阿摩線上測驗
複選題
8. 【題組 1 背景描述如附圖】公司希望其服務提供商,亦具備
相關的工業控制系統資訊安全能力。從流程(Process)認證
而言,可以進行下列哪兩種標準的認證?
(A) IEC 62443-2-4
(B) IEC 62443-3-3
(C) IEC 62443-2-3
(D) IEC 62443-4-2
答案:登入後查看
統計: A(495), B(149), C(525), D(93), E(0) #3102099
統計: A(495), B(149), C(525), D(93), E(0) #3102099
詳解 (共 3 筆)
ausyen.de
#7320018
這題的關鍵就在於 「流程 (Process)」 這兩個字。
詳細解析:為何 (A) 與 (C) 是正確的?
在 IEC 62443 的第二層級(Policies & Procedures)中,這些標準專門規範「人」與「組織」該如何運作,而非機器該具備什麼功能:
(A) IEC 62443-2-4:服務供應商的安全方案要求
-
定位: 流程 (Process)。
-
解析: 這份標準是針對「系統整合商」與「維護服務商」量身打造的。它規定了服務商在協助 A 公司進行系統整合、安裝或後續維護時,其內部必須具備的一套安全作業流程(例如:如何管理遠端存取、如何進行人員培訓等)。
(C) IEC 62443-2-3:工控環境的修補程式管理
-
定位: 流程 (Process)。
-
解析: 這是一個非常具體的作業流程規範。在 OT 環境中,不能像一般 PC 一樣隨便更新。2-3 規範了資產所有人(A 公司)與供應商之間,如何溝通、測試、驗證並執行 Patch Management(修補程式管理)的流程。這對於維持系統的持續安全性至關重要。
為什麼 (B) 與 (D) 在「流程」認證中被排除?
-
(B) IEC 62443-3-3:系統安全要求與安全等級
-
性質:技術 (Technical)。
-
原因: 這是在定義一個「系統」應該具備哪些安全功能(如密碼長度、加密強度)。這是看系統的能力,而不是看人的作業流程。
-
-
(D) IEC 62443-4-2:元件的安全技術要求
-
性質:技術 (Technical)。
-
原因: 這是針對單一「產品/零件」(如 PLC、Switch)的硬體技術指標。它確保產品本身夠堅固,但並不涉及開發或營運的流程。
-
0
0