物聯網資通安全標準 ISO 27400 將底定

IT與OT在資通安全的標準遵循終於可以趨於一致,ISO/IEC 27400 的底定,將有助於確認IoT的資安標準,讓安全防護更上層樓。

文/梁日誠

著物聯網(IoT)的應用在各個領域(如製造、醫療、公務)漸被採用,資通安全(Cybersecurity)也成了各界關注的焦點,近日ISO組織公告了IoT資通安全之安全與隱私標準(草案DIS) ISO/IEC 27400(以下簡稱 ISO 27400 ),將物聯網資通安全與相關的國際標準做出關聯,也提供各界做為完善物聯網資通安全之參考及日後合規展現(如資通安全管理法與個人資料保護法)之依據。

[ 推薦閱讀: ]

ISO組織在2018年推出了「ISO/IEC 30141 IoT Reference Architecture 物聯網參考架構」,其中揭櫫了IoT須具備的Trustworthiness(可信賴度)以維持IoT架構的正常運作。

「可信賴度」為跨領域能力的一環,貫穿物聯網參考架構的各個領域,包含了安全(Safety)、資安(Security)、隱私與個資保護(Privacy and PII Protection)、可靠性(Reliability)與韌性(Resilience)等特性,ISO 27400 涵蓋了可信賴度中的「資安及隱私」與「個資保護」兩大面向,以物聯網的生命週期觀之,完整的涵蓋了資通安全(包含IT安全與OT安全)。

ISO 27400 藉由風險與控制措施的探討,將主要的國際資安與隱私標準做出關聯,讓各界可以基於已經建置的資安與隱私管理系統(如ISMS與PIMS)進而延伸至物聯網的資通安全管理。

藉由以下主題的探討,來一窺 ISO 27400 的相關應用:

物聯網系統的利害相關者 與 物聯網服務的生命週期

物聯網系統的利害相關者包含了物聯網服務提供者(Service provider)、物聯網服務開發者(Service developer)、物聯網使用者(Users)。

其中,物聯網服務提供者管理並營運提供給物聯網使用者的物聯網系統的相關服務,如連線服務、資料收集與管理服務、物聯網相關資產(如物聯網設備)管理服務;物聯網服務開發者負責物連網服務的設計、建置、整合,如物聯網設備開發者(是物聯網服務開發者的角色之一),物聯網設備開發者執行使用於物聯網系統(特別是物聯網設備)之特定硬體設備的工程與製造;物聯網使用者是物聯網服務的終端使用者,分為人員使用者(Human user)與數位使用者(Digital user),人員使用者為使用物聯網服務的個體,數位使用者為非人員使用者(Non-human user)並可能是代表人員使用者的自動化服務。

[ 推薦閱讀: ]

物聯網系統或服務的安全與隱私要求主要來自於物聯網使用者的期望或風險考量,然而物聯網使用者通常不太了解物聯網科技的安全隱患。藉由 ISO 27400,物聯網使用者可基於國際標準來了解並設定安全與隱私的要求等級,而物聯網服務提供者與物聯網服務開發者也可以 ISO 27400 作為共通語言,落實相關的控制措施來達到物聯網用戶的安全與隱私要求等級。

物聯網服務與利害相關者的生命週期示意圖如圖1。

圖1. 物聯網服務生命週期示意圖,資料來源:ISO/IEC 27400(DIS)

圖1的各組織內的系統與軟體生命週期流程宜與 ISO 15288 與 ISO 12207 分別校準,並參考 ISO 24748 系列生命週期管理標準。物聯網系統與產品安全生命週期參考模型(Security Life Cycle Reference Model)也於 ISO 30141 中提出,如圖2所示,強調物聯網系統與產品的設計時期(如 Security by Design、Privacy by Design)與營運時期的安全均不可偏廢。

飲水機選購技巧大公開!!

機器上方放桶裝水,與桶裝水配套使用。桶裝飲水機在20世紀中期之前就出現了,這種飲水機被設計為機身頂部的一個專門的連接器倒放置水桶

油水分離機推薦?

板式熱交換器具有多達60種不同尺寸大小的板片型號,同時配合多種板紋、板片間距、板材和板片厚度的選擇,以配合不同情況來使用,給您最多的選擇!

飲水機皆有含淨水功能嗎?

採e化保養管理,用戶資料建檔完整售後服務,服務區域內深受各大機關團體、百大企業等等知名企業採用

市面十大品牌封口機!該如何選購?

市面上的封口機一般分為兩種:一種是要預熱的,一種是不用預熱的(插電後即可直接使用。)而瞬熱式就是不用預熱的封口機

圖2. 物聯網產品安全生命週期參考模型,資料來源:ISO/IEC 30141:2018

基於領域的參考模型

物聯網系統與其營運的功能框架如 ISO 30141 中所定義之基於領域的參考模型,如圖3:

圖3. 基於領域的參考模型,資料來源:ISO/IEC 27400(DIS)

圖3並顯示了與物聯網系統的利害相關者的對應關係。基於領域的參考模型提供了考量物聯網系統的安全與隱私的整體元件架構,風險來源可以依物聯網領域而識別,每個安全與隱私控制措施可以被關聯到一個或多個物聯網領域。

物聯網領域說明如下:

  • 使用者領域(User Domain, UD),包含人員與數位使用者。
  • 實體個體領域(Physical Entity Domain, PED),包含物聯網系統中的實體個體。
  • 感應與控制領域(Sensing and Controlling Domain, SCD),包含物聯網設備與物聯網閘道器。
  • 營運與管理領域(Operations and Management Domain, OMD),包含營運支援系統與業務支援系統。
  • 資源存取與互換領域(Resource Access and Interchange Domain, RAID),提供外部個體可存取物聯網系統能力的機制。
  • 應用與服務領域(Application and Service Domain, ASD),包含物聯網服務提供者所提供的應用與服務。

風險與管理系統

依各個物聯網領域而識別的風險來源可經由標準化的過程與方法執行風險管理,如以下風險管理相關國際標準:

  • ISO 31000,提供一般性的風險管理指引。
  • ISO/IEC 27005,提供資訊安全風險管理指引。
  • IEC 62443-3-2,提供工業自動化控制系統(IACS)安全風險評鑑要求。
  • ISO/IEC 29134,提供隱私衝擊評鑑。

當建置資訊安全管理系統(ISMS)與隱私資訊管理系統(PIMS)時,可以依據以下的國際資安管理系統標準與對應的風險管理及控制措施國際標準:

  • ISO/IEC 27001,資訊安全管理系統(ISMS),可選用 ISO 27005(IT安全)與 IEC 62443-3-2(OT安全)進行資安風險管理。進行風險處理時,可以選用 ISO 27001 附錄A的控制措施(IT安全)、IEC 62443-2-1的安全控制措施(OT安全)與ISO 27400 的安全控制措施(物聯網安全)。
  • ISO/IEC 27701,隱私資訊管理系統(PIMS),可選用 ISO 29134 進行隱私風險評鑑。進行風險處理時,可以選用ISO 27001附錄A的控制措施(IT安全)、ISO 27701附錄A與附錄B的控制措施(隱私保護)與 ISO 27400 的隱私控制措施(物聯網隱私)。

安全與隱私控制措施

ISO 27400 所列舉的物聯網安全與隱私控制措施依以下分類,並綜整如文後附件。

  • 物聯網服務開發者與物聯網服務提供者的安全控制措施。
  • 物聯網使用者的安全控制措施。
  • 物聯網服務開發者與物聯網服務提供者的隱私控制措施。
  • 物聯網使用者的隱私控制措施。

物聯網安全控制措施可與其他安全控制措施,如 ISO 27001 附錄A合併使用;物聯網隱私控制措施可與其他隱私控制措施,如 ISO 27701 附錄A與附錄B合併使用。

驗證與法遵

物聯網系統,依其不同應用,可能涉及驗證或法遵議題,如個人資料保護法、資通安全管理法。以某個適用於資通安全管理法的機關為例,ISO 27400 對於物聯網系統可能的驗證與法遵考量如下:

  • 依資通安全管理法施行細則第七條,識別物聯網系統是否為核心資通系統。
  • 依資通安全責任等級分級辦法附表一至六(若適用),辦理物聯網系統之資通系統分級及防護基準。
  • 若為核心資通系統,將物聯網系統納入資訊安全管理系統之導入(A/B/C級)及通過公正第三方之驗證(A/B級)。
  • 對於物聯網系統相關之受託者(如服務提供者、服務或設備開發者),依資通安全管理法施行細則第四條要求受託者辦理受託業務之相關程序及環境(如物聯網),應具備完善之資通安全管理措施或通過第三方驗證,所稱第三方,係指通過我國標準法主管機關委託機構認證之機構,其驗證標準可為國際、國家或團體標準。第三方核發之驗證證書應有前開委託機構(即TAF)之認證標誌。
  • 依據 ISO 27001 Clause 6.1.3 c)備考2.附錄A中所列之各項控制目標及控制措施並未盡列,故可能需要額外之控制目標及控制措施。可選擇除了 ISO 27001 附錄A以外所適用的其他國際(如 ISO 27701、IEC 62443-2-1、ISO 27400)或國內自行發展的控制措施,並納入適用性聲明6.1.3 d)。
  • 依據 ISO 27006/AMD1:2020,組織依據 ISO 27001 選擇其適用的控制措施,驗證文件(如證書)可以註明組織除了 ISO 27001 附錄A以外前項所述的控制措施。
  • 當物聯網系統相關之受託者(如服務提供者、服務或設備開發者)發生資安疑慮時,委託機關應依資通安全管理法施行細則第四條,於知悉受託者發生可能影響受託業務之資通安全事件時,以稽核或其他適當方式確認受託業務之執行情形,以展現良善的管理作為與法遵。

[ 加入 CIO Taiwan 官方 ,與全球CIO同步獲取精華見解 ]

藉由以上的考量事項,各組織可以經由第三方驗證展現法遵,物聯網服務提供者、物聯網服務開發者也可經由採用 ISO 27400 來展現與其他業者對於資安與隱私保護的承諾與差異性。

在發展 ISO 27400 的同時,物聯網安全和隱私 — 設備基線要求(IoT security and privacy – Device baseline requirements)的國際標準 ISO 27402 也正在發展中(技術組草案CD),對於物聯網設備的基線要求提供規範,將更進一步強化物聯網生態系的資通安全,也將使物聯網方案所支撐的智慧應用更加的強固。

附件 物聯網安全與隱私控制措施

物聯網服務開發者 與 物聯網服務提供者 的安全控制措施

  • Policy for IoT security
  • Protection of logs
  • Organization of IoT security
  • Use of suitable networks for the IoT systems
  • Asset management
  • Secure settings and configurations in delivery of IoT devices and services
  • Equipment and assets located outside physically secured areas
  • User authentication
  • Secure disposal or re-use of equipment
  • Provision of software and firmware updates
  • Learning from security incidents
  • Sharing vulnerability information
  • Secure IoT system engineering principles
  • Security measures adopted to the life cycle of IoT systems and services
  • Secure development environment and procedures
  • Guidance for IoT users on the proper use of IoT devices and services
  • Security of IoT systems in support of safety
  • Determination of security roles for stakeholders
  • Security in connecting varied IoT devices
  • Management of vulnerable devices
  • Verification of IoT devices and systems design
  • Management of supplier relationships in IoT security
  • Monitoring and logging
  • Information security in IoT devices

物聯網使用者的安全控制措施

  • Contacts and support service
  • Deactivate unused devices
  • Initial settings of IoT device and service
  • Secure disposal or re-use of IoT device

物聯網服務開發者 與 物聯網服務提供者 的隱私控制措施

  • Prevention of privacy-invasive events
  • Fail-safe authentication
  • IoT privacy by default(共2個)
  • Minimization of indirect data collection
  • Collection and use of personal data(共2個)
  • Communication of privacy preferences
  • Verification of IoT functionality
  • Verification of automated decision
  • Consideration of IoT users
  • Accountability for stakeholders
  • Management of IoT privacy controls
  • Unlinkability of PII
  • Unique device identity(共2個)
  • PII protection in IoT devices

物聯網使用者的隱私控制措施

  • User consent
  • Certification/validation of PII protection
  • Connecting with other devices and services
作者梁日誠現為 ISO/IEC JTC1/SC27及IEC/TC65 加拿大對映技術委員會委員、TCIC環奧國際驗證公司全球營運總經理

The post first appeared on .

來源鏈接:https://www.owlting.com/news/articles/26289

使用真空封口機常見問題?

封口機用途廣泛,各產業袋類包裝,食品包裝、豆乾、喜餅、咖啡豆、咖啡粉掛耳包、鳳梨酥等等

好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!

茶葉罐是用來存放茶葉的容器,有錫製、鐵製、陶瓷、玻璃、紙製的材質。

家庭、朋友聚會,享受輕鬆烤肉必備紅外線烤爐NO.1

統烤爐使用木頭、煤炭燃燒加熱。現代烤爐則有多功能,使用分別為電熱或天然氣,烤爐分單層、雙層和三層型式,各層獨立控制,可同時使用,也可單層單烘爐分單層、雙層和三層型式,各層獨立控制,一般都有自動恆溫系統。

有廠商專門客製化橡膠製品嗎?

橡膠,或稱樹奶,是一種有彈性的聚合物。橡膠可以從一些植物的樹汁中取得,也可以是人造的,兩者皆有相當多的應用及產品,例如輪胎、墊圈等(可與乳膠製成橡皮筋),逐漸成為重要經濟作物。橡膠的種植主要集中在東南亞地區,如泰國、馬來西亞、印度尼西亞。