Scribd Logo
Upload

Welcome to Scribd!

  • 5G帶動智慧交通技術與服務創新推動與管理計畫 - 趨勢文章內文 - 歐盟鐵路資訊安全風險管理措施介紹(上)

    Uploaded by

    Matthew Sum
    3 views5 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    3 views5 pages

    5G帶動智慧交通技術與服務創新推動與管理計畫 - 趨勢文章內文 - 歐盟鐵路資訊安全風險管理措施介紹(上)

    Uploaded by

    Matthew Sum

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 5

    (https://5gsmart-trans.org.

    tw/) 選單

    趨勢文章 TREND ARTICLES

    首頁 (https://5gsmart-trans.org.tw/index.php/) / 趨勢文章 / 趨勢文章 / 內容頁


    :::

    歐盟鐵路資訊安全風險管理措施介紹(上)
    2022-04-15  關鍵字:ENISA (https://5gsmart-trans.org.tw/index.php/article/keywords/RU5JU0E%7E) 鐵路 (https://5gsmart-
    trans.org.tw/index.php/article/keywords/6ZC16Lev) 歐盟網路暨資訊安全局 (https://5gsmart-
    trans.org.tw/index.php/article/keywords/5q2Q55uf57ay6Lev5pqo6LOH6KiK5a6J5YWo5bGA) 資訊安全風險管理
    (https://5gsmart-trans.org.tw/index.php/article/keywords/6LOH6KiK5a6J5YWo6aKo6Zqq566h55CG)

    (mailto:?subject=歐盟鐵路資訊安全風險管理措施介紹(上)&body=https://5gsmart-trans.org.tw/index.php/article/readfull/6/20)

    資料來源:European Union Agency for Network and Information Security(2021). Railway Cybersecurity- Good practic

    es in cyber risk management.

    網址:https://www.enisa.europa.eu/publications/railway-cybersecurity-good-practices-in-cyber-risk-management

    歐盟網路暨資訊安全局(European Union Agency for Network and Information Security, 以下簡稱ENISA)於2021年11月

    25日發布《Railway Cybersecurity – Good Practices in Cyber Risk Management》,該報告旨在提供歐盟鐵路基礎建設管理


    者(Infrastructure Managers,以下簡稱IM)與鐵路從事業者(Railway Undertaking,以下簡稱RU),評估與防範資訊安全
    風險之適用措施以及實務範例,適用系統包含鐵路的資訊科技(Information Technology,以下簡稱IT)與營運科技(Operati

    on Technology,以下簡稱OT),本文綜整該報告歐盟鐵路最常使用資訊安全風險管理措施,提供我國鐵路相關單位參考。
    財團法人台灣經濟研究院研究一所 \ 陳婕莉副 組長
    (https://5gsmart-trans.org.tw/)

    壹、 歐盟鐵路資訊安全風險管理措施

    資訊安全風險管理者必須了解組織內外部風險以及制訂處理方法,根據ISO 27005:2015標準指出「資訊安全風險管理流程」係

    指整合風險管理方法中必要關鍵活動,其步驟依序包含:確立內外部環境(Establishing the Context)、風險評估(Risk Asse


    ssment)、風險處理(Risk Treatment)、風險承擔(Risk Acceptance)、風險溝通(Risk Communication),以及風險監
    控和審查(Risk Monitoring and Review)。

    上圖為資訊安全風險管理流程

    ENISA歷經多次工作坊與交流,匯集歐盟鐵路相關利害關係人(如RU和IM)目前最常使用鐵路資訊安全風險管理方法,這些關
    係人會搭配不同的鐵路資訊安全風險管理方法或措施,以有效管理日益複雜的鐵路系統,並同時滿足IT和OT系統資訊安全風險
    管理要求。

    現今歐盟鐵路利害關係人中所使用的資安風險管理措施非常多樣,每種資安管理措施在分析方法所呈現範圍和詳細程度皆有所

    不同。對於鐵路IT系統的資安風險管理,最常被引用的措施或方法為網路與資訊系統安全指令(Directive on Security of Netw

    ork and Information Systems,以下簡稱NIS指令)、ISO 2700x系列標準和NIST網路安全框架(NIST Cybersecurity Frame


    work)。而在OT系統方面,則常採用ISA/IEC 62443、CLC/TS 50701,以及歐盟Shift2Rail計畫之X2Rail-3建議,或Crail計畫建
    議。

    目前鐵路IT系統常使用ISO 2700x系列標準或NIS指令,進行資訊安全風險評估,OT系統則採用工業列車系統設計特定方法與框

    架,例如ISA/IEC 62443標準是最常被用於特定OT資產與風險識別框架。此外越來越多歐盟鐵路利害關係人表示有意願使用202
    1 年 8 月所發佈的 CLC/TS50701 標準。本文將介紹歐盟鐵路採用 ISO 2700x 系列標準、 NIS 指令,以及 ISA/IEC 62443 之現況如
    下:

    一、 ISO 27001、27002 與27005標準:

    ISO 2700x系列標準是資訊安全領域引用最廣泛的標準之一。其中ISO 27001旨在協助組織內建立、實施、維護和持續改善資訊


    安全管理系統。ISO 27001和27002內容包含實施風險處理計畫所需之查核項目。而ISO 27005則訂定風險管理的原則,ISO 27

    00X系列標準主要為鐵路基礎設施之IT系統所使用。
    (https://5gsmart-trans.org.tw/)
    二、 網路與資訊系統安全指令合作小組指引(NIS Directive Cooperation Group guidelines):

    NIS合作小組於2018年發布「參考文件(Reference Document)」,其概述關鍵基礎服務營運商(Operator of an Essential


    Service,以下簡稱OES)網路安全措施調查結果,內容涵蓋風險管理流程之風險處理階段,該文件雖無建立新標準或沿用現行
    標準方法,但其以更清楚與結構化方式,闡明OES風險管理面安全措施內容。

    三、 ISA/IEC 62443標準(ISA/IEC 62443 Standards):

    ISA/IEC 62443系列標準提供工業自動化和控制系統(Industrial Automation and Control System,以下簡稱IACS)資訊安全


    風險管理的基本框架。該標準由美國國家標準學會 (American National Standards Institute,ANSI)/美國國際標準管理局

    (International Standards Authority Inc.,ISA)所提出,乃特別針對OT系統訂定工業資訊安全技術與流程風險管理方法,亦

    可應用於鐵路OT系統。其中ISA/IEC 62443-3-2認證,旨在針對系統層面的「安全風險評估與系統設計」,其定義系列工程措

    施,協助組織可完成評估特定IACS風險流程,以及確定安全對策應用,達到降低資訊安全風險的效果。

    貳、傳統與新興鐵路系統將增加資訊安全風險管理難度

    歐盟鐵路利害關係人常以整合或互補方式使用這些措施與標準,以充分解決鐵路IT與OT系統的問題。然而鐵路傳統系統(Lega
    cy Systems)將增加鐵路營運單位資訊安全風險管理難度,目前尚未有明確的解決之道,仍待各界投入與討論。另一方面新系
    統也需持續更新資訊安全風險評估策略與措施,以確保資安風險監測與防範。隨著物聯網、資通訊技術進步,歐盟鐵路所採用
    的資訊安全風險管理措施與標準趨向多元化,此亦顯現目前仍缺乏專屬鐵路IT與OT系統的資訊安全風險管理標準與措施。

    參、參考資料

    [1] European Union Agency for Network and Information Security(2021),Railway Cybersecurity- Good practices in cyber ri
    sk management。 (https://www.enisa.europa.eu/publications/railway-cybersecurity-good-practices-in-cyber-risk-manage
    ment)

    1. 「本網站所刊載之所有資料內容及素材,皆屬於交通部科技顧問室所有,非經交通部科技顧問室同意不得將全部或部分內容轉載於任何形式之媒體、不得任意轉載作商業用途」

    2. 「本網站資訊內容受著作權法保護者,除有合理使用情形外,任何形式轉載、重製、散布、公開播送、出版或發行本網站內容應取得該著作財產權人同意或授權後,方得利用。」

    3. 「本網站所刊載之所有資料內容及素材,得於受著作權保護之範圍內利用,然使用時,應註明出處。」

     返回列表 (https://5gsmart-trans.org.tw/index.php/article/list_page/6)
    歐盟5G! Drones計畫之智慧無人機應... (https://5gsmart-

    :::
    相關新聞
    (https://5gsmart-trans.org.tw/)

    5G智慧海港方向-探討我國港口場域之潛在5G應用服務項... 5G智慧海港方向-探討我國港口場域之潛在5G應用服務項...

    (https://5gsmart-trans.org.tw/index.php/article/readfull/6/40) (https://5gsmart-trans.org.tw/index.php/article/readfull/6/39)

    5G智慧公路應用介紹 5G智慧觀光潛在應用服務方向

    (https://5gsmart-trans.org.tw/index.php/article/readfull/6/38) (https://5gsmart-trans.org.tw/index.php/article/readfull/6/37)

    5G智慧觀光應用服務發展與案例-以英國西英格蘭5G觀光... 歐盟智慧海港資安防護措施介紹(下)

    (https://5gsmart-trans.org.tw/index.php/article/readfull/6/36) (https://5gsmart-trans.org.tw/index.php/article/readfull/6/35)

    關鍵字索引

    5G (https://5gsmart-trans.org.tw/index.php/article/keywords/NUc%7E)
    智慧交通 (https://5gsmart-trans.org.tw/index.php/article/keywords/5pm65oWn5Lqk6YCa)
    (https://5gsmart-trans.org.tw/)
    智慧海港 (https://5gsmart-trans.org.tw/index.php/article/keywords/5pm65oWn5rW35riv)
    歐盟 (https://5gsmart-trans.org.tw/index.php/article/keywords/5q2Q55uf)
    報名 (https://5gsmart-trans.org.tw/index.php/article/keywords/5aCx5ZCN)
    智慧空港 (https://5gsmart-trans.org.tw/index.php/article/keywords/5pm65oWn56m65riv)
    交通部 (https://5gsmart-trans.org.tw/index.php/article/keywords/5Lqk6YCa6YOo)
    車聯網 (https://5gsmart-trans.org.tw/index.php/article/keywords/6LuK6IGv57ay)
    資訊安全 (https://5gsmart-trans.org.tw/index.php/article/keywords/6LOH6KiK5a6J5YWo)
    期中報告 (https://5gsmart-trans.org.tw/index.php/article/keywords/5pyf5Lit5aCx5ZGK)

    :::  最新消息 (https://5gsmart-  產業交流 (https://5gsmart-


    trans.org.tw/index.php/article/list_page/1) trans.org.tw/index.php/article/list_page/3)
     計畫介紹 (https://5gsmart-  趨勢文章 (https://5gsmart-
    trans.org.tw/index.php/article/list_page/7) trans.org.tw/index.php/article/list_page/6)
     補助專區 (https://5gsmart-
    trans.org.tw/index.php/article/list_page/2)

    交通部 5G帶動智慧交通技術與服務創新推動與管理計畫 委辦
    台北市10558松山區八德路三段2號3樓 (交通位置) (http://www.tca.org.tw/trans_info.php)
    諮詢專線:(02)2570-6337、(02)2349-2225
    補助諮詢信箱 MOTC5G@5gsmart-trans.org.tw (mailto:MOTC5G@5gsmart-trans.org.tw)

    瀏覽人次:443517
    隱私權保護宣告 (https://5gsmart-trans.org.tw/index.php/information/readart/1)
    政府網站資料開放宣告 (https://5gsmart-trans.org.tw/index.php/information/readart/2)

    (https://accessibility.moda.gov.tw/Applications/Detail?category=20220126144827)

    本網站請使用Chrome、Firefox或Edge瀏覽以達到最佳效果
    Copyright © 2021 5G帶動智慧交通技術與服務創新推動與管理計畫 All Rights Reserved.

    You might also like