关于工控安全防护能力贯标

在过去的几十年里，工业控制系统的引入改变了许多行业的运作模式。然而，网络威胁也从近几年里愈发持续地向工业控制系统蔓延。全球范围内发生的一系列针对工业控制系统的网络入侵事件引起了人们对工业信息安全话题越来越多的关注。2017年，沙特石化工厂遭受TRITON恶意软件攻击。2015、2016年，乌克兰电网遭遇黑客攻击。2010年，“震网” （Stuxnet）病毒席卷全球。诸如这些典型的工控网络安全事件都引发了各个国家的高度重视。运营技术（OT）和信息技术（IT）的相互融合，实现了大量的工业设备互联互通。利用软件技术，允许这些设备进行数据的收集和分析，能提高设备的性能和自动化程度。

随着第四次工业革命的逐步推进， 预期开发和调试这些智能设备的数量会呈指数增长。 但伴随技术发展带来裨益的同时，工业控制系统也将面临更多的漏洞和网络威胁。因此，了解和实施工业信息安全的标准或政策是绝对有必要的。一些细分的工业领域以及各个国家也都逐渐开始引入相关的监管要求，以应对这些网络威胁。

但大部分公众仍对工业信息安全有误解，在理解IT和工业信息安全的区分上有偏差。工业信息安全的广泛应用也远远落后于IT信息安全，有必要结合行业的特点来投入更多的精力开发工业信息安全。几个关于工业信息安全的国内外标准已经被制定出来，虽存在差异，但框架是类似的。ISA/IEC 62443是一个完整的标准体系，从人、流程和技术的角度提供了工业信息安全的指导，针对不同的角色（例如资产所有者、服务供应商以及产品供货商），介绍了一套通用的条款和要求。ISA/IEC 62443已经在工业领域得到了广泛认可，并被世界上越来越多的国家所采用。

IEC62443-2-4是工业自动化和控制系统安全的第2-4部分，定义了在自动化解决方案的集成和维护活动中IACS服务提供商可以向资产所有者提供的安全能力的一系列综合要求。取得此认证的企业可以在国际工控网络安全领域得到上下游客户的认可，提升企业工控系统网络安全能力，助力企业扩展业务范围。

工控安全防护能力贯标能给企业带来的收益

1. 能够提高组织信息安全服务能力规范化管理，提高业务能力和服务效率。

2. 完善的信息安全服务体系可以保证组织业务的可持续性。

3. 证明组织在国际或国内信息安全领域某一个或几个方面的服务能力 ，能够增强客户、投资方的信心，从而带来竞争优势。

4. 定期评估过程有助于组织持续监控企业的绩效与改进。

5. 可以向政府及行业主管部门证明组织对相关法律法规的符合，并能得到国家认可。

工控安全防护能力贯标咨询服务流程

（1）. 前期咨询

（2）. 确认合作

（3）. 项目启动

（4）. 完成资质申报准备

（5）. 递交资料

（6）. 完成认证，获得认证证书