阿摩線上測驗
7. 【題組 1 背景描述如附圖】因該公司是某先進產品的製造商,
若 要 進 一 步 強 化 該 公 司 製 造 場 域 部 分 的 資 訊 安 全
(Operational Technology),宜再導入下列何種標準驗證較為
合適?
(A) BS 10012
(B) IEC 62443-2-1
(C) IEC 62443-2-4
(D) ISO/IEC 27001
統計: A(45), B(378), C(112), D(175), E(0) #3102098
詳解 (共 3 筆)
這題的正確答案是 (B) IEC 62443-2-1。
針對製造商的營運技術(OT, Operational Technology)與工業控制系統(IACS)安全,IEC 62443 系列是目前全球最公認且最合適的標準體系。
核心問題分析:IT 與 OT 的區別
該公司已經通過了 ISO 27001(資訊安全管理系統),這主要針對的是「資訊資產」與「IT 環境」。然而,製造場域的「生產線設備」、「工業感測器」與「控制系統」屬於 OT 領域,其安全需求更強調可用性(Availability)與可靠性,因此需要更專門的標準。
各選項原因詳解
-
(B) IEC 62443-2-1 (正確答案)
-
定義: 工業自動化及控制系統安全:資產擁有者的資安管理程序。
-
原因: A 公司作為「產品製造商(即工廠的資產擁有者)」,若要強化其內部生產場域(OT)的資安管理,IEC 62443-2-1 專門規定了資產擁有者應如何建立、實施與維護工業自動化控制系統的資安計畫。它是將 ISO 27001 的概念延伸至工廠環境的關鍵標準。
-
-
(C) IEC 62443-2-4
-
用途: 針對解決方案供應商(Service Providers)。
-
原因: 這個子標準主要是規範「設備供應商」或「系統整合商」在工廠內進行安裝、維護與服務時應具備的安全程序。A 公司是「製造商(使用者)」,而非「提供維護服務的廠商」,因此這不是最直接適合 A 公司自身場域管理的標準。
-
-
(A) BS 10012
-
用途: 個人資訊管理系統(PIMS)。
-
原因: 這是由英國標準協會(BSI)制定的個資保護標準。A 公司已經通過了性質類似的 ISO 27701,且 BS 10012 專注於隱私保護,與題目要求的「製造場域(OT)資安」無直接關聯。
-
-
(D) ISO/IEC 27001
-
用途: 一般性的資訊安全管理系統(ISMS)。
-
原因: 題目背景已明確提到 A 公司「先前已通過 ISO 27001」,現在是要求「進一步強化製造場域」,因此不需要重複導入已有的標準,而是應尋求更專精於工控環境的 IEC 62443。
-
標準比較摘要表
| 標準編號 | 針對對象 / 領域 | A 公司適用性 |
| IEC 62443-2-1 | 工廠資產擁有者(製造商) | 最合適,用於強化 OT 安全管理 |
| IEC 62443-2-4 | 設備/系統整合服務廠商 | 其次,主要規範外部維護人員 |
| ISO 27001 | 企業整體 IT 資訊安全 | 已通過,範圍較廣泛 |
| BS 10012 | 個人資料保護 | 不相關 |
