[前情提要] 當公司從客戶端拿到專案,首要的第一個任務就是從客戶端獲取完整的客戶需求,於是專案經理用最短的時間組建了專業團隊,正式進入SYS.1 需求獲取流程。
本篇文章將透過案例來介紹SYS.1;詳細的文章內容,筆者發表在新網站上,請參考:「ASPICE案例篇: SYS.1 需求獲取」
目前IEC 62443存在兩種主流的認證方式,即IECEE及ISCI。這兩種認證方式,業界都有人主張跟追捧。本文將簡列這兩個認證方式的差異。
本文章僅針對這兩個認證的主要差異做簡單的描述與整理,詳細的圖文請參考我的新網站「David Lin顧問筆記」:IECEE與ISCI認證機制的差異更多關於 IEC 62443的文章,也請參考 IEC 62443標準解讀 系列
差異1: 認證範圍
- ISCI提供了3種認證,分別是:SSA, CSA, SDLA (覆蓋:3-3, 4–1, 4–2)
- IECEE提供了8種認證,分別針對2-4, 3–3, 4–1, 4–2
差異2: 認證架構
- ISCI主要開發流程、認證產品
- IECEE主要認證服務、產品、開發流程
差異3: 證書體現
- ISCI證書僅展示通過哪一個認證,詳細內容並未展列。
- IECEE證書展示出的內容有包含通過的規格要求,更詳細的資料要查看證書的報告附件。
差異4: 彈性認證機制
- ISCI主要支持標準中所制定的四種不同的安全等級
- IECEE除了支持標準中的安全等級概念,亦可以根據產品的特性定義其不同安全等級的要求。(跨安全等級的概念)
差異5: Profile(設定檔)的概念
- ISCI並未提及
- IECEE正在研議針對不同產業的網絡安全設定檔的概念
VDA QMC於2021年2月,發布了ASPICE for Cybersecurity的黃皮書草稿第一版,本文章將針對新發布的ASPICE網絡安全增訂版,進行相關的說明。
UNECE法規R155要求車輛製造商識別和管理供應鏈中的網絡安全風險。ASPICE 標準(v3.1)版是一套適用於識別流程相關的產品風險。為了將網絡安全的相關流程納入ASPICE標準,VDA QMC將網絡安全工程流程加入現有流程中,並催生了「ASPICE網絡安全增訂版」
※備註※UNECE R155已於2021年1月,正式生效。關於該法規的介紹,請參閱
1) 汽車產業「資訊安全管理系統(CSMS)」法規概述與8個重點要求
2) 汽車產業「資訊安全管理系統(CSMS)」法規細部解讀
(更新:2020/11/16) Table of Content of IEC 62443
為了方便索引標準各流程的解讀,本篇為IEC 62443標準解讀的目錄。
備註:本目錄仍在編輯中,尚未完整請見諒。IEC 62443系列標準-介紹
- 5G與物聯網(IoT)時代的資安革命
- IEC 62443是什麼?
- IEC 62443成熟等級
- IEC 62443安全等級
- IEC 62443認證機制 - IECEE體制
- 功能安全(Safety)與網絡安全(Cybersecurity)的關係
- IEC 62443 Part5的基本概念
IEC 62443系列標準-角色篇
- 資產擁有者實作指南
- 服務提供商實作指南
- 系統整合商實作指南
- 產品供應商實作指南
IEC 62443系列標準-管理系統篇
- IEC 62443–2–1
- IEC 62443、ISO 27001、汽車產業的CSMS之間的關係
IEC 62443系列標準-流程篇
- IEC 62443–2–4
- IEC 62443–4–1
- IEC 62443–4–1流程評鑑-注意事項
- IEC 62443–4–1實作評鑑-注意事項
IEC 62443系列標準-安全要求篇
- IEC 62443–3–3
- IEC 62443–4–2
額外補充資訊
- IEC 62443發證趨勢
感謝閱讀本文章!
如果你對文章內容有任何問題,請隨時與我聯絡。
if you found any question in the article, please feel free to contact me.
Mailto: linchewing@gmail.com
LinkedIn: https://www.linkedin.com/in/linchew/
