網域安全

耀智所提供的服務能協助客戶滿足不同類型的網宇安全需求;近來因應資安技術在不同領域的發展,耀智將也將服務範圍從以往製造業,擴展資訊、車載、醫療與工控供應鏈等領域,希望能協助廠商依照國際規範的要求,建立高規格的資安防護基準線,降低企業資安事件,及產品可能的資安風險外,也能幫助客戶符合各國政府暨使用者的資安要求:

 

 

  • ISO/IEC 27001合規服務

ISO/IEC270001:2022 版的標準主要針對資訊安全、網宇安全、隱私保護及資訊安全系統訂定相關管理要求事項,ISO/IEC 27001標準要求企業進行以下的管理:包含系統性地檢驗組織的資訊安全風險,並考慮其威脅、弱點以及其所造成的影響,同時設計並實現連貫且全面的資訊安全控管套件,並參考其它相關的風險管理方案(例如風險避免或風險轉移)來處理無法接受的風險,以降低企業面臨越來越多的資安風險,耀智的資安合規服務以管理企業範疇的流程,在企業現有的基礎上,確認資訊安全管理控管可以持續的符合組織的資訊安全需求,協助客戶取得認證。

 

 

  • IEC 62443 合規服務

近年來供應鏈攻擊事件不勝枚舉,甚至已威脅到人民安全。一些實際案包括:2010年的伊朗核電廠遭受Stuxnet病毒

攻擊,導致離心機毀壞;2015年的鳥克蘭電廠大停電事件,到前年2020 年針對美國國防部、能源部、國土安全部、財政部、國務院、商務部和衛生部的SolarWinds攻擊等。因此,不論這些攻擊事件是政治或是經濟因素,都讓各國政府加速提升對供應鏈或是工控產業的資訊安全要求。

為因應這一趨勢,國際電工組織委員會參考ISA 99 series標準修訂了IEC 62443系列標準,在此標準中定義了四種角色,分別是:

資產擁有者(Asset Owner)、服務提供商(Service Provider – Maintenance Service、系統整合商(System Integrator/ Service Provider – Integrator Service)以及產品供應商(Product Supplier)。企業可依自身的角色決定要導入並取證的系列標準。耀智可協助企業從資安需求、設計、開發、安全測試、部署到除役的階段,提供各個階段相對應的資安顧問服務,協助製造商建立產品安全開發流程系統,減少資安風險及事件的發生。

 

 

  •  ISO/SAE 21434道路車輛-資通訊安全工程 (Road vehicles – Cybersecurity engineering)

因應自駕車的興起,汽車產業越來越朝向智慧化發展,並仰賴E/E系統開發出許多不同的智能服務,包含輔助駕駛、資訊娛樂、遠端控制、車輛資訊交換等,國際標準組織參考SAE (國際

汽車工程師學會)以及聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29),針對汽車製造商制定的網路安全管理系統 (CSMS, Cyber Security Management System),制定出ISO/SAE 21434標準,主要是為了確保現代的汽車產業,從設計開發、生產到生產後的整個生命周期,都應具有安全設計並重視風險管理,同時涵蓋到整個供應鏈。耀智可提供相關的顧問服務,協助客戶依照其屬性導入適合的標準章節,以確保網路暨生產安全,並符合國際標準以取得證書。

 

 

  •  GDPR 個人隱私保護

因應國際網購交易、雲端儲存設備造成個人資料外洩事件頻傳,歐盟為保護消費者個人隱私的問題,提出GDPR(General Data Protection Regulation, GDPR)規範,除了一般個人身分(如身分證、電話、地址...)外,還包含線上定位資料(如 Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄…),簡單來說,只要是跟個人有關的特定資訊,就屬於GDPR的保護範圍。

為具更強大約束力,歐盟也祭出嚴格的罰款: 一旦發現違反GDPR的企業,最高處全球年營業額4%或是最高處2,000萬歐元(兩者取其高者)。而企業該如何因應這排山倒海來的GDPR風暴呢? 如何再強化現行個資管理以符合規範?

在GDPR規範之下,在蒐集個資時,就必須定義所蒐集個資的”特地、明確、且合法”的目的、內容、用途、資料的授權

等,並因應使用者要求提供回收其資料行使的同意權,並配合刪除該筆個資。

然而除了個人資料流管理,GDPR還加入了組織管理、開發管理等面向的安全要求,與歐盟往來之企業應依據GDPR各項規範參考現有的指引,如ISO 27001, NIST cybersecurity framework, BSIMM等,以全面保護所持有之個資。

了解更多