IEC 62443标准 工控网络与系统信息安全标准

Test or certification item 测试或认证名称: 
INDUSTRIAL NETWORK AND SYSTEM SECURITY
工控网络与系统信息安全标准 

参考标准：ISO 21343, SAE 21343, ECE R 155, ETSI EN 303 645, ETSI TS 103 701, ISO 15408, FIPS 140-2, CA SB-326, HB 2395, 

1）如果客户只做 pre-test 
测试标准为: IEC62443-4-1 & IEC62443-4-2 
只提供测试报告，不含证书（因为申请证书，需要每年缴交年费，费用非常昂贵）
测试项目如下： 
1.CRT/VIT pre-test 
-Price: RMB 万（不含税） 
-L/T: Around 45-60 days 
2.FSA-E/SDLPA, SDA-E 
-Price: RMB 万（不含税） 
-L/T: Around 45-60 days 

2) 如果客户要求申请测试和证书，测试地点会在法国完成，价格和时间另行评估 

Test or certification info 测试和认证相关内容:

IEC 62443工业信息安全认证：产品供应商

    针对：工控产品供应商、研发部门、产品部门

    认证：产品，研发流程

IEC 62443工业信息安全认证：集成服务商类

    针对：工控集成供应商、工程部门

    认证：集成系统/方案，集成能力

项目案例:全球首批IEC 62443认证

2016年8月，X公司成为首家取得基于IEC 62443工业信息安全认证的厂家。

    其中，X公司工业集团的工控系统及组件PCS7 获得产品认证，X能源集团获得变电站自动化解决方案认证。

    截止2017年8月，X公司共有18个研发及制造中心获得基于通用的产品全生命周期研发管理流程的认证。

证书持有者

▪ SIMATIC PCS 7

参考标准

▪ IEC 62443-3-3

认证企业

▪ Secure Product Development Life Cycle

参照标准

▪ X公司(系统集成商)

认证对象

    安全变电站自动化系统，包括变电站自动化设备:

▪ HMI: SICAM SCC

▪ Router/Firewall: RUGGEDCOM

▪ IEC 62443-2-4

▪ 安全意识和行为

▪ 社会工程学

▪ 安全软件开发生命周期(SSDLC)

▶  流程

▪ 设计评审/威胁建模/代码评审

▪ 定义事件响应计划和业务连续性计划

▪ 支持OT网络投标：RFP技术规范、报价评估等。

▪ 航运网络安全评估和分类

☀ OT红队测试

    红队测试可以在OT环境中模拟各种网络攻击。通过这一模拟，可以详细了解外部黑客的攻击路径，并训练网络防御者。

    黑客如何接近我们的关键基础设施，我们能否尽早发现这一威胁，我们存在的漏洞是什么，应该如何补救？如果您的工业环境中需要解决这些问题，可以通过OT红队测试找到答案。

    ☀ OT站点评估

    OT站点安全评估遵循国际公认的标准和实践，如IEC 62443、NIST SP 800-82和ALARP，这些都是专门为工业控制、自动化和其他系统量身定制的。

    OT站点评估是专门为识别站点层级风险而设计的，而不是组织层级风险。OT风险评估服务是根据IEC 62443标准的基本要求定制的， 涉及的主题领域包括内部威胁、外部暴露、OT网络流量分析、网络弹性、数据泄漏风险和网络/系统安全。

▶  科技  

▪ 在OT环境中进行红队测试

▪ GDPR隐私保护

2.2.3. 互联汽车

2.2.4. 工业产品

Refer products 涉及产品:  工控系统

Lead time 周期:  
申请测试 Test report 常规服务 regular service 60 工作日 working days （ URGENT service, to be confirm, 加急服务待定 ）

申请证书 Certification 常规服务 regular service 60 工作日 working days （ URGENT service, to be confirm, 加急服务待定 ） 

Sample size 送样规格:  on request 待定

Sample report 样本报告：

Photo for reference 涉及图片: