IEC 62443 成熟等級

(2020/8/6更新)工控網通安全(Cybersecurity)標準IEC 62443定義了兩種等級的概念，其一是產品的安全性等級，另一個是流程的成熟度等級，本篇文章將介紹成熟度等級的概念。

IEC 62443標準解讀 / IEC 62443系列標準-介紹
- 5G與物聯網(IoT)時代的資安革命
- IEC 62443 是什麼?
- IEC 62443 成熟等級
- IEC 62443 安全等級
- IEC 62443 認證機制 - IECEE體系
- 功能安全(Safety)與網絡安全(Cybersecurity)的關係
- IEC 62443 Part5的基本概念

前言

關於IEC 62443的介紹，請參考什麼是62443？在現行發行且可以被驗證的標準，粗略分成兩種：

1. 安全標準：基本上是定義了產品的安全等級，這邊所提到的產品是IACS(Industrial Automation and Control System)中的系統、子系統及相關組件，組件又可以細分成軟體、嵌入式設備、網通設備、控制設備。
2. 流程標準：又可以稱之為程序標準，這邊的流程及程序基本上區分成維護、更新、安裝、部署、設定等服務程序，以及產品開發流程程序。

下圖為目前IEC 62443可以驗證的系列標準(紅色圈選處)，其中2-4、4-1為流程標準，而3-3、4-2為安全標準。

IEC 62443標準:可驗證與發證標準(紅色圈選處)

成熟等級

成熟等級(Maturity Level)適用於流程標準，也就是對應到IEC 62443-2-4及IEC62443-4-1，這兩個標準內容大致如下：

• IEC 62443–2–4: 服務提供商應該提供哪些服務
• IEC 62443–4–1:產品供應商的開發流程要求

針對服務與開發流程沒有對與錯，只有成熟程度，因此IEC 62443仿造CMMI的成熟等級的概念定義了四個等級，請參考下圖：

IEC 62443-2-4及IEC 62443-4-1的成熟等級定義

針對不同的等級，解釋如下：

• 等級1: 在這個等級之下，標準中所描述的要求，只有零星的被執行，提供的服務或開發流程基本上沒有與標準的要求對照，過程中通常也沒有任何程序、文件或表單。

額外說明 -- 誰適用於等級1?
在IEC 62443標準出來之前，所有的公司都是按造客戶要求或業界的行規提供服務，或進行產品的開發，而這就符合了等級1的定義。
因此可以簡單的說 -- 任何公司都符合IEC 62443的成熟等級1。

• 等級2: 這個等級與等級1的最大差異是，相關服務或開發程序已經根據IEC 62443的要求制定完畢，並且提供服務或參與開發的人員經過訓練且了解程序的內容，未來也能夠根據程序提供服務或執行開發。

額外說明 -- 怎麼樣算是符合等級2
如同上述，相關的程序定義完畢，且未來要提供服務或執行產品開發的人員已經經過訓練，那麼就可以說是符合等級2的要求。
特別一提，程序定義完畢，但是未曾根據程序提供服務或專案，仍然符合等級2的要求。換言之，公司定義的程序可以先進行：
* IEC 62443-2-4 情境1的流程認證
* IEC 62443-4-1 情境1的流程認證
先通過流程認證，以提前確保未來執行專案時能夠按造對的程序提供服務或開發產品。
關於認證的細節，請參考IEC 62443 認證機制 - IECEE體系

• 等級3: 這個等級必須根據已定義的程序，實際提供服務或進行產品開發，過程中必須要留下相對應的證據。值得一提的是，在IEC 62443-4-1的要求中，特別說明了證據之間的追溯性。

額外說明 -- 等級3的驗證細膩度
IEC 62443-2-4及IEC 62443-4-1兩個標準的執行證據，評鑑的重點不大相同。
針對IEC 62443-2-4，由於服務的範圍有較大空間，公司可以先行定義其提供的服務，再針對這些服務的要求，提供相對應的證據即可。在評鑑時，由於範圍變動較大，因此服務之間並沒有很嚴格的追溯性；換言之，只要留下服務的證據，評鑑通過也較容易。
針對IEC 62443-4-1，由於產品開發過程範圍與流程較固定，因此範圍通常不太可調整，而且流程之間存在文件之間的前後關係，開發過程中所產出的證據特別要注意之間的追溯關係，這點將會是評鑑的重點。(例如: 需求規格書與架構設計規格書，存在一些關聯)

• 等級4: 一個良好的程序，是需要經過時間的考驗，因此當提供服務或進行產品開發後，必須驗證程序的成果與成效，確認程序是否能達成公司的目標與標準的要求。定期內部的稽核及管理審查，可以作為等級4的重要證據；根據內稽與管審的意見，進行程序的調整也是重要的流程改善的證據。

應當做到哪個成熟等級？

基於前述的定義，任何公司一開始就都是「等級1」，因此如果要進行IEC 62443-4-1或IEC 62443-2-4的認證，建議可以直接把目標鎖定在「等級2」

如何才能達成等級2？

建議參考以下步驟：

(1) 確認是否已經有ISO 27001或ISO 9001的認證。

一般的管理系統可以作為組織層級的管制基礎，因此如果已經存在管理系統，那麼將可以有效加速流程文件的建置。

(2) 確認是否已經有CMMI、ASPICE、ISO 26262或IEC 61508的認證

針對IEC 62443-4-1，那麼有上述幾種的認證，表示公司內部已經存在產品開發流程的基礎概念，這將會有助於62443的導入。

IEC 62443-2-4是針對服務的成熟度，因此與上述的幾個標準相對沒有關係。

(3) 安排IEC 62443的教育訓練

教育訓練的內容應涵蓋IEC 62443標準的基礎認知，以及欲導入的標準範圍。例如：如果目標鎖定在IEC 62443-4-1，則可以考慮將下面的課程內容納入教育訓練的範圍：

• IEC 62443 概述 (基礎知識)
• IECEE認證規範 (認證知識)
• IEC 62443-4–1 標準介紹及產品生命週期開發
• IEC 62443-4-2 組件安全要求介紹 或 IEC 62443-3-3 系統安全要求介紹
• 風險評估與威脅建模(Threat modeling)

(4) 針對欲導入之標準建立程序文件

針對IEC 62443–4–1建立相關的程序或指導綱要

(5)自我查檢

透過IEC官方所提供的查檢表，針對已制定的程序或指導綱要進行查檢，確認所有的標準要求都已經被涵蓋。

參考資訊
IEC 62443-2-4 Chapter 4.2
IEC 62443-4-1 Chapter 4.2

感謝閱讀本文章！

如果你對文章內容有任何問題，請隨時與我聯絡。
if you found any question in the article, please feel free to contact me.

email: linchewing@gmail.com