[導讀]:
DLC NLC網(wǎng)絡(luò )照明控制系統安全標準近三年的更新如下表: 2022 年12月21日更新-CSA/ANSI T200�����,通過(guò)研究�����,DLC 確定了滿(mǎn)足NLC5技術(shù)要求中網(wǎng)絡(luò )安全標準的若干網(wǎng)絡(luò )安全標準���。為了幫助制造商和其他用戶(hù)為其網(wǎng)絡(luò )照明控制系統找到合適的標準�����,該資源提供了有關(guān)每個(gè)標準的附加信息...
DLC NLC網(wǎng)絡(luò )照明控制系統安全標準近三年的更新如下表:
2022 年12月21日更新-CSA/ANSI T200���,通過(guò)研究�����,DLC 確定了滿(mǎn)足NLC5技術(shù)要求中網(wǎng)絡(luò )安全標準的若干網(wǎng)絡(luò )安全標準�。為了幫助制造商和其他用戶(hù)為其網(wǎng)絡(luò )照明控制系統找到合適的標準����,該資源提供了有關(guān)每個(gè)標準的附加信息并總結了它們的應用�����。
本表描述了DLC NLC5技術(shù)要求表CS-1中列出的網(wǎng)絡(luò )安全標準認證的主要應用程序和時(shí)間表���。
ANSI/UL 2900-1
ANSI/UL 2900系列標準是作為UL網(wǎng)絡(luò )安全保證計劃(UL CAP)的一部分制定的��,該計劃為制造商提供了可測試和可測量的標準��,以評估產(chǎn)品弱點(diǎn)�、漏洞和安全風(fēng)險控制���。ANSI/UL 2900-1適用于應評估和測試漏洞����、軟件弱點(diǎn)和惡意軟件的網(wǎng)絡(luò )可連接產(chǎn)品��。本標準描述了:
? 軟件開(kāi)發(fā)人員(供應商或其他供應鏈成員)的要求及其產(chǎn)品的風(fēng)險管理流程���。
? 評估和測試產(chǎn)品是否存在漏洞���、軟件弱點(diǎn)和惡意軟件的方法����。
產(chǎn)品架構和設計中存在安全風(fēng)險控制的要求�。ANSI/UL 2900-1適用于一般網(wǎng)絡(luò )可連接產(chǎn)品���,包括網(wǎng)絡(luò )照明控制����。UL 2900-2系列具有醫療保健����、工業(yè)控制�����、建筑和生命安全的特定標準�。
CSA/ANSI T200
CSA/ANSI T200是CSA集團發(fā)布的一項雙國家(加拿大和美國)網(wǎng)絡(luò )安全標準���。本標準描述了評估組織產(chǎn)品軟件和網(wǎng)絡(luò )安全控制成熟度的方法�����。本標準為評估人員和供應商提供了一種方法�,以確定組織和正在開(kāi)發(fā)的產(chǎn)品/解決方案的控制成熟度�,而不考慮解決方案的縱向���。它涵蓋了整個(gè)產(chǎn)品系統的生命周期�,從構思到全面調試�����,直至生命周期結束�����。本標準適用于所有物聯(lián)網(wǎng)和相關(guān)產(chǎn)品/解決方案����。評估每個(gè)網(wǎng)絡(luò )安全活動(dòng)的成熟度水平�,以便組織能夠根據最佳實(shí)踐確定其安全成熟度�。CVP的成熟度級別從0級到3級�����,其中0級意味著(zhù)沒(méi)有證據表明保護組織或其產(chǎn)品所需的基本控制措施���,而3級則確認了一個(gè)完善的安全實(shí)施過(guò)程�,并提供了持續的支持和安全增強����。
IEC 62443標準
IEC 62443系列標準最初是為自動(dòng)化和控制系統開(kāi)發(fā)的��。今天�����,IEC 62443標準被分析用作
技術(shù)水平標準���,正式適用于多個(gè)行業(yè)部門(mén)��。該系列中的每一份文件都涵蓋了網(wǎng)絡(luò )安全的一個(gè)方面�����,并獨立更新����。各種文件涵蓋組件技術(shù)要求��、系統技術(shù)要求��、產(chǎn)品供應商開(kāi)發(fā)生命周期實(shí)踐��、集成商實(shí)踐以及最終用戶(hù)管理和現場(chǎng)網(wǎng)絡(luò )安全計劃的運行��。
? 第4-1部分:產(chǎn)品安全開(kāi)發(fā)生命周期需求描述了產(chǎn)品開(kāi)發(fā)人員安全開(kāi)發(fā)生命期的需求���。主要受眾包括控制系統和部件產(chǎn)品的供應商����。
? 第4-2部分:IACS(工業(yè)自動(dòng)化和控制系統)組件的技術(shù)安全要求描述了基于安全級別的IACS組件的要求�����。組件包括嵌入式設備���、主機設備�、網(wǎng)絡(luò )設備和軟件應用程序���。主要受眾包括控制系統中使用的組件產(chǎn)品的供應商��。
? 第3-3部分:系統安全要求和安全級別描述了基于安全級別的IACS系統的要求�。主要受眾包括控制系統供應商����、系統集成商和資產(chǎn)所有者�����。
IEC 62443標準的認證由國際自動(dòng)化協(xié)會(huì )(ISA)提供�����,該協(xié)會(huì )是62443系列標準的作者�,其品牌為ISASecure?����。ISASecure認證通過(guò)ISO 17011認證機構根據ISASecure CB要求認證的ISO 17065認證機構的全球網(wǎng)絡(luò )提供�����。
SOC 2(服務(wù)組織控制2)
SOC 2報告旨在滿(mǎn)足廣泛用戶(hù)的需求��,并針對每個(gè)服務(wù)組織的需求(不同的原則�、控制和控制測試)進(jìn)行定制���。這些報告可以在監督組織�、供應商管理計劃�、內部公司治理和風(fēng)險管理流程以及監管監督方面發(fā)揮重要作用��。SOC 2報告由注冊會(huì )計師管理��,并提供服務(wù)機構系統的描述�。本報告包含以下方面的詳細信息:
? 服務(wù)機構系統的描述是按照描述標準進(jìn)行的�,以及
? 描述中所述的控制措施經(jīng)過(guò)適當設計并有效運行�����,以合理保證服務(wù)組織的服務(wù)承諾和系統要求基于適用的信托服務(wù)標準得以實(shí)現(用于處理用戶(hù)數據的系統的安全性���、可用性和處理完整性以及這些系統處理的信息的保密性和隱私性)��。
ISO/IEC 27001標準
本國際標準規定了建立����、實(shí)施���、維護和持續改進(jìn)信息安全管理系統(ISMS)的要求�����。它包括根據組織需要評估和處理信息安全風(fēng)險的要求�����。
ISO/IEC 27001認證通常涉及ISO/IEC 17021和ISO/IEC 27006標準定義的三階段外部審核過(guò)程:
? 第1階段是對ISMS的初步�����、非正式審查���;例如���,檢查關(guān)鍵文檔的存在性和完整性��,如組織的信息安全政策����、適用性聲明(SoA)和風(fēng)險處理計劃(RTP)�����。該階段用于使審計員熟悉組織�,反之亦然��。
? 第2階段是更詳細和正式的合規性審計��,根據ISO/IEC 27001中規定的要求獨立測試ISMS����。審計員將尋求證據�,以確認管理系統已正確設計和實(shí)施���,目前正在運行�。認證審核通常由ISO/IEC 27001首席審核員進(jìn)行����。通過(guò)此階段�����,ISMS將獲得符合ISO/IEC 27001的認證��。
? 持續進(jìn)行包括后續審查或審計���,以確認組織仍然符合標準���。認證維護需要定期重新評估審計��,以確認ISMS繼續按照規定和預期運行�。這些審計應至少每年進(jìn)行一次��,但通常更頻繁地進(jìn)行(與管理層達成協(xié)議)���,特別是在ISMS仍在成熟的時(shí)候���。
ISO/IEC 27017標準
本國際標準提供了支持云服務(wù)客戶(hù)和云服務(wù)提供商實(shí)施信息安全控制的指南���。一些指南適用于實(shí)施控制的云服務(wù)客戶(hù)�����,以及其他的是云服務(wù)提供商來(lái)支持這些控件的實(shí)現����。適當的信息安全控制措施的選擇和提供的實(shí)施指南的應用將取決于風(fēng)險評估和任何法律�、合同���、監管或其他云部門(mén)特定的信息安全要求��。
本標準提供了適用于云服務(wù)提供和使用的信息安全控制指南�����,包括:
? ISO/IEC 27002中規定的相關(guān)控制的附加實(shí)施指南�,以及
? 具有與云服務(wù)具體相關(guān)的實(shí)施指南的附加控制�。
FedRAMP(聯(lián)邦風(fēng)險和授權管理計劃)FedRAMP計劃為美國政府使用的云產(chǎn)品和服務(wù)提供了安全評估�����、授權和持續監控的標準化方法��。FedRAMP對于低���、中�����、高風(fēng)險影響級別的聯(lián)邦機構云部署和服務(wù)模型是強制性的�����。FedRAMP安全控制基于NIST SP 800-53修訂版4基線(xiàn)����,包含高于NIST基線(xiàn)的控制�����,以解決云計算的獨特元素��。FedRAMP的目的是:
? 確保政府實(shí)體使用的云系統有足夠的保障措施����,
? 消除重復工作并降低風(fēng)險管理成本�,以及
? 使政府能夠快速和具有成本效益地采購信息系統/服務(wù)����。
CSA STAR? (云安全聯(lián)盟安全信任����、保證和風(fēng)險)CSA STAR以透明�、嚴格審計和標準統一的原則解決云安全保證問(wèn)題����。CSA云控制矩陣(CCM)工具提供了云特定安全控制的元框架�����;映射到針對云計算的信息安全的領(lǐng)先標準����、最佳實(shí)踐和法規����。
STAR使云服務(wù)解決方案提供商能夠驗證其云安全性��,并向當前和未來(lái)客戶(hù)提供適當控制的證據���。STAR使云客戶(hù)能夠評估哪些組織滿(mǎn)足其所需的保證級別���,并深入了解保護其數據的控制措施����。
ioXt公司
ioXt聯(lián)盟的使命是通過(guò)多利益相關(guān)者�����、國際���、統一和標準化的安全和隱私要求���、產(chǎn)品合規計劃以及這些要求和計劃的公共透明度����,建立對物聯(lián)網(wǎng)(IoT)產(chǎn)品的信心�����。聯(lián)盟成員為消費電子���、移動(dòng)��、汽車(chē)和商業(yè)建筑控制等市場(chǎng)提供產(chǎn)品和服務(wù)�����。多個(gè)實(shí)驗室提供測試�����。
該計劃基于八項原則���,可追溯到美國和歐盟法規�����。這些原則被進(jìn)一步細分為每個(gè)原則的多個(gè)層次�����,60多個(gè)測試用例涵蓋了安全性��、可升級性和透明度等主題����。正在開(kāi)發(fā)設備配置文件��,以滿(mǎn)足特定設備和市場(chǎng)的獨特安全要求����。流程��、組件和系統已涵蓋���,未來(lái)的擴展將涵蓋云服務(wù)�����。
ioXt基本配置文件自2020年年中開(kāi)始提供��。為商業(yè)建筑中的網(wǎng)絡(luò )照明控制網(wǎng)關(guān)設備量身定制的配置文件正在開(kāi)發(fā)中��,除了基本配置文件之外����,還有其他要求��,預計將于21年年中發(fā)布����。
PSA認證
PSA認證為保護連接設備提供了一個(gè)框架����,從分析到安全評估和認證���。該框架提供標準化資源�,幫助解決物聯(lián)網(wǎng)需求日益分散的問(wèn)題��,并確保安全不再是產(chǎn)品開(kāi)發(fā)的障礙�����。
服務(wù)熱線(xiàn):18566797115
官方微信
網(wǎng)站地圖
