DLC NLC网络照明控制系统安全标准近三年的更新如下表:
2022年12月21日更新-CSA/ANSI T200,通过研究,DLC确定了满足NLC5技术要求中网络安全标准的若干网络安全标准。为了帮助制造商和其他用户为其网络照明控制系统找到合适的标准,该资源提供了有关每个标准的附加信息并总结了它们的应用。
本表描述了DLC NLC5技术要求表CS-1中列出的网络安全标准认证的主要应用程序和时间表。
ANSI/UL 2900-1
ANSI/UL 2900系列标准是作为UL网络安全保证计划(UL CAP)的一部分制定的,该计划为制造商提供了可测试和可测量的标准,以评估产品弱点、漏洞和安全风险控制。ANSI/UL 2900-1适用于应评估和测试漏洞、软件弱点和恶意软件的网络可连接产品。本标准描述了:
•软件开发人员(供应商或其他供应链成员)的要求及其产品的风险管理流程。
•评估和测试产品是否存在漏洞、软件弱点和恶意软件的方法。
产品架构和设计中存在安全风险控制的要求。ANSI/UL 2900-1适用于一般网络可连接产品,包括网络照明控制。UL 2900-2系列具有医疗保健、工业控制、建筑和生命安全的特定标准。
CSA/ANSI T200
CSA/ANSI T200是CSA集团发布的一项双国家(加拿大和美国)网络安全标准。本标准描述了评估组织产品软件和网络安全控制成熟度的方法。本标准为评估人员和供应商提供了一种方法,以确定组织和正在开发的产品/解决方案的控制成熟度,而不考虑解决方案的纵向。它涵盖了整个产品系统的生命周期,从构思到全面调试,直至生命周期结束。本标准适用于所有物联网和相关产品/解决方案。评估每个网络安全活动的成熟度水平,以便组织能够根据最佳实践确定其安全成熟度。CVP的成熟度级别从0级到3级,其中0级意味着没有证据表明保护组织或其产品所需的基本控制措施,而3级则确认了一个完善的安全实施过程,并提供了持续的支持和安全增强。
IEC 62443标准
IEC 62443系列标准最初是为自动化和控制系统开发的。今天,IEC 62443标准被分析用作技术水平标准,正式适用于多个行业部门。该系列中的每一份文件都涵盖了网络安全的一个方面,并独立更新。各种文件涵盖组件技术要求、系统技术要求、产品供应商开发生命周期实践、集成商实践以及最终用户管理和现场网络安全计划的运行。
•第4-1部分:产品安全开发生命周期需求描述了产品开发人员安全开发生命期的需求。主要受众包括控制系统和部件产品的供应商。
•第4-2部分:IACS(工业自动化和控制系统)组件的技术安全要求描述了基于安全级别的IACS组件的要求。组件包括嵌入式设备、主机设备、网络设备和软件应用程序。主要受众包括控制系统中使用的组件产品的供应商。
•第3-3部分:系统安全要求和安全级别描述了基于安全级别的IACS系统的要求。主要受众包括控制系统供应商、系统集成商和资产所有者。
IEC 62443标准的认证由国际自动化协会(ISA)提供,该协会是62443系列标准的作者,其品牌为ISASecure®。ISASecure认证通过ISO 17011认证机构根据ISASecure CB要求认证的ISO 17065认证机构的全球网络提供。
SOC 2(服务组织控制2)
SOC 2报告旨在满足广泛用户的需求,并针对每个服务组织的需求(不同的原则、控制和控制测试)进行定制。这些报告可以在监督组织、供应商管理计划、内部公司治理和风险管理流程以及监管监督方面发挥重要作用。SOC 2报告由注册会计师管理,并提供服务机构系统的描述。本报告包含以下方面的详细信息:
•服务机构系统的描述是按照描述标准进行的,以及
•描述中所述的控制措施经过适当设计并有效运行,以合理保证服务组织的服务承诺和系统要求基于适用的信托服务标准得以实现(用于处理用户数据的系统的安全性、可用性和处理完整性以及这些系统处理的信息的保密性和隐私性)。
ISO/IEC 27001标准
本国际标准规定了建立、实施、维护和持续改进信息安全管理系统(ISMS)的要求。它包括根据组织需要评估和处理信息安全风险的要求。
ISO/IEC 27001认证通常涉及ISO/IEC 17021和ISO/IEC 27006标准定义的三阶段外部审核过程:
•第1阶段是对ISMS的初步、非正式审查;例如,检查关键文档的存在性和完整性,如组织的信息安全政策、适用性声明(SoA)和风险处理计划(RTP)。该阶段用于使审计员熟悉组织,反之亦然。
•第2阶段是更详细和正式的合规性审计,根据ISO/IEC 27001中规定的要求独立测试ISMS。审计员将寻求证据,以确认管理系统已正确设计和实施,目前正在运行。认证审核通常由ISO/IEC 27001首席审核员进行。通过此阶段,ISMS将获得符合ISO/IEC 27001的认证。
•持续进行包括后续审查或审计,以确认组织仍然符合标准。认证维护需要定期重新评估审计,以确认ISMS继续按照规定和预期运行。这些审计应至少每年进行一次,但通常更频繁地进行(与管理层达成协议),特别是在ISMS仍在成熟的时候。
ISO/IEC 27017标准
本国际标准提供了支持云服务客户和云服务提供商实施信息安全控制的指南。一些指南适用于实施控制的云服务客户,以及其他的是云服务提供商来支持这些控件的实现。适当的信息安全控制措施的选择和提供的实施指南的应用将取决于风险评估和任何法律、合同、监管或其他云部门特定的信息安全要求。
本标准提供了适用于云服务提供和使用的信息安全控制指南,包括:
•ISO/IEC 27002中规定的相关控制的附加实施指南,以及
•具有与云服务具体相关的实施指南的附加控制。
FedRAMP(联邦风险和授权管理计划)FedRAMP计划为美国政府使用的云产品和服务提供了安全评估、授权和持续监控的标准化方法。FedRAMP对于低、中、高风险影响级别的联邦机构云部署和服务模型是强制性的。FedRAMP安全控制基于NIST SP 800-53修订版4基线,包含高于NIST基线的控制,以解决云计算的独特元素。FedRAMP的目的是:
•确保政府实体使用的云系统有足够的保障措施,
•消除重复工作并降低风险管理成本,以及
•使政府能够快速和具有成本效益地采购信息系统/服务。
CSA STAR™ (云安全联盟安全信任、保证和风险)CSA STAR以透明、严格审计和标准统一的原则解决云安全保证问题。CSA云控制矩阵(CCM)工具提供了云特定安全控制的元框架;映射到针对云计算的信息安全的领先标准、最佳实践和法规。
STAR使云服务解决方案提供商能够验证其云安全性,并向当前和未来客户提供适当控制的证据。STAR使云客户能够评估哪些组织满足其所需的保证级别,并深入了解保护其数据的控制措施。
ioXt公司
ioXt联盟的使命是通过多利益相关者、国际、统一和标准化的安全和隐私要求、产品合规计划以及这些要求和计划的公共透明度,建立对物联网(IoT)产品的信心。联盟成员为消费电子、移动、汽车和商业建筑控制等市场提供产品和服务。多个实验室提供测试。
该计划基于八项原则,可追溯到美国和欧盟法规。这些原则被进一步细分为每个原则的多个层次,60多个测试用例涵盖了安全性、可升级性和透明度等主题。正在开发设备配置文件,以满足特定设备和市场的独特安全要求。流程、组件和系统已涵盖,未来的扩展将涵盖云服务。
ioXt基本配置文件自2020年年中开始提供。为商业建筑中的网络照明控制网关设备量身定制的配置文件正在开发中,除了基本配置文件之外,还有其他要求,预计将于21年年中发布。
PSA认证
PSA认证为保护连接设备提供了一个框架,从分析到安全评估和认证。该框架提供标准化资源,帮助解决物联网需求日益分散的问题,并确保安全不再是产品开发的障碍。
