SlideShare une entreprise Scribd logo

物聯網設備資安導入與認證實務分享

O
Onward Security

物聯網設備資安導入與認證實務分享

Présentations et discours publics
1  sur  27
Leading Brand in Cybersecurity Compliance Solutions www.onwardsecurity.com 物聯網設備資安導入 與認證實務分享 Onward Security
1© 2020 Onward Security Corp. All rights reserved. 注意事項01 常見問題02 以設備/場域為例03 結論與建議04 Q&A05 CONTENTS
© 2020 Onward Security Corp. All rights reserved. 2 物聯網資安導入與認證注意事項 01.
© 2020 Onward Security Corp. All rights reserved. 3 5個注意事項 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5
© 2020 Onward Security Corp. All rights reserved. 4 N1.瞭解物聯網資安標準的分類 • 法規規範 • 美國:FIPS-140-3, … • 英國:CPA, … • 品牌要求 • Amazon、Apple、Google, … • AT&T, Nokia, Siemens, … • 產業需求 • 資通訊產品:ISO/IEC 15408, … • 物聯網設備:CTIA, … • 工控產業:IEC 62443, … 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 越來越多的 第三方非營 利組織釋出 標準或認證/ 標章計畫
© 2020 Onward Security Corp. All rights reserved. 5 N2.什麼樣的標準適合你 • 客戶是否有指定? • 法規要求:政府 • 買家:企業、消費者 • 老闆:部門主管、高階主管 • 你的產品是賣到何處?賣給誰? • 國家、區域、產業 • 政府、品牌、標案 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 只要客戶 願意接受
© 2020 Onward Security Corp. All rights reserved. 6 N3.需要投入或準備什麼 • 確認導入或要求的範圍? • 管理流程、設計開發流程、產品本身 • 確認主責單位? • 預估時程、經費 • 跨部門合作 • 是否需要顧問公司的協助? • 尋找被認可的組織/實驗室 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 專責專人與 外部資源的 結合
© 2020 Onward Security Corp. All rights reserved. 7 N4.導入或認驗證配合事項 • 負責的人或窗口 • 跨部門溝通與運作的方式 • 導入與認證範圍相關資訊 • 部門、場域、系統、產品、設備 • 軟體技術團隊的參與 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 抓好並預留 多一點的 改善時程
© 2020 Onward Security Corp. All rights reserved. 8 N5.取得標章/證書可以做什麼 • 符合客戶期待 • 品質提升的證明 • 業務、行銷推廣的重點 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 還有 什麼好處?
© 2020 Onward Security Corp. All rights reserved. 9 物聯網資安導入與認證常見問題 02.
© 2020 Onward Security Corp. All rights reserved. 10 5個常見問題 / 5個建議 Q1 Q2 Q3 S1 S2 S3 為什麼要導入?有什麼幫助? 管理會議取得共識、教育訓練 Q4 Q5 如何加速並提高成功機會? 高階代表、專責專人、合作機制 跨部門合作問題? 部門主管、自動化系統或產品協助 S4 S5 線上/線下課程、外部顧問、產品 選擇優良的合作廠商 缺少資安專業人力? 保證一定拿到證?
© 2020 Onward Security Corp. All rights reserved. 11 以設備/場域為例 03.1.
© 2020 Onward Security Corp. All rights reserved. 12 以設備為例 家用安全物 聯網設備 具備無線網 路功能 想進入美國 市場 客戶不知道 要做什麼 時間與預算 有限 要有認證或 標章
© 2020 Onward Security Corp. All rights reserved. 13 Three Levels of Certification Level 1 Core Security Level 2 Enhanced Security Level 3 Advanced Security GPS Dog Collars Washing Machines GPS Trackers Smart Home Security Systems Mobile Payment Devices Connected Streetlights Traffic Controllers Blood Glucose Meters Gas Meters *Referee from CTIA Certification
© 2020 Onward Security Corp. All rights reserved. 14 Submit Paperwork Least 3 Samples to CATL Eliminate Inconsistencies or Resend Samples Receive the Notification Device Been Certified Samples are Consistent with the Application No PASS Receive the Samples Receive and Test Pass / Fail Upload Test Report Document and Payment Checking Resubmit the Samples Fail All Completed Incomplete IoT OEM CTIA Submission Process
© 2020 Onward Security Corp. All rights reserved. 15 以場域(開發流程)為例 03.2.
© 2020 Onward Security Corp. All rights reserved. 16 以開發流程為例 自行開發的 工控產品 具備連網功 能 銷往歐美 具備一定出 貨量 時間與預算 有限 要有認證或 標章
© 2020 Onward Security Corp. All rights reserved. 17 IEC 62443 系列標準 IEC 62443-1-1 術語/概念/模型 IEC 62443-1-2 術語和縮寫 詞彙表 IEC 62443-1-3 系統安全 合規性指標 IEC 62443-1-4 IACS 安全生命 週期及使用範例 IEC 62443-2-1 IACS 資產擁有 者安全計畫要求 IEC 62443-2-2 IACS 保護分級 IEC 62443-2-3 IACS環境 補丁/漏洞管理 IEC 62443-2-4 IACS 服務提應商 安全計畫要求 IEC 62443-2-5 IACS 資產擁有者 系統安全管理 實作指南 IEC 62443-3-1 IACS 安全技術 IEC 62443-3-2 安全風險評估 與系統設計 IEC 62443-3-3 系統安全要求 與分級 IEC 62443-4-1 安全產品開發生 命週期要求 IEC 62443-4-2 IACS 元件 技術安全要求
© 2020 Onward Security Corp. All rights reserved. 18 Maturity Level Category ML 1 Initial ML 2 Managed ML 3 Defined (Practiced) ML 4 Improved 參與角色&成熟度等級 角色 分工 CIIP/ IIOT Owner 決定設備商所需成熟等級(ML) SI 決定開發商所需成熟等級(ML) Vendor 符合要求等級
© 2020 Onward Security Corp. All rights reserved. 19 安全開發生命週期 Pre-SDL 訓練 Phase 1 要求 Phase 2 設計 Phase 3 實作 Phase 4 驗證 Phase 5 發布 Post-SDL 要求回應 安全策略的交付或訓練 Security Policy Delivery or Training 安全標準與行業要求 Security Standard & Industrial Requirement 風險與影響評估 Risk and Impact Analysis 安全實作 Security Implementation 安全測試與分析 Security Testing and Analysis 安全維護 Security Maintenance 安全事件回應 Incident Response Source: http://hwang.cisdept.cpp.edu/swanew/SDLC.aspx?m=SDLC-Microsoft-SDL Security Management (SM)
© 2020 Onward Security Corp. All rights reserved. 20 IEC 62443 Certification Process Manufacturer Consulting Company CBTL/NCB Determine the scope and certification level Perform consulting and testing service Submit the application Perform assessment of certification Certification acquired
© 2020 Onward Security Corp. All rights reserved. 21 結論與建議 04.
© 2020 Onward Security Corp. All rights reserved. 22 結論與建議 物聯網設備為什麼要做資安導入與認證? 滿足客戶要求 Sales 強化產品 競爭力 Sales/PM/RD 塑造公司形象 Marketing 提高公司收益 把資安成本轉化 為資安效益
© 2020 Onward Security Corp. All rights reserved. 23 如果你還對資安導入與認證還有疑慮
© 2020 Onward Security Corp. All rights reserved. 24 如果你還對資安導入與認證還有疑慮
© 2020 Onward Security Corp. All rights reserved. 25 Q&A 05
Leading Brand in Cybersecurity Compliance Solutions THANK Y U

Recommandé

Autonomous ship
Autonomous shipAutonomous ship
Autonomous ship
jamaju56
 
Vetting of ships
Vetting of shipsVetting of ships
Vetting of ships
Capt Ashok Menon
 
SKKmigas
SKKmigasSKKmigas
SKKmigas
Mark Peterson
 
"The Great Train Cyber Robbery" SCADAStrangeLove
"The Great Train Cyber Robbery" SCADAStrangeLove"The Great Train Cyber Robbery" SCADAStrangeLove
"The Great Train Cyber Robbery" SCADAStrangeLove
Aleksandr Timorin
 
Electronic charts lrg
Electronic charts lrgElectronic charts lrg
Electronic charts lrg
Lance Grindley
 
EMVT 12 september - Imtech Marine Company Presentation
EMVT 12 september - Imtech Marine Company PresentationEMVT 12 september - Imtech Marine Company Presentation
EMVT 12 september - Imtech Marine Company Presentation
Dutch Power
 
Autonomous ship
Autonomous shipAutonomous ship
Autonomous ship
jamaju56
 
Bachelor of Accounting's Result
Bachelor of Accounting's ResultBachelor of Accounting's Result
Bachelor of Accounting's Result
Peai Sian Lim
 

Recommandé

Autonomous ship
Autonomous shipAutonomous ship
Autonomous ship
jamaju56
 
Vetting of ships
Vetting of shipsVetting of ships
Vetting of ships
Capt Ashok Menon
 
SKKmigas
SKKmigasSKKmigas
SKKmigas
Mark Peterson
 
"The Great Train Cyber Robbery" SCADAStrangeLove
"The Great Train Cyber Robbery" SCADAStrangeLove"The Great Train Cyber Robbery" SCADAStrangeLove
"The Great Train Cyber Robbery" SCADAStrangeLove
Aleksandr Timorin
 
Electronic charts lrg
Electronic charts lrgElectronic charts lrg
Electronic charts lrg
Lance Grindley
 
EMVT 12 september - Imtech Marine Company Presentation
EMVT 12 september - Imtech Marine Company PresentationEMVT 12 september - Imtech Marine Company Presentation
EMVT 12 september - Imtech Marine Company Presentation
Dutch Power
 
Autonomous ship
Autonomous shipAutonomous ship
Autonomous ship
jamaju56
 
Bachelor of Accounting's Result
Bachelor of Accounting's ResultBachelor of Accounting's Result
Bachelor of Accounting's Result
Peai Sian Lim
 
POWERPOINT_PRESENTATION_SSO.ppt
POWERPOINT_PRESENTATION_SSO.pptPOWERPOINT_PRESENTATION_SSO.ppt
POWERPOINT_PRESENTATION_SSO.ppt
parvinder41
 
Marel Q2 2023 Investor Presentation
Marel Q2 2023 Investor PresentationMarel Q2 2023 Investor Presentation
Marel Q2 2023 Investor Presentation
Marel
 
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
SN Panigrahi, PMP
 
The New PMP Exam: Changes and Implications (With Annotation)
The New PMP Exam: Changes and Implications (With Annotation)The New PMP Exam: Changes and Implications (With Annotation)
The New PMP Exam: Changes and Implications (With Annotation)
CliffordEgbomeade
 
Applied scrum for project management
Applied scrum for project managementApplied scrum for project management
Applied scrum for project management
Aditi Sharma
 
Shipping 3.0 - The Future of Shipping
Shipping 3.0 - The Future of ShippingShipping 3.0 - The Future of Shipping
Shipping 3.0 - The Future of Shipping
Institute of Marine Engineering, Science &Technology
 
Business continuity planning
Business continuity planningBusiness continuity planning
Business continuity planning
Sandeep Kashyap
 
Presentacion tarifas portuarias
Presentacion tarifas portuariasPresentacion tarifas portuarias
Presentacion tarifas portuarias
camarapcabello
 
Financial Accounting 12th Edition Thomas Solutions Manual
Financial Accounting 12th Edition Thomas Solutions ManualFinancial Accounting 12th Edition Thomas Solutions Manual
Financial Accounting 12th Edition Thomas Solutions Manual
DakotaFredericks
 
Soluzione SAP REAL ESTATE FLEXIBLE
Soluzione SAP REAL ESTATE FLEXIBLESoluzione SAP REAL ESTATE FLEXIBLE
Soluzione SAP REAL ESTATE FLEXIBLE
Valentina Valente
 
Certificado Udemy - Android
Certificado Udemy - Android Certificado Udemy - Android
Certificado Udemy - Android
Rodolfo G.Luna Freire
 
Single buoy mooring system
Single buoy mooring systemSingle buoy mooring system
Single buoy mooring system
Joy william
 
Performance Analaysis - Earned Value Analysis
Performance Analaysis - Earned Value AnalysisPerformance Analaysis - Earned Value Analysis
Performance Analaysis - Earned Value Analysis
Deborah Obasogie
 
如何因應連網商機下的資安風險
如何因應連網商機下的資安風險如何因應連網商機下的資安風險
如何因應連網商機下的資安風險
Onward Security
 
Ipc/whma a-620 b 簡介
Ipc/whma a-620 b 簡介Ipc/whma a-620 b 簡介
Ipc/whma a-620 b 簡介
Yung Jui Chen 陳泳睿
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石
Onward Security
 
AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢
CHENHuiMei
 
Picoway Company Profile 1.5
Picoway Company Profile 1.5Picoway Company Profile 1.5
Picoway Company Profile 1.5
picoway
 
Picoway Company Profile V1.5
Picoway Company Profile V1.5Picoway Company Profile V1.5
Picoway Company Profile V1.5
picoway
 
A Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceA Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) Compliance
Yi-Feng Tzeng
 
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfSpirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdf
ssuserdfa916
 
分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证
ITband
 

Contenu connexe

Tendances

POWERPOINT_PRESENTATION_SSO.ppt
POWERPOINT_PRESENTATION_SSO.pptPOWERPOINT_PRESENTATION_SSO.ppt
POWERPOINT_PRESENTATION_SSO.ppt
parvinder41
 
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
SN Panigrahi, PMP
 
Business continuity planning
Business continuity planningBusiness continuity planning
Business continuity planning
Sandeep Kashyap
 
Performance Analaysis - Earned Value Analysis
Performance Analaysis - Earned Value AnalysisPerformance Analaysis - Earned Value Analysis
Performance Analaysis - Earned Value Analysis
Deborah Obasogie
 

Tendances (13)

POWERPOINT_PRESENTATION_SSO.ppt
POWERPOINT_PRESENTATION_SSO.pptPOWERPOINT_PRESENTATION_SSO.ppt
POWERPOINT_PRESENTATION_SSO.ppt
 
Marel Q2 2023 Investor Presentation
Marel Q2 2023 Investor PresentationMarel Q2 2023 Investor Presentation
Marel Q2 2023 Investor Presentation
 
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
#Project Scheduling - Network Diagrams : PERT & CPM# By SN Panigrahi
 
The New PMP Exam: Changes and Implications (With Annotation)
The New PMP Exam: Changes and Implications (With Annotation)The New PMP Exam: Changes and Implications (With Annotation)
The New PMP Exam: Changes and Implications (With Annotation)
 
Applied scrum for project management
Applied scrum for project managementApplied scrum for project management
Applied scrum for project management
 
Shipping 3.0 - The Future of Shipping
Shipping 3.0 - The Future of ShippingShipping 3.0 - The Future of Shipping
Shipping 3.0 - The Future of Shipping
 
Business continuity planning
Business continuity planningBusiness continuity planning
Business continuity planning
 
Presentacion tarifas portuarias
Presentacion tarifas portuariasPresentacion tarifas portuarias
Presentacion tarifas portuarias
 
Financial Accounting 12th Edition Thomas Solutions Manual
Financial Accounting 12th Edition Thomas Solutions ManualFinancial Accounting 12th Edition Thomas Solutions Manual
Financial Accounting 12th Edition Thomas Solutions Manual
 
Soluzione SAP REAL ESTATE FLEXIBLE
Soluzione SAP REAL ESTATE FLEXIBLESoluzione SAP REAL ESTATE FLEXIBLE
Soluzione SAP REAL ESTATE FLEXIBLE
 
Certificado Udemy - Android
Certificado Udemy - Android Certificado Udemy - Android
Certificado Udemy - Android
 
Single buoy mooring system
Single buoy mooring systemSingle buoy mooring system
Single buoy mooring system
 
Performance Analaysis - Earned Value Analysis
Performance Analaysis - Earned Value AnalysisPerformance Analaysis - Earned Value Analysis
Performance Analaysis - Earned Value Analysis
 

Similaire à 物聯網設備資安導入與認證實務分享

做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石
Onward Security
 
分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证
ITband
 
Andorid程式開發(佛光) 2
Andorid程式開發(佛光) 2Andorid程式開發(佛光) 2
Andorid程式開發(佛光) 2
terry28853669
 
Andorid程式開發(東南科大)
Andorid程式開發(東南科大)Andorid程式開發(東南科大)
Andorid程式開發(東南科大)
terry28853669
 
Gpm light professional綠色供應鏈管理系統介紹
Gpm light professional綠色供應鏈管理系統介紹Gpm light professional綠色供應鏈管理系統介紹
Gpm light professional綠色供應鏈管理系統介紹
Manson Liou
 
智慧故障設備預知診斷系統
智慧故障設備預知診斷系統智慧故障設備預知診斷系統
智慧故障設備預知診斷系統
Amazon Web Services
 

Similaire à 物聯網設備資安導入與認證實務分享 (20)

如何因應連網商機下的資安風險
如何因應連網商機下的資安風險如何因應連網商機下的資安風險
如何因應連網商機下的資安風險
 
Ipc/whma a-620 b 簡介
Ipc/whma a-620 b 簡介Ipc/whma a-620 b 簡介
Ipc/whma a-620 b 簡介
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石
 
AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢
 
Picoway Company Profile 1.5
Picoway Company Profile 1.5Picoway Company Profile 1.5
Picoway Company Profile 1.5
 
Picoway Company Profile V1.5
Picoway Company Profile V1.5Picoway Company Profile V1.5
Picoway Company Profile V1.5
 
A Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceA Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) Compliance
 
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfSpirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdf
 
分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证分会场四Veri sign 信任服务与用户认证
分会场四Veri sign 信任服务与用户认证
 
Andorid程式開發(佛光) 2
Andorid程式開發(佛光) 2Andorid程式開發(佛光) 2
Andorid程式開發(佛光) 2
 
Andorid程式開發(東南科大)
Andorid程式開發(東南科大)Andorid程式開發(東南科大)
Andorid程式開發(東南科大)
 
Internet System Security Overview
Internet System Security OverviewInternet System Security Overview
Internet System Security Overview
 
Gpm light professional綠色供應鏈管理系統介紹
Gpm light professional綠色供應鏈管理系統介紹Gpm light professional綠色供應鏈管理系統介紹
Gpm light professional綠色供應鏈管理系統介紹
 
網路安全管理
網路安全管理網路安全管理
網路安全管理
 
GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹
 
GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹GPM Light Professional綠色供應鏈管理系統介紹
GPM Light Professional綠色供應鏈管理系統介紹
 
云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会
 
智慧故障設備預知診斷系統
智慧故障設備預知診斷系統智慧故障設備預知診斷系統
智慧故障設備預知診斷系統
 
标准化介绍,经营方针的传达,责任权限明确化,提高公司业务能力,提高管理水准.PPT
标准化介绍,经营方针的传达,责任权限明确化,提高公司业务能力,提高管理水准.PPT标准化介绍,经营方针的传达,责任权限明确化,提高公司业务能力,提高管理水准.PPT
标准化介绍,经营方针的传达,责任权限明确化,提高公司业务能力,提高管理水准.PPT
 
國防科技專案管理(Iii)
國防科技專案管理(Iii)國防科技專案管理(Iii)
國防科技專案管理(Iii)
 

物聯網設備資安導入與認證實務分享

  • 1. Leading Brand in Cybersecurity Compliance Solutions www.onwardsecurity.com 物聯網設備資安導入 與認證實務分享 Onward Security
  • 2. 1© 2020 Onward Security Corp. All rights reserved. 注意事項01 常見問題02 以設備/場域為例03 結論與建議04 Q&A05 CONTENTS
  • 3. © 2020 Onward Security Corp. All rights reserved. 2 物聯網資安導入與認證注意事項 01.
  • 4. © 2020 Onward Security Corp. All rights reserved. 3 5個注意事項 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5
  • 5. © 2020 Onward Security Corp. All rights reserved. 4 N1.瞭解物聯網資安標準的分類 • 法規規範 • 美國:FIPS-140-3, … • 英國:CPA, … • 品牌要求 • Amazon、Apple、Google, … • AT&T, Nokia, Siemens, … • 產業需求 • 資通訊產品:ISO/IEC 15408, … • 物聯網設備:CTIA, … • 工控產業:IEC 62443, … 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 越來越多的 第三方非營 利組織釋出 標準或認證/ 標章計畫
  • 6. © 2020 Onward Security Corp. All rights reserved. 5 N2.什麼樣的標準適合你 • 客戶是否有指定? • 法規要求:政府 • 買家:企業、消費者 • 老闆:部門主管、高階主管 • 你的產品是賣到何處?賣給誰? • 國家、區域、產業 • 政府、品牌、標案 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 只要客戶 願意接受
  • 7. © 2020 Onward Security Corp. All rights reserved. 6 N3.需要投入或準備什麼 • 確認導入或要求的範圍? • 管理流程、設計開發流程、產品本身 • 確認主責單位? • 預估時程、經費 • 跨部門合作 • 是否需要顧問公司的協助? • 尋找被認可的組織/實驗室 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 專責專人與 外部資源的 結合
  • 8. © 2020 Onward Security Corp. All rights reserved. 7 N4.導入或認驗證配合事項 • 負責的人或窗口 • 跨部門溝通與運作的方式 • 導入與認證範圍相關資訊 • 部門、場域、系統、產品、設備 • 軟體技術團隊的參與 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 抓好並預留 多一點的 改善時程
  • 9. © 2020 Onward Security Corp. All rights reserved. 8 N5.取得標章/證書可以做什麼 • 符合客戶期待 • 品質提升的證明 • 業務、行銷推廣的重點 瞭解物聯網資安標準的分類N1 什麼樣的標準適合你N2 需要投入或準備什麼N3 導入或認驗證配合事項N4 取得標章/證書可以做什麼N5 還有 什麼好處?
  • 10. © 2020 Onward Security Corp. All rights reserved. 9 物聯網資安導入與認證常見問題 02.
  • 11. © 2020 Onward Security Corp. All rights reserved. 10 5個常見問題 / 5個建議 Q1 Q2 Q3 S1 S2 S3 為什麼要導入?有什麼幫助? 管理會議取得共識、教育訓練 Q4 Q5 如何加速並提高成功機會? 高階代表、專責專人、合作機制 跨部門合作問題? 部門主管、自動化系統或產品協助 S4 S5 線上/線下課程、外部顧問、產品 選擇優良的合作廠商 缺少資安專業人力? 保證一定拿到證?
  • 12. © 2020 Onward Security Corp. All rights reserved. 11 以設備/場域為例 03.1.
  • 13. © 2020 Onward Security Corp. All rights reserved. 12 以設備為例 家用安全物 聯網設備 具備無線網 路功能 想進入美國 市場 客戶不知道 要做什麼 時間與預算 有限 要有認證或 標章
  • 14. © 2020 Onward Security Corp. All rights reserved. 13 Three Levels of Certification Level 1 Core Security Level 2 Enhanced Security Level 3 Advanced Security GPS Dog Collars Washing Machines GPS Trackers Smart Home Security Systems Mobile Payment Devices Connected Streetlights Traffic Controllers Blood Glucose Meters Gas Meters *Referee from CTIA Certification
  • 15. © 2020 Onward Security Corp. All rights reserved. 14 Submit Paperwork Least 3 Samples to CATL Eliminate Inconsistencies or Resend Samples Receive the Notification Device Been Certified Samples are Consistent with the Application No PASS Receive the Samples Receive and Test Pass / Fail Upload Test Report Document and Payment Checking Resubmit the Samples Fail All Completed Incomplete IoT OEM CTIA Submission Process
  • 16. © 2020 Onward Security Corp. All rights reserved. 15 以場域(開發流程)為例 03.2.
  • 17. © 2020 Onward Security Corp. All rights reserved. 16 以開發流程為例 自行開發的 工控產品 具備連網功 能 銷往歐美 具備一定出 貨量 時間與預算 有限 要有認證或 標章
  • 18. © 2020 Onward Security Corp. All rights reserved. 17 IEC 62443 系列標準 IEC 62443-1-1 術語/概念/模型 IEC 62443-1-2 術語和縮寫 詞彙表 IEC 62443-1-3 系統安全 合規性指標 IEC 62443-1-4 IACS 安全生命 週期及使用範例 IEC 62443-2-1 IACS 資產擁有 者安全計畫要求 IEC 62443-2-2 IACS 保護分級 IEC 62443-2-3 IACS環境 補丁/漏洞管理 IEC 62443-2-4 IACS 服務提應商 安全計畫要求 IEC 62443-2-5 IACS 資產擁有者 系統安全管理 實作指南 IEC 62443-3-1 IACS 安全技術 IEC 62443-3-2 安全風險評估 與系統設計 IEC 62443-3-3 系統安全要求 與分級 IEC 62443-4-1 安全產品開發生 命週期要求 IEC 62443-4-2 IACS 元件 技術安全要求
  • 19. © 2020 Onward Security Corp. All rights reserved. 18 Maturity Level Category ML 1 Initial ML 2 Managed ML 3 Defined (Practiced) ML 4 Improved 參與角色&成熟度等級 角色 分工 CIIP/ IIOT Owner 決定設備商所需成熟等級(ML) SI 決定開發商所需成熟等級(ML) Vendor 符合要求等級
  • 20. © 2020 Onward Security Corp. All rights reserved. 19 安全開發生命週期 Pre-SDL 訓練 Phase 1 要求 Phase 2 設計 Phase 3 實作 Phase 4 驗證 Phase 5 發布 Post-SDL 要求回應 安全策略的交付或訓練 Security Policy Delivery or Training 安全標準與行業要求 Security Standard & Industrial Requirement 風險與影響評估 Risk and Impact Analysis 安全實作 Security Implementation 安全測試與分析 Security Testing and Analysis 安全維護 Security Maintenance 安全事件回應 Incident Response Source: http://hwang.cisdept.cpp.edu/swanew/SDLC.aspx?m=SDLC-Microsoft-SDL Security Management (SM)
  • 21. © 2020 Onward Security Corp. All rights reserved. 20 IEC 62443 Certification Process Manufacturer Consulting Company CBTL/NCB Determine the scope and certification level Perform consulting and testing service Submit the application Perform assessment of certification Certification acquired
  • 22. © 2020 Onward Security Corp. All rights reserved. 21 結論與建議 04.
  • 23. © 2020 Onward Security Corp. All rights reserved. 22 結論與建議 物聯網設備為什麼要做資安導入與認證? 滿足客戶要求 Sales 強化產品 競爭力 Sales/PM/RD 塑造公司形象 Marketing 提高公司收益 把資安成本轉化 為資安效益
  • 24. © 2020 Onward Security Corp. All rights reserved. 23 如果你還對資安導入與認證還有疑慮
  • 25. © 2020 Onward Security Corp. All rights reserved. 24 如果你還對資安導入與認證還有疑慮
  • 26. © 2020 Onward Security Corp. All rights reserved. 25 Q&A 05
  • 27. Leading Brand in Cybersecurity Compliance Solutions THANK Y U

Notes de l'éditeur

  1. 外框 藍 STD但沒證照 外框 橙 TR 外框 紅 STD且有證照 字 黑 已發行或可以買到 字 綠 正在開發或改版中 1. 一般(General):  所有與標準理念及其基礎概念、條款和方法有關的所有資料文件 2. 政策與步驟(Policies& Procedures): 概述了工業自動化和控制系統訊息技術安全管理體系及必要要求 3. 系統(System): 提出了技術規範,作為工業自動化和控制系統(IACS)的設計指導,其中 IACS 是一種由數據採集與監控系統(SCADA)應用、程序邏輯控制系統(PLCs)、現場總線、致動器和傳感器等不同元件組成的一種訊息技術系統。 4. 元件(Component): 控制系統元件的設計與開發要求。  
  2. Security Management(安全管理) Specification of Security Requirements(安全要求規範) Secure by Design(安全設計) Security Implementation(安全實作) Security Verification and Validation testing(安全確認與驗證測試) Management of Security-related issues(安全相關議題管理) -DM Security Update Management (安全更新管理) –SUM Security Guidelines (安全指南)