釐清物聯網資安規範 安華聯網協助客戶與國際接軌

劉作仁指出，目前歐洲、美國、日本等三大市場，都已制定出資安標準與認證規範。其中歐洲在2019年通過安全法(Cybersecurity Act)，資通訊產品認證分為Basic、Substantial、High等三種層級，目前還沒有各層級對應的資安標準，但是在Basic Level可能對應的要求為ETSI EN 303 645、Substantial Level則是IEC 62443-4-1與IEC 62443-4-2、High則要通過CC EAL 4+。至於美國較知名的是SB-327，此條例針對設備密碼設置特殊要求，其用意是避免所有裝置都使用相同的預設密碼，降低駭客使用預設密碼取得設備控制權限的機率。

另外美國食品藥品監督管理局(FDA)，也在2018年公告醫療設備上市前網路安全要求的草案，並且要求在產品上市後，還要持續符合第三方單位的安全要求。日本則是於2019年修正IoT產品防護對策，並在電氣通訊事業法中，加強資安要求。

 

除了各國的規範外，國際認證單位的資安標準條例也逐漸完備，為了符合相關要求，各大品牌廠商開始要求旗下供應商的產品，必須通過指定的認證法規。在所有認證標準中，ISO 15408屬於共通標準，從產品設計、開發到生產，在不同環節都需有對應的文件與相關技術水準，此標準的認證最為嚴僅，成為多數大型跨國品牌企業以及歐美政府採用或參考的標準，而其供應商也須依循此標準並取得認證，才有機會成為合格且具國際水準的供應商。

除了ISO 15408這類通用標準外，還有針對不同產業與設備的標準，像是要求密碼演算法與模組必須符合國際規範的FIPS 140-3、工控領域近年最熱門的工業通訊資安標準IEC 62443、聚焦於車載系統的 IS0 21434，都是目前常見的認證要求。

 

劉作仁彙整各協會的認證條例後指出，這些條例的共通點包括風險管理、軟體更新、密碼設置與產品弱點通報等五大項，他表示對台灣製造業者而言，這些資安條例是較為陌生的領域，因此在設計與認證時不易找出重點，他建議企業可善用外部專業力量，加速產品認證時程。

劉作仁表示，安華聯網深耕標準認證領域多年，不僅有通過各大標準機構與大廠認證的實驗室，還有完整的專業團隊，以ISA/IEC 62443標準為例，目前官方在全球總計發出的17張證書中，該公司就擁有6張，由此可見其專業實力。除了認證之外，安華聯網也提供諮詢服務與訓練課程，協助企業充分掌握相關條例的重點，並藉此培養內部種子教師，藉此建構強大的資安法規認知，順利與國際標準接軌。