Nemko Taiwan:全球市场准入与产品合规

Nemko x Deloitte 攜手建置網路資訊安全網絡

作者:Danny Lu | Dec 5, 2022

三關鍵提升投資人信心 強化企業競爭力 1. 接軌國際標準 2. 加速安全開發整合 3. 掌握產品生命週期資安風險

近年來全球資安事件層出不窮,促使國際社會間資安意識不斷提升,各界對於如何達成整體資安的共同強化,也逐漸凝聚共識。12月2日勤業眾信聯合會計師事務所與 Nemko 攜手舉辦「Nemko & Deloitte 網路資訊安全」研討會,分享當前國際上物聯網(IoT)與無線產品的資安法規以及趨勢。目前國際上已陸續發布適用於不同產品或應用領域等的各項資安相關標準與要求,就物聯網與無線產品來說,因其互連的特性與對資料傳輸的需求,使這些產品的網路資訊安全更是持續受到日漸嚴峻的考驗。勤業眾信表示,透過取得國際主流資安標準之認證,可協助廠商建立完善的資安風險管理系統與制度,藉此有效掌握資安風險,並提升投資人與客戶信心。此外,廠商應加速將安全開發整合至產品生命週期,以確保產品資安在從開發、建造、維護到退役的各階段都能獲得保障。

掌握威脅情資與國際資安趨勢脈動,最大化安全開發效益

勤業眾信聯合會計師事務所風險諮詢服務執行副總經理簡宏偉表示,企業在設計並推出物聯網設備時,是否有將資訊安全需求納入開發規畫,避免相關設備成為駭客入侵企業網路的入口,將成為企業未來所必須正視的課題。面對快速更新的駭客攻擊手法,企業在積極著手將安全開發系統化地融入產品開發週期時,持續接收最新的威脅情資與國際資安趨勢也是重要一環,以確保產品的網路資安能跟上市場要求,讓安全開發所帶來的實質效益可達最大化。

選擇合適國際資安標準進行認證,展示企業資安強化決心

勤業眾信聯合會計師事務所風險諮詢服務資深經理王晨芳表示在現今萬物聯網與高度數位化的時代,企業往往需要處理比過去更龐雜的內外部資訊,政府與大眾對於資安與個資保護的要求也不斷升高,因此,站在法令遵循或是企業經營的角度,網路資訊安全的管理與保護都已成為企業應儘快著手的要務,以避免在資安攻擊發生時措手不及,造成更嚴重的損失。

企業可依據其產品/應用類別、在供應鏈中所扮演的角色等面向選擇適用的國際資安標準,作為實施資安風險管理的指引,協助企業掌握資安風險,展示企業對資安強化的決心。舉例來說,消費性物聯網設備可參考由歐洲電信標準化協會(ETSI)所發布的ETSI EN 303 645「消費性物聯網設備的網路安全」標準,無線設備可參考由歐盟委員會(EC)所發布的「無線電設備指令(RED)」,而工控系統則是可參考目前在國際上被廣泛採納和認可的工控系統網路安全標準ISA/IEC 62443。

值得一提的是,ISA/IEC 62443的4-1條文制定了產品開發生命週期的安全要求,透過達成這些安全要求,可協助產品在整個生命週期中的安全性符合預期風險。

因應歐盟無線電設備指令新要求,廠商該如何因應網路安全升級?

Nemko聯廣驗證資深經理路龍輝表示,歐盟委員會(EC)於2021年10月29日宣布採用「無線電設備指令(RED)」的委託法規以對特定無線設備類別新增網路安全要求(見第3.3條的d、e、f項),藉此強化網路安全、個資保護與隱私,其中類別包括可透過網際網路溝通的裝置、玩具與孩童照護(Childcare)設備、及穿戴裝置,可見涵蓋了多數的物聯網與無線裝置。這項委託法規將於2024年8月1日生效,屆時在歐盟市場所銷售符合上述類別的無線設備,都須符合新的網路安全要求。雖然新措施尚未落地,但考量到將這些資安要求完整納入既有產品可能不易、以及新產品開發往往需要數月甚至數年的時間,無線產品廠商應及早採取行動,包括採用歐盟委員會所發布符合RED要求的調和標準(Harmonised standards),並將新的網路安全要求確實納入未來產品開發考量 。