中国 | 中文
中国 | 中文

IEC 62443安全系列标准

工业信息安全的规范和法律要求

桌子上带有段落符号的笔记本电脑。

国际标准系列IEC 62443“工业通信网络 - 网络和系统安全”说明了如何在自动化领域实现IT安全。其主题范围包括风险分析、安全运行要求和产品安全开发(设计安全)。因此,IEC 62443目前为工厂运营商、机器制造商和设备制造商有效实施工业信息安全提供了最佳指导

IEC 62443着眼于五个方面:基本工业安全要求、区域和管道原则、安全等级、安全生命周期和风险分析。

IEC 62443标准的关键部分概述:

针对组件制造商

系统集成商

运营商
IEC 62443-4-1开发过程 IEC 62443-2-4指令和程序 IEC 62443-2-4指令和程序
IEC 62443-4-2组件的安全功能 IEC 62443-3-2自动化和控制系统的安全功能 IEC 62443-2-1操作和服务
  IEC 62443-3-3整个自动化和控制系统的安全功能  

其核心是安全风险评估程序,该程序可作为确定量身定制的安全措施的基础。组织措施和技术措施之间的相互作用也得到了强调。在最坏的情况下,技术解决方案本身会导致虚假的安全感,因为技术措施很容易被人的行为所破坏。例如,密码只有在不被更改、不被共享和不被明显附加到设备上的情况下才能提供保护

为了满足OT安全要求,工业自动化系统需要采用深度防御方法。Pilz利用其专业技术为机器制造商和运营商提供支持,帮助他们落实组织和技术要求,特别是IEC 62443的要求

工业信息安全理念以及对标准和法律要求的遵守大大提高了公司的网络安全性,即使在机器层面也是如此。 

与信息安全相关的其他标准

ISO/IEC TS 63074:2023

“机械安全 - 与安全相关控制系统功能安全有关的信息安全方面”

本标准的核心重点是机械安全与信息安全之间的交叉。因此,它触及机械法规要求的核心。在识别安全威胁和漏洞时,它使用IEC 62443系列。它考虑了安全控制器中可能被安全威胁(如未经授权的访问、恶意软件或网络攻击)利用的漏洞。目的是保护安全功能,使其能够真正发挥保护作用。出于安全考虑,特别建议采用“纵深防御”原则

本文件定义了使用案例,并对其应用了适当的威胁模型。这有助于理解安全威胁如何影响安全。没有明确考虑网络攻击的其他影响。

配备自动引导车系统的生产车间

ISO27001 - 信息安全管理体系(ISMS)

NIS 2处理信息安全系统的管理。我们特别关注ISO/IEC 27001,因为它是全球公认的信息安全实际标准,而且可以认证。它规定了信息安全管理系统的要求。

我们谈论信息安全而不是信息技术安全,是因为所有信息都必须受到保护,无论是数字信息还是模拟信息(手写、口头、可视),无论是写在纸上的信息还是存储在云中的信息。如今,许多信息都是通过信息技术处理的,因此信息技术安全也相应地扮演着重要角色。

从根本上说,就是要最大限度地降低组织内所有领域的信息安全风险。这也影响到生产资料,如机器和OT网络。

如果一个组织由于外部要求(如法律要求或与客户的合同协议)而需要一个符合ISO/IEC 27001标准的 ISMS,或希望主动实施一个ISMS(如为了保护自己或使用质量标准来提高公众认知),那么它就不能忽视 工业网络安全这一主题。

这又让我们回到了IEC 62443标准,该标准目前为考虑工业安全领域的信息安全问题提供了最佳框架。

信息安全法律和法规

网络攻击的威胁与日俱增,有可能造成巨大的经济损失,这导致全球范围内纷纷出台法律框架,规定公司、工业厂房、机械和机械部件必须达到的最低标准。网络安全是一项新要求,也是一项绝对必要的要求,特别是对于关键基础设施而言。

为降低风险,欧洲立法者出台了一系列新规则。

机械法规

机械法规2023/1230于2023年6月通过,在42个月的过渡期后将对所有欧盟国家具有约束力。机械法规涉及机械或机械组件的制造商,即生产商(OEM = 原始设备制造商)和系统集成商。今后,机械制造商必须确认机械符合机械法规的规定,包括安全方面的规定。这包括防止腐败,以及抵制第三方恶意制造危险情况的措施。符合性声明中正式确认了机械法规的合规性。CE标志作为可见标志贴在机器上。不符合新机械法规要求的机械将不再允许在欧盟销售。

多年来,Pilz一直在为机械制造商提供符合性流程方面的支持,几乎涉及所有领域:安全概念、风险分析和风险评估,直至符合性声明。今后,我们还将关注信息安全方面。

白皮书封面

安全白皮书

Pilz关于如何应对现行欧盟法规的指南面向机械制造商和运营商,提供了有关要求的概述,以及如何履行合规义务的信息。

立即下载!
四个齿轮啮合

机械法规知识

您可在此了解有关机械法规的更多信息,并从白皮书和网络研讨会等免费资源中获益。

了解更多!

欧盟关于网络和信息安全的第二号指令(NIS 2)2022/2555

新的欧盟网络与信息系统指令(NIS 2)规定了欧盟内部“基本和重要”实体防范网络攻击的统一水平。与机械法规不同的是,它描述的是对公司而非机器的网络安全要求。根据公司对经济的重要程度(关键性),该指令对不同领域有不同的要求。例如,能源供应或铁路运输业的公司就具有很高的关键性。受NIS 2影响的其他公司包括员工人数超过50人或年营业额超过1000万欧元的工厂和机械制造商,包括那些关键性较低的行业。

公司必须采取技术、运营和组织措施来管理网络和信息系统的安全风险。其中包括对管理人员和员工进行培训。重要的是,不仅要考虑传统的办公IT,还要考虑 OT领域,因此也要考虑工业信息安全

网络弹性法案(2024/2847)

网络弹性法案(CRA)旨在提高具有数字元素的产品的安全特性。因此,该法涉及制造商和将产品投放市场者。其中也包括机器制造商。CRA在整个产品生命周期中引入了强制性安全要求。它要求在整个生命周期中都有注意义务,其中还包括制造商有义务在产品出现安全漏洞时,为运营商的补丁管理程序提供至少5年的软件更新。自CRA生效以来,产品的CE标志要求遵守CRA。因此,CRA通过产品的安全性能对NIS 2指令和机械法规进行了补充。

中国区业务联系

皮尔磁工业自动化(上海)有限公司
上海浦东龙阳路2277号永达国际大厦1702-1705室

电话: +86 21 60880878
电子邮件: sales@pilz.com.cn

皮尔磁工业自动化(上海)有限公司

浦东新区龙阳路2277号永达国际大厦1702-1705室
上海
中国

电话: 021 60880878
电子邮件: sales@pilz.com.cn

技术支持

电话: 400-088-3566
电子邮件: sales@pilz.com.cn

顶部
  1. Pilz
    2. /
  2. 支持
    3. /
  3. 法律与标准
    4. /
  4. IEC 62443安全系列标准
网页代码: 200566