公告&动态 第169页

ISO已与世界银行集团（WBG）达成合作，按其需要为发展中国家的ISO成员国家标准化机构提供支持，以实施世界贸易组织（WTO）贸易便利化协定（TFA）。这将涵盖采用技术性贸易壁垒的良好规范，特别是实施合格评定程序等领域。

该项合作协定是在2018年11月14至16日在南非开普敦举行的边境机构合作研讨会上签署的，会上ISO受邀就“标准与贸易便利化”议题进行发言。

此次研讨会汇集了参与实施TFA的12个非洲国家的高级官员，以进行经验分享和相互学习。该会议由世界银行集团（WBG）、世贸组织秘书处、国际植物保护公约（IPPC）秘书处、世界动物卫生组织（OIE）、粮食及农业组织（FAO）和世界海关组织（WCO）联合组织。

“WBG贸易便利化支持计划”积极协助发展中国家调整其贸易便利法及相关程序与流程，以确保TFA的顺利执行。

在大多数发展中国家，ISO成员或国家标准机构（NSB）是应WTO“技术性贸易壁垒协定”要求设立的国家咨询点，也可能是合格评定服务的提供者。

此次研讨会中，ISO还承诺向WBG就适用于NSB活动的TFA相关工具提供意见。想获悉更多的国内外标准信息，请访问标准2025网站（<http://www.bz2025.com>）。

国际标准有助于推动气候变化行动向低碳、适应气候的未来转变。据领先的可持续发展专家介绍，他们将出席在波兰卡托维茨举行的联合国气候变化框架公约第24次大会（COP24）ISO周边会议并发言。

 ISO举行的周边会议是于2018年12月2至14日在波兰卡托维茨举行的第24届联合国气候变化框架公约缔约方会议（UNFCCC COP24）的一部分。该会议由ISO气候变化协调工作组（TF7）主办、环境管理与评价协会（IEMA）与IAF国际认可论坛（IAF）协办，主要将就如何使用国际标准推动气候变化的行动、表现和转变展开对话和讨论。

工作组与来自ISO各委员会的专家合作，指导他们制定解决气候变化关键问题的ISO标准。

专家们将就国际标准为气候变化全球挑战带来的机遇展开讨论，话题包括气候行动的主流化、支持测量与监测技术、推进技术与非技术创新，以及促进行为改变与气候变化适应性。ISO标准还可为促进《2015-2030年仙台减少灾害风险框架》的实施做出贡献，该框架确了到2030的减灾目标。

ISO TF7副主席尼克.布莱斯（Nick Blyth）表示，国际标准是帮助组织推进气候变化行动的基础，无论是制定塑造组织文化和流程的管理体系标准，还是制定ISO新的技术标准。

他说，“ISO标准建立在国际合作与协商一致的基础上，由该领域世界领先的专家制定。”

“这些标准是切实有效的强大工具，不仅可以帮助各组织衡量自身对气候变化的影响程度，还能帮助它们采取战略性举措向零碳社会转变，并为气候变化带来的不可避免的挑战做好准备。”

会上，各方将就与气候变化适应性及温室气体排放相关的最新ISO标准和指南进行展示和讨论，包括量化温室气体排放的ISO 14064-1标准和量化商品碳足迹的ISO 14067标准。会议还介绍了正在制定的新标准，例如关于气候变化适应性的ISO 14090标准，关于影响、漏洞和风险评估的ISO 14091标准以及关于项目和资产环境绩效绿色债券的ISO 14030标准。

此外，会议还分析了ISO在2018年开展的制图工作，该工作将数百项ISO国际标准与联合国可持续发展目标联系起来。

您可以通过UNFCCC周边会议网络广播页面上的视频广播，查看此会议及其他ISO周边会议。想获悉更多的国内外标准信息，请访问标准2025网站（<http://www.bz2025.com>）。

日前，澳大利亚广泛使用的石油气和液态石油大规模运输管道网络的相关标准是最近发布的几项标准中的重点标准，这些标准的发布将助力该行业在未来保持高效率和创新能力。

 “在澳大利亚标准协会工作的各个行业中，各行业和社区均在安全和整体效率上获得了成果。尤其是在采矿业和能源领域，堪称无出其右。”澳大利亚标准协会首席执行官Bronwyn Evans博士说道。

近日发布的“AS 2885.0：2018，管道-石油气和液态石油-一般要求”，“AS/NZS 2885.1：2018，管道-石油气和液态石油-设计和建造”以及“AS/NZS 2885.6：2018，管道-石油气和液态石油-安全管理”是AS 2885系列标准的组成部分，为行业提供技术要求支援，以高效地设计和构建新的能源输送管道，保证现存管道安全运营。

“AS 2885系列标准的第0、1、6部分为保证从供应链开始的安全运输提供了正确的技术要求，因而具有重要意义。”技术委员会主席Susan Jaques说道。“这些出版物最新变化包括，第1部分仅聚焦解决新管道或修改工作的问题，新增的第6部分囊括了管道安全管理各个方面。第0部分中的一般要求也将普遍定义的术语纳入其中。负责修订这几部分标准的分技术委员会投入了大量时间与精力，保证了AS 2885系列标准的一致性。”

这一系列标是由澳大利亚标准协会技术委员会“ME-038石油管道”制定，采纳了来自监管者、行业代表和技术专家的意见。

“这些标准的发布标志着行业迈出了一大步，不仅提高了安全性，而且促进了对能源行业这一关键基础设施的指导。”Evans博士如是说。想获悉更多的国内外标准信息，请访问标准2025网站（<http://www.bz2025.com>）。

增材制造技术正在飞速发展。如今，这一制造工艺几乎在各行各业都发挥着越来越重要的作用。为了让德国标准化协会（DIN）内部有关增材制造的变化得到最佳应对，为了更好地将问题作为跨领域专题进行解决，DIN增材制造部门将进行结构重组。该部门将在2019年继续扩建必要的组织，以实现一个目标：对该领域现行和未来的标准化计划进行最优指导。现已计划在1月新增两个委员会：NA 145-04-04 GA “增材制造-数字化、软件和数据规格”联合工作委员会和NA 145-04-02-01 GAK “遵循压力设备指导方针的AM制造工件”联合工作组。

早在2018年DIN的增材制造部门便已开始了结构重组。经历了去年的结构重组后，DIN增材制造工艺部门如今的布局如下：NA 145-04 FBR “增材制造工艺部门咨询委员会”下属的委员会有：

.           NA 145-04-01 AA “增材制造-跨领域专题”

.           NA 145-04-02 GA “增材制造- NWT & NAS联合工作委员会-金属”

.           NA 145-04-02-01 GAK “增材制造- NWT/NAM/NAS/FNCA联合工作组：遵循压力设备指南的AM制造工件”

.           NA 145-04-03 GA “增材制造- NWT & FNK联合工作委员会：合成材料&弹性体”

.           NA 145-04-04 GA “增材制造- NWT & NIA联合工作委员会：数字化、软件和数据规格”

一、专注于数字主题

“数字化、软件和数据规格” NWT & NIA联合工作委员会将于2019年1月28日在柏林成立，材料技术标准委员会（NWT）和信息技术与应用标准委员会（NIA）将于此携手制定有关增材制造的信息技术层面的标准和规格说明。这其中包括数据规格、接口和软件架构。除此以外，“增材制造-数字化、软件和数据规格”联合工作委员会还将作为ISO/IEC/JTC 1/WG12“3D打印与扫描”国际工作组的德国镜像委员会开展工作，有针对性地将ISO/TC 261“增材制造”中与信息技术有关的个案项目进行对应。在该联合工作委员会的创始会议上，除选出委员会主席和副主席外，还将制定今年的工作方案。

二、重点关注AM制造的压力设备

1月23日将在法兰克福成立“遵循压力设备指南的AM制造工件”联合工作组。建立该联合工作组的目的是为了在德国国内层面和CEN/TC 54“非烧制压力容器”、CEN/TC 438“增材制造工艺”这两个欧洲标准化委员会未来的合作活动保持协调一致。材料科技（NWT）、机械制造（NAM）、焊接与相关工艺（NAS）和化学仪器制造（FNCA）四个DIN标准委员会将于此联合工作组内共同工作。如此一来， DIN增材制造部门跨领域专题的又一个重要区间也被覆盖了。该联合工作组将加强解决有关AM制造的压力设备标准化的问题，并作为新成立的欧洲标准化委员会CEN/TC 54/WG 11“AM制造的压力设备及压力设备组件”的对口委员会开展工作。想获悉更多的国内外标准信息，请访问标准2025网站（）。

三、诚挚邀请所有感兴趣的人员参加这两个首次会议，会议信息如下：

2019年1月23日，美因河畔法兰克福，于10:00-16:00举行NA 145-04-04 GA “增材制造-数字化、软件和数据规格”联合工作委员会的首次会议。

2019年1月28日，柏林，于10:00-16:00举行NA 145-04-02-01 GAK “遵循压力设备指南的AM制造工件”联合工作组的首次会议。

对于知道如何处理数据的企业来说，只要采用恰当的策略释放数据潜力，就能从数据和承载数据的云端中收获近乎无限的价值。得益于ISO/IEC的信息技术服务管理标准，Orange Business Services公司能够帮助客户将数据转变成真正的业务资产。

随着数字革命的到来，企业产生的数据量达到了前所未有的高值。这些数据本身仅仅是一种原材料，但是如果能被转化成有用的信息，将会给组织带来无限机遇。云计算的出现使组织能够应用强大的IT功能，还可以实现信息系统、工作区、服务器、应用程序和存储的全部或部分外部化。

尽管云端在十多年前就已经出现，但由于人们对数据安全性和完整性的担忧从未中断，云端在应用时仍然遭受很大阻力。能够确保云托管安全和提供访问控制解决方案的系统集成商在未来将处于有利地位，因为它们不仅能为客户提供多种类型的托管和远程服务，同时还能提升公司的整体价值。

Orange Business Services就是这样一家公司。作为Orange集团下的B2B服务型分公司，这家全球ICT供应商的客户总数达2.6亿，分布于28个国家，年销售收入410亿欧元，力争成为“数据之旅”的领头羊。它全程支持组织的数字化转型，向客户提供数据收集、传输、安全、存储、处理、分析、共享和价值创造等方面的专业技能。要提供范围如此广泛的支持，Orange Business Services就需要在全球适用的公司治理模型下运行无缝衔接的全球操作流程。

因此，执行ISO/IEC 2000 -1标准，信息技术-服务管理-第1部分:服务管理系统要求便是一个合理的目标。ISO/IEC 20000系列标准，是由国际标准委员会（ISO）和国际电工委员会(IEC)共同制定的旗舰标准，能够为组织嵌入服务生命周期策略，为之提供服务组合的最佳管理方案，以保持服务的质量。2018年该标准发布了新的改进版，借此机会我们向Orange Business Services公司的客户服务和运营总监让-皮埃尔&bull;吉拉尔丁(Jean-Pierre Girardin)提出以下问题:新版标准将如何帮助Orange Business Services公司兑现给客户的承诺——无论客户身处何地，都能为之提供卓越的端到端服务。

ISOfocus: Orange Business Services公司为何如此热切地采用ISO/IEC 20000-1，Jean-Pierre Girardin: Orange Business Services在全球拥有三千多家知名跨国公司，在法国也有超过两百万的专业人士，公司和地方团体。我们非常信赖信息安全标准，并曾十年通过ISO/IEC 20000-1认证。

从一开始，我们就有意识地决定以综合方式逐步引入该标准。因此，在最初基于ISO 9001的企业质量管理体系的基础上，我们根据一个综合框架来增强服务管理流程。这样，就能在全球的Orange Business Services运营网站中调整我们的服务流程。

作为一家B2B服务型公司，获得ISO/IEC 20000-1认证是一个千载难逢的机会。这让我们能专注于改善我们的服务，并从三个管理系统标准，即ISO 9001（质量），ISO/IEC 20000-1（IT服务）和ISO/IEC 270011)（信息安全）的良好组合中受益——而这三个标准本身也在不断改进。

ISO/IEC 20000-1为Orange Business Services带来了的好处主要有哪些？

ISO/IEC 20000-1的实施为公司内外都带来了许多关键优势。上述三份认证我们每年更新一次，定期也会进行新的扩展。认证说明Orange Business Services是值得信赖且可靠的合作伙伴，同时也认可了我们全球管理系统的质量。之后，我们还在三个站点中添加了ISO 14001环境管理标准。所有指标均显示，我们这些努力大大提高了客户的满意度。更重要的是，认证制度是加强员工团队凝聚力的绝佳方式，也正是因此，我们才能保持多年来的发展势头。

ISO/IEC 20000-1越来越广泛地用于解决当今的安全问题。对此，您并没有觉得非常惊讶。您能否详细说明该标准还有哪些安全相关的优势？

信息安全的ISO/IEC 27001标准涵盖了一定的范围，包括我们的活动和实体（运营，云服务等），因此我们ISO/IEC 20000-1中关于信息安全管理的章节6.6就提到，这一标准从三个层面上确保了我们流程和活动的广度，即其对我们服务的要求，运营中的安全控制以及托管安全服务组合。

例如，我们会主动监控和应对安全事故，因为它们可能会影响托付给我们的资产。为此，我们要确保在实施之前评估所有的变更，以防对安全保护产生任何潜在影响。我们还在流程和工作程序中引入了强大的安全控制措施，现在看来措施非常有效。ISO/IEC 20000-1的附加安全功能还有助于在操作实践中全面提高安全意识。审计员也曾表示，我们的员工在保护数据完整性方面的行为堪称表率。

ISO/IEC 20000-1是如何在业务流程、运营和战略层面与Orange Business Services结合的？

ISO/IEC 20000-1从2008年项目一开始就全面融入到全球统一的安全管理系统中。这一点尤为重要，因为它与我们在开罗的埃及主要服务中心最初的ISO/IEC 27001认证相一致，之后，位于德里附近古尔冈的印度主要服务中心，法国，巴西乃至毛里求斯的业务也都采用了这一认证。因此，ISO/IEC 20000-1要求已成为我们所有流程和活动的重要组成部分，无论是我们和客户的关系，与供应商的活动，还是整个服务周期，从订单到交付，一切都包含在内。

在战略层面，Orange Business Services定期在当地、地区和全球范围内进行管理评审，这些认证结果都将得到严谨监控。我们会预计客户期望，并根据业务规定调整范围。

ISO/IEC 20000-1主要是通过内部资源实施的，而且非常成功，对此您能否与ISOfocus 读者分享一些技巧？

在争取认证时，应当循序渐进，这一点很重要。我们首先组建了一支技术娴熟、知识渊博又十分敬业的团队来管理项目。关于这方面，熟练掌握ITIL框架是一个加分项，因为这项技能有助于保持IT服务与业务需求的一致性。我们认为，在为认证引入任何新服务之前，应先进行有条理的差距分析和可行性研究，这点很关键。同时，我们也加强了内部审计人才库，对所有业务流程和实体进行年度审计，以此检验我们的进展。

为了给员工创造动力，我们还组织了动员会，为他们介绍ISO/IEC 20000-1以及与认证和标准相关的各个方面。我们始终保持务实，旨在传达争取认证的好处，以确保每个人都正确理解实施标准的目的。关键不是讲标准的要求，而是集中精力讲清应用该标准对我们的客户，服务和业务流程的利益的重要性。整个企业当然得到了高级管理层的认可，这对我们的成功至关重要。

最新版本的ISO/IEC 20000-1已经发布了，您对它的发展有什么想法吗？未来有什么项目或计划？

新版ISO/IEC 20000-1为Orange Business Services打开了振奋人心的视角。该标准与所有ISO管理体系标准（包括ISO 9001:2015，ISO/IEC 27001:2013和ISO 14001:2015）中使用的新的高级结构相一致，因此该版本会更易于理解。

我们已经在研究如何让Orange Business Services公司的发展适应标准的改动，并致力于成为首批成功实施新版标准的公司之一。这将成为我们2019年的挑战！想获悉更多的国内外标准信息，请访问标准2025网站（<http://www.bz2025.com>）。

对全球企业而言，网络犯罪是最大的威胁之一。面对不断加重的网络犯罪问题，全球的各大企业集思广益，试图制定出新的应对措施。这些新的解决方案在最新一期的《ISO焦点》中有所体现。

麦肯锡最近的一项调查结果显示，75%的专家都认为网络安全是头等大事。毫无疑问，许多行业都具有这样的安全意识，尽管来自其他方面的风险挑战可能已经让它们忙的焦头烂额，比如追赶日新月异的技术革新，和适应为平衡这种技术需求而制定的新法规。虽然多数被采访者高度重视网络安全，但是真正表示公司已经做好抵御网络风险准备的只有16%，并且仅仅增加网络安全投资无济于事。

ISO主席约翰.沃尔特在期刊开头的评论中强调，随着数据迅速成为公司“照常营业”不可分割的一个元素，执行国际标准将是解决网络安全问题的最佳方案。

他说，“现如今，公司再也不能像以往那样把网络安全问题直接丢给IT部门处理，因为这些恼人的问题关乎企业的存亡和可持续发展。要保证网络安全项目的严谨性和有效性，国际标准的贯彻至关重要。”

2019年1/2月版的《ISO焦点》聚焦的主题包括：风险管理、物联网安全、网络黑客和违规行为、以及行业思想领袖的专家意见。此外，其中还专题介绍了一些行之有效的公司解决方案，如信息安全管理系统和IT服务管理。

那么步入2019年，网络犯罪分子又会发起何种网络攻击？我们又该如何防御呢？最新一期的《ISO焦点》将带您探索行业如何在发展中调整自我以适应不断变化的安全预期。一定不要错过我们的封面故事——可能会遭黑客攻击的五个对象，和介绍我们一流的ISO标准组合的文章，这些针对流程和产品的标准能够帮助我们应对薄弱的网络安全现状。想获悉更多的国内外标准信息，请访问标准2025网站（<http://www.bz2025.com>）。

为降低明火的风险、保障打火机使用者的安全，ISO标准适用于普通口袋打火机和使用范围更广的多用型打火机。

无论是点蜡烛还是生篝火，打火机一直是最受欢迎、最为实用的工具之一。由于打火机的日销量数以百万计，该领域亟需标准加以规范。

口袋型打火机和多用型打火机的主要部件是一个装满加压易燃气体的塑料装置。如果该装置未经合理设计和合格生产，将会造成极大的危险。下面这组令人震惊的数据足以说明未规范化的打火机有引发事故的风险：仅在欧洲，每年就有近3万起由打火机引发的严重事故，不仅导致人员伤亡，还造成约10亿欧元的经济损失。

ISO 9994标准规定了口袋打火机的基本安全要求，具体包括火焰最高高度、抗跌落性、耐高温性、耐内压性和抗连续燃烧性。该标准首次出台于1989年，并且同所有国际标准一样，经过不断审查和更新以跟进技术进步。ISO 22702始于2003年，适用于应用范围更广的打火机，通常称为多用途打火机、烤架打火机、壁炉打火机、点火棒或燃气火柴。

修订这两项国际标准的ISO工作组项目负责人兼召集人史蒂夫.伯克哈特(Steve Burkhart)表示，修订后的新版标准在减少危害方面效果显著。“ISO 9994标准中增加了针对火焰高度和最大燃料储量的规定，而ISO 22702则提供了与打火机特定使用方式相关的额外测试要求。”

SO 9994打火机-安全规范和ISO 22702多用型打火机-安全规范是由国际标准化组织塑料标准化技术委员会（ISO/TC 61，Plastics）燃烧行为小组（subcommittee SC 4, Burning behaviour）制定，其秘书处由ISO英国成员英国标准协会（BSI）负责。想获悉更多的国内外标准信息，请访问标准2025网站（<http://www.bz2025.com>）。

韩国科技信息通讯部国立电波研究院（院长：田永万）表示，10月22日至31日在瑞士日内瓦举行的ITU-T（国际电信联盟电信标准部门）SG11/ WP2（信号方式领域，议长：韩国电子通信研究院姜信阁中心负责人）国际会议上，由韩国主导制定的2项分散式内容分发方式提案最终被采纳为国际标准。
ITU-T：一个政府间国际组织，在电话、互联网及相关ICT技术及费用核算等领域制定国际标准。

ITU-T 的SG11：主要从事ITU-T提案的制定和修订活动，包括网络连接控制、资源管理、应对ICT机器非法复制和盗取、信号方式兼容性及适合性试验等领域。

本次采纳的标准是在内容传送网络上兼容管理型P2P通讯方式所需的两项技术，分别为信号要求事项（X.609.6）和终端数据交换信号方式（X.609.7)。

本项标准最初于2016年由韩国电子通信研究院提出，经过约2年的实践和讨论，在本次会议上得到最终批准。
制定标准负责人：贤旭主任，李昌奎研究员
运用此标准将目前的内容传送网络转换成分散型，就可以大幅节省内容服务运营商的服务器及网络费用；同时，使用者越多，传送能力和节省费用的效果就越大。
韩国电子通信研究院标准研究本部本部长金炯俊表示:“继多媒体内容分发标准制定的成果之后，本次被采纳为国际标准的分散型数据跟踪技术将大幅改善现有的数据提供方式(开放式API)、减轻企业的设备负担、提高服务性能，我们将继续推进细节协议的开发。”

重视信息和运营技术，才能实现网络弹性

近几月，许多国际研究和报道强调，针对供应链的网络攻击有了骇人的增长。在美洲、亚洲和欧洲进行的相关调查显示，去年有三分之二的公司的供应链遭到了网络攻击。

一般而言，供应链是将产品和服务从供应商传递给客户的过程，这是一个涉及组织、人员、活动、信息和资源的系统。供应链因其与工厂运营、员工、客户和运货商等方面存在复杂的互动，故而尤其容易受到攻击。人们很难了解供应链当中运用的安全程序，而要进行控制则是难上加难。

美国国防部报告指出了另一个问题，制造业的安全问题更倾向于关注云服务、数据管理以及其他形式的信息技术（IT），但却忽视了供应链的安全性，后者很大程度上关乎运营技术（OT）。美国国防部的核心关注点无疑是美国国防业，但该报告涉及的问题适用于全球所有工业部门和关键基础设施领域。

一、信息技术和运营技术的网络安全

美国国防部发表长达146页的报告中指出，问题的症结在于网络安全程序对信息技术的过分依赖。实际上，制造业以及包括能源、医疗和运输在内的其他行业的运营限制意味着，在网络安全方面采用的方法也需要保障运营技术。

信息技术主要关注数据及其自由安全流动的能力。信息技术存在于虚拟世界中，并对数据进行存储、检索、传输和操纵。信息技术具有流动性，包含许多活动部件和网关，这就为各种不断演变的攻击提供了大量平台，使其易受侵害。防御攻击是为了保护每一层次，以及不断识别和改进弱点，以保持数据流动。

与此相反，运营技术属于物理世界。信息技术必须保护系统的每一层，而运营技术要保障对系统的控制：开启或断开，关闭或打开。运营技术确保正确执行所有操作。运营技术中的所有内容都适用于设备和流程的物理运动与控制，以保证系统按预期工作，同时优先考虑安全性和高效性。例如，运营技术有助于确保当电力需求增加时发电机要上线，或者当化学品罐满时溢流阀要打开，以避免有害物质溢出。

过去，信息技术和运营技术各司其职。运营技术团队习惯使用严重依赖物理安全机制的封闭系统来确保完整性。随着工业物联网（IIoT）的出现以及物理机器与网络传感器和软件的集成，信息技术和运营技术两者之间的界限变得模糊。随着越来越多的事物开始产生联系、交流和互动，设备终端在增多，但网络犯罪分子获取网络和基础设施系统的可能途径也在激增。

二、保护供应链

由此回到供应链这个话题，绝大多数网络漏洞似乎都来自供应链。此外，信息技术和运营技术之间存在重要差异。

信息技术供应链的定义是“由相互连接的资源和流程组成的组织结构，各组织充当收购方、供应方或两者，以形成下达采购订单、协议或其他正式采购协议的连续供应关系。”

智能制造工厂供应链的定义不仅包括信息技术供应链，还包括运营技术供应链。这涉及到人员（开发商、供应商、分销商和运营技术人员）和流程以及产品：这是运营技术的核心部分和系统，如工业自动化和控制系统（IACS），以及越来越多的物联网（IoT）元素。

 在保护供应链方面，投入安全技术至关重要。传统技术问题严峻，特别是当受损设备成为工业控制或者数据采集与监视控制（SCADA）系统的网关时尤为如此。最近，研究人员用传真线路就访问到了一台一体式打印机的网络设备。

三、风险管理的意义

安全技术只是应对挑战的一方面；安全技术本身并不能确保网络弹性。最安全的方法是理解风险、减轻风险，以便在系统的适当位置予以合适的保护。这既适用于信息技术，也适用于运营技术。

重要的是，此流程与组织目标高度一致，因为减轻风险的决定可能会对运营产生严重影响。理想情况下，该流程所基于的系统方法会涉及整个组织的利益相关者。

一旦组织熟悉了系统，并确定了需要最多保护的有价值的部分，就需要采取三个步骤来应对网络攻击的风险和后果：

.  通过威胁建模和风险评估了解已知威胁

.  借助反映全球最佳实践的国际标准，确定风险并实施保护

.  根据要求应用适当的合格评定 – 测试和认证级别

基于风险的系统方法不仅显示了基于最佳实践的安全措施的运用，而且还证明了组织有效且高效地实施了正确的措施，从而提高了所有利益相关者的信心。

四、用标准和合格评定保护供应链

IEC制定了许多标准来保护工业和关键基础设施资产，包括适用于许多不同情况和专业标准的广泛标准，例如适用于核电厂或医疗领域的标准。同时，IEC还通过其合格评定局（CAB）和IECEE认证管理委员会（CMC）（即IEC电工设备和部件的合格评估体系）建立的工作组（WGs）开展合格评定（CA）和全球认证计划。

除了用于IT服务管理的ISO / IEC 27000系列标准和用于工业通信网络和国际退火铜标准（IACS）的IEC 62443系列平行出版物外，许多IEC技术委员会（TCs）和分委员会（SCs）已经制定了标准、技术规范（TSs）和特定行业的要求。

IEC CAB已建立第17工作组，以调查网络安全领域的产品、服务、人员和综合体系的市场需求和合格评定服务（全球认证计划）时间表。但是，这并不包括IECEE CMC WG 31所涵盖的工业自动化应用范围。CAB第17工作组还向其他行业领域传达了IECEE CMC 第31工作组所采用的通用网络安全途径及其在其他行业适用的可能性。

IECEE CMC 第31工作组的主要任务是“为IEC 62443系列的合格评定制定独特的方法”。为此，小组编写了OD-2061，即2018年6月发布的指导性操作文件，描述了如何解决合格评定并将其应用于IEC 62443系列中的某些标准。

OD-2061还解释了在哪些条件下可以提供IECEE网络合格证书 – 工业网络安全能力。只有“由经批准的认证机构（CB）测试实验室签署并附加国家认证机构（NCB）颁发的证书”才有效。

目前，这些证书是用于以下评定的，每个评定适用于IEC 62443系列中的一项或多项标准：

.   产品功能

.   流程功能

.   产品功能应用

.   流程功能应用

.   解决方案功能应用

和IEC网络相关的安全标准一样，最近采用的全面合格评定认证体系应确保，依赖工业通信网络和IACS的系统（包括供应链）能够更好地抵御网络威胁。想获悉更多的国内外标准信息，请访问标准2025网站（<http://www.bz2025.com>）。

重视信息和运营技术，才能实现网络弹性

近几月，许多国际研究和报道强调，针对供应链的网络攻击有了骇人的增长。在美洲、亚洲和欧洲进行的相关调查显示，去年有三分之二的公司的供应链遭到了网络攻击。

一般而言，供应链是将产品和服务从供应商传递给客户的过程，这是一个涉及组织、人员、活动、信息和资源的系统。供应链因其与工厂运营、员工、客户和运货商等方面存在复杂的互动，故而尤其容易受到攻击。人们很难了解供应链当中运用的安全程序，而要进行控制则是难上加难。

美国国防部报告指出了另一个问题，制造业的安全问题更倾向于关注云服务、数据管理以及其他形式的信息技术（IT），但却忽视了供应链的安全性，后者很大程度上关乎运营技术（OT）。美国国防部的核心关注点无疑是美国国防业，但该报告涉及的问题适用于全球所有工业部门和关键基础设施领域。

一、信息技术和运营技术的网络安全

美国国防部发表长达146页的报告中指出，问题的症结在于网络安全程序对信息技术的过分依赖。实际上，制造业以及包括能源、医疗和运输在内的其他行业的运营限制意味着，在网络安全方面采用的方法也需要保障运营技术。

信息技术主要关注数据及其自由安全流动的能力。信息技术存在于虚拟世界中，并对数据进行存储、检索、传输和操纵。信息技术具有流动性，包含许多活动部件和网关，这就为各种不断演变的攻击提供了大量平台，使其易受侵害。防御攻击是为了保护每一层次，以及不断识别和改进弱点，以保持数据流动。

与此相反，运营技术属于物理世界。信息技术必须保护系统的每一层，而运营技术要保障对系统的控制：开启或断开，关闭或打开。运营技术确保正确执行所有操作。运营技术中的所有内容都适用于设备和流程的物理运动与控制，以保证系统按预期工作，同时优先考虑安全性和高效性。例如，运营技术有助于确保当电力需求增加时发电机要上线，或者当化学品罐满时溢流阀要打开，以避免有害物质溢出。

过去，信息技术和运营技术各司其职。运营技术团队习惯使用严重依赖物理安全机制的封闭系统来确保完整性。随着工业物联网（IIoT）的出现以及物理机器与网络传感器和软件的集成，信息技术和运营技术两者之间的界限变得模糊。随着越来越多的事物开始产生联系、交流和互动，设备终端在增多，但网络犯罪分子获取网络和基础设施系统的可能途径也在激增。

二、保护供应链

由此回到供应链这个话题，绝大多数网络漏洞似乎都来自供应链。此外，信息技术和运营技术之间存在重要差异。

信息技术供应链的定义是“由相互连接的资源和流程组成的组织结构，各组织充当收购方、供应方或两者，以形成下达采购订单、协议或其他正式采购协议的连续供应关系。”

智能制造工厂供应链的定义不仅包括信息技术供应链，还包括运营技术供应链。这涉及到人员（开发商、供应商、分销商和运营技术人员）和流程以及产品：这是运营技术的核心部分和系统，如工业自动化和控制系统（IACS），以及越来越多的物联网（IoT）元素。

 在保护供应链方面，投入安全技术至关重要。传统技术问题严峻，特别是当受损设备成为工业控制或者数据采集与监视控制（SCADA）系统的网关时尤为如此。最近，研究人员用传真线路就访问到了一台一体式打印机的网络设备。

三、风险管理的意义

安全技术只是应对挑战的一方面；安全技术本身并不能确保网络弹性。最安全的方法是理解风险、减轻风险，以便在系统的适当位置予以合适的保护。这既适用于信息技术，也适用于运营技术。

重要的是，此流程与组织目标高度一致，因为减轻风险的决定可能会对运营产生严重影响。理想情况下，该流程所基于的系统方法会涉及整个组织的利益相关者。

一旦组织熟悉了系统，并确定了需要最多保护的有价值的部分，就需要采取三个步骤来应对网络攻击的风险和后果：

.  通过威胁建模和风险评估了解已知威胁

.  借助反映全球最佳实践的国际标准，确定风险并实施保护

.  根据要求应用适当的合格评定 – 测试和认证级别

基于风险的系统方法不仅显示了基于最佳实践的安全措施的运用，而且还证明了组织有效且高效地实施了正确的措施，从而提高了所有利益相关者的信心。

四、用标准和合格评定保护供应链

IEC制定了许多标准来保护工业和关键基础设施资产，包括适用于许多不同情况和专业标准的广泛标准，例如适用于核电厂或医疗领域的标准。同时，IEC还通过其合格评定局（CAB）和IECEE认证管理委员会（CMC）（即IEC电工设备和部件的合格评估体系）建立的工作组（WGs）开展合格评定（CA）和全球认证计划。

除了用于IT服务管理的ISO / IEC 27000系列标准和用于工业通信网络和国际退火铜标准（IACS）的IEC 62443系列平行出版物外，许多IEC技术委员会（TCs）和分委员会（SCs）已经制定了标准、技术规范（TSs）和特定行业的要求。

IEC CAB已建立第17工作组，以调查网络安全领域的产品、服务、人员和综合体系的市场需求和合格评定服务（全球认证计划）时间表。但是，这并不包括IECEE CMC WG 31所涵盖的工业自动化应用范围。CAB第17工作组还向其他行业领域传达了IECEE CMC 第31工作组所采用的通用网络安全途径及其在其他行业适用的可能性。

IECEE CMC 第31工作组的主要任务是“为IEC 62443系列的合格评定制定独特的方法”。为此，小组编写了OD-2061，即2018年6月发布的指导性操作文件，描述了如何解决合格评定并将其应用于IEC 62443系列中的某些标准。

OD-2061还解释了在哪些条件下可以提供IECEE网络合格证书 – 工业网络安全能力。只有“由经批准的认证机构（CB）测试实验室签署并附加国家认证机构（NCB）颁发的证书”才有效。

目前，这些证书是用于以下评定的，每个评定适用于IEC 62443系列中的一项或多项标准：

.   产品功能

.   流程功能

.   产品功能应用

.   流程功能应用

.   解决方案功能应用

和IEC网络相关的安全标准一样，最近采用的全面合格评定认证体系应确保，依赖工业通信网络和IACS的系统（包括供应链）能够更好地抵御网络威胁。想获悉更多的国内外标准信息，请访问标准2025网站（<http://www.bz2025.com>）。