。
执行IEC 62443也提升了供应商和系统集成商的竞争力:第三方认证可向资产所有者和运营者证明其采购的部件或系统是基于系统化的清晰的信息安全方法构建的,符合行业最佳实践的要求。
TÜV南德意志集团根据IEC 62443标准进行测试和评估,并根据以下认证计划对流程、产品和体系进行认证:
- TÜV南德意志集团工业网络安全的产品服务认证标志
- IECEE-CB网络安全计划(CYBR)
- ISASecure IEC 62443一致性认证
我们与全球供应商、开发团队和系统集成商合作,确保其符合标准规定的流程/产品/系统适用要求。
IEC 62443标准涉及整个供应链的安全过程。TÜV南德标志基于IEC 62443安全文件提供证书。对证书持有者进行监督,检查其在证书有效期内是否保持合规。
针对产品供应商,TÜV南德意志集团提供基于IEC 62443-4-1的工业网络安全认证服务。该标准适用于供应商的总体安全程序,也适用于与相关部件和控制系统的开发有关的安全过程。
根据IEC 62443-2-4,系统集成商可获得相应的认证。我们的专家将验证参考架构或蓝图通用流程和安全流程的合规性。可通过文件审查、访谈和现场见证测试进行合规性评估。若符合标准要求,将出具报告并获得TÜV南德意志集团产品服务认证。需对认证的有效性进行年度监督审核。
除产品开发和系统集成的通用过程,IEC 62443标准还对部件和系统作出了具体的技术安全要求规定。如欲详解这些技术要求,请参阅IEC 62443-4-2和IEC 62443-3-3。开发团队必须根据IEC 62433-4-1向我们呈现一个成熟、安全的产品开发生命周期流程,以参与合作。上述标准是TÜV南德意志集团产品服务对部件和系统进行认证的基础。"
根据IECEE-CB计划中的规定,对流程/产品/系统进行一次性评估后颁发IECEE合格证书。认证产品上不得有TÜV南德意志集团的标记或标志。
ISASecure认证计划以IEC 62443 标准中定义的工业自动化和控制安全生命周期为基础,并在 ISASecure 认证规范中发布了其他要求。根据认证的类型,在获得认证之前可能需要进行脆弱性评估。
TÜV南德意志集团是ISASecure特许实验室(许可证号:ISCI-CL0006),是由ISA国际自动化协会安全合规学会(ISCI)授权的非营利性自动化控制行业联盟,负责管理ISASecure一致性认证计划。"
我们依据IEC 62443标准,提供3种类型的认证和4个安全保障级别(SAL)。
根据最新版ISASecure的规定,如公司的开发流程、部件或系统通过评估,则将由TÜV南德意志集团授予ISASecure认证。通过认证的产品和系统可贴上ISASecure标志。"
TÜV南德是最早提供lEC 62443标准测试与认证服务的供应商之一。我们与世界各地的供应商和系统集成商合作,确保其符合该标准规定的相关过程要求。
IEC 62443标准涉及整个供应链的安全过程。针对产品供应商,TÜV南德提供基于IEC 62443-4-1《安全产品开发生命周期》的认证服务。该标准适用于供应商的总体安全程序,也适用于与相关部件和控制系统的开发有关的安全过程。我们向系统集成商提供基于IEC 62443-2-4《服务提供商安全程序》的认证服务。在此过程中,我们的专家会验证通用过程的符合性,以及安全过程与参考构架或蓝图的符合性。在认证过程中,审核人员将通过文件审核、面谈和现场检查进行符合性评估。在通过认证确认符合标准的要求后,我们将出具报告以及TÜV南德认证标志。每年均须进行一次监督审核,以保持认证的有效性。
除了产品开发和系统集成过程中的通用过程环节,IEC 62443标准还对部件和系统规定了具体的技术安全要求。如遇详解这些技术要求,请参阅IEC 62443-4-2和IEC 62443-3-3。对过程和技术要求进行的评估将分别作为部件和系统认证的依据。
我们在工业过程方面的丰富经验,以及在工业信息安全方面的深厚专业知识,为我们开展安全过程和解决方案的评估提供了独特的优势。我们的风险分析方法结合了信息安全和安全两方面要素,且已经过实践检验。TÜV南德专家还积极参与国际标准化委员会,从而能够对最新的监管动态提出宝贵的见解。由于我们的专家不断致力于向各个行业灌输安全运行理念,TÜV南德认证标志已在全世界被视为安全、信息安全和信任的象征。
如有任何疑问,可联系我们。马上开始您的IEC 62443认证之旅吧!
Manufacture explosion-proof equipment and systems to world-class safety requirements
Download
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa