SlideShare a Scribd company logo
1 of 27
Leading Brand in Cybersecurity Compliance Solutions
www.onwardsecurity.com
物聯網設備資安導入
與認證實務分享
Onward Security
1© 2020 Onward Security Corp. All rights reserved.
注意事項01
常見問題02
以設備/場域為例03
結論與建議04
Q&A05
CONTENTS
© 2020 Onward Security Corp. All rights reserved. 2
物聯網資安導入與認證注意事項
01.
© 2020 Onward Security Corp. All rights reserved. 3
5個注意事項
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
© 2020 Onward Security Corp. All rights reserved. 4
N1.瞭解物聯網資安標準的分類
• 法規規範
• 美國:FIPS-140-3, …
• 英國:CPA, …
• 品牌要求
• Amazon、Apple、Google, …
• AT&T, Nokia, Siemens, …
• 產業需求
• 資通訊產品:ISO/IEC 15408, …
• 物聯網設備:CTIA, …
• 工控產業:IEC 62443, …
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
越來越多的
第三方非營
利組織釋出
標準或認證/
標章計畫
© 2020 Onward Security Corp. All rights reserved. 5
N2.什麼樣的標準適合你
• 客戶是否有指定?
• 法規要求:政府
• 買家:企業、消費者
• 老闆:部門主管、高階主管
• 你的產品是賣到何處?賣給誰?
• 國家、區域、產業
• 政府、品牌、標案
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
只要客戶
願意接受
© 2020 Onward Security Corp. All rights reserved. 6
N3.需要投入或準備什麼
• 確認導入或要求的範圍?
• 管理流程、設計開發流程、產品本身
• 確認主責單位?
• 預估時程、經費
• 跨部門合作
• 是否需要顧問公司的協助?
• 尋找被認可的組織/實驗室
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
專責專人與
外部資源的
結合
© 2020 Onward Security Corp. All rights reserved. 7
N4.導入或認驗證配合事項
• 負責的人或窗口
• 跨部門溝通與運作的方式
• 導入與認證範圍相關資訊
• 部門、場域、系統、產品、設備
• 軟體技術團隊的參與
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
抓好並預留
多一點的
改善時程
© 2020 Onward Security Corp. All rights reserved. 8
N5.取得標章/證書可以做什麼
• 符合客戶期待
• 品質提升的證明
• 業務、行銷推廣的重點
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
還有
什麼好處?
© 2020 Onward Security Corp. All rights reserved. 9
物聯網資安導入與認證常見問題
02.
© 2020 Onward Security Corp. All rights reserved. 10
5個常見問題 / 5個建議
Q1
Q2
Q3
S1
S2
S3
為什麼要導入?有什麼幫助? 管理會議取得共識、教育訓練
Q4
Q5
如何加速並提高成功機會? 高階代表、專責專人、合作機制
跨部門合作問題? 部門主管、自動化系統或產品協助
S4
S5
線上/線下課程、外部顧問、產品
選擇優良的合作廠商
缺少資安專業人力?
保證一定拿到證?
© 2020 Onward Security Corp. All rights reserved. 11
以設備/場域為例
03.1.
© 2020 Onward Security Corp. All rights reserved. 12
以設備為例
家用安全物
聯網設備
具備無線網
路功能
想進入美國
市場
客戶不知道
要做什麼
時間與預算
有限
要有認證或
標章
© 2020 Onward Security Corp. All rights reserved. 13
Three Levels of Certification
Level 1
Core Security
Level 2
Enhanced Security
Level 3
Advanced Security
GPS Dog
Collars
Washing Machines
GPS Trackers
Smart Home Security Systems
Mobile Payment
Devices
Connected
Streetlights
Traffic
Controllers
Blood Glucose
Meters
Gas Meters
*Referee from CTIA Certification
© 2020 Onward Security Corp. All rights reserved. 14
Submit Paperwork
Least 3 Samples to CATL
Eliminate Inconsistencies or Resend
Samples
Receive the Notification Device Been Certified
Samples are
Consistent with
the Application
No
PASS
Receive the Samples
Receive and Test
Pass / Fail
Upload Test Report
Document and
Payment
Checking
Resubmit the Samples
Fail
All Completed
Incomplete
IoT OEM CTIA
Submission Process
© 2020 Onward Security Corp. All rights reserved. 15
以場域(開發流程)為例
03.2.
© 2020 Onward Security Corp. All rights reserved. 16
以開發流程為例
自行開發的
工控產品
具備連網功
能
銷往歐美
具備一定出
貨量
時間與預算
有限
要有認證或
標章
© 2020 Onward Security Corp. All rights reserved. 17
IEC 62443 系列標準
IEC 62443-1-1
術語/概念/模型
IEC 62443-1-2
術語和縮寫
詞彙表
IEC 62443-1-3
系統安全
合規性指標
IEC 62443-1-4
IACS 安全生命
週期及使用範例
IEC 62443-2-1
IACS 資產擁有
者安全計畫要求
IEC 62443-2-2
IACS 保護分級
IEC 62443-2-3
IACS環境
補丁/漏洞管理
IEC 62443-2-4
IACS 服務提應商
安全計畫要求
IEC 62443-2-5
IACS 資產擁有者
系統安全管理
實作指南
IEC 62443-3-1
IACS 安全技術
IEC 62443-3-2
安全風險評估
與系統設計
IEC 62443-3-3
系統安全要求
與分級
IEC 62443-4-1
安全產品開發生
命週期要求
IEC 62443-4-2
IACS 元件
技術安全要求
© 2020 Onward Security Corp. All rights reserved. 18
Maturity Level Category
ML 1 Initial
ML 2 Managed
ML 3
Defined
(Practiced)
ML 4 Improved
參與角色&成熟度等級
角色 分工
CIIP/ IIOT Owner 決定設備商所需成熟等級(ML)
SI 決定開發商所需成熟等級(ML)
Vendor 符合要求等級
© 2020 Onward Security Corp. All rights reserved. 19
安全開發生命週期
Pre-SDL
訓練
Phase 1
要求
Phase 2
設計
Phase 3
實作
Phase 4
驗證
Phase 5
發布
Post-SDL
要求回應
安全策略的交付或訓練
Security Policy Delivery or
Training
安全標準與行業要求
Security Standard &
Industrial
Requirement
風險與影響評估
Risk and Impact Analysis
安全實作
Security Implementation
安全測試與分析
Security Testing and
Analysis
安全維護
Security Maintenance
安全事件回應
Incident
Response
Source: http://hwang.cisdept.cpp.edu/swanew/SDLC.aspx?m=SDLC-Microsoft-SDL
Security Management (SM)
© 2020 Onward Security Corp. All rights reserved. 20
IEC 62443 Certification Process
Manufacturer Consulting Company CBTL/NCB
Determine the scope
and certification level
Perform consulting and
testing service
Submit the application
Perform assessment of
certification
Certification acquired
© 2020 Onward Security Corp. All rights reserved. 21
結論與建議
04.
© 2020 Onward Security Corp. All rights reserved. 22
結論與建議
物聯網設備為什麼要做資安導入與認證?
滿足客戶要求
Sales
強化產品
競爭力
Sales/PM/RD
塑造公司形象
Marketing
提高公司收益
把資安成本轉化
為資安效益
© 2020 Onward Security Corp. All rights reserved. 23
如果你還對資安導入與認證還有疑慮
© 2020 Onward Security Corp. All rights reserved. 24
如果你還對資安導入與認證還有疑慮
© 2020 Onward Security Corp. All rights reserved. 25
Q&A
05
Leading Brand in Cybersecurity Compliance Solutions
THANK Y U

More Related Content

What's hot

Huawei Enterprise networking product icons
Huawei Enterprise networking product iconsHuawei Enterprise networking product icons
Huawei Enterprise networking product iconsAllan Javier Rosales
 
Acwa AEROHIVE CONFIGURATION GIUDE.
Acwa AEROHIVE CONFIGURATION GIUDE. Acwa AEROHIVE CONFIGURATION GIUDE.
Acwa AEROHIVE CONFIGURATION GIUDE. armaan7139
 
英語が話せるために必要な3つのこと
英語が話せるために必要な3つのこと英語が話せるために必要な3つのこと
英語が話せるために必要な3つのことHideo Horiba
 
Avaya site administrator
Avaya site administratorAvaya site administrator
Avaya site administratorPavan Kumar
 
802.1x Implementation Plan for Seacoast
802.1x Implementation Plan for Seacoast802.1x Implementation Plan for Seacoast
802.1x Implementation Plan for SeacoastSithideth Banavong
 
“Vision and AI DSPs for Ultra-High-End and Always-On Applications,” a Present...
“Vision and AI DSPs for Ultra-High-End and Always-On Applications,” a Present...“Vision and AI DSPs for Ultra-High-End and Always-On Applications,” a Present...
“Vision and AI DSPs for Ultra-High-End and Always-On Applications,” a Present...Edge AI and Vision Alliance
 
Flam bunk-bed-80x200-cm -f5__02_pub
Flam bunk-bed-80x200-cm -f5__02_pubFlam bunk-bed-80x200-cm -f5__02_pub
Flam bunk-bed-80x200-cm -f5__02_pubErhan Bal
 
Avaya Session Border Controller (SBC)
Avaya Session Border Controller (SBC)Avaya Session Border Controller (SBC)
Avaya Session Border Controller (SBC)Motty Ben Atia
 
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせphpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせHiroshi Tokumaru
 
本当にできるの?ミッションクリティカルシステムのクラウド移行ダイジェスト (Oracle Cloudウェビナーシリーズ: 2021年7月7日)
本当にできるの?ミッションクリティカルシステムのクラウド移行ダイジェスト (Oracle Cloudウェビナーシリーズ: 2021年7月7日)本当にできるの?ミッションクリティカルシステムのクラウド移行ダイジェスト (Oracle Cloudウェビナーシリーズ: 2021年7月7日)
本当にできるの?ミッションクリティカルシステムのクラウド移行ダイジェスト (Oracle Cloudウェビナーシリーズ: 2021年7月7日)オラクルエンジニア通信
 
WECON V-BOX Lua Configration
WECON V-BOX Lua ConfigrationWECON V-BOX Lua Configration
WECON V-BOX Lua ConfigrationLily Zheng
 

What's hot (13)

Anritsu lte guide
Anritsu lte guideAnritsu lte guide
Anritsu lte guide
 
OTV Configuration
OTV ConfigurationOTV Configuration
OTV Configuration
 
Huawei Enterprise networking product icons
Huawei Enterprise networking product iconsHuawei Enterprise networking product icons
Huawei Enterprise networking product icons
 
Acwa AEROHIVE CONFIGURATION GIUDE.
Acwa AEROHIVE CONFIGURATION GIUDE. Acwa AEROHIVE CONFIGURATION GIUDE.
Acwa AEROHIVE CONFIGURATION GIUDE.
 
英語が話せるために必要な3つのこと
英語が話せるために必要な3つのこと英語が話せるために必要な3つのこと
英語が話せるために必要な3つのこと
 
Avaya site administrator
Avaya site administratorAvaya site administrator
Avaya site administrator
 
802.1x Implementation Plan for Seacoast
802.1x Implementation Plan for Seacoast802.1x Implementation Plan for Seacoast
802.1x Implementation Plan for Seacoast
 
“Vision and AI DSPs for Ultra-High-End and Always-On Applications,” a Present...
“Vision and AI DSPs for Ultra-High-End and Always-On Applications,” a Present...“Vision and AI DSPs for Ultra-High-End and Always-On Applications,” a Present...
“Vision and AI DSPs for Ultra-High-End and Always-On Applications,” a Present...
 
Flam bunk-bed-80x200-cm -f5__02_pub
Flam bunk-bed-80x200-cm -f5__02_pubFlam bunk-bed-80x200-cm -f5__02_pub
Flam bunk-bed-80x200-cm -f5__02_pub
 
Avaya Session Border Controller (SBC)
Avaya Session Border Controller (SBC)Avaya Session Border Controller (SBC)
Avaya Session Border Controller (SBC)
 
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせphpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
 
本当にできるの?ミッションクリティカルシステムのクラウド移行ダイジェスト (Oracle Cloudウェビナーシリーズ: 2021年7月7日)
本当にできるの?ミッションクリティカルシステムのクラウド移行ダイジェスト (Oracle Cloudウェビナーシリーズ: 2021年7月7日)本当にできるの?ミッションクリティカルシステムのクラウド移行ダイジェスト (Oracle Cloudウェビナーシリーズ: 2021年7月7日)
本当にできるの?ミッションクリティカルシステムのクラウド移行ダイジェスト (Oracle Cloudウェビナーシリーズ: 2021年7月7日)
 
WECON V-BOX Lua Configration
WECON V-BOX Lua ConfigrationWECON V-BOX Lua Configration
WECON V-BOX Lua Configration
 

Similar to 物聯網設備資安導入與認證實務分享

如何因應連網商機下的資安風險
如何因應連網商機下的資安風險如何因應連網商機下的資安風險
如何因應連網商機下的資安風險Onward Security
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石Onward Security
 
AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢CHENHuiMei
 
Picoway Company Profile 1.5
Picoway Company Profile 1.5Picoway Company Profile 1.5
Picoway Company Profile 1.5picoway
 
Picoway Company Profile V1.5
Picoway Company Profile V1.5Picoway Company Profile V1.5
Picoway Company Profile V1.5picoway
 
A Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceA Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceYi-Feng Tzeng
 
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfSpirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfssuserdfa916
 
分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证ITband
 
Andorid程式開發(佛光) 2
Andorid程式開發(佛光) 2Andorid程式開發(佛光) 2
Andorid程式開發(佛光) 2terry28853669
 
Andorid程式開發(東南科大)
Andorid程式開發(東南科大)Andorid程式開發(東南科大)
Andorid程式開發(東南科大)terry28853669
 
Internet System Security Overview
Internet System Security OverviewInternet System Security Overview
Internet System Security OverviewChinaNetCloud
 
Gpm light professional綠色供應鏈管理系統介紹
Gpm light professional綠色供應鏈管理系統介紹Gpm light professional綠色供應鏈管理系統介紹
Gpm light professional綠色供應鏈管理系統介紹Manson Liou
 
GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹Manson Liou
 
GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹Manson Liou
 
云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会ITband
 
智慧故障設備預知診斷系統
智慧故障設備預知診斷系統智慧故障設備預知診斷系統
智慧故障設備預知診斷系統Amazon Web Services
 
國防科技專案管理(Iii)
國防科技專案管理(Iii)國防科技專案管理(Iii)
國防科技專案管理(Iii)Alex Yin
 
Compliance & IT
Compliance & ITCompliance & IT
Compliance & ITBilly Lee
 

Similar to 物聯網設備資安導入與認證實務分享 (20)

如何因應連網商機下的資安風險
如何因應連網商機下的資安風險如何因應連網商機下的資安風險
如何因應連網商機下的資安風險
 
Ipc/whma a-620 b 簡介
Ipc/whma a-620 b 簡介Ipc/whma a-620 b 簡介
Ipc/whma a-620 b 簡介
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石
 
AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢
 
Picoway Company Profile 1.5
Picoway Company Profile 1.5Picoway Company Profile 1.5
Picoway Company Profile 1.5
 
Picoway Company Profile V1.5
Picoway Company Profile V1.5Picoway Company Profile V1.5
Picoway Company Profile V1.5
 
A Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceA Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) Compliance
 
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfSpirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdf
 
分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证
 
Andorid程式開發(佛光) 2
Andorid程式開發(佛光) 2Andorid程式開發(佛光) 2
Andorid程式開發(佛光) 2
 
Andorid程式開發(東南科大)
Andorid程式開發(東南科大)Andorid程式開發(東南科大)
Andorid程式開發(東南科大)
 
Internet System Security Overview
Internet System Security OverviewInternet System Security Overview
Internet System Security Overview
 
Gpm light professional綠色供應鏈管理系統介紹
Gpm light professional綠色供應鏈管理系統介紹Gpm light professional綠色供應鏈管理系統介紹
Gpm light professional綠色供應鏈管理系統介紹
 
網路安全管理
網路安全管理網路安全管理
網路安全管理
 
GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹
 
GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹
 
云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会
 
智慧故障設備預知診斷系統
智慧故障設備預知診斷系統智慧故障設備預知診斷系統
智慧故障設備預知診斷系統
 
國防科技專案管理(Iii)
國防科技專案管理(Iii)國防科技專案管理(Iii)
國防科技專案管理(Iii)
 
Compliance & IT
Compliance & ITCompliance & IT
Compliance & IT
 

物聯網設備資安導入與認證實務分享

  • 1. Leading Brand in Cybersecurity Compliance Solutions www.onwardsecurity.com 物聯網設備資安導入 與認證實務分享 Onward Security
  • 2. 1© 2020 Onward Security Corp. All rights reserved. 注意事項01 常見問題02 以設備/場域為例03 結論與建議04 Q&A05 CONTENTS
  • 3. © 2020 Onward Security Corp. All rights reserved. 2 物聯網資安導入與認證注意事項 01.
  • 4. © 2020 Onward Security Corp. All rights reserved. 3 5個注意事項 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5
  • 5. © 2020 Onward Security Corp. All rights reserved. 4 N1.瞭解物聯網資安標準的分類 • 法規規範 • 美國:FIPS-140-3, … • 英國:CPA, … • 品牌要求 • Amazon、Apple、Google, … • AT&T, Nokia, Siemens, … • 產業需求 • 資通訊產品:ISO/IEC 15408, … • 物聯網設備:CTIA, … • 工控產業:IEC 62443, … 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 越來越多的 第三方非營 利組織釋出 標準或認證/ 標章計畫
  • 6. © 2020 Onward Security Corp. All rights reserved. 5 N2.什麼樣的標準適合你 • 客戶是否有指定? • 法規要求:政府 • 買家:企業、消費者 • 老闆:部門主管、高階主管 • 你的產品是賣到何處?賣給誰? • 國家、區域、產業 • 政府、品牌、標案 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 只要客戶 願意接受
  • 7. © 2020 Onward Security Corp. All rights reserved. 6 N3.需要投入或準備什麼 • 確認導入或要求的範圍? • 管理流程、設計開發流程、產品本身 • 確認主責單位? • 預估時程、經費 • 跨部門合作 • 是否需要顧問公司的協助? • 尋找被認可的組織/實驗室 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 專責專人與 外部資源的 結合
  • 8. © 2020 Onward Security Corp. All rights reserved. 7 N4.導入或認驗證配合事項 • 負責的人或窗口 • 跨部門溝通與運作的方式 • 導入與認證範圍相關資訊 • 部門、場域、系統、產品、設備 • 軟體技術團隊的參與 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 抓好並預留 多一點的 改善時程
  • 9. © 2020 Onward Security Corp. All rights reserved. 8 N5.取得標章/證書可以做什麼 • 符合客戶期待 • 品質提升的證明 • 業務、行銷推廣的重點 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 還有 什麼好處?
  • 10. © 2020 Onward Security Corp. All rights reserved. 9 物聯網資安導入與認證常見問題 02.
  • 11. © 2020 Onward Security Corp. All rights reserved. 10 5個常見問題 / 5個建議 Q1 Q2 Q3 S1 S2 S3 為什麼要導入?有什麼幫助? 管理會議取得共識、教育訓練 Q4 Q5 如何加速並提高成功機會? 高階代表、專責專人、合作機制 跨部門合作問題? 部門主管、自動化系統或產品協助 S4 S5 線上/線下課程、外部顧問、產品 選擇優良的合作廠商 缺少資安專業人力? 保證一定拿到證?
  • 12. © 2020 Onward Security Corp. All rights reserved. 11 以設備/場域為例 03.1.
  • 13. © 2020 Onward Security Corp. All rights reserved. 12 以設備為例 家用安全物 聯網設備 具備無線網 路功能 想進入美國 市場 客戶不知道 要做什麼 時間與預算 有限 要有認證或 標章
  • 14. © 2020 Onward Security Corp. All rights reserved. 13 Three Levels of Certification Level 1 Core Security Level 2 Enhanced Security Level 3 Advanced Security GPS Dog Collars Washing Machines GPS Trackers Smart Home Security Systems Mobile Payment Devices Connected Streetlights Traffic Controllers Blood Glucose Meters Gas Meters *Referee from CTIA Certification
  • 15. © 2020 Onward Security Corp. All rights reserved. 14 Submit Paperwork Least 3 Samples to CATL Eliminate Inconsistencies or Resend Samples Receive the Notification Device Been Certified Samples are Consistent with the Application No PASS Receive the Samples Receive and Test Pass / Fail Upload Test Report Document and Payment Checking Resubmit the Samples Fail All Completed Incomplete IoT OEM CTIA Submission Process
  • 16. © 2020 Onward Security Corp. All rights reserved. 15 以場域(開發流程)為例 03.2.
  • 17. © 2020 Onward Security Corp. All rights reserved. 16 以開發流程為例 自行開發的 工控產品 具備連網功 能 銷往歐美 具備一定出 貨量 時間與預算 有限 要有認證或 標章
  • 18. © 2020 Onward Security Corp. All rights reserved. 17 IEC 62443 系列標準 IEC 62443-1-1 術語/概念/模型 IEC 62443-1-2 術語和縮寫 詞彙表 IEC 62443-1-3 系統安全 合規性指標 IEC 62443-1-4 IACS 安全生命 週期及使用範例 IEC 62443-2-1 IACS 資產擁有 者安全計畫要求 IEC 62443-2-2 IACS 保護分級 IEC 62443-2-3 IACS環境 補丁/漏洞管理 IEC 62443-2-4 IACS 服務提應商 安全計畫要求 IEC 62443-2-5 IACS 資產擁有者 系統安全管理 實作指南 IEC 62443-3-1 IACS 安全技術 IEC 62443-3-2 安全風險評估 與系統設計 IEC 62443-3-3 系統安全要求 與分級 IEC 62443-4-1 安全產品開發生 命週期要求 IEC 62443-4-2 IACS 元件 技術安全要求
  • 19. © 2020 Onward Security Corp. All rights reserved. 18 Maturity Level Category ML 1 Initial ML 2 Managed ML 3 Defined (Practiced) ML 4 Improved 參與角色&成熟度等級 角色 分工 CIIP/ IIOT Owner 決定設備商所需成熟等級(ML) SI 決定開發商所需成熟等級(ML) Vendor 符合要求等級
  • 20. © 2020 Onward Security Corp. All rights reserved. 19 安全開發生命週期 Pre-SDL 訓練 Phase 1 要求 Phase 2 設計 Phase 3 實作 Phase 4 驗證 Phase 5 發布 Post-SDL 要求回應 安全策略的交付或訓練 Security Policy Delivery or Training 安全標準與行業要求 Security Standard & Industrial Requirement 風險與影響評估 Risk and Impact Analysis 安全實作 Security Implementation 安全測試與分析 Security Testing and Analysis 安全維護 Security Maintenance 安全事件回應 Incident Response Source: http://hwang.cisdept.cpp.edu/swanew/SDLC.aspx?m=SDLC-Microsoft-SDL Security Management (SM)
  • 21. © 2020 Onward Security Corp. All rights reserved. 20 IEC 62443 Certification Process Manufacturer Consulting Company CBTL/NCB Determine the scope and certification level Perform consulting and testing service Submit the application Perform assessment of certification Certification acquired
  • 22. © 2020 Onward Security Corp. All rights reserved. 21 結論與建議 04.
  • 23. © 2020 Onward Security Corp. All rights reserved. 22 結論與建議 物聯網設備為什麼要做資安導入與認證? 滿足客戶要求 Sales 強化產品 競爭力 Sales/PM/RD 塑造公司形象 Marketing 提高公司收益 把資安成本轉化 為資安效益
  • 24. © 2020 Onward Security Corp. All rights reserved. 23 如果你還對資安導入與認證還有疑慮
  • 25. © 2020 Onward Security Corp. All rights reserved. 24 如果你還對資安導入與認證還有疑慮
  • 26. © 2020 Onward Security Corp. All rights reserved. 25 Q&A 05
  • 27. Leading Brand in Cybersecurity Compliance Solutions THANK Y U

Editor's Notes

  1. 外框 藍 STD但沒證照 外框 橙 TR 外框 紅 STD且有證照 字 黑 已發行或可以買到 字 綠 正在開發或改版中 1. 一般(General):  所有與標準理念及其基礎概念、條款和方法有關的所有資料文件 2. 政策與步驟(Policies& Procedures): 概述了工業自動化和控制系統訊息技術安全管理體系及必要要求 3. 系統(System): 提出了技術規範,作為工業自動化和控制系統(IACS)的設計指導,其中 IACS 是一種由數據採集與監控系統(SCADA)應用、程序邏輯控制系統(PLCs)、現場總線、致動器和傳感器等不同元件組成的一種訊息技術系統。 4. 元件(Component): 控制系統元件的設計與開發要求。  
  2. Security Management(安全管理) Specification of Security Requirements(安全要求規範) Secure by Design(安全設計) Security Implementation(安全實作) Security Verification and Validation testing(安全確認與驗證測試) Management of Security-related issues(安全相關議題管理) -DM Security Update Management (安全更新管理) –SUM Security Guidelines (安全指南)