IEC制定保证IT和OT供应链网络安全的国际标准

网络安全公司BlueVoyant的研究表明，有超过80% 的组织因其供应链中的安全漏洞而遭遇过数据泄露。供应链特别容易受到攻击，因为它们与工厂运营、员工、客户和货运等等有复杂的关联。

想知道供应链上正在使用的安全程序非常困难，更不用说掌控了。从法律的角度来看，这让买家非常不方便，因为供应商的做法给他们带来了风险。

国际标准和合格评定提供了一个基于最佳实践的安全框架，以及一个世界各国的顶级专家协商一致意见的安全框架。但是，选择正确的方法来降低风险至关重要。

IT系统（例如政府机构或公司总部的IT系统）需要不同的信息物理系统解决方案，比如电网及其他使用运营技术（OT）的重要基础设施。

一、对比IT和 OT

工业物联网（IIoT）的发展加速了IT和OT这两个曾经分离的领域的融合。信息物理系统与一系列传感器和监视器相连接，后两者收集、分析和与其他设备和系统交换数据，以提高输出、质量和一致性。然而，效率的提高是有代价的。因为增加连接为潜在攻击者创造了更大的攻击面。

IT 安全将数据的机密性、完整性和可用性放在同等位置。相比之下，OT 的优先级是可用性。IT 系统的第一道防线通常是停止程序，OT则不然。如果OT停止，有可能会威胁到人员安全，或对环境造成灾难性的破坏。这种结果更糟。

二、保护IT供应链

正如ISO/IEC 27001所述，大多数组织可以通过实施信息管理安全系统（ISMS）来保护自己。ISO/IEC 27000系列标准中的第四部分出版物是ISO/IEC 27036，该标准为第三方关系提供信息安全指南。

采用 ISO/IEC 27001有助于组织管理其信息安全风险，包括威胁、漏洞、以及攻击的影响和后果的影响。此外，ISO/IEC 27001现已是批准程序方案的一部分，该方案规定对已证明符合相关出版物的组织进行独立评定，并颁发国际IECQ合格证书。

 IECQ AP方案进行的 IECQ ISMS评定确保将重点放在能满足关键的技术和行政要素上。这些要素为满足ISO/IEC 27001的要求提供了信心。

三、保护OT供应链

IEC 62443旨在让信息物理系统持续运行。该项标准适用于任何工业环境，包括重点基础设施设施，如电厂、核电厂、卫生和交通部门等。

将IEC 62443-2-4、 IEC 62443-3-3、IEC 62443-4-1以及 IEC 62443-4-2一起使用，尤其是与 IECEE合格评定方案结合，可以为工业供应链提供有效的解决方案。IEC 系统的工业信息安全电工设备和元件合格评定方案用于测试和认证工业自动化部门的网络安全。想获悉更多的国内外标准信息，请访问中国标准信息服务网（<https://www.sacinfo.cn>）。