開放工業自動化與控制系統資訊安全測試實驗室及產品驗證機構之認證服務
本會於2021年5月28日正式開放「工業自動化與控制系統資訊安全驗證方案(ISASecure® Certification Scheme)」認證服務。
因應工業4.0的發展趨勢,著重於互聯性、自動化、機器學習及實時數據等科技革新,有助於企業對提升生產效率、營運及發展,用以更快的網路速度、更強大的運算能力,在使用大量智慧設備或各式監控裝置,如何確保裝置不受資安威脅,亦是運作安全之關鍵,涉及物聯網、智慧機械與智慧製造等,物聯網自動化控制系統已逐漸大量使用於製造工廠端與關鍵基礎設施上,如油、水、電、交通。對於工業聯網裝置將搭配傳送大量的即時資訊,提供後台系統進行資料運算、分析,避免資料傳輸遭受不明的攔截與解讀,亦是工業自動化與控制系統資安防護的重要考量方向。
因應資安產業發展需求,工業自動化與控制系統資訊安全已成為全球重要之議題,國際非營利組織-國際自動化學會(International Society of Automation,簡稱ISA)成立自動化標準符合性協會(Automation Standards Compliance Institute,簡稱ASCI)並發展工業自動化與控制系統資訊安全驗證方案(簡稱ISASecure® Certification Scheme 註1),對工業自動化控制系統和產品進行獨立測試與驗證,以確保降低對外來的網路攻擊、惡意軟體等侵害,並提升相關漏洞防護能力。關於ISASecure® Certification Scheme對應之符合性評鑑制度內容,可參考本會去年認證報導(第37期, 2020/08/01出刊)之文章。
本會與ASCI於2020年起建立正式聯絡管道,針對其設計之驗證方案,如組件安全性保證(Component Security Assurance,簡稱CSA)及開發生命週期安全保證(Security Development Lifecycle Assurance,簡稱SDLA)之技術要求進行研究,同時邀請國內專家學者加入工作小組共同制定評鑑要求與指引文件。國際自動化學會自動化標準符合性協會(ASCI)已於2021年5月4日與本會(TAF)簽署合作備忘錄,正式認可本會(TAF)成為ASCI全球第六家認可之認證機構 註2,將負責國內測試實驗室與產品驗證機構之認證與管理工作,未來雙方將在工業自動化控制系統和產品及其他技術領域持續緊密合作。
本會於2021年5月28日正式開放「工業自動化與控制系統資訊安全驗證方案(ISASecure® Certification Scheme)」認證服務,相關認證文件與認證範圍如表一。
表一、ISASecure® Certification Scheme對應之認證文件
符合性評鑑 機構類型 |
認證範圍 | TAF認證文件 |
---|---|---|
測試實驗室 |
|
|
產品驗證機構 |
|
|
依據前述文件規定,摘錄認證要求重點如表二:
表二、ISASecure® Certification Scheme認證要求
符合性評鑑 機構類型 |
認證要求 |
---|---|
測試實驗室 |
|
產品驗證機構 |
|
在ISASecure® Certification Scheme所設計之符合性評鑑制度中,對認證機構的要求為具備ISO/IEC 17011認證資格,而本會(TAF)現為國內唯一符合國際標準ISO/IEC 17011要求,以及簽署國際實驗室認證聯盟(International Laboratory Accreditation Cooperation; 簡稱ILAC)國際相互承認協議及國際認證論壇(International Accreditation Forum; 簡稱IAF)多邊相互承認協議之認證機構,故國際自動化學會自動化標準符合性協會(ASCI)將完全採認TAF認證結果,無須重複執行評鑑。意即,通過本會認證之測試實驗室與產品驗證機構,後續只須提交書面申請資料,即可向ASCI申請成為特許實驗室(Chartered Laboratory),其出具的測試報告及驗證證書,亦可被國際自動化學會自動化標準符合性協會(ASCI)所接受。除了可降低我國測試實驗室與驗證機構之認證成本外,也能協助業者產品縮短產品測試時程,順利進入國際市場。更進一步支持我國資安產業政策推行,以提升我國廠商對於工業控制系統之資安防護安全性。
註1 負責管理ISASecure之單位為國際自動化協會資訊安全符合性機構(ISA Security Compliance Institute,ISCI)。
註2 ASCI認可之認證機構: 請參考相關連結