什麼是 IEC 62443?

(更新2020/11/16) 5G、工業4.0、物聯網IoT的興起，吹起了一股全球製造業的轉型風；安全轉型扮演著至關重要的關鍵。從資訊安全(Security)、資通訊安全，到最新網通安全(Cybersecurity)。安全轉型如何合規？讓我們來看IEC 62443這個標準。

IEC 62443標準解讀 / IEC 62443系列標準-介紹
- 5G與物聯網(IoT)時代的資安革命
- IEC 62443 是什麼?
- IEC 62443 成熟等級
- IEC 62443 安全等級
- IEC 62443 認證機制 - IECEE體系
- 功能安全(Safety)與網絡安全(Cybersecurity)的關係
- IEC 62443 Part5的基本概念

提到安全轉型，首先第一個想到的便是ISO 27001所定義的資訊安全管理系統框架，然而這份標準框架是根據資訊科技(IT)所制定的，並不全然適用於營運科技(OT)的環境，尤其缺少製造業不同角色的觀點、相關實作及應用方針。

IEC 62443早先由國際自動化學會(International Society for Automation, 簡稱ISA)所創立的，後經審核再透過美國國家標準協會（American National Standards Institute, 簡稱ANSI）文件的型式發布。因此，讀者在網路查詢時，會看到ANSI/ISA-99或ISA99等名稱。62443標準後來被IEC採納後，該標準同時通過ISA99和IEC(TC65WG10)等委員審核修訂，所以在ISA發行的版本稱為ISA-62443-x-y，IEC發行的版本為IEC 62443-x-y。

額外說明：
修訂62443讀IEC委員會中的許多成員也是ISA S99委員會的成員。

IEC 62443 現為國際廣泛採納和認可的工業自動化及控制系統(Industrial Automation and Control System, 簡稱IACS)的網通安全(CyberSecurity)標準，通過IEC驗證後所持認證，可達多邊認可效用。現今各國、各行業制定安全相關標準亦會參考本標準的內容。

額外說明
IEC 62443目前所涉及應用的產業，除了一般所認知的工控產業，亦可能包含能源產業(電力、油、瓦斯、水)、運輸產業(空運、鐵道)、健康產業、數位基礎設施。

IEC 62443標準現況

IEC 62443系列標準，共可分成四個部分，分別是：

• Part-1: 一般(General)
• Part-2: 政策與程序(Policy and Procedure)
• Part-3: 系統(System)
• Part-4: 組件(Component)

IEC 62443標準分成四大部，分別為Part-1, Part-2, Part-3及Part-4

工控產業的運作環境，一般分成三個級別的安全層級，分別為組件、系統、解決方案，以下分別描述：

• (1) 組件(Component)：一般又可以區分成四個不同的組件類型，分別是軟體應用、網通設備、控制設備、嵌入式設備。組件開發與安全標準，請參考IEC 62443–4系列。

額外說明
近期，許多台灣的ICT業者所開發的網通設備、IOT設備要切入國外的市場時，已經開始被要求要提供設備安全等級(Security Level)。
西門子、施耐德電機、奇異公司、漢威聯合等公司，亦各自在官網宣告其通過IEC 62443並逐步要求其供應商通過安全標準的要求。

• (2) 系統(System)：一個工控系統由多個組件所組合而成，系統的安全考量應考慮與其他組件或系統建立連線時的安全需求。系統的安全標準，請參考IEC 62443–3系列。
• (3) 解決方案(Solution)：一個解決方案，指的是一個已開發完成的安全系統在工控環境中進行部建後的成果，由於工控環境由多種不同系統所建構而成，因此在安裝配置新系統時，除了系統本身的安全防護外，亦需要考量與整體工控環境的設定、配置、維護與更新，以達成所需要的安全等級。解決方案的配置與維護標準，請參考IEC 62443–2系列。

目前IEC 62443系列標準仍處於發展中，因此未來幾年將會陸續發布標準的細節，IEC 62443標準的狀態，請參考下圖，其中標色為藍色為已發布之系列標準，標以紅色框框者為可驗證及發證的標準。

IEC 62443系列標準狀態 及 可驗證與發證標準

額外說明 - IEC 62443標準驗證
關於IEC 62443標準的驗證與發證，現存兩個單位，分別是ISA及IEC。IEC採用IECEE體系進行驗證與發證，相關資訊請參考我的另外一篇文章：IEC 62443 認證機制 - IECEE體系

IEC 62443角色與概念

IEC 62443標準中，定義了四種角色，分別是：

• 資產擁有者(Asset Owner)：一般泛指工(控)廠擁有者。
• 服務提供商(Service Provider)：一般泛指提供系統/設備維護、更新的服務提供商。
• 系統整合商(System Integrator)：一般泛指提供系統/設備安裝、設定的服務提供商。
• 產品供應商(Product Supplier)：一般泛指開發系統/組件的製造商。

關於各角色在工控產業與標準中的應對關係，請參考下圖。其中，綠色框為工控環境的現場端、橘色框為開發端(離線)；由下而上，依序說明如下：

• 產品供應商(Product Supplier)在開發端(非現場)依據標準開發程序(IEC 62443–4–1)，並各別依據系統(IEC 62443–3–3)與組件(IEC 62443–4–2)的安全等級需求開發系統、子系統與組件。
• 系統整合商(System Integrator)根據工控環境現場進行評估與設計，透過標準安裝與設定程序(IEC 62443–2–4)，將產品供應商所開發的系統、子系統、組件，進行安裝與設定，並確認其安裝與設定的解決方案滿足資產擁有者所定義的安全等級需求(IEC 62443–3–3)。
• 服務提供商(Service Provider)根據維護與更新程序(IEC 62443–2–4)，提供工控現場中各系統的維護與更新服務。
• 資產擁有者(Asset Owner)根據安全計畫要求(IEC 62443–2–1)，運作工控環境中的各系統；當需要導入其他工控系統時，透過安全風險評估與系統設計(IEC 62443–3–2)定義安全等級，並要求服務提供商、系統整合商。

IEC 62443角色於工控環境與標準的對應關係

額外說明 - 標準的區分
從上述角色於工控環境與標準的對應關係中，讀者應該會發現，標準分成兩種：
1) 安全性標準: 針對解決方案、系統、組件定義安全等級及相關需求。(包含IEC 62443-3-3及IEC 62443-4-2)
2) 程序標準：針對開發流程、安裝、設定、維護、更新定義所需要的程序。(包含IEC 62443-2-1, IEC 62443-2-4及IEC 62443-4-1)
這兩種標準，在實務上分別針對產品與企業本身進行規範，在產品上存在安全等級及相關需求，在企業則存在成熟等級及相關需求，筆者會在後續的文章中，分別介紹成熟等級與安全等級。

感謝閱讀本文章！

如果你對文章內容有任何問題，請隨時與我聯絡。
if you found any question in the article, please feel free to contact me.

email: linchewing@gmail.com
LinkedIn: https://www.linkedin.com/in/linchew/